Le don de données à caractère personnel : un oxymore juridique favorable à la science ?

L'une des questions les plus fréquentes dans les projets de recherche européens aujourd'hui est de savoir comment garantir l'accès au matériel et aux données de recherche. Le don de données (ou la donation de données) est de plus en plus souvent mentionné comme une solution possible. Le don de données est spécifiquement mentionné dans le débat sur le partage des données à caractère personnel à des fins de recherche, y compris lors du don d'échantillons ou de tissus corporels à la science, ce qui donne aussi implicitement accès aux données connexes du donneur. Ce concept empiète sur le débat sur la propriété des données et sa relation avec la protection des données depuis quelques années. Ce blog explique brièvement pourquoi le concept de don de données à caractère personnel, malgré ses avantages pour la recherche scientifique, est en grande partie un oxymore juridique. 

Qu'est-ce qu’un "don de données" ?

À première vue, un don de données signifie simplement le transfert permanent de données d'une entité à une autre, en général ou pour un but précis. Les transferts sont une pratique courante, en raison des nécessités de l'entreprise ou d'une obligation légale. En soi, un transfert de données n'est pas particulièrement problématique, sauf si les données transférées sont des données à caractère personnel. 

En droit civil, une donation a une signification très spécifique : c'est le concept de transfert de la propriété des biens sans aucune compensation. Il s'agit essentiellement d'un cadeau.

Une donation entre vifs est un acte par lequel le donateur se dépouille actuellement et irrévocablement de la chose donnée, en faveur du donataire qui l'accepte.

Deux des principales caractéristiques d'une donation, outre l'absence de compensation, sont donc les notions de (transfert de) propriété et d'irrévocabilité.

Dans le domaine de la santé, le concept de don est utilisé pour le don d'organes ou de sang ou même le don posthume. Mais ces dons concernent des objets physiques, pour lesquels aucune utilisation concomitante n'est possible, et l'irrévocabilité du transfert est factuelle. 

Pourquoi le "don" des données à caractère personnel est-il un concept juridique problématique ?

En général, tout système de don de données doit être conforme au RGPD. Par conséquent, il doit

• (1) être licite, loyale et transparente, et
• (2) respecter les principes de limitation des données (par exemple, les données ne peuvent être traitées qu'aux fins pour lesquelles elles ont été données), de minimisation des données, d'exactitude, de limitation du stockage (sans préjudice de la législation nationale et de l'exception pour la recherche scientifique telle qu'elle est énoncée dans le RGPD), d'intégrité et de confidentialité.

Toutefois, la notion de "don" semble poser des problèmes sur au moins trois points liés à la législation sur la protection des données à caractère personnel :

• Premièrement, le transfert de propriété, l'une des principales caractéristiques d'un don, est incompatible avec la protection juridique des données à caractère personnel, car il est douteux que l'on "possède" réellement un ensemble de données à caractère personnel. Il est donc peu probable que ces données soient aliénables en vertu du droit européen. La raison en est que les données à caractère personnel sont protégées en tant que droit fondamental (un droit de l'homme) par l'article 8 de la Convention européenne des droits de l'homme (sur la vie privée), ainsi que par les articles 7 et 8 de la Charte des droits fondamentaux de l'UE (respectivement sur le respect de la vie privée et familiale et sur la protection des données à caractère personnel). Un droit fondamental est inaliénable ; on ne peut pas "vendre" des données personnelles, pas plus que quelqu'un ne pourrait "vendre" des parties du corps ou leur droit à l'intégrité physique. 
• Deuxièmement, l'irrévocabilité, une autre caractéristique principale du don, est également incompatible avec la protection juridique des données à caractère personnel. En effet, en vertu de l'article 7.3 du RGPD, le consentement, qui peut être la seule base d'un don, peut être retiré. Ainsi, tout don (qui est intrinsèquement volontaire et fondé sur le consentement) pourrait être facilement retiré. 
• Troisièmement, un don de données à caractère personnel est conceptuellement intéressant car il permet d'accéder à des données pour un nombre indéfini de situations, et pas seulement pour un ou quelques cas. Cependant, comme le RGPD exige que le consentement soit donné dans un but précis, cela remet en question la validité d'un consentement dans le contexte du don de données. En d'autres termes, en vertu du RGPD, un don ne peut être fait que sous conditions puisqu'il doit être lié à un objectif spécifique ; un consentement inconditionnel permettant un traitement à n'importe quelle fin n'est pas compatible avec le RGPD. En outre, la validité du consentement est conditionnée par les informations fournies aux personnes concernées ainsi que par leur degré de compréhension des informations fournies. Ainsi, le consentement ne peut être considéré comme valable si la personne concernée ne comprend pas pleinement ce à quoi elle consent. Par conséquent, les personnes concernées ne peuvent pas être correctement informées des projets de recherche qui doivent encore être conçus, et le consentement au simple traitement des données à des fins scientifiques est généralement considéré comme trop générique et vague pour satisfaire aux exigences du RGPD.

Par souci d'exhaustivité il faut mentionner que les dons posthumes ne sont pas aussi problématiques, car le RGPD ne s'applique pas aux données à caractère personnel des personnes décédées. La législation sur la protection des données ne les considère pas comme des personnes physiques. Toutefois, il convient de garder à l'esprit que les données à caractère personnel des personnes décédées peuvent être réglementées au niveau national. Par exemple, les articles 84 et suivants de la loi française sur la protection des données prévoient que les personnes peuvent donner des instructions spécifiques concernant le traitement de leurs données à caractère personnel après leur décès. En outre, les données concernant les personnes décédées peuvent contenir des données à caractère personnel de personnes vivantes, qui, elles, sont couvertes par le RGPD.

Pourquoi choisir une mauvaise terminologie ?

La notion de "don" n'est donc pas adéquate dans le contexte de la législation sur la protection des données à caractère personnel. Le "don de données à caractère personnel " semble d’être un oxymoron, au moins dans le sens où il suggère un degré de liberté et de flexibilité qui n'existe pas dans le RGPD : les données à caractère personnel ne peuvent pas être rendues "libre d'utilisation" par un don. 

Cependant, le don est également un concept bien connu, notamment dans le domaine de la santé et de la science, où les organes et le sang sont souvent donnés. Par conséquent, la notion de "don de données" pourrait être utilisée pour sensibiliser à la nécessité de mettre des données à caractère personnel à la disposition de la recherche scientifique et aux conditions dans lesquelles cela peut être fait. 

Les dons inconditionnels ne sont pas viables, mais avec un cadre approprié pour la détermination de la portée des consentements - définition des finalités, gestion du consentement et proportionnalité - on peut créer un certain degré de souplesse. En outre, la création d'un cadre pour les dons spontanés de données à caractère personnel, en dehors des études et des essais cliniques, où les participants sont présélectionnés, garantirait la disponibilité de données à caractère personnel impartiales à des fins de recherche scientifique. 

La sensibilisation par des parallélismes avec des pratiques bien connues serait utile pour favoriser l'accès aux données à caractère personnel à des fins de recherche scientifique. Mais cela ne doit pas être fait au détriment de la protection des droits fondamentaux des personnes concernées. Par conséquent, le cadre du "don" de données à caractère personnel doit être clairement délimité et géré.