Par Haas Avocats
La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment rendu un avis concernant un projet de recherche sensible. Le Centre National de la Recherche Scientifique (CNRS) avait sollicité la CNIL pour examiner la légalité et l'encadrement d'un traitement de données personnelles destiné à comprendre les événements marquants de l'été 2023.
L’objectif : cartographier les profils et les motivations des émeutiers
Le projet de recherche, piloté par le centre de recherche sociologique sur le droit et les institutions pénales (CESDIP), vise à établir une cartographie précise des caractéristiques socio-démographiques des personnes impliquées dans les violences urbaines qui ont secoué la France entre le 27 juin et le 7 juillet 2023. L'étude cherchera également à décrypter leurs motivations, leur rapport aux institutions et les raisons de leur engagement dans ces actes. Cette initiative fait suite à une lettre de mission interministérielle du 31 juillet 2023.
Enquête au cœur des dossiers judiciaires et méthodologie encadrée
Pour mener à bien cette recherche, les scientifiques du CNRS prévoient de consulter un échantillon de dossiers de procédures pénales relatifs aux affaires jugées en première instance concernant ces violences urbaines. Cet accès aux informations judiciaires est soumis à plusieurs conditions : l'autorisation des responsables des tribunaux et l'avis favorable préalable du Comité d’accès aux données (COMDAC) du ministère de la justice et de l’institut des études et de la recherche sur le droit et la justice (IERDJ).
Sur les données sensibles : pourquoi l'avis de la CNIL était indispensable ?
En l’espèce, la CNIL a été saisie car le traitement de données envisagé porte sur des informations particulièrement sensibles, notamment celles relatives aux condamnations pénales et aux infractions. Conformément aux dispositions de la loi informatique et libertés, un avis préalable de la CNIL est obligatoire pour ce type de traitements, au sens où le CNRS justifie ce traitement par sa mission d’intérêt public à des fins de recherche scientifique[1].
Ce que la CNIL demande : garanties et vigilance accrues
Bien qu'elle reconnaisse la légitimité de l'objectif de la recherche, la CNIL a émis plusieurs observations et recommandations importantes pour encadrer le traitement de ces données sensibles et notamment les suivantes :
THEMATIQUE |
OBSERVATION/RECOMMANDATION |
Garanties méthodologiques |
La CNIL insiste sur la nécessité de mettre en œuvre des garanties méthodologiques appropriées compte tenu de la sensibilité du sujet et de la vulnérabilité des personnes concernées, suggérant par exemple la consultation d'un comité d'éthique. |
Accès aux dossiers pénaux |
La CNIL s'interroge sur la compatibilité de l’accès aux dossiers pénaux avec les règles du secret de la procédure pénale et les dispositions spécifiques concernant les dossiers de personnalité des mineurs.
Elle rappelle que les chercheurs ne peuvent recueillir des informations dont la transmission serait contraire à la loi.
|
Données traitées |
La CNIL salue l'utilisation d'une grille de critères précis pour la collecte des données, favorisant ainsi le principe de minimisation.
Pour les données liées aux condamnations pénales, les missions octroyées au CNRS lui permettent de traiter ces données pour les finalités prévues[2].
Elle préconise cependant un encadrement strict des modalités de consultation des dossiers avec les juridictions, notamment en ce qui concerne les données relatives aux mineurs.
|
Conservation sécurisée |
Les durées de conservation des données (une (1) semaine sur les ordinateurs des chercheurs puis douze (12) mois sur un disque dur chiffré au CNRS avant suppression) n'ont pas soulevé d'objections.
|
Information/droits des personnes |
Une information générale devra être diffusée sur le site internet du CNRS. Pour les mineurs, une information simple et pédagogique devra être mise à disposition, expliquant clairement l'objectif de la recherche, la manière dont les données sont recueillies et qui y aura accès.
Les modalités d'exercice des droits (effacement, contact, etc.) devront être précisées dans l'analyse d'impact relative à la protection des données (AIPD).
|
Mesures de sécurité robustes |
Le projet prévoit des mesures de sécurité importantes, comme une suppression rapide des données des postes de collecte, des antivirus et mises à jour régulières.
La CNIL rappelle la nécessité d'une réévaluation régulière des risques et d'une mise à jour des mesures de sécurité si nécessaire.
|
Cet avis de la CNIL montre ainsi l'importance d'un équilibre délicat entre la nécessité de la recherche scientifique pour éclairer des phénomènes sociaux marquant et la protection des données personnelles, en particulier dans un contexte aussi sensible que celui des violences urbaines impliquant potentiellement des mineurs.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Articles R. 322-1 à R. 322-33 du code de la recherche
[2] Articles R322-2 et R322-3 du code de la recherche