2018-05-28

RGPD et généalogie / GDPR and genealogy #RGPD #genealogie

Sur le RGPD et le consentement de chaque vivant dans une base de données à des fins de recherche généalogique :






Premier point : le considérant 160 du RGPD exclut déjà tous les morts (ouf) : "Lorsque des données à caractère personnel sont traitées à des fins de recherche historique, le présent règlement devrait également s'appliquer à ce traitement. Cela devrait aussi comprendre les recherches historiques et les recherches à des fins généalogiques, étant entendu que le présent règlement ne devrait pas s'appliquer aux personnes décédées."






Second point : l'article 89 a été rédigé pour les archivistes et généalogistes : "Article 89
"Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques


"1. Le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière.


"2. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités."




On tombe ici dans des données à caractère personnel traitées à des fins de recherche scientifique ou historique. Le droit de l'Union ou le droit français peut prévoir des dérogations aux droits des articles 15 (droit d'accès de la personne concernée : pas de problème), 16 (droit de rectification : pas de problème), 18 (limitation du traitement : ce n'est pas vraiment le sujet) et 21 (droit d'opposition : pas de problème). Mais aucun de ces points ne pose aucun problème, et il n'est pas nécessaire d'attendre de telles limitations.





Le point crucial est en fait l'article 6.f. du RGPD (et développé au 6.4.) : le consentement n'est pas le seul cas où collecter des données au sujet d'une personne est licite. Le traitement peut être licite si : "le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant." Il faut donc faire une balance entre d'une part l'absence de consentement explicite en raison d'intérêts légitimes (la recherche généalogique) et d'autre part les intérêts, libertés et droits fondamentaux de la personne, et l'étendue de la protection des données à caractère personnel que cela nécessite.






Un ensemble de garanties pourrait être estimé suffisant par la CNIL pour compenser l'absence de consentement explicite de la plupart des vivants inclus dans la base, compte tenu des finalités d'une base généalogique par hypothèse. Ce faisceau de garanties devrait inclure : droit d'accès, de rectification et d'opposition, recueil de consentement lorsque c'est possible, garanties sur les catégories de données collectées (cela pourrait conduire à exclure les données à caractère religieux, hors consentement exprès, pour les vivants), limitation de l'accès (accès non public, restreint à des personnes autorisées), et garanties sur les mesures informatiques et organisationnelles de sécurité adoptées (cela pourrait inclure : chiffrement du stockage des données ; meilleur contrôle des accès accordés, avec durcissement et renouvellement périodique des mots de passe, afin que la base ne puisse pas être hackée par des tiers non autorisés ; protocole https://). Je ne garantis pas que cela suffise, mais cela se tente, en demandant confirmation auprès de la CNIL, mais seulement après que l'adaptation de la loi française au RGPD sera entrée en vigueur (pour l'instant, elle est en attente devant le Conseil constitutionnel) : http://www.assemblee-nationale.fr/15/dossiers/donnees_personnelles_protection.asp






Un effacement de tous les vivants hors consentement explicite ne paraît pas la conséquence automatique du RGPD, et des voies de compromis devraient être tentées avant d'envisager des mesures radicales. La CNIL est l'autorité nationale, dont la position est décisive. Le RGPD n'étant pas un bouleversement de l'existant, mais plutôt sa généralisation à toute l'Europe avec l'octroi de droits supplémentaires, et la CNIL n'ayant pas objecté au fonctionnement des bases de données généalogiques (dont Roglo et Geneanet) jusqu'à présent, le pire n'est pas certain. Ou s'il le devenait, il conviendrait de faire corriger cette interprétation excessive par une exception législative pour la généalogie, à l'occasion d'une prochaine modification de la loi n° 78-17 du 6 janvier 1978.


Post-scriptum : toute réflexion à ce sujet devrait associer les archivistes qui ont défendu la "position française sur les archives" dans le cadre de la négociation du RGPD.