Le respect de la vie privée dans la recherche

Cette section contient des liens vers les directives de l’EPFL pour la conduite de recherches impliquant des données personnelles. Ces directives sont conçues pour vous aider à gérer correctement ces données dans vos projets de recherche, à protéger la vie privée des personnes concernées et à vous assurer que vous respectez des normes élevées en matière de protection des données et de recherche.

Ce site et les lignes directrices expliquent les concepts applicables et les exigences légales à chaque étape du cycle de vie des données, en s’appuyant sur des exemples concrets issus de la recherche. Ils indiquent également qui contacter à l’EPFL en cas de question.

À l’EPFL, nous considérons la protection des données personnelles non pas comme un ensemble de règles à respecter, mais plutôt comme un moyen et une opportunité de renforcer la confiance des citoyennes et des citoyens dans la science.

Un aperçu de la protection des données personnelles dans les projets de recherche

Lire la version compacte des lignes directrices (PDF, en anglais).

Télécharger la version complète des lignes directrices (en anglais)

Clause de non-responsabilité: Les informations fournies dans les exemples ci-dessous ne constituent pas et ne sont pas destinées à constituer un avis juridique. Chaque exemple doit être évalué au cas par cas en fonction des problèmes (ou des questions juridiques plus générales) que vous rencontrez.

Un projet multicentrique: rôles et responsabilités 1

  • L’EPFL, ainsi que d’autres instituts de recherche en Suisse et dans le reste de l’Europe, participent à un projet commun portant sur les données de santé. L’équipe du projet a décidé de mettre en place une plateforme sécurisée pour l’hébergement et le partage des données de recherche.
  • Elle a désigné un chef de projet et rédigé une convention précisant la contribution attendue de chaque institut de recherche. L’EPFL sera responsable du développement de la plateforme sécurisée et de son fonctionnement sur l’infrastructure informatique de l’école, mais ne fournira pas de données.
  • Une fois la plateforme opérationnelle, chaque institut de recherche introduira les données qu’il a collectées selon un format convenu et pourra accéder aux données fournies par les autres instituts.

Ce projet implique-t-il des données personnelles ?

Oui, il s’agit de données relatives à la santé, qui constituent une catégorie de données personnelles.

Définitions
  • Les données personnelles sont toutes les informations relatives à une personne identifiée ou identifiable.
  • Les personnes concernées sont les personnes physiques dont les données sont traitées.
  • Les données personnelles sensibles comprennent des données sur:
    • Les opinions ou activités religieuses, idéologiques, politiques ou syndicales;
    • La santé, la sphère intime ou l’origine raciale;
    • Mesures de sécurité sociale;
    • Procédures et sanctions administratives ou pénales;
    • Données génétiques;
    • Données biométriques.

Focus sur les données de santé

Les données relatives à la santé sont des données personnelles sensibles et doivent être protégées en conséquence. Un manque de protection adéquate des données peut entraîner d’importants dommages juridiques, financiers, de réputation et liés à la recherche (par exemple, des procédures civiles ou pénales).

cliquer pour agrandir

Quelles sont les lois applicables?

Les lois applicables ici sont la LPD (parce que l’EPFL est en Suisse), le RGPD (parce qu’au moins une autre entité se trouve dans l’UE et traitera probablement les données personnelles de résidents de l’UE), et la Loi fédérale sur la recherche avec des êtres humains (LRH) (parce que la recherche impliquera des données sur la santé).

Qui est le contrôleur des données pour ce projet?

Tous les instituts sont des contrôleurs conjoints

Le responsable du traitement est la personne morale ou physique qui, seule ou avec d’autres, détermine les finalités et les moyens du traitement des données.

Dans ce cas, les instituts doivent établir un accord de transfert de données (c’est-à-dire de contrôleur de données à contrôleur de données) ainsi que des accords sur des questions telles que le mode de gouvernance du consortium de recherche, la gestion de la propriété intellectuelle et la publication des résultats.

Si l’EPFL ne faisait pas partie du consortium de recherche, mais était chargée uniquement de l’exploitation de la plateforme, quel serait son rôle en matière de protection des données?

Dans ce cas, l’EPFL serait un responsable du traitement des données

Un sous-traitant est une entité qui effectue le traitement des données pour le compte du responsable du traitement.

Le sous-traitant devra conclure un accord spécifique avec le responsable du traitement, qui restera responsable du traitement des données. L’accord doit préciser toutes les mesures de sécurité que le sous-traitant doit prendre pour protéger les données à caractère personnel.

Soyez prudent si vous décidez d’utiliser un processeur de données basé en dehors de la Suisse (par exemple, des services d’hébergement ou de support, sur un serveur en nuage basé dans un autre pays). Les employées et employés de l’EPFL, en tant qu’employées et employés du gouvernement fédéral suisse, doivent se conformer aux exigences du secret officiel (tel que décrit dans l’article 320 du code pénal suisse).

Données sensibles, anonymisation et stockage dans un nuage américain 2

  • L’EPFL a été mandatée pour développer une application mobile permettant de détecter les lésions précancéreuses et cancéreuses du col de l’utérus dans les vidéos prises lors d’examens visuels à l’acide acétique. Dans la première phase de développement, les ingénieures et ingénieurs créeront un programme de collecte de données pour capturer les images nécessaires à l’entraînement des algorithmes d’intelligence artificielle du système. Seules des données et des images pseudonymisées seront introduites dans l’application. Ces données seront ensuite téléchargées sur un serveur en nuage où elles resteront anonymes.
  • L’application mobile étant appelée à être déployée à grande échelle, les ingénieures et ingénieurs doivent élaborer un plan de sécurité des données dans le nuage dès le début du travail de développement.
  • L’équipe du projet comprend l’EPFL, un hôpital suisse (investigateur principal) et deux hôpitaux étrangers (où les données seront collectées).
  • Pour utiliser le système, les médecins devront prendre une série de photos lors de l’examen d’une patiente ou patient et les soumettre aux algorithmes d’intelligence artificielle du système sur un smartphone ou un serveur en nuage. Les médecins peuvent ensuite utiliser l’application mobile pour montrer les prédictions de l’algorithme au patient.
  • L’application fonctionne en mode déconnecté. Les médecins peuvent télécharger les données collectées et anonymisées vers le serveur en nuage (push) et récupérer les données précédemment téléchargées (pull).
  • Lors de leur première connexion, les médecins sont invités à accepter les conditions d’utilisation.

Quel a été le principal défi en matière de protection des données dans le cadre de ce projet?

Les données personnelles concernées sont sensibles (données de santé) et il est prévu de les stocker dans un nuage public basé aux États-Unis. Cela n’est généralement pas autorisé par la loi suisse sur la protection des données ; les chercheuses et les chercheurs devront anonymiser les données.

Peut-on dire que les données personnelles du projet ont été rendues anonymes avant d’être transférées vers le système de stockage en nuage?

Les données personnelles doivent être rendues anonymes avant d’être stockées dans un nuage public. La manière la plus efficace et la plus sûre d’y parvenir est d’utiliser un identifiant unique aléatoire (UID).

L’UID serait généré par les hôpitaux étrangers et garantirait l’anonymat des données pour leur transfert vers l’application mobile. Aucune autre exigence en matière de protection des données personnelles ne devrait être respectée (les données anonymes ne sont pas soumises à la loi suisse sur la protection des données ni au secret de fonction).

Toutefois, les hôpitaux étrangers ne sont pas en mesure de répondre à l’exigence de données anonymes. Pour des raisons pratiques et liées au processus, les données ne peuvent être pseudonymisées que par les hôpitaux avant d’être transférées dans l’application. Les ingénieures et ingénieurs de l’EPFL ont donc conçu un système où les données sont passées par une fonction de hachage avant d’être transférées de l’application mobile vers le cloud.

Dans ce cas, peut-on dire que les données transférées vers le nuage ont été anonymisées ? En théorie, non. Si un médecin révélait la “recette” de la fonction de hachage au fournisseur américain de services en nuage, ce dernier pourrait être en mesure d’identifier les patientes et les patients.

Une évaluation des risques liés à la protection des données a été réalisée avant le développement de l’application et a révélé que le risque résiduel était très faible. Le processus proposé par les ingénieures et les ingénieurs a donc été jugé acceptable.

Grâce à cette analyse préalable de la protection des données avec les chercheuses et les chercheurs, les travaux sur cet important projet de recherche ont pu se poursuivre.

Qui peut accéder à quelles données?

Les informations de la table de correspondance entre l’identifiant enregistré (pseudonymes) dans l’application et l’identité de la patiente ou du patient seront conservées sur les propres serveurs de l’hôpital (indépendamment du serveur cloud basé aux Etats-Unis). Les administrateurs du projet (EPFL) n’auront jamais accès à ces informations.

L’EPFL recevra une liste contenant uniquement les pseudonymes, que les ingénieures et ingénieurs du projet pourront repasser par la fonction de hachage afin de relier les informations cliniques nécessaires à l’entraînement de l’algorithme aux images correspondantes. De cette manière, les ingénieures et ingénieurs ne travailleront qu’avec des données pseudonymisées.

Si un médecin souhaite accéder aux données d’une patiente ou d’un patient donné ou les supprimer, il peut hacher l’identifiant (pseudonyme) pour accéder aux données correspondantes sur le serveur en nuage.

Comment fonctionne la fonction de hachage?

La fonction de hachage est déterministe : elle génère un identifiant unique et irréversible permettant de sauvegarder ce hachage dans la base de données de l’EPFL. Plus de détails sur les fonctions de hachage  (Wikipedia)

Quelles informations d’identification sont stockées sur le serveur en nuage?

Seul le hachage de l’ID de la patiente ou du patient est sauvegardé sur le serveur en nuage. Si le médecin souhaite accéder aux informations stockées sur le serveur d’un patient, elle ou il peut hacher l’identifiant qu’il a enregistré et, à l’aide de ce hachage, accéder aux données correspondantes sur le serveur en nuage. Le fournisseur du serveur en nuage n’a jamais connaissance de l’identifiant de la personne ni de l’identité réelle de cette dernière.

Quel est le rôle de l’EPFL dans ce projet?

Du point de vue de la protection des données, l’EPFL agit en tant que responsable du traitement des données.

Qui est chargé de recueillir le consentement des patients?

L’hôpital étranger est l’organisation qui doit obtenir le consentement des patientes et des patients pour les utilisations prévues. L’hôpital suisse est le responsable du traitement des données et est donc responsable de l’élaboration et de la gestion du formulaire de consentement.


  1.  Exemple adapté de Jusletter 30.08.2021, Jotterand/Erard
  2. remerciements au Prof. Thiran, M. Cattin, G. Chevassus

En pratique

Vous y trouverez divers exemples auxquels vous pouvez être confronté, ainsi que les meilleures pratiques à adopter.