Sommaire
Cadre juridique général
Selon la Directive 2013/37/UE, dite PSI (Public Sector Information), et la loi n°78-753 du 17 juillet 1978 (modifiée), dite CADA (Commission d’Accès aux Documents Administratifs), les données issues d’une activité de recherche financée au moins pour moitié par des dotations d’un Etablissement Public, de l’Etat, des collectivités, des subventions d’agences de financement nationales ou par l’Union européenne sont assimilées à des “documents administratifs”.
Dès lors qu’elles sont considérées comme achevées (notamment après une première publication volontaire, comme la publication scientifique) et si elles n’entrent pas dans le cadre des exceptions légales (cf. cas particuliers ci-dessous), elles doivent être :
- communicables à toute personne qui en fait la demande,
- librement réutilisables.
La Loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique va plus loin et modifie le code des relations entre le public et l’administration pour aller vers un principe d’ouverture et de diffusion spontanée des données sur internet (open data), et de libre réutilisation sans condition et à toutes fins (y compris à des fins commerciales et y compris pour les établissements publics).
Elle neutralise le droit des bases de données pour les administrations, dans son article 11 .
La loi Valter précise le principe de gratuité : la réutilisation est gratuite, non soumise à paiement de redevances
La réutilisation des informations publiques est soumise à la condition que ces dernières ne soient pas altérées, que leur sens ne soit pas dénaturé et que leurs sources (auteurs et date de dernière mise à jour) soient mentionnées.
Cas particuliers/Points de vigilance
Obligation de publication
- des données concernant des émissions de substances dans l’environnement (Code de l’environnement, Convention d’Aarhus)
- des données géographiques informatisées (Directive Inspire). Le 9/02/2023, le règlement C/2022/9562, applicable le 9/06/2024, élargit cette obligation à 5 grands ensembles « à forte valeur ajoutée », qui devront être interopérables et accessibles gratuitement, sous licence Creative Commons : le géospatial, l’observation de la terre et l’environnement, les données météorologiques, certaines statistiques globales sur les pays, certaines informations sur les entreprises et leur propriété, et enfin la mobilité et les réseaux de transport.
- des données sous-jacentes à des publications :
Les éditeurs exigent de plus en plus souvent, par contrat, que les données sous-jacentes aux publications soient accessibles : au minimum aux relecteurs (certains entrepôts, comme DataSuds, permettent de générer un lien privé vers des données non publiées), ou plus largement, sauf bien sur si des raisons légales, règlementaires ou d’éthiques l’interdisent (dans ce cas, les métadonnées descriptives peuvent être publiées seules). - des données financées par certains bailleurs de fonds (Europe, ANR,…), en application du cadre juridique général ci-dessus.
Publication sous conditions
- des données personnelles (toutes informations identifiant directement ou indirectement des personnes physiques ou ensembles de données qui, recoupées, peuvent permettre d’identifier des personnes). L’accord exprès des personnes avant le recueil, l’anonymisation des données avant publication ou à la fin du projet et l’accès des personnes à leur données durant le projet sont obligatoires (cf. RGPD, succédant en 2016 à la Loi Informatique et Liberté)
En savoir plus sur le RGPD
A l’IRD :
– contacter la Déléguée à la Protection de Données (Data Protection Officer, DPO) (dpo@ird.fr)
– remplir avec elle le registre de traitement des données personnelles
– consulter la page intranet sur le RGPD
– s’autoformer sur le RGPD (intranet) : https://e-formation.ird.fr/course/view.php?id=148
- des données personnelles de santé recueillies initialement avec un objectif de soin, de diagnostic, de prévention ou de suivi médico-social : ces données demandent une évaluation particulièrement attentive (un logigramme peut vous y aider) et ne peuvent être déposées que chez un hébergeur certifié HDS (Hébergement des Données de Santé).
En savoir plus sur l’hébergement des données de santé
A l’IRD :
– contacter la cellule Recherches Impliquant la Personne Humaine : cellule.riph@ird.fr
– lire la page intranet concernant les Recherches Impliquant la Personne Humaine
– demander l’ouverture d’un compte sur la plateforme certifiée HDS RedCap : redcap@ird.fr_
- des données concernant les ressources génétiques et les « connaissances traditionnelles » associées : le Protocole de Nagoya demande qu’elles aient été obtenues après « consentement préalable en connaissance de cause » des communautés locales autochtones, que les « connaissances, innovations et pratiques qu’elles ont développées » soient reconnues, que leurs conditions d’utilisation soient « convenues d’un commun accord » et que les bénéfices découlant de cette utilisation soient partagés.
A l’IRD :
– consulter le Comité Nagoya : nagoya@ird.fr
– lire les pages intranet concernant ce Comité _
- des données contenant des informations pouvant avoir un impact sur la conservation de la biodiversité (article L.124-4 du code de l’environnement), par exemple la localisation d’une espèce menacée,
- des données protégées par le droit d’auteur (cf. Code de la propriété intellectuelle), qui protège la structure de la base de données et les « œuvres de l’esprit » qu’elle peut contenir (textes, photographies,…), à condition qu’elles soient originales et expriment la personnalité de leurs auteurs.
Pour utiliser ces éléments protégés, l’accord exprès (=écrit, clair et explicite) de tous les auteurs est obligatoire, sauf exceptions (courte citation, utilisation à des fin d’enseignement, de sécurité publique ou de procédure administrative ou juridictionnelle).
Le titulaire de ce droit est l’auteur (personne physique), s’il est autonome dans sa production (cas des chercheurs et enseignants-chercheurs).
Contacts IRD : Direction des Affaires Juridiques et Service Innovation et Valorisation, (ainsi que les services régionaux, SRIV, présents dans les Délégations)
- des données provenant de tiers (autorisation ou licence nécessaires), générées en collaboration avec des tiers (convention ou accord de consortium nécessaire) , ou rassemblées pour le compte d’un tiers (contrat nécessaire), en particulier lorsque ces tiers sont des entreprises privées ou appartiennent à des pays non-européens. Les documents contractuels cités entre parenthèse, rédigés avec l’aide de Services Juridiques, devront préciser la propriété, l’usage, le partage, la licence des données concernées.
Si ce tiers est une entreprise privée, le droit « sui generis« (cf. Directive 96/9/CE concernant la protection juridique des bases de données), peut protéger, durant 15 ans à partir de sa publication, la structure d’une base de données, même à défaut d’originalité, sous condition d’investissements substantiels (mise en œuvre de moyens financiers, techniques ou humains importants). La durée peut être renouvelée à chaque nouvel investissement substantiel effectué (modification, mise à jour). Le titulaire de ce droit est l’investisseur, en général l’organisme employeur.
Contact IRD : Services centraux et régionaux chargés d’instruire les contrats : SPCR, SRIV,… (page intranet)
Interdiction de publication
- des données convernant la sécurité publique ou au secret défense (y compris celles impactant la sécurité des biens de l’établissement ou des personnes)
- des données relatives aux secrets professionnels (dont le secret des procédés, le secret médical, le secret de l’instruction, le secret bancaire, le secret des affaires, dont les contrats et marchés,…)
- des données personnelles sensibles : relatives aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé ou à la vie sexuelle, ainsi que les données biométriques et génétiques personnelles permettant d’identifier une personne physique de manière unique, les mots de passes, les informations bancaires ou financières,…
La collecte et le traitement de ces données sont interdits sauf justification (dans l’intérêt public, pour la recherche médicale, par obligation légale,…).
L’autorisation de la CNIL doit être demandée via le Data Protector Officer (DPO) ou Délégué à la Protection des Données (DPD) de votre organisme.
A l’IRD, contacter la DPO
Mesures de protection des données personnelles ou sensibles
- Gérer les accès aux données (authentification et habilitation)
- Sauvegarder dans des répertoires séparés, sur un Cloud public sécurisé
- Chiffrer les données lors des transits et chiffrer les supports de stockage (utilisation de protocole de chiffrement, de container sécurisé tel que Zed!, Veracrypt ou Keepass ou d’autres logiciels adaptés comme Bitlocker, FileVault,…)
- Mettre en place un système de contrôle d’intégrité
- Mettre en place un système de traçabilité (accès, modification …)
- Pseudonymiser les données
- Flouter les données en les agrégeant
- Anonymiser les données
- Utiliser un hébergement certifié (HDS pour les données de santé)
- Utiliser un mode de transfert sécurisé (chiffré, comme peut l’être FileSender)
- etc. (liste non exhaustive)
Aides à la décision
Des outils en ligne permettent de se poser les bonnes questions :
- Arbre d’aide à la décision sur la diffusion des données de recherche du CIRAD
- Système expert d’aide à la décision pour diffuser les données de la recherche. / Andro M., Morcrette, N., Gandon, N. (Inrae)
Des logigrammes vous aideront visuellement à repérer ce que vous pouvez et devez faire avec vos données :
- Qui a les droits ? / Bordignon F., Boistel R., Du Pasquier D. (Ecole des Ponts ParisTech)
- Ouverture des données / Philipe O., Rennes S., Szabo D., Martel A.M. (Inrae)
Le guide “Ouverture des données de recherche. Guide d’analyse du cadre juridique en France”, publié en 2016 par un collectif de juristes issus de l’Enseignement Supérieur et de la Recherche, à la demande du Comité pour la Science Ouverte (CoSO) :
- précise les modalités de communication des données, selon leur nature,
- explicite les principes à respecter en matière de diffusion des données,
- rappelle les critères techniques à satisfaire pour atteindre la qualification de “données ouvertes”,
- oriente sur le choix de la licence de diffusion,
- fournit un logigramme d’aide à la décision et une série de fiches pratiques.
Choix de licence
En sus du cadre réglementaire, il est recommandé de diffuser ses données accompagnées d’un contrat de licence adapté.
Le décret 2017-368 du 27 avril 2017 précise les licences gratuites pouvant être utilisées pour les données publiques :
- l’ODbL (Open Database License version 1.0), similaire à la licence Creative Commons CC-BY-SA, pour contrôler les redistributions et les travaux dérivés, ou pour une diffusion internationale
- la Licence Ouverte Etalab, compatible avec la licence Creative Commons CC-BY, si le suivi du devenir des données n’est pas recherché et si les données sont essentiellement distribuées en France
Par ailleurs, l’entrepôt dans lequel vous souhaitez déposer votre jeu de données peut imposer une licence de diffusion particulière et, si les données sont liées à un article scientifique, la revue peut exiger une licence de diffusion dans les instructions aux auteurs.
Un examen attentif de ces recommandations est nécessaire pour éviter de céder trop de droits sur ses données : le type de licence préconisé est un critère de sélection important pour choisir un entrepôt ou un éditeur.
Aide au choix d’une licence Creative Commons (en restant aussi ouvert que possible) : https://creativecommons.org/choose/?lang=fr
Pour en savoir plus
- Becard, N. et al. (2016). Ouverture des données de la recherche. Guide d’analyse du cadre juridique en France. DOI : 10.15454/1.481273124091092E12
- CNIL. Comprendre le RGPD
- CNRS (2017) Pratiquer une recherche intègre et responsable : Guide
- CoopIST – Cirad : Gérer les données de la recherche > Rendre public ses jeux de données > Les principales licences de diffusion
- Datapartage – Inrae : Partager- Publier > Cadre juridique , Fiche juridique et Choisir une licence
- EU : L’éthique dans Horizon 2020 et le tableau d’auto-évaluation : H2020 Programme Guidance : How to complete your ethics self-assessment
- ENPC. Données de la recherche : Contexte juridique
- Ginouvès, Véronique, et Isabelle Gras. 2018. La diffusion numérique des données en SHS – Guide des bonnes pratiques éthiques et juridiques
- Université de Sherbrooke (2018). Guide de rédaction du formulaire d’information et de consentement