Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
| Numéro | 2026-026 |
| Date | jeudi 19 mars 2026 |
| Nature | Délibération |
| Type d'acte | Avis |
| État | En vigueur |
| Référence | CNILTEXT000053753940 |
|
N° de demande d’avis : 2241618 |
Thématiques : Recherche scientifique (hors santé), observation participante, information des personnes |
|
Organisme(s) à l’origine de la saisine : Université de Montpellier Paul-Valéry |
Fondement de la saisine : Article 44.6° de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
La CNIL a été saisie par l’université de Montpellier Paul-Valery d’une demande d’avis sur un traitement mis en œuvre dans le cadre d’un projet de recherche sur les pratiques langagières en santé mentale .
Compte tenu de l’objet et de la portée du traitement, la CNIL recommande de mettre en œuvre des mesures d’atténuation des risques de réidentification des personnes (suppression des données identifiées comme non pertinentes après l’analyse, pseudonymisation des données).
Concernant l’information des personnes concernées, la CNIL rappelle qu’il conviendra de prendre les mesures nécessaires, d’une part, pour se conformer à l’obligation d’informer individuellement les personnes concernées au titre de l’article 13 du RGPD et, d’autre part, pour s’assurer que le traitement projeté peut bénéficier de la dérogation prévue à l’article 14.5.b du RGPD.
___________________
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD);
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ( loi informatique et libertés ), notamment son article 44-6 ;
Sur proposition de Mme Aminata Niakaté, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. La saisine
A. Le contexte
Le projet de recherche repose sur une analyse du langage et du discours sur les pratiques langagières en santé mentale dans le cadre de l’intervention précoce en psychiatrie. Il s’agit plus spécifiquement d’analyser les processus de construction, de circulation et d’appropriation des catégories diagnostiques en santé mentale dans les interactions entre jeunes adultes, soignants et communautés numériques concernées. Les travaux sont menés au sein du laboratoire Langages humanité médiations apprentissages interactions numériques (ci-après LHUMAIN ) de l’université de Montpellier Paul-Valéry.
Ce projet a pour objectifs :
B. L’objet de la saisine
La CNIL a été saisie, par l’université de Montpellier Paul-Valery, pour avis sur un traitement de données à caractère personnel nécessaire pour réaliser la recherche susmentionnée. Dans la mesure où il porte sur des données sensibles au sens de l’article 9 du RGPD, ce traitement doit faire l’objet d’un avis préalable de la CNIL (article 44-6 de la loi informatique et libertés ).
Il a pour base légale l’exercice d’une mission d’intérêt public (art. 6-1-e du RGPD) dès lors qu’il est mis en œuvre dans le cadre des missions du service public de l’enseignement supérieur public (art. L. 123-2 du code de l’éducation).
II. L’avis de la CNIL
A. Sur les catégories de données traitées
Les données à caractère personnel dont le traitement est nécessaire à la recherche sont collectées selon plusieurs modalités.
Il en ressort que l’université traite des données collectées selon différentes modalités (captures d’écran, enregistrements audios, etc.) et de catégories variées. Cette configuration de collecte implique que de nombreuses données incidentes sont collectées.
La CNIL estime cette possibilité légitime, en raison notamment du caractère prospectif de la recherche. Elle prend acte du besoin d’accéder à l’ensemble de ces données qui sont nécessaires à la compréhension des discours étudiés.
Elle relève toutefois qu’au regard du grand nombre de catégories de données traitées et du type de plateformes consultées, il existe un risque de réidentification des personnes concernées, notamment à partir du croisement avec d’autres conversations sur d’autres plateformes (par la réutilisation de patterns identiques dans la composition du message, par exemple).
Au regard de ces éléments et compte tenu de la sensibilité de la recherche (analyse de discours relatifs à la santé mentale), l’université devra mettre en œuvre des mesures d'atténuation des risques de réidentification et d'atteinte disproportionnée à la vie privée – par exemple en supprimant, après l'analyse des discours, toutes les données identifiées comme n’étant pas pertinentes pour la recherche. La CNIL recommande également que les données soient anonymisées le plus tôt possible ou, à défaut, fortement pseudonymisées. Cela implique que toute table de correspondance soit supprimée dans les meilleurs délais (c’est-à-dire une fois la recherche réalisée), dès lors qu’il n’est pas envisagé de recontacter les participants.
B. Sur les durées de conservation des données
Les données collectées seront conservées pendant une durée maximale de 15 ans. Cette durée correspondrait à un maximum de 5 cycles alternant actions de terrain et recherche de connaissances scientifiques.
La CNIL rappelle à titre général que, selon le e) du 1) de l’article 5 du RGPD, les données collectées dans le cadre d’un traitement doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées . En outre, si les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins de recherche scientifique ou à des fins statistiques , une telle conservation doit être accompagnée de la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés des personnes .
S’agissant des mesures mises en place dans le cadre de la présente recherche, la CNIL prend acte de ce que :
C. Sur les droits des personnes concernées
a. S’agissant de l’information sur le traitement
Les modalités d’information des personnes dépendent du mode de collecte des données. In situ, les personnes auprès desquelles les données sont directement collectées ne sont informées individuellement que lorsque les données sont collectées en observation active. En ligne, des mentions d’information sont affichées sur les profils du chercheur.
Concernant en particulier la collecte en observation passive in situ, en l’absence d’information individuelle, différentes informations sont mises à disposition des personnes concernées (via des QR codes ) au sein de l’établissement. Dans ce contexte, il est également prévu que le chercheur se présente au moyen d'un badge et expose verbalement l'objet de sa démarche auprès du personnel soignant, des patients et de leur entourage familial – garantissant ainsi que ces personnes soient informées de toute collecte de données réalisée lors de sa présence.
Si la CNIL accueille favorablement la mise en place de ces différents niveaux d’information, elle rappelle toutefois que, en cas de collecte directe, les personnes concernées devront bénéficier d’une information individuelle avec l’ensemble des éléments mentionnés à l’article 13 du RGPD. Cette information peut, par exemple, prendre la forme d’une lettre d’information transmise à leur entrée dans l’établissement ou d’une information orale.
Concernant par ailleurs les personnes auprès desquelles les données sont collectées en ligne, la CNIL rappelle qu’une information générale est possible en cas de collecte indirecte sur le fondement de l’article 14.5.b du RGPD dès lors, notamment, qu’une information individuelle se révèle impossible ou exigerait des efforts disproportionnés ou serait susceptible de compromettre gravement la réalisation [de la recherche] .
b. S’agissant du droit d’accès
L’université entend limiter l’exercice des droits, et en premier lieu du droit d’accès, dès lors qu’il lui serait impossible de s’assurer de l’identité du demandeur qui souhaiterait accéder aux données. Il est également précisé qu’au regard de l’objet de recherche (analyse de discours), répondre à une demande d’accès risquerait de faire perdre la confidentialité des données de personnes tierces à celle qui exerce son droit.
La CNIL rappelle qu’une telle limitation n’est possible que dans la mesure où l’exercice des droits risquerait de rendre impossible ou d’entraver sérieusement la réalisation de la finalité de la recherche et sous réserve que soient mises en place des garanties pour les droits et libertés (v. art. 89 du RGPD – dont les principes sont précisés aux articles 78 de la loi informatique et libertés et 116 du décret du 29 mai 2019). En tout état de cause, et au regard du 4) de l’article 15 du RGPD, la CNIL rappelle que l’université ne pourra donner accès aux données que dans la mesure où l’exercice de ce droit ne porte pas atteinte aux droits et libertés d’autrui , y compris à la vie privée de ces personnes.
Par ailleurs, en cas d’exercice des droits, et afin de garantir la sécurité du traitement et de réduire au minimum le risque de divulgation non autorisée de données, l’université devra être en mesure de déterminer quelles données se rapportent à la personne concernée (identification) et de confirmer l’identité de cette personne (authentification).
En cas de doute raisonnable quant à l’identité de l’auteur de la demande, l’université pourra demander la fourniture d’informations complémentaires nécessaires pour confirmer l’identité de cette dernière (article 12.6 du RGPD). En cas d’impossibilité avérée d’identifier la personne concernée (article 11 du RGPD), l’université devra informer cette personne en conséquence, et indiquer les raisons pour lesquelles elle n’entend pas donner suite à ces demandes, conformément aux lignes directrices 01/2022 sur le droit d’accès du Comité européen de la protection des données.
D. Sur les mesures de sécurité
Les données de la recherche seront collectées à la fois in situ et en ligne via l’ordinateur professionnel du chercheur. Les données personnelles, y compris les vidéos ou images, feront l’objet des mesures de pseudonymisation mises en œuvre manuellement par celui-ci. Les informations susceptibles de permettre une identification indirecte, lorsqu’elles sont indispensables à l’analyse, feront l’objet d’un chiffrement additionnel. Bien qu’elles ne garantissent pas une pseudonymisation effective de l’intégralité des données personnelles utiles à la recherche, ces mesures apparaissent adaptées au regard de l’échelle et du contexte des traitements envisagés. La CNIL note cependant pour cette même raison que la destruction de la table de correspondance n’aura pas pour effet de rendre anonyme l’ensemble des données et recommande une analyse ad hoc en cas de publication ou de réutilisation ultérieure de celles-ci.
Il est par ailleurs prévu que tout ou partie de l’analyse des données soit réalisée sur l’ordinateur personnel du chercheur. Pour ce type de projet, compte tenu de la nature des données traitées et des risques s’y rapportant, la CNIL recommande en général la mise en place d’un environnement dédié au sein de l’infrastructure informatique du responsable de traitement, afin que les analyses soient effectuées dans un environnement maitrisé, distinct notamment de l’environnement servant à la collecte de données en ligne.
Les données de l’étude, ses sauvegardes et tables de correspondance devront être chiffrées avec des algorithmes et des procédures de gestion de clés conformes à l’annexe B1 du référentiel général de sécurité, tant au niveau des bases de données que des sauvegardes.
Il appartient au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
La présidente,
M.-L. Denis
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026
Délibération n° 2026-021 du 5 mars 2026 portant avis sur les dispositions de l’article 3 du projet de loi sur la justice criminelle et le respect des victimes
La CNIL émet un avis sur un projet de loi saisi par le Ministère de la Justice concernant l'utilisation des données génétiques en matière pénale. La Commission relève plusieurs manquements ou risques, notamment l'élargissement des possibilités d'examen des caractéristiques génétiques constitutionnelles, l'autorisation de comparaisons avec des bases de données étrangères interdites en France, et une extension significative du champ d'enregistrement au Fichier National Automatisé des Empreintes Génétiques (FNAEG). Elle estime que ces évolutions banalisent l'usage de ces données sensibles et appelle à renforcer les garanties, notamment sur le consentement, et à réévaluer la proportionnalité des infractions concernées.
05/03/2026