Lignes directrices pour la recherche scientifique et certification : les derniers documents adoptés par le CEPD 22.4.2026 | Commission Nationale de l'Informatique et des Libertés Lors de sa dernière session plénière, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices dans le domaine de la recherche médicale et scientifique, ainsi que deux avis concernant la certification européenne Europrivacy. Des lignes directrices pour la recherche scientifique Lors de sa dernière session plénière, le Comité européen de la protection des données a adopté des lignes directrices relatives au traitement des données personnelles à des fins de recherche scientifique. De nombreux domaines de la recherche scientifique reposent sur le traitement de données personnelles, ce qui a permis des avancées scientifiques significatives pour la société. L’essor de nouvelles technologies, telles que l’intelligence artificielle, contribue également au progrès scientifique en permettant aux chercheurs d’utiliser et d’analyser les données de manière innovante. L’objectif principal des lignes directrices du CEPD en matière de recherche scientifique est d’apporter davantage de clarté et de sécurité juridique pour les chercheurs et de faciliter la conformité au RGPD, tout en garantissant la protection des droits fondamentaux des personnes concernées. Dans ses lignes directrices, le CEPD apporte des précisions sur la notion de « recherche scientifique ». Afin de déterminer si un traitement est effectué à des fins de recherche scientifique au sens du RGPD, le CEPD identifie six facteurs indicatifs essentiels à prendre en considération, en complément de la nature, de la portée, du contexte et des finalités du traitement. Il s’agit des éléments suivants : Une approche méthodique et systématique. Le respect de normes éthiques. La vérifiabilité et la transparence. L’autonomie et l’indépendance. Les objectifs de la recherche. La capacité de contribuer aux connaissances scientifiques existantes ou d’appliquer celles-ci de manière innovante. Lorsque ces six critères sont réunis, les activités peuvent être présumées constituer une recherche scientifique. À défaut, le responsable du traitement doit justifier et être en mesure de démontrer en quoi les activités peuvent être qualifiées de recherche scientifique au sens du RGPD. Le traitement ultérieur à des fins de recherche scientifique est présumé compatible avec la finalité initiale de collecte des données personnelles. Par conséquent, les responsables du traitement ne sont pas tenus d’effectuer le test de compatibilité des finalités prévu par le RGPD afin de déterminer si le nouveau traitement est compatible avec la finalité initiale. Toutefois, ils doivent veiller à ce que la base légale du traitement initial soit également appropriée pour le traitement ultérieur à des fins de recherche scientifique. Les responsables du traitement peuvent recourir à un « consentement large » lorsque les finalités de la recherche ne sont pas entièrement connues au moment de la collecte des données. Dans ce cas, les chercheurs doivent respecter les normes éthiques applicables et mettre en place des garanties supplémentaires afin de compenser l’absence de spécification précise des finalités. Les responsables du traitement peuvent également solliciter le consentement des personnes concernées pour différents projets de recherche distincts dès que leurs finalités deviennent connues (consentement dynamique). Une combinaison de consentement large et de consentement dynamique est également possible. En outre, le CEPD précise les droits des personnes concernées lorsque leurs données sont traitées à des fins scientifiques. Cela inclut notamment le droit à l’effacement et le droit d’opposition, pour lesquels des limitations peuvent s’appliquer dans ce contexte. Le CEPD fournit des exemples permettant de déterminer dans quels cas l’exercice du droit à l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de la recherche scientifique. Il précise également dans quelles situations les responsables du traitement peuvent rejeter une opposition au traitement, notamment lorsque celui-ci est nécessaire à l’exécution d’une mission d’intérêt public. Le CEPD rappelle que lorsque plusieurs entités participent au traitement de données personnelles à des fins de recherche scientifique, il est nécessaire d’évaluer et de documenter la répartition des responsabilités entre ces entités. À cet égard, les lignes directrices fournissent des exemples utiles permettant de déterminer dans quelles situations une entité peut être qualifiée de responsable du traitement, de responsables conjoints du traitement ou de sous-traitant. Enfin, le CEPD explique comment les responsables du traitement peuvent évaluer les mesures techniques et organisationnelles appropriées, telles que l’anonymisation ou la pseudonymisation, lors du traitement de données personnelles à des fins de recherche scientifique. Le CEPD fournit également des exemples d’autres garanties pouvant être mises en œuvre en fonction des risques liés aux activités de recherche, notamment : un contrôle indépendant ou éthique, des environnements de traitement sécurisés, des technologies améliorant la protection de la vie privée, des mesures de protection lors de la publication des résultats, des engagements de confidentialité et des conditions encadrant les utilisations ultérieures. Les lignes directrices feront l’objet d’une consultation publique jusqu’au 25 juin 2026, permettant aux parties prenantes de formuler des observations et de fournir un retour d’expérience. Avis relatifs à Europrivacy Le CEPD a adopté un avis approuvant la version mise à jour des critères de certification Europrivacy en tant que label européen de protection des données, conformément à l’article 42, paragraphe 5, du RGPD. Le CEPD avait initialement approuvé ces critères le 10 octobre 2022 en tant que premier label européen de protection des données, par l’avis 28/2022. Le champ d’application du mécanisme de certification Europrivacy a été étendu afin d’inclure les responsables du traitement et les sous-traitants établis en dehors de l’Europe, soumis à l’article 3, paragraphe 2, du RGPD, notamment lorsqu’ils offrent des biens ou des services à des personnes dans l’Union ou suivent leur comportement. Par ailleurs, pour la première fois, le CEPD a adopté un avis reconnaissant les critères de certification Europrivacy en tant que label européen de protection des données pouvant être utilisé comme outil pour les transferts, conformément aux articles 42 et 46 du RGPD. Les importateurs de données situés en dehors de l’Union européenne et non soumis au RGPD peuvent désormais solliciter cette certification pour les transferts de données qu’ils reçoivent. Cette certification facilitera le respect, par les responsables du traitement et les sous-traitants établis dans l’Union, de leur obligation de démontrer qu’ils offrent des garanties appropriées pour les transferts de données personnelles vers des pays tiers ou des organisations internationales. Ces approbations apportent un éclairage supplémentaire sur les mécanismes de certification du RGPD, et confirment leur rôle central en tant qu’outil de conformité. https://www.cnil.fr/fr/cepd-lignes-directrices-pour-la-recherche-scientifique-et-certification