Mulce.org Documentation

Protocole de protection de la vie privée

mercredi 26 mai 2010 par Marie-Noelle Lamy, Thierry CHANIER

Cadre juridique et contexte régulatoire pour un protocole éthique Mulce

Contexte juridique

Nous sommes souvent dans des situations nouvelles où il faut repenser les anciennes façons de poser les problèmes et adopter une perspective pragmatique qui nous permette d’avancer. Le contexte juridique français est intéressant comme base de réflexion (voir loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) mais il est en évolution, et n’est pas à l’heure actuelle suffisamment outillé pour nous aider à faire face aux problèmes qui se posent à nous comme chercheurs en SHS au stade présent de développement de l’Internet. D’autres cadres juridiques européens sont plus précis dans ce domaine (exemple la législation britannique du Data Protection Act, 1998 et du Freedom of Information Act, 2000) et ont inspiré parmi les communautés de chercheurs anglophones des travaux qui nous ouvrent de meilleures perspectives, comme expliqué dans la section suivante.

Contexte régulatoire

Le contexte régulatoire emprunte à un travail (Oates, 2006) qui porte principalement sur les dispositions en vigueur dans le monde universitaire britannique – lesquelles suivent les évolutions en cours dans la recherche nord-américaine. Pour les chercheurs travaillant avec des sujets humains, l’obligation d’adhérer aux principes du respect de la personne a toujours été et reste une question de code professionnel et de bonne pratique. Cependant aujourd’hui des obligations plus concrètes sont venues considérablement renforcer ce contexte. Par exemple dans les domaines disciplinaires alliés à la psychologie, y compris dans certaines branches des sciences de l’éducation, la conduite de la recherche, la soutenance d’une thèse, non plus que la publication de travaux, ne sont possibles sans preuves de la conformité du travail avec le code d’éthique de la British Psychological Society (voir Encadré 2).

Encadré 2 : Professional organisations
Many British professional organisations have in recent years developed ethical principles and guidelines within which their members are expected to practice and conduct research. Prominent among these are the British Psychological Society, the British Educational Research Association, all of which maintain websites carrying current versions of these codes of practice. […] It is common practice for members of such bodies to state in applications for ethical approval for research that they will conduct their study in compliance with the body’s ethics code. [Oates, 204]

De façon encore plus précise, on peut dire que les organismes de financement de la recherche au Royaume-Uni et aux États-Unis fonctionnent comme les gardiens des normes éthiques, en exigeant des garanties de plus en plus explicites sur ce plan (voir Encadré 3).

Encadré 3 :
(a) Funding bodies
Research funding bodies are increasingly adopting equivalent sets of ethical guidelines which researchers are expected to comply with in any research funded in part of whole by these agencies. […] The Economic and Social Research Council (ESRC) has published a Research Ethics Framework (Economic and Social Research Council, 2005), with which all researchers in receipt of ESRC support will in future be required to comply. Many funding bodies now require that applications for research funding should have already received formal ethical approval from the host institution, normally a university or other higher education establishment (HEI). [Oates, 204-205]

(b) Cross-national funding of research
Increasingly, British research is being funded by bodies outside of Britain, especially the European Union and the USA. This raises some complications for ethical approval of research. For example, American funding bodies are legally bound only to fund research with humans that has been ethically approved by a REC (Research Ethics Committee) that is recognised by the American office for Human Research Protection and that has been given what is called “Federal Wide Assurance”. EU funding for research with humans will also require approval by an REC in the host country, although there is not at present a formal EU system for recognising RECs as there is in the USA. [Oates, 205]

Dans cette évolution vers une documentation éthique de plus en plus standardisée, l’exemple du "consentement éclairé" est parlant : il n’est pas ‘exigé’ mais simplement ‘recommandé’ que ce consentement soit formulé comme dans l’Encadré 4 ci-dessous. Mais la logique de compétitivité des soumissions de dossiers fait que les soumettants cherchent à s’assurer les meilleures chances de sélection en fournissant la version détaillée y compris la Clause 14, dont l’application pose un vrai défi aux chercheurs. La frontière entre ce qui est souhaitable et ce qui est obligatoire se déplace insensiblement vers l’obligatoire.

Encadré 4 : Consentement éclairé Informed consent
Typically, informed consent is gained and documented by using a combination of an information sheet and a consent form. […] COREC (Central Office for Research Ethics Committee) provides a checklist of points that a good information sheet will follow […]
- 1. An explanatory title for the project
- 2. An invitation paragraph explaining that the person is being invited to take part in a study
- 3. Background, aims and duration of the study
- 4. Why the invitee has been approached
- 5. What contribution they would be expected to make
- 6. Possible risks or disadvantages of participating
- 7. Possible benefits of participating
- 8. What happens after the study end
- 9. How complaints of comments can be made, including giving a contact other than the researcher
- 10. Confidentiality of data
- 11. Any payment or recompense for participation
- 12. What will happen with results of the study
- 13. Who is organising and funding the research
- 14. Opportunities to withdraw from study and to have data provided destroyed. [Oates, 231-214]

De plus, il faut noter qu’au regard du droit actuel, le consentement éclairé n’est pas seulement nécessaire pour échanger des données entre chercheurs, mais il conditionne la simple possibilité de pouvoir conserver des données de recherche dans son laboratoire, même sans les utiliser, ni les échanger.

Historique de Mulce : problèmes d’application du cadre juridique

Les données humaines de Mulce sont réparties dans 3 corpus, issus respectivement des projets ‘Simuligne’, ‘Copéas’ et ‘Tridem’, prédatant l’utilisation qu’il est maintenant prévu d’en faire au sein de Mulce. Les individus ont fourni un consentement éclairé autorisant le recueil, le traitement et la dissémination de leurs données selon les finalités qui leur ont été présentées à l’époque par chaque équipe de recherche concernée. Dès lors que Mulce prévoit un transfert des données à d’autres équipes, transfert qui n’a pas été évoqué lors du recueil du consentement d’origine, celui-ci ne peut plus être considéré comme informé. Une difficulté particulière ressort de la possibilité que ces données soient ré-utilisées dans des contextes de recherche non réglementés par la législation européenne.

Approche pratique adoptée par JISC

Le Joint Information Systems Committee (JISC http://www.jisc.ac.uk) est un organisme créé en 1993 pour soutenir l’enseignement supérieur et la recherche britanniques dans tous les domaines touchant aux technologies d’information et de communication. On lui doit un commentaire juridique (Encadré 5), qui présente une approche pratique aux problèmes historiques soulevés plus haut, et permet de fournir une base au protocole Mulce, exposé dans la section 3.2.

Encadré 5 Extract from JISC Data protection Code of Practice for the Higher Education and Further Education Sectors, Version 2.0
[…T]he 1998 Act provides certain exemptions for “research purposes” including statistical or historical purposes. Section 33 of the 1998 Act exempts personal data used for research purposes from certain Data Protection rules. If the purpose of the research processing is not measures or decisions targeted at particular individuals and it does not cause substantial distress or damage to a data subject, it is exempt from :
-  the second Data Protection Principle, meaning that personal data can be processed for purposes other than for which they were originally obtained
-  the fifth data protection Principle, meaning that personal data can be held indefinitely
-  the data subject’s right of access to his personal data (section 7) where the data is processed for research purposes and the results do not identify data subjects Section 33 does NOT give a blanket exemption for all Data Protection Principles to data provided and/or used for research purposes. Researchers wishing to use personal data should be aware that most of the Data Protection Principles will still apply (notably the requirement to keep data secure) and there should be an assessment of the legality of processing on each occasion data are provided for research purposes. Periodic assessment of the nature of the data protection procedures and practices in research areas should be carried out.

Protocole de protection des droits des participants Mulce

La protection des droits des participants des corpus Mulce (‘Simuligne’, ‘Copéas’ et ‘Tridem’) est assurée de deux façons distinctes, selon qu’un corpus est ‘anonymisé’ ou classé comme ‘sensible’.

L’anonymisation « totale », pour désirable qu’elle soit, ne pourra pas être garantie. Cependant nous y tendrons, par la plus grande application possible de procédures d’anonymisation. Le corpus (ou partie de corpus) sera alors dit « anonymisé » (sauf preuve du contraire et nous corrigerons alors). L’autre cas est l’anonymisation « impossible » ou « très partielle » : dans ce cas les données seront classées sensibles. Le collecteur devra tenter de spécifier / repérer les données qui ne sont pas anonymisées afin de limiter la taille de la partie du corpus classée comme sensible.

Perte d’information et remplacement

Pour les textes écrits ou oraux, l’anonymisation touche en général les patronymes, prénoms et surnoms. Pour les documents audio et visuels, le problème est plus global, touchant le timbre même de la voix, et l’ensemble du visuel (d’une photographie d’identité par exemple). Le remplacement peut se faire de diverses façons, et d’autres projets en SHS les préconisent. Mais ce remplacement peut introduire soit une perte soit un biais.

Dans les cas où l’anonymisation est dommageable pour la recherche, il convient de recourir à l’une de ces deux solutions : le préciser dans l’accord de consentement éclairé des participants, ou à défaut, exclure du dépôt ces données précises, selon des procédures précisées ci-après.
On évitera dans tous les cas de laisser les patronymes.

Parties non anonymisées

Le collecteur, lors du dépôt indique les parties du corpus qui ne sont pas anonymisées. Il indiquera donc pour ces données ce qui permet d’identifier les individus. Il indiquera également le type de permission donné par les participants originels.

Ces précisions seront fournies de façon à ce que les chercheurs susceptibles de ré-utiliser ces corpus soient clairement informés du statut juridique et régulatoire de ces données.

De plus, l’éditeur de corpus fera en sorte :
- que tous les chercheurs impliqués dans le projet soient informés des conditions d’exemption et de la teneur de leurs obligations comme indiqué dans le Code of Practice du JISC
-  qu’avant chaque traitement de données personnelles, une réflexion soit menée sur la conformité du traitement prévu avec les recommandations du Code of Practice du JISC.
-  qu’il soit procédé à un examen annuel des procédures de traitement et de protection des données personnelles en vigueur au sein du projet Mulce
-  qu’un mécanisme soit mis en place, permettant de garantir aux individus dont les données personnelles sont - ou vont être – traitées et/ou disséminées le moyen d’exercer leur droit d’opposition

Implémentation et gestion de ces dispositions

Outre le paramètre "moderation", dont la valeur régule la mise en ligne des données associées, le système Mulce dispose d’un second paramètre "access". Il fait partie de la structure Mulce-struct. Il prendra les valeurs :
-  "anonymous". Cela indique que les données attachées sont accessibles à tout internaute, sans identification.
-  "contractual". Ces données sont accessibles aux contractuels.
-  "sensitive". Ces données sont accessibles aux contractuels. Mais elles n’ont pas été anonymisées et sont donc susceptibles de voir leurs accès fermés en cas de réclamation d’un ayant-droit.

Mulce est un projet "open access". L’accès libre est donc garanti aux chercheurs / enseignants ayant le statut "contractual".

Les valeurs du paramètre sont gérées ainsi
-  Lors du dépôt, le collecteur déclare que tel ensemble de constituants du corpus est anonymisé ou non. Dans le premier cas, le paramètre access prend la valeur contractual, sinon sensitive.
-  La valeur anonymous est gérée uniquement par l’équipe Mulce qui, sur ses deux corpus d’apprentissage, Copéas et Simuligne, décidera de ce qui peut-être mis en accès non identifié.
-  Lorsqu’un internaute identifié ou un ayant-droit fait une réclamation sur des données classées sensitive, alors l’éditeur en ferme temporairement l’accès (paramètre moderation, valeur off_line) et contacte le collecteur. Le collecteur décidera ensuite de la suite à donner (retrait définitif, procédure d’anonymisation, etc.).

Les références sont dans l’article principal de la rubrique.


Accueil | Contact | Plan du site | | icone statistiques visites | info visites 30758

Suivre la vie du site fr  Suivre la vie du site Constitution des corpus  Suivre la vie du site Ethique et droits   ?

Site réalisé avec SPIP 3.1.3 + AHUNTSIC

Creative Commons License