Les univer­si­tés canto­nales jouent un rôle essen­tiel pour la recherche scien­ti­fique en Suisse. Les personnes qui mènent une recherche, qu’elles aient le statut d’employé, d’étudiant ou de docto­rant, traitent fréquem­ment des données person­nelles et sensibles. Il est donc essen­tiel pour les univer­si­tés de déter­mi­ner le régime appli­cable à ces données et, plus spécia­le­ment qui en est le respon­sable de traitement.

Le régime géné­ral de la protec­tion des données (loi fédé­rale sur la protec­tion des données (LPD), lois canto­nales de protec­tion des données, voire le droit euro­péen) prévoit des défi­ni­tions plus ou moins simi­laires quant aux rôles qu’il convient d’attribuer aux acteurs qui inter­viennent lors d’un trai­te­ment de données person­nelles. Dans les grandes lignes, le respon­sable du trai­te­ment est défini comme : la personne physique ou morale, l’au­to­rité publique, le service ou un autre orga­nisme qui, seul ou conjoin­te­ment avec d’autres, déter­mine les fina­li­tés et les moyens du trai­te­ment. Le sous-trai­tant sera quant à lui « la personne physique ou morale, l’autorité publique ou tout autre orga­nisme qui traite des données person­nelles pour le compte du respon­sable du trai­te­ment ». Le rôle de respon­sable de trai­te­ment se trouve donc dans une posi­tion centrale, car il assume en première ligne les obli­ga­tions prévues par la légis­la­tion applicable.

Quant au droit appli­cable, on rappel­lera que les trai­te­ments de données effec­tués par des organes publics canto­naux, tels que le sont géné­ra­le­ment les univer­si­tés, sont soumis aux légis­la­tions canto­nales sur la protec­tion des données, alors que les trai­te­ments effec­tués par des personnes privées et les organes publics fédé­raux sont régis par la loi fédé­rale sur la protec­tion des données (LPD).

Dans le cadre d’une recherche scien­ti­fique effec­tuée par des employés d’une univer­sité, comme le sont habi­tuel­le­ment les membres du corps ensei­gnant, on admet que c’est en prin­cipe l’université qui endosse le rôle de respon­sable de trai­te­ment des données. Même si ce sont les employés qui défi­nissent concrè­te­ment les moyens et les fina­li­tés d’un trai­te­ment de données effec­tué dans le cadre d’une recherche, ceux-ci agissent pour leur employeur (l’université, la personne morale), dans le cadre de leur cahier des charges, et non pas à titre pure­ment privé (Jotterand Alexandre/​Erard Frédéric, Recherche sur l’être humain et données person­nelles, Gestion des échanges et répar­ti­tion des respon­sa­bi­li­tés, juslet­ter 30 août 2021).

La situa­tion est diffé­rente pour les travaux réali­sés par des étudiants dans le cadre de leur cursus, car il n’existe pas de ratta­che­ment par le biais de rapports de travail. Il convient donc d’examiner, au cas par cas, notam­ment au regard de la fina­lité du trai­te­ment, qui est le respon­sable de trai­te­ment. Ci-après, nous passe­rons en revue plusieurs confi­gu­ra­tions en faisant au préa­lable un détour par l’exception de l’usage exclu­si­ve­ment person­nel.  A noter que le cas des « docto­rants » est singu­lier car, selon l’institution, ceux-ci peuvent en être l’employé ou non. A notre sens, les travaux effec­tués par les docto­rants ne doivent pas être négli­gés, car ils peuvent impli­quer des trai­te­ments de données person­nelles extensifs.

Exception de l’usage exclu­si­ve­ment person­nel (art. 2 al. 2 let. a LPD)

Une personne physique est géné­ra­le­ment soumise à la LPD lorsqu’elle traite des données person­nelles. Toutefois, lorsqu’elle traite des données pour son usage exclu­si­ve­ment person­nel, la LPD ne trouve pas appli­ca­tion. Tel sera par exemple le cas dans le cadre de travaux de généa­lo­gie effec­tués à titre de loisirs. En revanche, si les données sont commu­ni­quées à des tiers, l’exception ne s’applique pas et la régle­men­ta­tion appli­cable en matière de protec­tion des données entre en jeu.

Un étudiant traite « de sa propre initia­tive » des données person­nelles dans le contexte de ses études (l’exercice)

Un étudiant enre­gistre ses cama­rades avec son télé­phone portable (avec leur appro­ba­tion) dans le but d’exercer certaines tech­niques apprises au cours d’un ensei­gne­ment, à l’image d’une trans­crip­tion verbatim.

Dans ce cas, l’université n’est pas le respon­sable de trai­te­ment des données person­nelles collec­tées et trai­tées, car l’étudiant travaille en dehors d’un projet de recherche. Il œuvre « pour son propre compte », et non pour celui de l’université. Les fina­li­tés et les moyens du trai­te­ment sont fixées par l’étudiant lui-même qui, d’une part, souhaite amélio­rer ses connais­sances pour in fine obte­nir un diplôme univer­si­taire (fina­lité), d’autre part, il déter­mine quelles données seront collec­tées, comment elles seront collec­tées et analy­sées, etc. (moyens). Il s’agit donc d’un cas d’application de l’exception de l’usage exclu­si­ve­ment person­nel tant qu’aucune commu­ni­ca­tion à des tiers n’est effectuée.

Un étudiant soumet à l’université un travail, conte­nant des données person­nelles, pour évalua­tion (le travail de séminaire)

Des étudiants font passer et enre­gistrent sur leur ordi­na­teur person­nel des entre­tiens semi-direc­tifs dans le cadre d’un sémi­naire. Les enre­gis­tre­ments et trans­crip­tion sont ensuite envoyées à un assis­tant de l’université pour évaluation.

Comme relevé ci-dessus, dès que les données person­nelles sont commu­ni­quées à un tiers, l’exception de l’usage exclu­si­ve­ment person­nel ne peut plus être invo­quée. Une fois les données trans­mises à l’assistant, l’université devient égale­ment respon­sable du trai­te­ment des données conte­nues dans le travail soumis. En effet, l’assistant qui corrige le travail traite les données person­nelles qu’il contient (en le lisant) dans le but de déter­mi­ner la note que l’université va attri­buer aux étudiants. La fina­lité pour­sui­vie par l’université (attri­buer une note, dispen­ser un ensei­gne­ment) peut donc être diffé­rente de celles des étudiants (obte­nir des crédits ECTS, apprendre un métier, etc.).

Pour déter­mi­ner si un étudiant effec­tue une recherche pour son compte ou celui de l’université, la ques­tion des moyens tech­niques du trai­te­ment est égale­ment impor­tante. Si l’université impose à un étudiant de recou­rir aux infra­struc­tures infor­ma­tiques de l’université pour réali­ser un travail, on peut diffi­ci­le­ment avan­cer qu’il agit pour son propre compte car l’université déter­mi­nera, à tout le moins partiel­le­ment, les moyens du traitement.

Un étudiant traite des données person­nelles alors qu’il travaille pour un ensei­gnant (l’intégration dans un groupe de recherche)

Il n’est pas rare qu’afin de plon­ger des étudiants dans la pratique scien­ti­fique, ceux-ci inter­viennent acti­ve­ment dans un projet de recherche mené par un ensei­gnant. L’université est alors respon­sable du trai­te­ment, car l’étudiant traite les données dans le cadre d’une recherche acadé­mique pour les fina­li­tés poursuivies/​fixées par l’université (« effec­tuer la recherche XY sur la dyscal­cu­lie menée par l’Université ABC »). Habituellement, les moyens du trai­te­ment sont dictés par l’université au travers de la super­vi­sion exer­cée par un employé (profes­seur, cher­cheur, etc.) et non par l’étudiant lui-même.

Dans cette confi­gu­ra­tion, l’université serait bien avisée de veiller à ce que les étudiants prennent des enga­ge­ments portant sur la confi­den­tia­lité des données. En effet, comme ceux-ci ne sont pas liés par des rapports de travail, leurs obli­ga­tions ne sont aucu­ne­ment compa­rables à celles d’un employé soumis à un secret comme le secret de fonc­tion ou à qui des forma­tions sur la théma­tique de la protec­tion des données peuvent être propo­sées (voire imposées).

Il est à noter que la situa­tion des docto­rants se trouvent entre celle des étudiants et des employés. A l’Université de Lausanne par exemple, ces derniers obéissent à deux régimes : bien qu’ils fassent partie du corps inter­mé­diaire, ils sont égale­ment consi­dé­rés comme des étudiants. Cette situa­tion peut être clari­fiée en préci­sant soit dans les contrats de travail, soit à l’occasion d’une future révi­sion de la loi sur l’université que les acti­vi­tés de recherche dans le cadre de la thèse sont des « acti­vi­tés au service de l’Université » afin de déter­mi­ner le respon­sable de traitement.

Conclusions

Les situa­tions dans lesquelles un étudiant peut réali­ser des recherches impli­quant une collecte de données person­nelles sont multiples. Mis à part certains cas clairs, un « examen au cas par cas » s’impose pour déter­mi­ner qui endosse le rôle de respon­sable de trai­te­ment. Il est par ailleurs oppor­tun de garder à l’esprit la percep­tion des parti­ci­pants à la recherche lorsque des données person­nelles sont collec­tées auprès d’eux : un parti­ci­pant doit pouvoir comprendre si ses données seront trai­tées par l’université, avec toutes les garan­ties, notam­ment de sécu­rité, qui pour­ront lui être accor­dées ou s’il s’agit d’un étudiant dispo­sant de moyens limi­tés. Enfin, si les travaux effec­tués par les étudiants durant leur parcours acadé­mique visent à les prépa­rer à effec­tuer des recherches scien­ti­fiques, il semble judi­cieux que les exigences en matière de protec­tion des données person­nelles soient inté­grées suffi­sam­ment tôt dans leur cursus afin qu’ils soient à même de répondre aux exigences légales dans ce domaine.