Recherche scientifique et RGPD : l'EDPB publie ses lignes directrices tant attendues

16/4/26

Publié le 16 avril 2026 · Veille RGPD · Temps de lecture : 5 min

Lors de sa plénière du 16 avril 2026, l'EDPB (Comité européen de la protection des données) a adopté ses lignes directrices sur le traitement des données personnelles à des fins de recherche scientifique. Un texte très attendu par les laboratoires, universités, entreprises tech et toutes les organisations qui exploitent des données dans un cadre de recherche. Il était temps : le RGPD contient des dispositions spécifiques sur la recherche scientifique depuis 2018, mais leur interprétation est restée longtemps floue.

Ce qui s'est passé

L'EDPB a officiellement adopté des guidelines destinées à « faciliter la recherche innovante en aidant les chercheurs à naviguer dans le RGPD », selon les mots de sa présidente Anu Talus. Ces lignes directrices couvrent plusieurs questions pratiques : qu'est-ce qui constitue une « recherche scientifique » au sens du RGPD, comment recueillir un consentement valide, quels droits des personnes peuvent être limités, et comment répartir les responsabilités entre les acteurs impliqués.

Les guidelines seront soumises à consultation publique jusqu'au 25 juin 2026, offrant aux parties prenantes la possibilité de soumettre des commentaires.

Les 6 critères pour qualifier la « recherche scientifique »

C'est probablement la clarification la plus utile du texte. Pour déterminer si un traitement relève bien de la « recherche scientifique » au sens du RGPD, l'EDPB propose six facteurs indicatifs :

  1. Approche méthodique et systématique
  2. Respect des standards éthiques
  3. Vérifiabilité et transparence
  4. Autonomie et indépendance
  5. Objectifs de la recherche clairement définis
  6. Potentiel à contribuer aux connaissances existantes ou à les appliquer de manière inédite

Si les six critères sont réunis, l'activité peut être présumée constituer de la recherche scientifique. Dans le cas contraire, le responsable de traitement devra démontrer pourquoi ses activités méritent cette qualification. Concrètement, cela encadre aussi bien la recherche académique classique que les projets d'IA ou d'analyse de données à grande échelle revendiquant un objectif de recherche.

Pourquoi c'est important — contexte RGPD et implications pour les DPO

Le RGPD accorde plusieurs facilités aux traitements à des fins de recherche scientifique : dérogations à l'interdiction de traiter des données sensibles (article 9), présomption de compatibilité pour les traitements ultérieurs (article 5), et limitations possibles des droits des personnes. Mais ces facilités n'avaient jamais été véritablement opérationnalisées dans un guide officiel.

Sur le consentement, l'EDPB précise désormais que les responsables de traitement peuvent recourir au « consentement large » (broad consent) lorsque les finalités de la recherche ne sont pas entièrement connues au moment de la collecte. Dans ce cas, des garanties supplémentaires doivent compenser l'absence de précision sur les finalités. Le « consentement dynamique » — recueilli projet par projet, au fur et à mesure que les finalités se précisent — est également validé, ainsi qu'une combinaison des deux approches.

Sur les droits des personnes, les guidelines confirment que le droit à l'effacement et le droit d'opposition peuvent être limités lorsque leur exercice « rendrait impossible ou compromettrait sérieusement » les objectifs de la recherche — notamment si celle-ci répond à une mission d'intérêt public. Les DPO doivent documenter précisément ces limitations.

Concernant la répartition des responsabilités, l'EDPB rappelle que lorsque plusieurs entités participent à un projet de recherche, il faut impérativement qualifier et documenter les rôles : responsable de traitement, responsables conjoints ou sous-traitant. Des exemples concrets sont fournis dans les guidelines — un point très pratique pour les consortiums de recherche ou les partenariats public-privé.

Enfin, sur les mesures techniques, le texte encourage l'utilisation de l'anonymisation et de la pseudonymisation, des environnements de traitement sécurisés, des privacy enhancing technologies (PET), et prévoit des exemples de garanties supplémentaires adaptées aux risques spécifiques de chaque projet. Une AIPD (analyse d'impact) reste nécessaire pour les traitements à risque élevé, y compris dans le domaine de la recherche.

Ce que ça change pour les organisations — actions concrètes

Les organisations qui traitent des données à des fins de recherche doivent dès maintenant :

  • Vérifier que leurs activités de recherche satisfont bien les 6 critères de l'EDPB — et documenter cette qualification dans leur registre de traitements.
  • Revoir leurs formulaires de consentement pour s'assurer qu'ils sont compatibles avec le broad consent ou le dynamic consent, selon les cas.
  • Cartographier les responsabilités entre les entités impliquées (qui est responsable de traitement, qui est sous-traitant, y a-t-il des responsables conjoints ?).
  • Anticiper les questions des personnes concernées sur leurs droits à l'effacement et d'opposition — et préparer des réponses documentées.
  • Participer à la consultation publique avant le 25 juin 2026 si elles souhaitent influencer le texte final.

En parallèle, l'EDPB a annoncé la création d'une « sprint team » dédiée à la finalisation des guidelines sur l'anonymisation, attendues pour l'été 2026. Et, fait notable, il a adopté des opinions reconnaissant la certification Europrivacy comme outil de transferts de données vers des pays tiers — une première pour un mécanisme de certification européen.

Ce que Leto pense de cette décision

Ces guidelines arrivent au bon moment. Depuis des années, les acteurs de la recherche — startups deeptech, laboratoires pharmaceutiques, universités, acteurs de la santé numérique — naviguaient à vue sur des questions pourtant fondamentales : peut-on utiliser le broad consent ? Peut-on s'opposer à un effacement ? Qui est responsable dans un consortium ?

L'EDPB apporte enfin un cadre opérationnel. Les 6 critères de qualification sont particulièrement bienvenus : ils permettront de distinguer les vrais projets de recherche des traitements commerciaux déguisés. Le risque, cependant, est que la période de consultation diluent certaines précisions — à surveiller d'ici au 25 juin.

Pour les DPO, c'est une opportunité concrète d'agir maintenant : mettre à jour la documentation, revisiter les bases légales et les mécanismes de consentement, et anticiper les questions des parties prenantes. Ne pas attendre le texte final pour commencer.

Sources : Communiqué officiel EDPB (16 avril 2026) · Consultation publique — Guidelines 1/2026

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026