Sécurité et confidentialité des données de recherche (Clouds et MaxQda)

De plus en plus souvent, mes étudiants et mes clients m’interrogent sur la sécurité de leurs données, en particulier les données de recherche sensibles ou confidentielles. Ces préoccupations concernent à la fois leur gestion dans MaxQDA, et plus largement, l’ensemble des processus de recherche, incluant les outils utilisés comme les services de stockage type clouds. Je tente d’y répondre ici.

Ces questions reviennent souvent, et ce pour plusieurs raisons :

• D’abord, le paysage technologique évolue rapidement, ce qui rend difficile le suivi, même pour les personnes les plus informées. L’émergence de l’intelligence artificielle, notamment, soulève de nouveaux enjeux et suscite des interrogations nouvelles.
• Ensuite, les comités d’éthique des universités et des organismes de financement se montrent de plus en plus exigeants en matière de gestion des données. Cette vigilance est légitime, mais elle ajoute une charge de travail et soulève de nombreuses questions pour les chercheurs.
• Enfin, le contexte actuel de la recherche aux États-Unis amène de nombreux chercheurs à reconsidérer l’usage de certaines solutions issues de ce pays. Ce n’est pas un phénomène nouveau, mais il semble que la tolérance à l’égard de ces outils soit en train de diminuer. Il est donc probable que les comités d’éthique suivent cette tendance et que certains outils devront être réévalués, voire abandonnés.

Dans la suite de cet article :

• Nous commencerons par examiner les problématiques posées par les logiciels et services de stockage de données basés aux États-Unis.
• Nous explorerons ensuite la situation du côté européen, notamment le Règlement général sur la protection des données (RGPD) et les alternatives européennes.
• Enfin, nous conclurons avec quelques éléments sur la gestion des données sensibles dans MaxQDA.

Gardez en tête que la gestion des données n’est pas mon domaine d’expertise. Mon rôle consiste à accompagner les chercheurs et les équipes de recherche dans leurs projets, sur le plan méthodologique et dans l’usage des outils d’analyse. Ce que je partage ici s’inscrit dans cette mission : aider les chercheurs à faire des choix technologiques éclairés et fiables.

🇺🇸 Problématique des services américains : entre législation et éthique

1. Les lois américaines sur la surveillance

Ce n’est pas un sujet nouveau, bien que souvent méconnu. Les entreprises américaines sont soumises à des lois telles que le Cloud Act (2018) et, dans une moindre mesure, le Patriot Act, entre autres. Ces législations autorisent les agences de renseignement (comme le FBI ou la NSA) à accéder aux données hébergées par des entreprises américaines, même si ces données sont stockées à l’étranger et sans démarche judiciaire.

Cela signifie que les données stockées dans des services comme Google Drive, Dropbox, ou OneDrive peuvent être consultées par les autorités américaines sans notification ni consentement de la part de l’utilisateur. Dans un contexte de recherche, cette réalité soulève des préoccupations majeures en matière de confidentialité, d’intégrité et de sécurité pour les participants et les chercheurs.

Il est important de souligner que cette critique ne s’adresse pas aux entreprises elles-mêmes, ni à la qualité de leurs services, souvent de qualité et fiables, mais au cadre législatif dans lequel elles opèrent / sont forcées d’opérées.

2. Une incompatibilité avec les normes de confidentialité

Pour les chercheurs non américains, notamment européens, ainsi que pour les chercheurs travaillant en collaboration avec des chercheurs européens, utiliser ces services peut contrevenir aux législations en vigueur dans leur pays. En Europe, le RGPD impose des normes strictes sur la confidentialité des données, et ces exigences sont incompatibles avec les obligations légales imposées aux entreprises américaines.

La même logique s’applique dans d’autres juridictions, comme au Canada avec la Loi sur la protection des renseignements personnels. Dans ce contexte, l’utilisation de certains services cloud expose les chercheurs à des contradictions réglementaires difficiles à gérer.

3. Conséquences sur l’approbation éthique des projets

Les comités d’éthique exigent de plus en plus de garanties sur la sécurité et la confidentialité des données collectées. En cas de risque d’accès non autorisé, l’approbation du projet de recherche peut être compromise.

Cette vigilance est particulièrement marquée dans les disciplines sensibles comme les sciences humaines et sociales, où les données recueillies touchent souvent à des aspects intimes de la vie des participants.

4. Un risque direct pour les participants

Outre les considérations juridiques, il existe un risque réel pour les participants. Certains pourraient refuser de participer s’ils savent que leurs données peuvent être transmises à des autorités étrangères. Dans certains cas, cela pourrait même mettre ces personnes en danger, en particulier lorsqu’elles appartiennent à des groupes vulnérables (militants, réfugiés, minorités, etc.).

Dans un contexte politique où certains droits fondamentaux sont remis en question aux États-Unis, les craintes liées à l’exploitation abusive de données sensibles sont plus que justifiées. En tant que chercheur, il est donc de notre responsabilité de garantir la confidentialité et la sécurité des informations fournies par nos participants.

✅ Recommandations pratiques

Ceci sera détaillé dans la suite de ce billet, mais voici quelques recommandations pour limiter les risques :

• Évitez les hébergeurs soumis aux lois américaines. Même si les serveurs sont physiquement localisés en Europe, une entreprise américaine reste soumise au Cloud Act.
• Privilégiez les hébergeurs européens soumis au RGPD et situés en Europe. Ou, selon le contexte, des fournisseurs indépendants au Canada.
• Préférez les logiciels open source lorsque cela est possible, pour garantir la transparence des traitements. En open source, le code est accessible à tous, ce qui permet de vérifier comment les données sont traitées. Cela évite d’avoir des fonctionnalités cachées potentiellement présentes, et permet de voir comment les règles et engagements sont respectés « techniquement », au delà des promesses et engagements contractuels commerciaux
• Documentez clairement vos choix dans vos demandes d’éthique. Précisez où les données sont stockées et qui y a accès. Cela renforcera vos dossiers et rassurera vos participants.

🇪🇺 Côté européen, avec le RGPD

Examinons maintenant le cadre juridique européen en matière de protection des données : le RGPD. C’est, à ce jour, le dispositif le plus abouti, le plus protecteur, et généralement considéré comme le plus transparent, en vigueur à l’échelle internationale.

Le Règlement général sur la protection des données (RGPD) s’est imposé, depuis sa mise en œuvre en 2018, comme une norme de référence à l’échelle mondiale. Il constitue l’un des cadres réglementaires les plus rigoureux et les plus complets en matière de traitement et de sécurisation des données à caractère personnel.

Le RGPD impose notamment :

• que les données personnelles ne soient transférées que vers des pays offrant un niveau de protection jugé équivalent. Ce qui exclut, en l’état actuel des choses, des destinations comme les États-Unis ;
• que toute collecte, tout traitement ou tout transfert repose sur une base juridique explicite (ex. : consentement éclairé, nécessité contractuelle, etc.) ;
• que les personnes concernées soient dûment informées, et qu’elles puissent s’opposer à certains usages de leurs données.

On pourrait donc penser qu’en optant pour un service affichant une conformité au RGPD, on est à l’abri de tout problème. Malheureusement, la réalité est plus complexe.

💥 Une incompatibilité majeure

Certains services américains revendiquent une conformité au RGPD. Ce positionnement soulève une contradiction, une tension juridique majeure qui fait actuellement l’objet de nombreux débats.

Il existe en effet une incompatibilité de fond entre les exigences posées par le RGPD européen et certaines législations américaines en matière de surveillance.

Prenons notamment le Cloud Act (et, dans une moindre mesure, le Patriot Act), qui :

• obligent les entreprises dont le siège est situé aux États-Unis à fournir un accès aux données qu’elles traitent aux agences gouvernementales américaines, y compris lorsque ces données sont stockées à l’étranger, même en Europe ;
• autorisent ces accès sans que les utilisateurs ou les organisations concernées n’en soient informés ;
• confèrent aux exigences dites de “sécurité nationale” des États-Unis une primauté sur les normes juridiques d’autres pays.

Cela concerne toutes les entreprises ayant leur siège social aux États-Unis, telles que Microsoft (OneDrive), Amazon (AWS), Google (Google Drive), même si leurs services européens sont annoncés comme “RGPD-compliant”. C’est un point essentiel.

Le RGPD, rappelons-le, interdit strictement que des données de citoyens européens soient rendues accessibles à des autorités étrangères sans garanties procédurales équivalentes à celles en vigueur dans l’UE — ce qui n’est actuellement pas le cas du système judiciaire américain. Il y a donc une contradiction majeure.

En bref, une incompatibilité, mais souvent contournée dans les faits

Pour contourner cet obstacle juridique, certaines entreprises américaines (comme AWS, Microsoft ou Google) affirment respecter le RGPD grâce à :

• des clauses contractuelles types proposées par la Commission européenne,
• des outils de chiffrement côté client,
• des centres de données implantés sur le territoire européen,
• etc.

Mais en pratique :

• ces mécanismes ne suffisent pas à écarter les obligations légales américaines. L’accès aux données par les autorités américaines reste techniquement et légalement possible. Il s’agit donc, pour parler franchement, d’un affichage partiel, voire trompeur.

⚠️ C’est cela qu’il faut bien garder en tête : même lorsque des services revendiquent une “conformité RGPD”, et même lorsqu’ils sont massivement utilisés par les chercheurs ou les institutions publiques, leur usage reste juridiquement risqué dès lors qu’il s’agit de données sensibles ou de données issues de la recherche.
Et si certains organismes continuent à s’appuyer sur ces services — par habitude, ou faute d’alternatives accessibles — cela n’annule en rien le risque éthique et juridique encouru.

✅ Donc, concrètement, que faire ?

Sur le plan pratique, la seule garantie réelle réside dans le recours à des services européens ou open source, dont les juridictions sont pleinement compatibles avec les exigences du RGPD.

Quelques exemples (sans prétention d’exhaustivité, car ce n’est pas mon domaine d’expertise) pour le stockage de données : plusieurs solutions s’avèrent intéressantes, notamment Infomaniak et Proton, toutes deux basées en Suisse. Il existe d’autres alternatives, comme OVHcloud, souvent cité dans les échanges que j’entends.

🔍 Zoom sur MaxQDA

Quelques éléments pour expliquer comment MaxQDA se positionne face à ces enjeux.

1. 🇩🇪 Une origine européenne

MaxQDA est conçu et maintenu par VERBI Software, une entreprise allemande. Ce positionnement géographique implique une soumission directe au RGPD, ainsi qu’à la législation allemande, reconnue comme l’une des plus strictes d’Europe.

En revanche, le stockage sur cloud sur lequel s’appuient les fonctions AI Assist et TeamCloud de MaxQDA, est basé en Europe mais s’appuie sur des services tiers tels que Google et Amazon (tous les détails ici).

Quelles en sont les implications ?

2. 🔒 Un contrôle local et transparent des données

MaxQDA est, avant tout, un logiciel de bureau. Cela signifie que l’analyse est effectuée en local, sur la machine du chercheur (à l’exception des fonctions collaboratives en ligne ou d’intelligence artificielle, que j’aborde plus loin).

• Les fichiers restent sur votre ordinateur, sauf si vous choisissez de les transférer vers un cloud (ce qui relève de votre initiative, choisissez le bien).
• Aucun transfert automatique vers des serveurs distants n’est nécessaire pour l’utilisation standard du logiciel.
• Pour l’archivage du projet, MaxQDA permet l’exportation des données et des résultats dans des formats ouverts (Excel, Word, PDF), afin de faciliter leur conservation ou leur diffusion sécurisée.

Résultat : vous conservez la pleine maîtrise de la localisation, de la sécurité et de la circulation de vos données. Ce point est crucial, notamment dans la préparation des protocoles éthiques.

3. ☁️ Le cloud et les outils d’IA

Lorsque vous activez les options TeamCloud (travail d’équipe en ligne) ou AI Assist (analyse assistée par intelligence artificielle), vos données sortent temporairement de votre machine.

Les clouds utilisés pour les fonctions TeamCloud et AI Assist sont basés en Europe, mais reposent sur des services tiers tels que Google et Amazon. Bien que le risque soit relativement faible, étant donné que les données ne sont pas stockées pendant longtemps (quelques jours à un mois) et ne sont pas utilisées à des fins d’apprentissage, il existe un risque en terme de confidentialité.

Cela signifie que vous devriez toujours anonymiser vos données avant de les envoyer à AI Assist ou dans l’outil de transcription.

🇨🇦 Qu’en est-il du Canada ?

Je traite peu ici du contexte canadien, tout simplement parce que les questions que me posent mes étudiants et clients portent principalement sur des logiciels comme MaxQDA ou NVivo — et, à ma connaissance, il n’existe pas d’alternatives canadiennes équivalentes.

Concernant l’infrastructure cloud canadienne, voici ce que j’en comprends, tout en rappelant que ce n’est pas mon domaine de spécialité.

• Le Canada offre un niveau de protection des données supérieur à celui des États-Unis, mais inférieur à celui de l’Union européenne.
• Le Québec constitue une exception relative : son cadre est plus avancé, bien qu’il ne soit pas encore totalement aligné sur les standards du RGPD.
• Des efforts réglementaires sont en cours pour faire évoluer la législation canadienne dans le sens des normes européennes, mais ce processus est toujours en cours.

En résumé, les clouds canadiens peuvent échapper au Cloud Act s’ils sont véritablement indépendants, c’est-à-dire :

• sans propriété (directe ou indirecte) d’une entreprise américaine ;
• sans recours à des services, infrastructures ou fournisseurs soumis à la juridiction américaine.

C’est donc le cas de certains services internes à des institutions canadiennes, ou encore de fournisseurs cloud canadiens et juridiquement autonomes. Il vous revient de les identifier et de les évaluer.

🧭 En conclusion, que faut-il en retenir, en tant que chercheur·e ?

• Le RGPD et les lois américaines (comme le Cloud Act) sont juridiquement incompatibles en matière de souveraineté et de protection des données.
• Par conséquent, la “conformité RGPD” affichée par certains grands fournisseurs américains est, dans les faits, partielle, juridiquement fragile et régulièrement contestée.
• En pratique, la seule manière de garantir une conformité pleine et entière, notamment pour les données sensibles ou confidentielles, est de recourir à :
  • des services européens (dont les sièges, les serveurs et les obligations juridiques relèvent de l’UE), et qui n’ont pas recours à des services tiers basés aux États-Unis, ce reste encore rare,
  • ou des solutions open source dont le fonctionnement est totalement transparent,
  • ou, pour les chercheur·e·s au Canada, à des services cloud canadiens réellement indépendants.
• Et, plus important que jamais, vous devriez toujours anonymiser vos données avant de les envoyer à un service de cloud ou d’IA. Cela s’applique à la fois aux services américains de stockage infonuagique et aux outils d’IA (tels que OneDrive, Google Drive, les outils d’IA de Microsoft, etc.) N’oubliez pas que la grille d’anonymisation (qui retrace les liens entre les identités d’origine et les informations anonymisées), s’il y en a une, ne doit jamais être partagée ou stockée via ces canaux problématiques.

Au final, respecter ces quelques balises permettra :

• de faciliter l’obtention des certifications éthiques, notamment face aux exigences croissantes des bailleurs de fonds, qui exigent des plans de gestion des données compatibles avec le RGPD ;
• et d’encourager la participation des personnes interrogées, en leur offrant des garanties claires et solides sur la manière dont leurs données seront traitées.