Protocole RGPD pour entretiens de mémoire 2026 : modèle d’anonymisation
Vous menez des entretiens pour votre mémoire de master ou votre thèse et vous ignorez si votre démarche est conforme au Règlement Général sur la Protection des Données (RGPD) ? Depuis le 25 mai 2018, tout traitement de données à caractère personnel — y compris les enregistrements audio et les retranscriptions d’entretiens — relève du RGPD, tel que transposé en droit français par la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés). En 2026, les universités françaises durcissent leurs exigences : plusieurs établissements demandent désormais un protocole RGPD annexé au mémoire avant la soutenance. Ce guide vous fournit le cadre juridique complet, un modèle de formulaire de consentement éclairé et un protocole d’anonymisation prêt à adapter.
La méconnaissance du RGPD dans la recherche en sciences humaines et sociales reste répandue. Pourtant, négliger ces obligations expose l’étudiant et son directeur de mémoire à des sanctions disciplinaires, voire civiles. La Commission Nationale de l’Informatique et des Libertés (CNIL) a adopté des méthodologies de référence spécifiques pour la recherche, dont la MR-004 pour les recherches n’impliquant pas directement la personne humaine. La bonne nouvelle : lorsque les conditions de la MR-004 sont réunies, aucune autorisation préalable de la CNIL n’est nécessaire — une déclaration de conformité suffit.
Ce protocole RGPD pour entretiens de mémoire 2026 vous guide étape par étape, de la qualification juridique de votre recherche jusqu’au modèle d’anonymisation des verbatims, en passant par les obligations d’information envers vos participants.
1. Cadre juridique applicable en 2026
Trois textes structurent le cadre légal de vos entretiens de recherche :
- Règlement (UE) 2016/679 (RGPD), directement applicable dans tous les États membres depuis le 25 mai 2018, notamment ses articles 5 (principes), 6 (licéité), 9 (catégories spéciales), 13 et 14 (information) et 89 (dérogations pour la recherche).
- Loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), dans sa version issue de l’ordonnance n° 2018-1125 du 12 décembre 2018, qui adapte le RGPD au droit français et régit les pouvoirs de la CNIL.
- Délibération CNIL n° 2021-118 du 7 octobre 2021, portant adoption de la méthodologie de référence MR-004 pour les recherches, études et évaluations dans le domaine de la santé n’impliquant pas directement la personne humaine.
Pour les recherches en sciences humaines et sociales (sociologie, psychologie, sciences de l’éducation, sciences de gestion…), les entretiens constituent des traitements de données à caractère personnel dès lors qu’ils permettent d’identifier, directement ou indirectement, les personnes interrogées. La voix, les caractéristiques socioprofessionnelles, la localisation géographique ou toute combinaison d’informations rendant une personne identifiable tombent sous le champ du RGPD.
Pour approfondir les principes généraux d’éthique dans la recherche universitaire, le site de la CNIL (cnil.fr) et le portail Éthique et Recherche de votre université publient des ressources spécifiques aux travaux académiques.
2. Qualifier votre recherche : MR-004 ou autorisation CNIL ?
La première étape est de déterminer le régime applicable à votre recherche. La CNIL distingue plusieurs cas :
Recherches relevant de la MR-004
La MR-004 concerne les recherches, études et évaluations n’impliquant pas directement la personne humaine au sens de la loi Jardé, c’est-à-dire des recherches qui n’incluent aucune intervention sur la personne ni interaction directe avec elle au-delà du recueil de données existantes (données de soin, registres, dossiers administratifs). Attention : la MR-004 ne couvre pas les entretiens directs, car ceux-ci constituent une interaction avec le participant.
Entretiens directs : régime de droit commun du RGPD
Les entretiens semi-directifs, directifs ou non directifs menés dans le cadre d’un mémoire de master ou d’une thèse relèvent du régime de droit commun du RGPD. Ils ne requièrent pas d’autorisation préalable de la CNIL lorsque :
- Aucune donnée de catégorie spéciale (art. 9 RGPD) n’est traitée de manière identifiante — données de santé, opinions politiques, convictions religieuses, données biométriques, etc.
- Le responsable de traitement (l’université, via l’étudiant) remplit ses obligations d’information et de sécurité.
- Une durée de conservation limitée est fixée.
Si votre mémoire traite de données sensibles (état de santé des participants, opinions politiques, parcours migratoire…), une consultation préalable du Délégué à la Protection des Données (DPO) de votre établissement est obligatoire, et une Analyse d’Impact relative à la Protection des Données (AIPD) peut s’avérer nécessaire au titre de l’article 35 RGPD.
Tableau récapitulatif des régimes
| Type de recherche | Régime CNIL | Démarche requise |
|---|---|---|
| Entretiens (données non sensibles) | Droit commun RGPD | Notice d’information + consentement documenté |
| Entretiens (données art. 9) | Droit commun RGPD + AIPD possible | Notice + consentement explicite + consultation DPO |
| Données de soin (sans interaction) | MR-004 CNIL | Déclaration de conformité |
| Recherche biomédicale (loi Jardé cat. 1) | Autorisation CPP obligatoire | Dossier CPP complet avant tout recrutement |
3. Choisir la base légale du traitement
L’article 6 du RGPD liste six bases légales. Pour des entretiens de mémoire, deux sont pertinentes :
Le consentement (art. 6.1.a RGPD)
C’est la base légale la plus courante pour les recherches en SHS. Le consentement doit être :
- Libre : aucune pression ni incitation financière excessive.
- Spécifique : pour chaque finalité distincte (enregistrement audio, retranscription, publication dans le mémoire, éventuellement dans un article scientifique).
- Éclairé : le participant doit avoir reçu l’information préalable complète.
- Univoque : exprimé par un acte positif clair (signature, case cochée en ligne — jamais une case pré-cochée).
La mission de service public et l’intérêt légitime (art. 6.1.e et 6.1.f RGPD)
Lorsque la recherche est menée dans le cadre d’une mission de l’établissement d’enseignement supérieur, la base légale de la mission de service public (art. 6.1.e) peut être invoquée, sous réserve de l’accord du DPO de l’établissement. Cette base dispense du recueil du consentement mais n’exonère pas de l’obligation d’information.
4. Obligations d’information : articles 13 et 14 du RGPD
Le RGPD impose deux régimes d’information distincts selon que les données sont collectées directement auprès des personnes (art. 13) ou indirectement (art. 14).
Article 13 — Collecte directe (vos entretiens)
Lorsque vous menez des entretiens, les données sont collectées directement auprès des participants. L’article 13 du RGPD impose que vous leur fournissiez, au moment de la collecte, les informations suivantes :
- Identité et coordonnées du responsable du traitement (votre université, représentée par vous en tant que chercheur).
- Coordonnées du DPO de l’établissement, le cas échéant.
- Finalités et base légale du traitement.
- Durée de conservation des données.
- Droits des personnes (accès, rectification, effacement, opposition, limitation, portabilité).
- Droit de retirer le consentement à tout moment, sans conséquence.
- Droit d’introduire une réclamation auprès de la CNIL (cnil.fr).
Article 14 — Collecte indirecte
Si vous utilisez des données sur des tiers recueillies via vos interlocuteurs (par exemple, un responsable RH vous parle de ses employés), l’article 14 s’applique aux données de ces tiers. Les mêmes informations doivent être fournies, mais au plus tard dans le mois suivant la collecte ou au moment du premier contact avec la personne concernée.
5. Modèle de formulaire de consentement éclairé
Le formulaire ci-dessous constitue un modèle générique à adapter selon votre recherche, votre université et les instructions du DPO de votre établissement. Il doit être remis en double exemplaire (un pour le participant, un conservé par le chercheur) ou signé électroniquement via un outil traçable.
FORMULAIRE DE CONSENTEMENT ÉCLAIRÉ
Participation à une recherche universitaire
Titre du mémoire : _______________________________________________
Université : _______________________________________________
Chercheur responsable : _______________________________________________
Directeur de mémoire : _______________________________________________
Contact DPO établissement : _______________________________________________
Objet de la recherche
Cette recherche a pour finalité : _______________________________________________. Elle est réalisée dans le cadre d’un mémoire de [Master 1 / Master 2 / Thèse] en [discipline] à [université].
Nature de votre participation
Votre participation consiste en un entretien d’une durée approximative de [durée], portant sur [thèmes]. L’entretien sera [enregistré audio / retranscrit manuellement].
Traitement de vos données personnelles
- Données collectées : vos propos, données socioprofessionnelles (poste, secteur, ancienneté), [autres données le cas échéant].
- Base légale : votre consentement (art. 6.1.a du RGPD).
- Finalités : analyse qualitative pour le mémoire susmentionné ; aucune utilisation commerciale.
- Anonymisation : vos propos seront anonymisés avant toute restitution (nom remplacé par un code ; données permettant votre identification modifiées ou agrégées).
- Durée de conservation : les données brutes (enregistrements, retranscriptions identifiantes) seront détruites [immédiatement après retranscription / 6 mois après la soutenance]. Seules les données anonymisées seront conservées.
- Destinataires : chercheur responsable et directeur de mémoire uniquement. Aucune transmission à des tiers.
Vos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez du droit d’accéder à vos données, de les rectifier, de les supprimer, de limiter leur traitement, et de retirer votre consentement à tout moment, sans que cela n’affecte la légalité du traitement antérieur. Pour exercer ces droits : [email du chercheur]. En cas de différend non résolu, vous pouvez adresser une réclamation à la CNIL (cnil.fr).
Je soussigné(e), [Prénom NOM], déclare :
- Avoir reçu et lu la notice d’information ci-dessus.
- Avoir pu poser toutes mes questions au chercheur.
- Consentir librement à participer à cet entretien.
- Accepter que mes propos soient enregistrés : ☐ Oui ☐ Non
- Accepter que des extraits anonymisés figurent dans le mémoire : ☐ Oui ☐ Non
Fait à _______________, le _______________
Signature du participant : Signature du chercheur :
6. Collecte et sécurisation des données d’entretien
Le principe de minimisation des données (art. 5.1.c RGPD) impose de ne collecter que ce qui est adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités. Concrètement :
Enregistrement audio
- Informez le participant avant de déclencher l’enregistrement.
- Stockez les fichiers audio sur un support chiffré (VeraCrypt, BitLocker, ou solution institutionnelle) et non sur des services cloud non conformes au RGPD (évitez les stockages cloud américains sans accord de traitement des données valide).
- N’envoyez jamais les enregistrements par email non sécurisé.
- Détruisez les fichiers audio dès que la retranscription est validée, sauf si la conservation a été explicitement acceptée.
Retranscription
- La retranscription brute est une donnée à caractère personnel identifiante : elle doit être traitée avec le même niveau de protection que l’enregistrement.
- Si vous utilisez un logiciel de transcription automatique (Whisper, Otter.ai, etc.), vérifiez sa politique de confidentialité et sa conformité RGPD. Pour les paramètres de mise en forme de votre document final, consultez notre guide Formater un mémoire Word : interligne, marges et styles (modèle 2026).
- Appliquez l’anonymisation avant d’analyser, de citer ou de partager les verbatims.
7. Protocole d’anonymisation des verbatims
L’anonymisation est le processus par lequel les données sont irréversiblement modifiées de telle sorte qu’il ne soit plus possible, de manière raisonnablement praticable, d’identifier la personne concernée. Une pseudonymisation (remplacement du nom par un code) n’est pas une anonymisation au sens du RGPD : les données pseudonymisées restent des données personnelles. Pour atteindre l’anonymisation réelle, plusieurs techniques sont combinées.
Étape 1 — Substitution des identifiants directs
| Donnée brute | Remplacement recommandé |
|---|---|
| Prénom et nom | Code alphanumerique (ex. : P01, P02…) ou prénom fictif |
| Nom de l’entreprise / établissement | “Une entreprise de taille intermédiaire du secteur [X]” |
| Ville précise | Région ou catégorie (métropole / ville moyenne / zone rurale) |
| Intitulé de poste très spécifique | Catégorie fonctionnelle (ex. : “cadre supérieur en RH”) |
| Dates précises d’événements personnels | Années arrondies ou périodes (ex. : “au début des années 2020”) |
Étape 2 — Généralisation des quasi-identifiants
Les quasi-identifiants sont des attributs qui, combinés, permettent d’identifier un individu même sans nom explicite (âge exact + poste rare + région). Appliquez la généralisation : remplacez un âge précis par une tranche d’âge (30-40 ans), agrégez les secteurs d’activité trop spécifiques.
Étape 3 — Suppression des anecdotes identifiantes
Relisez chaque verbatim et supprimez ou paraphrasez les passages relatant des anecdotes uniques (un incident spécifique, une date unique, une relation personnelle) qui permettraient à un tiers de reconnaître le participant même sans nom.
Étape 4 — Vérification croisée
Soumettez deux ou trois verbatims anonymisés à une personne extérieure à la recherche pour vérifier qu’elle ne peut pas identifier les participants. Si elle y parvient, renforcez le masquage.
Étape 5 — Table de correspondance
Conservez une table de correspondance (nom réel ↔ code) sur un support distinct, chiffré, accessible uniquement au chercheur et à son directeur. Cette table doit être détruite à l’issue de la durée de conservation fixée dans le formulaire de consentement.
8. Tenir le registre des traitements
L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Si votre université dispose d’un registre institutionnel, votre recherche doit y figurer. À défaut, créez votre propre registre en reprenant les éléments suivants :
- Nom et coordonnées du responsable du traitement (vous + université).
- Finalité : “Collecte de données dans le cadre d’une recherche universitaire — [titre du mémoire]”.
- Catégories de personnes concernées : participants aux entretiens.
- Catégories de données : données socioprofessionnelles, opinions professionnelles, verbatims d’entretien.
- Destinataires : chercheur, directeur de mémoire, jury de soutenance (données anonymisées uniquement).
- Transferts hors UE : aucun (ou préciser si outil cloud concerné).
- Durée de conservation : données brutes identifiantes jusqu’à [date] ; données anonymisées conservées indéfiniment pour des fins de reproductibilité.
- Mesures de sécurité : chiffrement, accès restreint, destruction sécurisée.
Ce registre peut être tenu sur un simple tableur ou via l’outil de gestion du DPO de votre établissement. Les principes d’éthique de la recherche universitaire qui encadrent ce registre sont détaillés dans les chartes déontologiques de votre établissement et sur le portail national cnil.fr.
9. Droits des participants et procédure de retrait
Les participants à vos entretiens disposent, jusqu’au moment de l’anonymisation complète des données, des droits suivants :
- Droit d’accès (art. 15) : obtenir une copie des données vous concernant.
- Droit de rectification (art. 16) : corriger des données inexactes, notamment la retranscription de leurs propos.
- Droit à l’effacement (art. 17) : demander la suppression de leurs données, sous réserve des exceptions pour la recherche scientifique (art. 17.3.d RGPD).
- Droit de retrait du consentement (art. 7.3) : retirer leur consentement à tout moment. Dans ce cas, vous devez cesser tout traitement futur de leurs données identifiantes mais n’êtes pas tenu de supprimer les analyses déjà réalisées sur données anonymisées.
- Droit d’opposition (art. 21) : s’opposer au traitement, notamment si la base légale est l’intérêt légitime.
Prévoyez une procédure claire de retrait dans votre formulaire de consentement : adresse email dédiée, délai de traitement de la demande (recommandé : 30 jours), et modalités de destruction des données identifiantes.
Pour les mémoires impliquant des patients en milieu hospitalier, des obligations supplémentaires s’appliquent au titre du Code de la santé publique. Voir notre article dédié : Mémoire en stage hospitalier 2026 : cadre légal, éthique et CPP.
FAQ — Protocole RGPD pour entretiens de mémoire
Ai-je besoin d’une autorisation de la CNIL pour mener des entretiens dans mon mémoire de master ?
Non, pour des entretiens standard en sciences humaines et sociales ne portant pas sur des données de catégorie spéciale (art. 9 RGPD), aucune autorisation préalable de la CNIL n’est requise. Vous devez simplement respecter vos obligations d’information (art. 13 RGPD), recueillir un consentement documenté et anonymiser les données avant diffusion. Si votre recherche implique des données de santé traitées sans interaction directe, la MR-004 s’applique et une déclaration de conformité suffit.
Puis-je utiliser un service de transcription automatique comme Whisper ou Otter.ai pour mes entretiens ?
Oui, à condition de vérifier la conformité RGPD du service. Whisper (OpenAI) utilisé en local ne transfère pas de données. Les services cloud (Otter.ai, etc.) doivent avoir signé des Clauses Contractuelles Types (CCT) valides et indiquer clairement que vos données ne sont pas réutilisées pour l’entraînement. Informez vos participants dans la notice que vous utilisez un outil de transcription automatique et précisez le nom de l’outil.
Quelle est la différence entre anonymisation et pseudonymisation au sens du RGPD ?
La pseudonymisation remplace les identifiants directs (nom) par un code, mais la réidentification reste possible grâce à la table de correspondance — les données restent des données personnelles. L’anonymisation est un processus irréversible : il doit être techniquement impossible de réidentifier la personne avec des moyens raisonnables. Seules les données véritablement anonymisées sortent du champ du RGPD. Dans la pratique académique, la plupart des verbatims sont pseudonymisés (code P01, P02…) et non véritablement anonymisés tant que la table de correspondance existe.
Combien de temps dois-je conserver les enregistrements et retranscriptions d’entretiens ?
Il n’existe pas de durée légale unique imposée pour les travaux universitaires. La pratique recommandée est de détruire les enregistrements audio dès que la retranscription est validée par le directeur de mémoire, et de détruire les retranscriptions identifiantes au plus tard 6 mois après la soutenance. Les données anonymisées peuvent être conservées indéfiniment. Indiquez toujours la durée choisie dans votre formulaire de consentement et registre des traitements.
Mon directeur de mémoire doit-il figurer dans le formulaire de consentement ?
Oui. Votre directeur de mémoire a accès aux données dans le cadre de l’encadrement de la recherche, ce qui en fait un destinataire au sens du RGPD. Son identité doit figurer dans la notice d’information et dans votre registre des traitements. Si votre université encadre formellement la recherche (ce qui est le cas pour les mémoires validés), l’université est le responsable du traitement et le DPO institutionnel doit être mentionné.
Que faire si un participant demande à retirer son consentement après l’entretien ?
Vous devez traiter la demande dans les 30 jours (art. 12 RGPD) et cesser tout traitement futur des données identifiantes de ce participant. Si les données sont déjà anonymisées et intégrées dans votre analyse, le retrait du consentement ne vous oblige pas à les supprimer, car l’anonymisation irréversible les a fait sortir du champ du RGPD. En revanche, détruisez les enregistrements audio et retranscriptions brutes de cette personne dans les meilleurs délais et conservez une trace de la demande et de son traitement.
Rédigez votre mémoire avec l’aide de l’IA
La conformité RGPD est une étape parmi d’autres dans la rédaction d’un mémoire rigoureux. Tesify vous accompagne de la problématique à la bibliographie, avec un assistant IA formé aux normes académiques françaises — tout en respectant les règles d’intégrité scientifique de votre établissement. Essayez gratuitement.
Leave a Reply