Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 18 mai 2026
Accueil/RGPD/Article 89 RGPD : recherche, archivage et statistique
RGPD

Article 89 RGPD : recherche, archivage et statistique

Article 89 RGPD décrypté paragraphe par paragraphe : garanties pour la recherche scientifique, l'archivage public et la statistique. CNIL, LIL, CJUE.

Par Thiebaut DevergrannePublie le 17 mai 2026Mis a jour le 17 mai 202618 min de lecture
Sommaire
  1. Ce que dit l’article 89 du RGPD
  2. Article 89(1) : le socle de garanties techniques et organisationnelles
  3. Article 89(2) : les dérogations pour la recherche et la statistique
  4. Article 89(3) : les dérogations pour l’archivage public
  5. Article 89(4) : la règle de spécialité
  6. Le cadre français : LIL, CNIL, Code du patrimoine
  7. Plan opérationnel : six chantiers pour 2026
  8. Ce qu’il faut retenir
  9. FAQ

L’article 89 du RGPD est l’une des dispositions les plus mal comprises du règlement — et pourtant l’une des plus structurantes pour les universités, les hôpitaux, l’INSEE, les services d’archives publiques et toutes les entreprises qui réutilisent leurs données à des fins statistiques. Il pose le compromis fondamental du RGPD : permettre la recherche scientifique, l’archivage dans l’intérêt public et l’analyse statistique sans renoncer aux droits fondamentaux des personnes, en exigeant en contrepartie des garanties appropriées dont la pseudonymisation est l’archétype. Dans ma pratique de conseil, je constate que la plupart des responsables de traitement invoquent l’Art. 89 comme un blanc-seing pour conserver indéfiniment des données « pour analyse » — alors qu’il s’agit d’un régime à conditions strictes, encadré par une jurisprudence de la CJUE de plus en plus exigeante et par un cadre national français particulièrement dense (Art. 65-78 LIL, méthodologies de référence CNIL, Code du patrimoine). Voici l’analyse paragraphe par paragraphe, la doctrine européenne et un plan opérationnel pour 2026.

Ce que dit l’article 89 du RGPD

L’Art. 89 RGPD s’intitule « Garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ». Il appartient au chapitre IX du règlement consacré aux situations particulières de traitement, aux côtés de l’Art. 88 RGPD sur les relations de travail, des règles sur la liberté d’expression (Art. 85), de l’accès aux documents publics (Art. 86), du numéro national d’identification (Art. 87) et des obligations de secret professionnel (Art. 90).

L’article comporte quatre paragraphes qui structurent un régime à deux étages : un socle commun de garanties techniques et organisationnelles (paragraphe 1), et deux régimes différenciés de dérogations aux droits des personnes (paragraphes 2 et 3), articulés par une règle de spécialité (paragraphe 4).

« 1. Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière. »

Article 89(1) : le socle de garanties techniques et organisationnelles

Le premier paragraphe pose la règle commune à tous les traitements relevant de l’Art. 89, quelle que soit la finalité (archivage public, recherche scientifique ou historique, statistique). Il articule trois exigences cumulatives.

Première exigence : des garanties appropriées pour les droits et libertés

La formule renvoie au standard général de l’Art. 24 RGPD sur l’accountability et de l’Art. 25 RGPD sur la privacy by design. Le considérant 156 précise que ces garanties doivent permettre d’assurer le respect des principes du règlement, notamment la minimisation des données. Dans l’arrêt C-439/19 Latvijas Republikas Saeima du 22 juin 2021, la CJUE rappelle que la réutilisation de données collectées initialement pour une autre finalité ne peut se faire que sous réserve de garanties matérielles effectives, l’Art. 89(1) n’étant pas un mécanisme d’auto-validation.

Deuxième exigence : des mesures techniques et organisationnelles spécifiques

L’Art. 89(1) cite explicitement la pseudonymisation comme exemple de mesure appropriée, ce qui en fait la mesure de référence pour la recherche et la statistique. La distinction est rappelée dans mon article sur la pseudonymisation et l’anonymisation RGPD : la pseudonymisation maintient la qualité de donnée personnelle (et donc l’applicabilité du RGPD), l’anonymisation l’efface. Les méthodologies de référence de la CNIL (MR-001, MR-003, MR-004, MR-005, MR-006 pour les recherches dans le domaine de la santé) imposent toutes une pseudonymisation par clé tenue par un tiers de confiance, avec hachage des identifiants directs (SHA-256 minimum) et séparation logique des bases.

D’autres mesures pertinentes : chiffrement au repos et en transit conformément à l’Art. 32 RGPD sur la sécurité, cloisonnement des accès par rôle, journalisation des consultations avec piste d’audit conservée 6 ans minimum, agrégation statistique et k-anonymat pour les diffusions publiques (référentiel INSEE de protection du secret statistique), suppression des variables directement identifiantes avant analyse.

Troisième exigence : la règle de subsidiarité de l’anonymisation

La dernière phrase de l’Art. 89(1) impose une hiérarchie technique stricte : « Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière. » En clair, si l’anonymisation permet d’atteindre la finalité (par exemple un comptage agrégé), elle est obligatoire et la pseudonymisation devient subsidiaire. Cette règle est cohérente avec la doctrine du G29 / CEPD WP216 du 10 avril 2014 sur les techniques d’anonymisation et avec l’arrêt C-582/14 Breyer du 19 octobre 2016 qui définit le standard de réidentification raisonnable.

Article 89(2) : les dérogations pour la recherche et la statistique

« 2. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union ou le droit d’un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. »

Le paragraphe 2 ouvre une faculté de dérogation, sur initiative du législateur national ou européen, à quatre droits limitativement énumérés : le droit d’accès (Art. 15), le droit de rectification (Art. 16), le droit à la limitation (Art. 18) et le droit d’opposition (Art. 21). Sont en revanche maintenus en toutes circonstances le droit à l’information (Art. 13-14, sous réserve de la dérogation Art. 14(5)(b) pour collecte indirecte), le droit à l’effacement (Art. 17 selon une lecture stricte) et le droit à la portabilité (Art. 20).

Deux conditions cumulatives encadrent ces dérogations : (i) le droit doit risquer de rendre impossible ou d’entraver sérieusement la réalisation des finalités et (ii) la dérogation doit être nécessaire. La CJUE a une lecture stricte de ces conditions. Dans l’arrêt C-184/20 Vyriausioji tarnybinės etikos komisija du 1er août 2022, la Cour rappelle que toute dérogation aux droits des personnes doit faire l’objet d’un test de proportionnalité au sens de l’article 52(1) de la Charte. Dans l’arrêt C-118/22 Direktor du 30 janvier 2024, la Cour censure les conservations sans terme défini, ce qui invalide implicitement les pratiques de « tout garder pour faire de la recherche un jour ».

Recherche scientifique : un standard large mais conditionné

Le considérant 159 retient une définition extensive : recherche fondamentale ou appliquée, financée par le secteur privé ou public, études de cohorte, recherche en sciences humaines et sociales, recherche médicale. Mais la qualification doit être objectivable : protocole formalisé, méthodologie scientifique, valorisation par publication ou communication scientifique. Une simple analyse marketing déguisée en « étude » ne relève pas de l’Art. 89, ce que la CNIL a rappelé dans ses orientations sur les études de marché et la profilage commercial (cf. mon article sur l’intérêt légitime).

Statistique : un régime aligné mais distinct

Le considérant 162 précise que les finalités statistiques recouvrent toute opération aboutissant à des résultats agrégés non utilisés à l’appui de mesures ou de décisions concernant une personne physique particulière. C’est le critère central : un traitement « statistique » dont le résultat est ensuite réinjecté dans un score individuel (scoring crédit, scoring RH) n’est pas un traitement statistique au sens de l’Art. 89. Le cadre français de la statistique publique (loi n° 51-711 du 7 juin 1951, INSEE et CNIS) impose en outre le secret statistique pour les données collectées par les enquêtes obligatoires.

Article 89(3) : les dérogations pour l’archivage public

« 3. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union ou le droit d’un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. »

Le paragraphe 3 étend la liste des droits dérogeables : six droits au lieu de quatre. S’ajoutent le droit à la notification des destinataires (Art. 19) et le droit à la portabilité (Art. 20). La raison est technique : les fonds d’archives publiques contiennent des dossiers individuels (état civil, archives judiciaires, archives notariales) qui ne peuvent pas être rectifiés sans porter atteinte à leur intégrité historique, et qui ne peuvent pas être portés vers un autre responsable sans détruire la collection.

Le considérant 158 précise que les services publics d’archives doivent pouvoir conserver des documents d’intérêt public, en particulier ceux relatifs à des génocides, à des crimes contre l’humanité, à des crimes de guerre, ou des documents témoignant de régimes totalitaires antérieurs. En France, le Code du patrimoine (Art. L. 211-1 et suivants) fonde le statut juridique des archives publiques, qui sont imprescriptibles et inaliénables. La loi n° 2008-696 du 15 juillet 2008 fixe les délais de communicabilité (75 ans en principe pour les données sensibles, 100 ans pour les mineurs, 150 ans pour les données de santé), durées qui constituent par construction des durées de conservation au sens de l’Art. 5(1)(e) RGPD.

L’archivage privé (archivage intermédiaire d’une entreprise, par exemple) ne relève pas de l’Art. 89(3) — il relève de la prescription légale ou conventionnelle (durées de conservation imposées par le Code de commerce, le Code du travail, le Code monétaire et financier).

Article 89(4) : la règle de spécialité

« 4. Lorsqu’un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées dans ces paragraphes. »

Le quatrième paragraphe règle un problème opérationnel majeur : que se passe-t-il lorsqu’un même jeu de données sert à la fois une finalité de recherche et une finalité commerciale, ou à la fois une finalité d’archivage public et une finalité d’exercice des droits administratifs ? La réponse est claire : les dérogations Art. 89(2) et 89(3) ne s’appliquent qu’aux opérations de traitement effectuées pour les finalités de recherche, statistique ou archivage. Tous les autres traitements (opérationnels, commerciaux, gestion courante) restent soumis au régime complet du RGPD, y compris aux droits des personnes.

Cette règle de spécialité impose une séparation logique des traitements dans les systèmes d’information : un entrepôt de données analytiques pseudonymisé pour la recherche, alimenté à partir d’une base opérationnelle distincte, avec des règles d’accès, des durées de conservation et des politiques de droits différenciées. C’est précisément ce que documente une analyse d’impact (AIPD) lorsque les deux finalités coexistent.

Le cadre français : LIL, CNIL, Code du patrimoine

Le législateur français a transposé l’Art. 89 dans la loi Informatique et Libertés (Art. 65 à 78) avec une articulation à trois étages.

Premier étage — la recherche dans le domaine de la santé (Art. 65-72 LIL) : régime renforcé qui s’applique aux essais cliniques, aux cohortes épidémiologiques, aux études sur données du SNDS (Système National des Données de Santé, Art. L. 1461-1 et suivants CSP). Procédure CNIL différenciée selon le risque : conformité à une méthodologie de référence (MR-001 pour les recherches impliquant la personne humaine, MR-003 pour les recherches sans contact avec la personne, MR-004 pour la réutilisation de données à des fins de recherche, MR-005 pour les études via SNDS, MR-006 pour les entrepôts hospitaliers) ouvre droit à un simple engagement de conformité, sans dossier complet. À défaut, autorisation préalable obligatoire avec avis du Comité Éthique et Scientifique pour les Recherches, les Études et les Évaluations en santé (CESREES).

Deuxième étage — la recherche hors santé et la statistique (Art. 73-77 LIL) : régime de droit commun applicable aux sciences humaines et sociales, aux études économiques, aux enquêtes en sciences politiques. Les traitements de la statistique publique (INSEE, services statistiques ministériels) bénéficient de la loi n° 51-711 du 7 juin 1951 et du secret statistique pénalement sanctionné (Art. 6 et 7 de la loi de 1951).

Troisième étage — l’archivage public (Art. 78 LIL et Code du patrimoine) : compétence du Service Interministériel des Archives de France (SIAF), des Archives Nationales, des Archives Départementales et Communales. Les délais de communicabilité du Code du patrimoine valent durées de conservation autorisées au sens du RGPD. Pour l’archivage historique privé (fondations, instituts d’histoire d’entreprise), la qualification d’archivage « dans l’intérêt public » exige une déclaration d’intérêt public ou une mission de service public déléguée.

Jurisprudence et sanctions structurantes

La doctrine française est encore peu fournie en sanctions Art. 89 directes, mais plusieurs décisions encadrent la pratique. CNIL délibération SAN-2022-012 Dedalus Biologie du 21 avril 2022, 1,5 M€ : la sanction relative à une fuite massive de données de santé met en lumière l’obligation de sécurité Art. 32 dans les contextes de réutilisation à des fins de recherche. CE 19 juin 2020 La Quadrature du Net sur les lignes directrices CNIL Health Data Hub : le Conseil d’État rappelle l’exigence de garanties effectives, notamment face aux risques d’accès extraterritoriaux (CLOUD Act, cf. mon article sur l’Art. 48 RGPD). CJUE C-453/21 X-FAB Dresden du 9 février 2023 : transposable au statut du DPO chargé de superviser les traitements de recherche, en l’absence de conflit d’intérêts avec la direction de la recherche.

Plan opérationnel : six chantiers pour 2026

À partir des audits que je conduis dans des établissements de santé, des universités et des services statistiques, voici la matrice opérationnelle que je recommande.

Chantier 1 — Qualification juridique du traitement. Vérifier l’éligibilité à l’Art. 89 : protocole formalisé, méthodologie scientifique, finalité d’archivage déclarée d’intérêt public ou statistique au sens du considérant 162. Distinguer expressément les traitements opérationnels et les traitements Art. 89 dans le registre Art. 30. Ne pas qualifier d’Art. 89 ce qui relève d’une simple analyse business.

Chantier 2 — Architecture technique séparée. Mettre en place un entrepôt analytique distinct alimenté par flux ETL pseudonymisé. Hachage des identifiants directs (SHA-256 avec sel), conservation de la clé par un tiers de confiance ou un service indépendant de l’équipe de recherche. Cloisonnement des accès par rôle conformément à l’Art. 32 RGPD et journalisation conservée 6 ans minimum. Référentiel : méthodologie de référence MR-004 et délibération CNIL n° 2018-155 du 3 mai 2018 pour les entrepôts hospitaliers.

Chantier 3 — Documentation des garanties Art. 89(1). Rédiger une note de garanties signée par le DPO (Art. 39) qui formalise les mesures techniques et organisationnelles, le test de subsidiarité de l’anonymisation, le calendrier de revue. Annexer la note au registre Art. 30 et à l’AIPD Art. 35 lorsque le risque résiduel le justifie. Pour la recherche santé hors méthodologie de référence, prévoir la consultation préalable de la CNIL au sens de l’Art. 36 lorsque le risque résiduel reste élevé.

Chantier 4 — Politique des droits des personnes. Cartographier précisément quels droits sont écartés par dérogation Art. 89(2) ou 89(3) et quels droits restent dus. Le droit à l’information Art. 13-14 reste toujours dû, sauf dérogation expresse Art. 14(5)(b) pour collecte indirecte. Documenter pour chaque traitement la base de dérogation invoquée (texte national précis, motivation de la nécessité et de la proportionnalité). Préparer des modèles de réponse aux demandes d’accès qui invoquent la dérogation sans la présumer.

Chantier 5 — Durées de conservation et règle de spécialité. Définir des durées distinctes pour les bases opérationnelles et les bases analytiques Art. 89. Pour l’archivage public, s’aligner sur les délais du Code du patrimoine et de la loi du 15 juillet 2008. Pour la recherche, fixer la durée par référence au protocole et à la valorisation scientifique attendue, avec revue tous les 24 à 36 mois. Pour la statistique, articuler avec les durées légales de conservation des fichiers source.

Chantier 6 — Articulation contrats et transferts. Pour les recherches multicentriques, formaliser la qualification Art. 26 (co-responsabilité, cf. mon article sur l’Art. 26 RGPD) ou Art. 28 (sous-traitance). Pour les transferts hors UE de cohortes ou d’entrepôts (collaborations internationales), appliquer les Art. 44 à 49 (Art. 46 RGPD CCT 2021/914 et Transfer Impact Assessment Schrems II). Pour le SNDS et les données santé, intégrer les exigences SecNumCloud ou HDS (hébergeur de données de santé).

Ce qu’il faut retenir

  • L’Art. 89 RGPD n’est pas un blanc-seing : il impose un socle de garanties techniques et organisationnelles (paragraphe 1), dont la pseudonymisation est la mesure de référence, et l’anonymisation est la mesure subsidiaire obligatoire chaque fois qu’elle est possible.
  • Les dérogations aux droits des personnes sont à l’initiative des États membres (Art. 89(2) et (3)) — elles ne sont pas auto-applicables et doivent être prévues par un texte national précis.
  • Le droit à l’information Art. 13-14 reste toujours dû, sauf dérogation expresse Art. 14(5)(b). Les droits dérogeables sont limitativement énumérés.
  • La règle de spécialité (Art. 89(4)) impose une séparation logique des traitements lorsqu’un même jeu de données sert plusieurs finalités.
  • Le cadre français articule trois étages : recherche santé (Art. 65-72 LIL, méthodologies CNIL MR-001 à MR-006), recherche hors santé et statistique (Art. 73-77 LIL), archivage public (Art. 78 LIL et Code du patrimoine).
  • Les sanctions Art. 83 plafond bas s’appliquent (10 M€ ou 2 % du CA mondial) au manquement aux garanties Art. 89, le plafond haut (20 M€ ou 4 %) s’applique aux dérogations indûment invoquées sur les droits des personnes.

FAQ

L’article 89 du RGPD est-il auto-applicable ?

Non. Le paragraphe 1 fixe des obligations qui s’appliquent directement (garanties techniques et organisationnelles, pseudonymisation, subsidiarité de l’anonymisation), mais les paragraphes 2 et 3 sur les dérogations aux droits des personnes exigent une intervention du législateur national ou européen. En France, ces dérogations sont prévues aux articles 65 à 78 de la loi Informatique et Libertés. À défaut de texte national applicable, les droits Art. 15, 16, 18, 19, 20 et 21 demeurent intégralement opposables.

Une étude marketing peut-elle bénéficier de l’article 89 RGPD ?

Non, sauf à ce qu’elle remplisse les critères d’une recherche scientifique au sens du considérant 159 : protocole formalisé, méthodologie scientifique, valorisation par publication. Une analyse à des fins commerciales qui produit un score individuel utilisé pour cibler un client ne relève pas de l’Art. 89 ; elle doit reposer sur une base légale ordinaire de l’Art. 6 RGPD et respecter l’intégralité des droits des personnes.

Quelle est la différence entre pseudonymisation et anonymisation pour l’article 89 ?

La pseudonymisation maintient la qualité de donnée personnelle (clé de réidentification conservée séparément) et garde la donnée dans le champ du RGPD. L’anonymisation, lorsqu’elle est techniquement irréversible au sens du standard CJUE Breyer (C-582/14), sort la donnée du champ du RGPD. L’Art. 89(1) impose la subsidiarité : l’anonymisation est obligatoire chaque fois qu’elle permet d’atteindre la finalité. La pseudonymisation est l’exemple cité par le texte lorsque l’anonymisation n’est pas possible.

Le droit à l’effacement (Art. 17) peut-il être écarté au titre de l’article 89 ?

L’Art. 17(3)(d) prévoit lui-même une exception au droit à l’effacement « dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1 ». La dérogation est donc internalisée dans l’Art. 17 lui-même et n’a pas besoin d’être doublée par un texte national, contrairement aux droits visés à l’Art. 89(2) et (3).

Quelles sanctions encourt-on en cas de manquement aux garanties de l’article 89 ?

Le manquement aux garanties techniques et organisationnelles de l’Art. 89(1) relève de l’Art. 83(4)(a) RGPD — plafond bas de 10 M€ ou 2 % du chiffre d’affaires annuel mondial. L’invocation indue d’une dérogation Art. 89(2) ou (3) pour écarter un droit relève de l’Art. 83(5)(b) — plafond haut de 20 M€ ou 4 %. S’ajoutent la responsabilité civile Art. 82 et, pour la recherche santé, le risque pénal (Art. 226-19 du Code pénal en cas de traitement de données sensibles sans base juridique).

Cet article fait partie de la série « RGPD article par article » qui décrypte chaque disposition du règlement en pratique. Pour recevoir nos analyses de conformité chaque semaine, abonnez-vous à notre newsletter.

Articles lies

RGPD

Article 85 RGPD : liberté d'expression et journalisme

18 mai 2026 · 22 min
RGPD

Article 87 RGPD : l'encadrement du NIR décrypté

17 mai 2026 · 18 min
RGPD

Article 23 RGPD : les limitations aux droits décryptées

16 mai 2026 · 20 min