Comment se conformer au RGPD ?
Comment se conformer au RGPD ?
Êtes-vous clair et transparent envers vos participants à la recherche ?
Lors d’une nouvelle collecte de données, il y a un manque d’information lorsqu’aucune lettre d’information n’est fournie aux participants ou si celle-ci est très peu claire ou incomplète..
Les participants doivent comprendre la portée de la recherche et être clairement, et de manière transparente, informés de la façon dont leurs données seront traitées pendant la recherche et, le cas échéant, après son achèvement. S’ils ont des questions à ce sujet ou souhaitent introduire une plainte, il est essentiel qu’ils soient informés dans la lettre d’information de la personne à contacter.
Si vous traitez des données personnelles dans le cadre de vos recherches, vous devez vous conformer au RGPD et garder à l’esprit les principes fondamentaux (voir ci-dessus), tels que la licéité, l’équité et la transparence. Vous êtes tenu de traiter les données personnelles de manière transparente et dans le respect de toutes les lois, réglementations et règles applicables.
La transparence signifie que vous devez informer vos participants à la recherche de la collecte de données, de la portée de votre recherche, de son objectif et de leurs droits avant leur participation. Il est en outre important de les informer de ce qu’il adviendra des données collectées, non seulement pendant la phase de recherche mais également après, ainsi que de la personne de contact en cas de questions supplémentaires ou s’ils souhaitent exercer leurs droits. Vous pouvez informer vos participants, par exemple, au moyen d’une lettre d’information ou d’une déclaration de confidentialité spécifique au projet.
Registres des activités de traitement
Le RGPD exige que tout traitement de données personnelles soit documenté et consigné dans le registre des activités de traitement (registre RGPD) de votre institution. Cette obligation interne de documentation constitue un outil essentiel pour permettre aux chercheurs de répondre à leurs obligations de responsabilité (accountability).
En tant que chercheur, vous devez compléter les questions figurant dans le registre avant le début effectif de la collecte/du traitement des données personnelles dans votre recherche. Il est également important de maintenir ces informations à jour tout au long du cycle de vie de votre projet. Les questions du registre RGPD portent sur le traitement des données personnelles et la conformité de votre recherche aux exigences du RGPD
Quand y penser ?
Le RGPD s’applique au traitement de données personnelles tout au long du cycle de vie de la recherche. Comme certaines obligations interviennent dès avant l’utilisation des données, la plupart de ces exigences doivent être intégrées dès la conception du projet (privacy by design).
Dans la phase de conception, vous réfléchissez généralement aux aspects substantiels et méthodologiques de votre recherche. Il est donc important d’intégrer, dès cette étape, des mesures techniques et organisationnelles qui garantissent la protection de la vie privée et des principes de protection des données dès le départ.
Pensez également à ce qu’il adviendra des données une fois l’étude terminée. Par exemple, ces données pourraient-elles être utiles à d’autres questions de recherche (par vous-même, vos collègues internes ou d’autres institutions) ? Ou bien pourriez-vous être tenu de partager ces données comme condition à la publication ? Prenez cela en compte dès le début de la collecte et adoptez les mesures nécessaires pour que l’archivage/le partage des données reste possible, si pertinent.
Au cours de la recherche, les exigences du RGPD évolueront en fonction de vos données et de votre design de recherche. Il est donc essentiel de les mettre régulièrement à jour.
Le traitement des données personnelles s’inscrit dans une approche globale de la gestion des données de recherche.
Lorsqu’on applique ces principes au cycle de vie de la recherche, il en résulte l’aperçu suivant des points d’attention et des actions à entreprendre :
