v-sign Mind the GAP - Online training on research integrity
home-icon
  • checkmark Règlement général sur la protection des données (RGPD)
  • checkmark Qui est concerné ?
  • checkmark Comment se conformer au RGPD ?
  • checkmark Mesures de protection de la vie privée
  • checkmark Évaluation des risques

Évaluation des risques

jumping-icon base

Évaluation des risques

Lors du traitement de données personnelles, il est essentiel d’adopter une approche fondée sur les risques. Cela signifie que vous devez analyser et évaluer les risques en matière de vie privée pour les participants à votre recherche, découlant du traitement de leurs données. En tenant compte de ces risques, vous devez déterminer quelles mesures techniques et organisationnelles sont nécessaires pour mettre en œuvre les principes de protection des données de manière efficace et pour protéger les droits et libertés des personnes concernées.

mindthegap

Une évaluation des risques inadéquate, où les mesures techniques ou organisationnelles sont mal ou insuffisamment appliquées, accroît la probabilité de fuites de données ou d’utilisations illicites, pouvant porter atteinte à la vie privée et à l’intégrité des personnes concernées (p. ex. discrimination, exclusion d’individus et/ou de communautés).

L’évaluation d’impact relative à la protection des données (data protection impact assessment – DPIA) : une analyse des risques dans le cadre du RGPD

Lorsque la nature ou les modalités du traitement de données personnelles présentent un risque potentiellement élevé pour les personnes concernées, vous êtes tenu de réaliser une évaluation d’impact relative à la protection des données (DPIA), c’est-à-dire une analyse des risques préalable au démarrage du traitement.

Une DPIA vous aide à gérer les risques pesant sur les droits et libertés des personnes concernées résultant du traitement de leurs données personnelles (en évaluant les risques et en prenant les mesures appropriées pour les gérer).

Une DPIA peut porter sur une recherche spécifique, mais elle peut aussi couvrir un ensemble d’activités de traitement similaires présentant des risques élevés comparables.

Les critères suivants de risques peuvent vous aider à déterminer si le traitement de données personnelles dans le cadre de votre recherche constitue un risque potentiellement élevé :

  • Des catégories particulières de données personnelles ou des données à caractère sensible sont traitées.
  • Des données personnelles d’enfants ou d’autres personnes vulnérables (p. ex. employés, personnes atteintes de troubles psychiques, personnes âgées, …) sont traitées.
  • Les données personnelles sont traitées à grande échelle, par exemple :
    • le nombre de personnes concernées, soit comme chiffre précis, soit comme part de la population visée ;
    • le volume de données collectées et/ou le nombre de catégories de données personnelles recueillies (p. ex. collecte de simples noms et adresses e-mail, ou également informations sur les loisirs, les activités professionnelles, la situation familiale, …) ;
    • la durée des activités de traitement : les données sont-elles traitées pour une période limitée ou bien sur une longue durée, voire de manière permanente ? ;
    • la portée géographique des activités de traitement : le traitement s’étend-il à plusieurs pays ?
  • Des aspects liés aux performances au travail, à la situation économique, aux préférences ou intérêts personnels, à la fiabilité ou au comportement, à la localisation ou aux déplacements des personnes concernées sont évalués, scorés, profilés ou prédits.
    • P. ex. profilage basé sur l’utilisation ou la navigation sur des sites web, collecte de données issues des réseaux sociaux pour créer des profils, …
  • Les données personnelles sont partagées avec ou transférées vers des pays situés en dehors de l’EEE, ou vers des pays qui ne figurent pas sur la « liste blanche ».
    • P. ex. transfert de données personnelles vers des chercheurs d’une université hors EEE ; stockage de données sur des services cloud localisés hors EEE, …
  • La recherche implique des ensembles de données ayant été ou devant être combinés (appariement ou fusion de jeux de données).
  • Le traitement vise à prendre des décisions ayant des conséquences juridiques ou des effets significatifs similaires pour la personne concernée..
    • P. ex. conséquences juridiques significatives : résiliation de contrat, octroi/refus de prestations sociales, refus d’entrée dans un pays, …
    • P. ex. conséquences significatives similaires : évaluations de crédit, refus d’accès aux soins de santé, opportunités d’emploi ou accès à l’éducation (p. ex. admission universitaire), …
  • Le traitement empêche les personnes concernées d’exercer un droit ou d’accéder à un service ou à un contrat.
  • Votre recherche implique la surveillance systématique de personnes dans un ou plusieurs espaces accessibles au public..
    • P. ex. images de vidéosurveillance dans des lieux publics (gare, rue, place du marché, bibliothèque publique, …
  • Votre recherche concerne l’utilisation ou l’application innovante de solutions technologiques ou organisationnelles, comme la combinaison d’empreintes digitales et de reconnaissance faciale pour renforcer le contrôle d’accès physique.
    • P. ex. applications innovantes utilisant l’intelligence artificielle, la reconnaissance automatique de plaques d’immatriculation, …
  • Votre recherche concerne le traitement de données personnelles non pseudonymisées. Autrement dit, le traitement de données personnelles brutes dans votre recherche, où les données de recherche ne sont pas séparées des données identifiantes (p. ex. les répondants sont nommés).
mindthegap

Si deux critères ou plus s’appliquent au traitement de données prévu dans votre recherche, celui-ci constitue un risque potentiellement élevé. Dans ce cas, la réalisation d’une DPIA est obligatoire afin d’identifier plus en détail les risques en matière de vie privée liés au traitement.

Dans une DPIA, il vous sera demandé de décrire et d’évaluer les risques pour vos participants à la recherche, d’évaluer ces risques ainsi que la nécessité et la proportionnalité du traitement, et de décrire les mesures techniques et organisationnelles prises pour les atténuer. En répondant aux questions de la DPIA, vous devriez être en mesure d’évaluer l’impact et la probabilité des risques dans votre recherche. En mettant en balance l’impact des risques, la probabilité de leur survenance et les mesures adoptées, vous pourrez indiquer in fine s’il existe encore des risques résiduels dans votre recherche et si ceux-ci sont acceptables ou non.

Références

Anonimisering – Reference card voor onderzoekers.pdf. (z.d.). Geraadpleegd 27 mei 2021, van  https://lcrdm.nl/wp-content/uploads/2023/03/Anonymization-reference-card-for-researchers.pdf

Privacy in Onderzoek. (z.d.). SURF. Geraadpleegd 27 mei 2021, van  https://maken.wikiwijs.nl/117199/Privacy_in_Onderzoek

Page précédente Page suivante