v-sign Mind the GAP - Online training on research integrity
home-icon
  • checkmark Règlement général sur la protection des données (RGPD)
  • checkmark Qui est concerné ?
  • checkmark Comment se conformer au RGPD ?
  • checkmark Mesures de protection de la vie privée
  • checkmark Évaluation des risques

Qui est concerné ?

jumping-icon base

Qui est concerné ?

Interuniversity Policy
University
Researchers Researchers in general
Researchers Subjects

Dans le cadre du RGPD, différents rôles sont définis pour le traitement des données à caractère personnel. Les plus importants sont :

  • Responsable du traitement (data controller)
  • Responsables conjoints du traitement (joint data controllers)
  • Sous-traitant (data processor)

Puisque les responsables de traitement et les sous-traitants ont des responsabilités et obligations différentes, il est important de définir clairement ces rôles (en concertation avec les autres partenaires de votre recherche) dès le début de votre projet.

Responsable du traitement

Le responsable du traitement est défini comme l’institution / l’organisation / la personne qui détermine la finalité et les moyens du traitement.
À noter : le simple fait de financer une recherche (par exemple le FWO, la Commission européenne, …) ne suffit pas à être considéré comme responsable du traitement dans le contexte de la recherche.

Exemple : vous êtes doctorant FWO et, avec votre promoteur (professeur à votre université), vous déterminez la finalité et les moyens de votre recherche. Bien que votre recherche soit financée par le FWO, c’est votre université qui sera le responsable du traitement. Le FWO n’est que le bailleur de fonds.

Responsables conjoints du traitement

Lorsque deux institutions ou plus déterminent conjointement la finalité et les moyens du traitement (ou chacune pour une partie du projet), on parle de responsables conjoints.

Les responsables conjoints doivent préciser de manière transparente leurs responsabilités respectives au regard du RGPD, notamment en déterminant clairement qui est chargé d’informer les personnes concernées et qui est responsable de traiter leurs demandes relatives à l’exercice de leurs droits (ex. droit à l’oubli).

Exemple : vous menez une recherche avec une autre université en Belgique ou à l’étranger. Les deux partenaires conçoivent ensemble le plan de recherche (à un degré plus ou moins important). Votre université et l’autre université sont alors des responsables conjoints du traitement. Il ne s’agit pas d’un cas où une université se limite à fournir des données ou exécute un contrat de sous-traitance spécifique.

Cas particulier : lorsque plusieurs responsables traitent les mêmes données mais pour des finalités différentes, ils ne sont pas considérés comme responsables conjoints, mais bien comme responsables distincts ou indépendants du traitement.

Sous-traitant

Enfin, une institution / organisation / personne peut également agir comme sous-traitant. Dans ce cas, elle traite des données à caractère personnel pour le compte d’une autre organisation.

Exemple : recherches sous contrat, services commandités par des entreprises privées ou certains types de recherche à visée politique. Dans ce cas, l’autre organisation détermine la finalité et les moyens de la recherche, et vous ou votre université agissez comme sous-traitant.

Dans un projet ou une collaboration de recherche, il est aussi possible qu’en tant que chercheur, vous ayez recours à des sous-traitants pour collecter, traiter, stocker ou mettre à disposition des données personnelles.

Exemple : un chercheur fait appel à une société pour envoyer des questionnaires aux participants, ou pour analyser certains résultats d’entretiens et d’enquêtes. Dans ce cas, l’université du chercheur sera le responsable du traitement et l’entreprise interviendra comme sous-traitant (ou, le cas échéant, sous-traitant secondaire).

 

mindthegap

Il est important de consigner toutes les dispositions entre le ou les responsables conjoints du traitement et les sous-traitants (ou sous-traitants secondaires) dans un accord formel.

Quels sont les rôles spécifiques au sein de l’institution ?

En tant que chercheur au sein d’une institution de recherche, vous êtes responsable de veiller à ce que vos travaux respectent les lignes directrices applicables. Pour obtenir un avis spécifique concernant l’application du RGPD, vous pouvez vous adresser aux services compétents de votre institution, tels que le Délégué à la protection des données (DPO), l’équipe institutionnelle en charge de la protection de la vie privée (le cas échéant) et/ou le service de soutien à la gestion des données de recherche. Pour tout conseil juridique, vous pouvez contacter les services de valorisation ou le service juridique de votre institution.

Data Protection Officer
Valorisation / Legal service
Data Steward
Collaborations locales, interdisciplinaires et internationales

Lorsque vous partagez des données de recherche avec un autre chercheur ou une autre institution, dans le cadre de vos travaux, vous devez vous assurer que ce chercheur ou cette institution applique des politiques robustes en matière de sécurité et de confidentialité, de façon à garantir les droits et libertés (y compris la vie privée) des personnes concernées. Dans un projet conjoint où des données personnelles sont traitées dans différentes institutions ou universités, il est également important que le traitement des données personnelles dans chaque institution soit enregistré dans un registre RGPD.

Collaborations locales

Bien que le RGPD s’applique à toute personne qui traite des données personnelles en Belgique, les procédures de conformité peuvent varier. Par exemple, le registre RGPD d’une université peut différer, dans une certaine mesure, de celui d’une autre université ou institution de recherche.

Collaborations interdisciplinaires

Il faut tenir compte, dans le traitement des données personnelles, que certaines disciplines imposent des exigences (éthiques) supplémentaires (par ex. pour les données médicales ou de santé). De plus, tous les comités d’éthique ne prennent pas nécessairement en compte ces exigences spécifiques liées au traitement de données personnelles dans leur avis éthique.

Collaborations internationales

Dans les projets de recherche impliquant des organisations ou institutions de différents États membres, vous devez toujours vérifier la législation nationale applicable dans chacun des États membres concernés et effectuer le traitement conformément à ces exigences. Lorsque vous collaborez avec des chercheurs ou institutions situés hors de l’Espace économique européen – EEE, vous devez tenir compte de la législation applicable dans ces pays tiers ou au niveau international. Vous devrez en outre prendre des mesures supplémentaires afin de garantir une protection adéquate et intègre des données de recherche (par ex. via un accord type de l’UE).

Page précédente Page suivante