v-sign Mind the GAP - Online training on research integrity
home-icon
  • checkmark Règlement général sur la protection des données (RGPD)
  • checkmark Qui est concerné ?
  • checkmark Comment se conformer au RGPD ?
  • checkmark Mesures de protection de la vie privée
  • checkmark Évaluation des risques

Règlement général sur la protection des données (RGPD)

jumping-icon base

Règlement général sur la protection des données (RGPD)

Lorsque vous traitez des données à caractère personnel dans le cadre de vos recherches, vous devez respecter les règles prévues par le Règlement général sur la protection des données (RGPD). Entré en vigueur le 25 mai 2018, le RGPD a modernisé la législation existante en matière de protection de la vie privée. Il établit un cadre juridique uniforme au niveau européen et renforce le contrôle des citoyens/personnes concernées sur le traitement de leurs données personnelles. Le RGPD impose aux organisations un devoir de transparence et de responsabilité vis-à-vis des citoyens/personnes concernées, en particulier quant à la manière et aux finalités pour lesquelles leurs données personnelles sont traitées.

Le RGPD permet également aux États membres de l’Union européenne d’adopter des législations nationales dans certains domaines ou prévoyant des exceptions. En Belgique, la Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel a été publiée au Moniteur belge le 5 septembre 2018.

À noter : le RGPD ne s’applique pas aux personnes morales (par ex. les sociétés constituées en tant que personnes morales), ni aux données personnelles des personnes physiques décédées. Dans ces cas, il convient toutefois de vérifier qu’aucune autre législation n’est applicable et de prendre en compte les intérêts d’autres personnes, comme les proches encore en vie.

Que sont les données à caractère personnel ?

Le RGPD définit les données à caractère personnel comme :
« toute information se rapportant à une personne physique identifiée ou identifiable (la “personne concernée”). Est réputée être une personne physique identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Les identifiants indirects (ou leurs combinaisons) peuvent également conduire à l’identification et constituent donc aussi des données à caractère personnel.

Le RGPD opère une distinction entre données personnelles « ordinaires » et données relevant de « catégories particulières ».

Exemples de données personnelles ordinaires : nom, adresse, adresse e-mail, photo, numéro de registre national, numéro d’identité, adresse IP, matricule du personnel, numéro de téléphone personnel ou professionnel (annuaires « Who’s who »), données de connexion, cookies d’identification, numéro de compte, CV, données de suivi (ex. : cantine, parking, navigation web), images de caméras, dossiers du personnel, données de paie, notes de frais, etc.

Les données relevant de catégories particulières (anciennement appelées « données sensibles ») comprennent notamment les informations révélant des opinions politiques, des convictions religieuses ou philosophiques, l’origine raciale/ethnique, l’appartenance syndicale, des données de santé, des données génétiques ou biométriques (empreinte digitale, scan de l’iris, etc.), ainsi que l’orientation sexuelle ou le comportement sexuel.

Ces données sont soumises à des règles plus strictes : leur traitement n’est autorisé par le RGPD que dans des cas expressément prévus, par exemple dans le cadre de la recherche scientifique, statistique ou historique, à condition que des garanties suffisantes soient prévues, notamment des mesures techniques et organisationnelles appropriées comme la pseudonymisation.

Pourquoi est-il important de respecter cette législation ?

Si vous traitez des données personnelles, une partie de votre responsabilité consiste à protéger les droits et libertés des personnes concernées, conformément au RGPD.

D’autres raisons majeures justifient une application rigoureuse des règles du RGPD dans la recherche :

  • Une gestion rigoureuse des données renforce la qualité et la fiabilité de vos recherches et de leurs résultats.
  • Elle préserve la confiance des citoyens dans la recherche scientifique.
  • Une violation de la loi peut entraîner des atteintes à la réputation et une couverture médiatique négative pour votre institution, votre département et vous-même, ainsi que des amendes importantes.
  • Le respect du RGPD est souvent exigé par les organismes financeurs (Horizon Europe, ERC, FWO, etc.), parfois sous la forme d’un livrable dans un projet.
  • Lors de la soumission d’articles, les revues scientifiques demandent de plus en plus souvent la conformité éthique, incluant la protection des données.

Principes généraux

Le RGPD repose sur six principes fondamentaux à respecter lors du traitement de données personnelles, avant, pendant et après votre recherche :

  1. Licéité, loyauté et transparence : vous êtes tenu de traiter les données personnelles de manière transparente et dans le respect de toutes les lois, réglementations et règles applicables.
    • La licéité signifie que vous devez collecter et traiter les données à caractère personnel sur une base juridique ou un fondement juridique légitime.
    • La loyauté signifie que la collecte et le traitement des données doivent se faire dans l’intérêt de la personne concernée et que l’ampleur du traitement doit pouvoir être raisonnablement anticipée par elle.
    • La transparence signifie que vous devez informer les personnes concernées de la base légale, des données personnelles que vous collecterez et traiterez, ainsi que des raisons pour lesquelles vous collecterez et traiterez ces données spécifiques (par exemple dans une notice d’information).
  • Les personnes concernées disposent de certains droits qu’elles peuvent faire valoir concernant le traitement de leurs données personnelles. Ces droits incluent le droit d’accès, le droit de rectification, le droit à la limitation du traitement et le droit d’opposition.
  2. Limitation des finalités (finalité et proportionnalité) : vous ne pouvez traiter les données personnelles que dans le cadre de votre objectif de recherche particulier, et le traitement doit être raisonnable et proportionné à la réalisation de cet objectif. Dans la mesure du possible, vous devez informer la personne concernée d’une utilisation future éventuelle des données personnelles, que ce soit pour d’autres finalités ou pour d’autres projets de recherche.
  3. Minimisation des données : vous ne pouvez utiliser que les données personnelles nécessaires pour atteindre les objectifs de votre recherche. Une stratégie pour minimiser le volume de données consiste à travailler avec des données anonymes/anonymisées lorsque cela est possible. Si ce n’est pas envisageable, utilisez des données pseudonymisées. Ce n’est qu’en dernier recours que vous pouvez utiliser des données identifiables.
  4. Exactitude : les données personnelles que vous traitez doivent être exactes.
  5. Limitation de la conservation : les données personnelles que vous traitez ne peuvent pas être conservées plus longtemps que nécessaire pour votre recherche en cours ou pour d’éventuelles analyses complémentaires.
  6. Confidentialité et intégrité : en tant que chercheur, vous devez traiter les données personnelles de manière confidentielle et mettre en place des mesures techniques et organisationnelles appropriées afin de garantir leur confidentialité et leur intégrité, de façon à les protéger notamment contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou altération accidentelle. La pseudonymisation (et si possible l’anonymisation) ainsi que le chiffrement constituent des mesures de sécurité essentielles pour garantir la confidentialité des données. La confidentialité et l’intégrité doivent également être assurées lors du partage de données personnelles avec d’autres chercheurs ou institutions, qu’ils fassent ou non partie de votre projet. Lors de l’élaboration de votre protocole de recherche, vous devez déterminer qui doit avoir accès aux données et quelles mesures doivent être mises en place pour les protéger (y compris lors du partage) 

Le RGPD laisse une marge suffisante pour le traitement de données personnelles à des fins de recherche scientifique. L’article 89 du RGPD autorise, par exemple, une dérogation au droit d’accès lorsque celui-ci rendrait impossible ou compromettrait gravement la réalisation des objectifs de recherche. Il est essentiel que, lors du traitement de données personnelles, des garanties techniques et organisationnelles appropriées soient mises en place, ce qui peut inclure la pseudonymisation.

Responsabilité propre : la responsabilité propre s’applique comme principe général. Vous devez être en mesure de démontrer que vous respectez les principes énoncés ci-dessus. Pour ce faire, il est important de vous poser les questions suivantes :

  • Au début de ma recherche, ai-je examiné et documenté de manière approfondie les aspects liés à la protection de la vie privée dans mon projet ?
  • Suis-je en mesure de démontrer que j’ai pris activement la responsabilité de traiter les données personnelles de manière sécurisée ?
Page précédente Page suivante