Lors du traitement de données personnelles, il est essentiel d’adopter une approche fondée sur les risques. Cela signifie que vous devez analyser et évaluer les risques en matière de vie privée pour les participants à votre recherche, découlant du traitement de leurs données. En tenant compte de ces risques, vous devez déterminer quelles mesures techniques et organisationnelles sont nécessaires pour mettre en œuvre les principes de protection des données de manière efficace et pour protéger les droits et libertés des personnes concernées.

L’évaluation d’impact relative à la protection des données (data protection impact assessment – DPIA) : une analyse des risques dans le cadre du RGPD

Lorsque la nature ou les modalités du traitement de données personnelles présentent un risque potentiellement élevé pour les personnes concernées, vous êtes tenu de réaliser une évaluation d’impact relative à la protection des données (DPIA), c’est-à-dire une analyse des risques préalable au démarrage du traitement.

Une DPIA vous aide à gérer les risques pesant sur les droits et libertés des personnes concernées résultant du traitement de leurs données personnelles (en évaluant les risques et en prenant les mesures appropriées pour les gérer).

Une DPIA peut porter sur une recherche spécifique, mais elle peut aussi couvrir un ensemble d’activités de traitement similaires présentant des risques élevés comparables.

Les critères suivants de risques peuvent vous aider à déterminer si le traitement de données personnelles dans le cadre de votre recherche constitue un risque potentiellement élevé :

• Des catégories particulières de données personnelles ou des données à caractère sensible sont traitées.
• Des données personnelles d’enfants ou d’autres personnes vulnérables (p. ex. employés, personnes atteintes de troubles psychiques, personnes âgées, …) sont traitées.
• Les données personnelles sont traitées à grande échelle, par exemple :
  • le nombre de personnes concernées, soit comme chiffre précis, soit comme part de la population visée ;
  • le volume de données collectées et/ou le nombre de catégories de données personnelles recueillies (p. ex. collecte de simples noms et adresses e-mail, ou également informations sur les loisirs, les activités professionnelles, la situation familiale, …) ;
  • la durée des activités de traitement : les données sont-elles traitées pour une période limitée ou bien sur une longue durée, voire de manière permanente ? ;
  • la portée géographique des activités de traitement : le traitement s’étend-il à plusieurs pays ?
• Des aspects liés aux performances au travail, à la situation économique, aux préférences ou intérêts personnels, à la fiabilité ou au comportement, à la localisation ou aux déplacements des personnes concernées sont évalués, scorés, profilés ou prédits.
  • P. ex. profilage basé sur l’utilisation ou la navigation sur des sites web, collecte de données issues des réseaux sociaux pour créer des profils, …
• Les données personnelles sont partagées avec ou transférées vers des pays situés en dehors de l’EEE, ou vers des pays qui ne figurent pas sur la « liste blanche ».
  • P. ex. transfert de données personnelles vers des chercheurs d’une université hors EEE ; stockage de données sur des services cloud localisés hors EEE, …
• La recherche implique des ensembles de données ayant été ou devant être combinés (appariement ou fusion de jeux de données).
• Le traitement vise à prendre des décisions ayant des conséquences juridiques ou des effets significatifs similaires pour la personne concernée..
  • P. ex. conséquences juridiques significatives : résiliation de contrat, octroi/refus de prestations sociales, refus d’entrée dans un pays, …
  • P. ex. conséquences significatives similaires : évaluations de crédit, refus d’accès aux soins de santé, opportunités d’emploi ou accès à l’éducation (p. ex. admission universitaire), …
• Le traitement empêche les personnes concernées d’exercer un droit ou d’accéder à un service ou à un contrat.
• Votre recherche implique la surveillance systématique de personnes dans un ou plusieurs espaces accessibles au public..
  • P. ex. images de vidéosurveillance dans des lieux publics (gare, rue, place du marché, bibliothèque publique, …
• Votre recherche concerne l’utilisation ou l’application innovante de solutions technologiques ou organisationnelles, comme la combinaison d’empreintes digitales et de reconnaissance faciale pour renforcer le contrôle d’accès physique.
  • P. ex. applications innovantes utilisant l’intelligence artificielle, la reconnaissance automatique de plaques d’immatriculation, …
• Votre recherche concerne le traitement de données personnelles non pseudonymisées. Autrement dit, le traitement de données personnelles brutes dans votre recherche, où les données de recherche ne sont pas séparées des données identifiantes (p. ex. les répondants sont nommés).

Dans une DPIA, il vous sera demandé de décrire et d’évaluer les risques pour vos participants à la recherche, d’évaluer ces risques ainsi que la nécessité et la proportionnalité du traitement, et de décrire les mesures techniques et organisationnelles prises pour les atténuer. En répondant aux questions de la DPIA, vous devriez être en mesure d’évaluer l’impact et la probabilité des risques dans votre recherche. En mettant en balance l’impact des risques, la probabilité de leur survenance et les mesures adoptées, vous pourrez indiquer in fine s’il existe encore des risques résiduels dans votre recherche et si ceux-ci sont acceptables ou non.

Références

Anonimisering – Reference card voor onderzoekers.pdf. (z.d.). Geraadpleegd 27 mei 2021, van  https://lcrdm.nl/wp-content/uploads/2023/03/Anonymization-reference-card-for-researchers.pdf

Privacy in Onderzoek. (z.d.). SURF. Geraadpleegd 27 mei 2021, van  https://maken.wikiwijs.nl/117199/Privacy_in_Onderzoek

Lorsque vous traitez des données à caractère personnel, le RGPD vous impose de les protéger de manière adéquate. Le niveau de sécurité de base doit toujours être conforme à la politique de sécurité de l’information de votre université. Toutefois, des mesures supplémentaires peuvent s’avérer nécessaires selon la nature du traitement. Le choix de ces mesures de sécurité additionnelles repose sur l’évaluation des risques liés au traitement. Les activités de traitement comportant davantage de risques, comme le traitement de catégories particulières de données à caractère personnel, doivent être accompagnées d’un ensemble plus étendu de mesures de sécurité.

En matière de protection des données, le RGPD met en avant, et impose parfois, des garanties telles que l’anonymisation, la pseudonymisation et le chiffrement.

Anonymisation

Les données anonymes sont des données qui ne concernent pas, ou plus, une personne physique vivante identifiée ou identifiable.

Les données anonymisées sont des données personnelles rendues anonymes au moyen d’une technique de traitement, de telle sorte que la personne concernée ne puisse pas, ou plus, être identifiée, sans effort disproportionné et par qui que ce soit.

Si vous traitez des données personnelles dans le cadre de vos recherches, vous devez vous conformer au RGPD et garder à l’esprit les principes fondamentaux (voir ci-dessus), tels que la licéité, l’équité et la transparence. Vous êtes tenu de traiter les données personnelles de manière transparente et dans le respect de toutes les lois, réglementations et règles applicables.

La transparence signifie que vous devez informer vos participants à la recherche de la collecte de données, de la portée de votre recherche, de son objectif et de leurs droits avant leur participation. Il est en outre important de les informer de ce qu’il adviendra des données collectées, non seulement pendant la phase de recherche mais également après, ainsi que de la personne de contact en cas de questions supplémentaires ou s’ils souhaitent exercer leurs droits. Vous pouvez informer vos participants, par exemple, au moyen d’une lettre d’information ou d’une déclaration de confidentialité spécifique au projet.

Registres des activités de traitement

Le RGPD exige que tout traitement de données personnelles soit documenté et consigné dans le registre des activités de traitement (registre RGPD) de votre institution. Cette obligation interne de documentation constitue un outil essentiel pour permettre aux chercheurs de répondre à leurs obligations de responsabilité (accountability).

En tant que chercheur, vous devez compléter les questions figurant dans le registre avant le début effectif de la collecte/du traitement des données personnelles dans votre recherche. Il est également important de maintenir ces informations à jour tout au long du cycle de vie de votre projet. Les questions du registre RGPD portent sur le traitement des données personnelles et la conformité de votre recherche aux exigences du RGPD

Lorsqu’on applique ces principes au cycle de vie de la recherche, il en résulte l’aperçu suivant des points d’attention et des actions à entreprendre :

Dans le cadre du RGPD, différents rôles sont définis pour le traitement des données à caractère personnel. Les plus importants sont :

• Responsable du traitement (data controller)
• Responsables conjoints du traitement (joint data controllers)
• Sous-traitant (data processor)

Puisque les responsables de traitement et les sous-traitants ont des responsabilités et obligations différentes, il est important de définir clairement ces rôles (en concertation avec les autres partenaires de votre recherche) dès le début de votre projet.

Responsable du traitement

Le responsable du traitement est défini comme l’institution / l’organisation / la personne qui détermine la finalité et les moyens du traitement.
À noter : le simple fait de financer une recherche (par exemple le FWO, la Commission européenne, …) ne suffit pas à être considéré comme responsable du traitement dans le contexte de la recherche.

Exemple : vous êtes doctorant FWO et, avec votre promoteur (professeur à votre université), vous déterminez la finalité et les moyens de votre recherche. Bien que votre recherche soit financée par le FWO, c’est votre université qui sera le responsable du traitement. Le FWO n’est que le bailleur de fonds.

Responsables conjoints du traitement

Lorsque deux institutions ou plus déterminent conjointement la finalité et les moyens du traitement (ou chacune pour une partie du projet), on parle de responsables conjoints.

Les responsables conjoints doivent préciser de manière transparente leurs responsabilités respectives au regard du RGPD, notamment en déterminant clairement qui est chargé d’informer les personnes concernées et qui est responsable de traiter leurs demandes relatives à l’exercice de leurs droits (ex. droit à l’oubli).

Exemple : vous menez une recherche avec une autre université en Belgique ou à l’étranger. Les deux partenaires conçoivent ensemble le plan de recherche (à un degré plus ou moins important). Votre université et l’autre université sont alors des responsables conjoints du traitement. Il ne s’agit pas d’un cas où une université se limite à fournir des données ou exécute un contrat de sous-traitance spécifique.

Cas particulier : lorsque plusieurs responsables traitent les mêmes données mais pour des finalités différentes, ils ne sont pas considérés comme responsables conjoints, mais bien comme responsables distincts ou indépendants du traitement.

Sous-traitant

Enfin, une institution / organisation / personne peut également agir comme sous-traitant. Dans ce cas, elle traite des données à caractère personnel pour le compte d’une autre organisation.

Exemple : recherches sous contrat, services commandités par des entreprises privées ou certains types de recherche à visée politique. Dans ce cas, l’autre organisation détermine la finalité et les moyens de la recherche, et vous ou votre université agissez comme sous-traitant.

Dans un projet ou une collaboration de recherche, il est aussi possible qu’en tant que chercheur, vous ayez recours à des sous-traitants pour collecter, traiter, stocker ou mettre à disposition des données personnelles.

Exemple : un chercheur fait appel à une société pour envoyer des questionnaires aux participants, ou pour analyser certains résultats d’entretiens et d’enquêtes. Dans ce cas, l’université du chercheur sera le responsable du traitement et l’entreprise interviendra comme sous-traitant (ou, le cas échéant, sous-traitant secondaire).

Quels sont les rôles spécifiques au sein de l’institution ?

En tant que chercheur au sein d’une institution de recherche, vous êtes responsable de veiller à ce que vos travaux respectent les lignes directrices applicables. Pour obtenir un avis spécifique concernant l’application du RGPD, vous pouvez vous adresser aux services compétents de votre institution, tels que le Délégué à la protection des données (DPO), l’équipe institutionnelle en charge de la protection de la vie privée (le cas échéant) et/ou le service de soutien à la gestion des données de recherche. Pour tout conseil juridique, vous pouvez contacter les services de valorisation ou le service juridique de votre institution.

Lorsque vous traitez des données à caractère personnel dans le cadre de vos recherches, vous devez respecter les règles prévues par le Règlement général sur la protection des données (RGPD). Entré en vigueur le 25 mai 2018, le RGPD a modernisé la législation existante en matière de protection de la vie privée. Il établit un cadre juridique uniforme au niveau européen et renforce le contrôle des citoyens/personnes concernées sur le traitement de leurs données personnelles. Le RGPD impose aux organisations un devoir de transparence et de responsabilité vis-à-vis des citoyens/personnes concernées, en particulier quant à la manière et aux finalités pour lesquelles leurs données personnelles sont traitées.

Le RGPD permet également aux États membres de l’Union européenne d’adopter des législations nationales dans certains domaines ou prévoyant des exceptions. En Belgique, la Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel a été publiée au Moniteur belge le 5 septembre 2018.

À noter : le RGPD ne s’applique pas aux personnes morales (par ex. les sociétés constituées en tant que personnes morales), ni aux données personnelles des personnes physiques décédées. Dans ces cas, il convient toutefois de vérifier qu’aucune autre législation n’est applicable et de prendre en compte les intérêts d’autres personnes, comme les proches encore en vie.

Que sont les données à caractère personnel ?

Le RGPD définit les données à caractère personnel comme :
« toute information se rapportant à une personne physique identifiée ou identifiable (la “personne concernée”). Est réputée être une personne physique identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Les identifiants indirects (ou leurs combinaisons) peuvent également conduire à l’identification et constituent donc aussi des données à caractère personnel.

Le RGPD opère une distinction entre données personnelles « ordinaires » et données relevant de « catégories particulières ».

Exemples de données personnelles ordinaires : nom, adresse, adresse e-mail, photo, numéro de registre national, numéro d’identité, adresse IP, matricule du personnel, numéro de téléphone personnel ou professionnel (annuaires « Who’s who »), données de connexion, cookies d’identification, numéro de compte, CV, données de suivi (ex. : cantine, parking, navigation web), images de caméras, dossiers du personnel, données de paie, notes de frais, etc.

Les données relevant de catégories particulières (anciennement appelées « données sensibles ») comprennent notamment les informations révélant des opinions politiques, des convictions religieuses ou philosophiques, l’origine raciale/ethnique, l’appartenance syndicale, des données de santé, des données génétiques ou biométriques (empreinte digitale, scan de l’iris, etc.), ainsi que l’orientation sexuelle ou le comportement sexuel.

Ces données sont soumises à des règles plus strictes : leur traitement n’est autorisé par le RGPD que dans des cas expressément prévus, par exemple dans le cadre de la recherche scientifique, statistique ou historique, à condition que des garanties suffisantes soient prévues, notamment des mesures techniques et organisationnelles appropriées comme la pseudonymisation.

Pourquoi est-il important de respecter cette législation ?

Si vous traitez des données personnelles, une partie de votre responsabilité consiste à protéger les droits et libertés des personnes concernées, conformément au RGPD.

D’autres raisons majeures justifient une application rigoureuse des règles du RGPD dans la recherche :

• Une gestion rigoureuse des données renforce la qualité et la fiabilité de vos recherches et de leurs résultats.
• Elle préserve la confiance des citoyens dans la recherche scientifique.
• Une violation de la loi peut entraîner des atteintes à la réputation et une couverture médiatique négative pour votre institution, votre département et vous-même, ainsi que des amendes importantes.
• Le respect du RGPD est souvent exigé par les organismes financeurs (Horizon Europe, ERC, FWO, etc.), parfois sous la forme d’un livrable dans un projet.
• Lors de la soumission d’articles, les revues scientifiques demandent de plus en plus souvent la conformité éthique, incluant la protection des données.

Principes généraux

Le RGPD repose sur six principes fondamentaux à respecter lors du traitement de données personnelles, avant, pendant et après votre recherche :

1. Licéité, loyauté et transparence : vous êtes tenu de traiter les données personnelles de manière transparente et dans le respect de toutes les lois, réglementations et règles applicables.

• • La licéité signifie que vous devez collecter et traiter les données à caractère personnel sur une base juridique ou un fondement juridique légitime.
  • La loyauté signifie que la collecte et le traitement des données doivent se faire dans l’intérêt de la personne concernée et que l’ampleur du traitement doit pouvoir être raisonnablement anticipée par elle.
  • La transparence signifie que vous devez informer les personnes concernées de la base légale, des données personnelles que vous collecterez et traiterez, ainsi que des raisons pour lesquelles vous collecterez et traiterez ces données spécifiques (par exemple dans une notice d’information).
• Les personnes concernées disposent de certains droits qu’elles peuvent faire valoir concernant le traitement de leurs données personnelles. Ces droits incluent le droit d’accès, le droit de rectification, le droit à la limitation du traitement et le droit d’opposition.

2. Limitation des finalités (finalité et proportionnalité) : vous ne pouvez traiter les données personnelles que dans le cadre de votre objectif de recherche particulier, et le traitement doit être raisonnable et proportionné à la réalisation de cet objectif. Dans la mesure du possible, vous devez informer la personne concernée d’une utilisation future éventuelle des données personnelles, que ce soit pour d’autres finalités ou pour d’autres projets de recherche.
3. Minimisation des données : vous ne pouvez utiliser que les données personnelles nécessaires pour atteindre les objectifs de votre recherche. Une stratégie pour minimiser le volume de données consiste à travailler avec des données anonymes/anonymisées lorsque cela est possible. Si ce n’est pas envisageable, utilisez des données pseudonymisées. Ce n’est qu’en dernier recours que vous pouvez utiliser des données identifiables.
4. Exactitude : les données personnelles que vous traitez doivent être exactes.
5. Limitation de la conservation : les données personnelles que vous traitez ne peuvent pas être conservées plus longtemps que nécessaire pour votre recherche en cours ou pour d’éventuelles analyses complémentaires.
6. Confidentialité et intégrité : en tant que chercheur, vous devez traiter les données personnelles de manière confidentielle et mettre en place des mesures techniques et organisationnelles appropriées afin de garantir leur confidentialité et leur intégrité, de façon à les protéger notamment contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou altération accidentelle. La pseudonymisation (et si possible l’anonymisation) ainsi que le chiffrement constituent des mesures de sécurité essentielles pour garantir la confidentialité des données. La confidentialité et l’intégrité doivent également être assurées lors du partage de données personnelles avec d’autres chercheurs ou institutions, qu’ils fassent ou non partie de votre projet. Lors de l’élaboration de votre protocole de recherche, vous devez déterminer qui doit avoir accès aux données et quelles mesures doivent être mises en place pour les protéger (y compris lors du partage) 

Le RGPD laisse une marge suffisante pour le traitement de données personnelles à des fins de recherche scientifique. L’article 89 du RGPD autorise, par exemple, une dérogation au droit d’accès lorsque celui-ci rendrait impossible ou compromettrait gravement la réalisation des objectifs de recherche. Il est essentiel que, lors du traitement de données personnelles, des garanties techniques et organisationnelles appropriées soient mises en place, ce qui peut inclure la pseudonymisation.

Responsabilité propre : la responsabilité propre s’applique comme principe général. Vous devez être en mesure de démontrer que vous respectez les principes énoncés ci-dessus. Pour ce faire, il est important de vous poser les questions suivantes :

• Au début de ma recherche, ai-je examiné et documenté de manière approfondie les aspects liés à la protection de la vie privée dans mon projet ?
• Suis-je en mesure de démontrer que j’ai pris activement la responsabilité de traiter les données personnelles de manière sécurisée ?