Avis à la communauté scientifique
Les recherches réalisées à partir d’informations relatives à des personnes physiques constituent des traitements de données à caractère personnel (données personnelles) soumis aux législations (1) européenne : Règlement général (UE) 2016/679 sur la protection des données (RGPD) et (2) française : Loi du 6 janvier 1978 modifiée (loi « informatique et libertés »). Ces traitements doivent faire l’objet d’une instruction préalable de conformité notamment à ces législations qui peut, dans certains cas, nécessiter une autorisation de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Vous êtes concernés dès lors que vous utilisez ces données, par exemple, lorsque vous sélectionnez et collectez auprès des participants leurs données personnelles et, ceci indépendamment du fait que vous analysez et que vous publiez des données anonymisées.
À noter que :
- Les enregistrements d’entretiens (enregistreur externe, captations audio/vidéo par outil de visioconférence) engendrent systématiquement la création de traitement de données personnelles et donc leur nécessaire mise en conformité ;
- Un fichier de contact (mail, coordonnées) est un traitement de données personnelles et doit aussi être mis en conformité ;
- Un traitement de données personnelles peut être « susceptible d’engendrer un risque élevé » au sens du RGPD, notamment dès lors que :
- Que sont collectées et traitées des données sensibles : ex. données de santé, opinions politiques, opinions personnelles, préférences religieuses, origines ethniques, condamnations pénales ou infractions, ADN, données biométriques, données de profilage et de prédiction, etc.
- Que le traitement pourrait avoir des incidences graves sur la vie privée ou les droits des personnes : surveillance, profilage, caractère intrusif excessif, etc.
- Que les données sont traitées à grande échelle selon le nombre de personnes concernées, la diversité de données, la durée ou la portée géographique du traitement ;
- Que les données sont enrichies par croisement, rapprochement ou par déduction ;
- Que les données concernent des personnes vulnérables ;
- Que le traitement soit mis en œuvre à l’aide de solutions technologiques ou organisationnelles innovantes.
Il convient alors de contacter son DPO pour évaluer la nécessité d’une Analyse d’impact relative à la protection des données (AIPD).
Le CER n’a pas vocation à instruire directement la conformité RGPD mais vous alerte sur vos obligations légales et attire votre attention sur certains aspects liés.
Vous êtes responsable scientifique d’un projet de recherche (coordinateur, PI, directeur de thèse, etc.) :
- Pour vérifier les responsabilités et réaliser vos obligations de mise en conformité de votre recherche, nous vous invitons à réaliser les démarches mises à votre disposition par le ou la Délégué.e à la protection des données (DPO) de votre laboratoire (la plupart du temps celui d’une tutelle du laboratoire).