SOcle : Clés pour la Science Ouverte

Respecter le régime des données personnelles et sensibles

Le cadre juridique des données personnelles encadre leur traitement et leur diffusion sans pour autant l’en empêcher. Respecter le RGPD (Règlement Général sur la Protection des données) pour le traitement des données personnelles est l'un des fondements de l'éthique de la recherche.

Les données à caractère personnel désignent toute information se rapportant à une personne physique identifiée ou identifiable, que ce soit directement (ex : un nom de famille) ou indirectement (ex : un numéro de téléphone, une adresse IP).

Les données sensibles forment une catégorie particulière des données personnelles. Il s’agit d’informations révélant “la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique”.

Si l’exploitation de ces catégories de données dans un cadre de recherche scientifique est autorisée par le RGPD (Règlement général sur la protection des données), elle nécessite néanmoins la mise en œuvre de précautions particulières. En effet, leur collecte et leur traitement sont en prince interdits d'après l'article 9 du RGPD. Toutefois, l'exception inscrite au paragraphe 2 point j de cet article permet, au sein de l'université, de collecter ces données si "le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques,[...] qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée."

Ainsi, dans une finalité de recherche, les données à caractères personnel et sensible peuvent être recueillies et exploitées sous plusieurs conditions :

  • faire valider sa recherche a priori par un comité d'éthique 
  • démontrer que le traitement des données respecte le RGPD en remplissant un registre de traitement à faire valider auprès du Délégué à la protection des données de l’université.
  • faire remplir par les personnes interrogées un formulaire de consentement et leur fournir une adresse pour le recours
  • informer les personnes concernées en leur remettant une notice d'information qui synthétise de manière claire et lisible, les modalités de traitement des données aux personnes concernées
  • veiller à des mesures appropriées de sécurité notamment sur le stockage (accès restreint aux données par exemple)

Quand les données sont anonymisées, la législation relative à la protection des données ne s'applique plus.

En ce qui concerne la diffusion de ce type de données, elle est impossible sauf si le traitement des données rend impossible de manière définitive toute identification.

La publication et la réutilisation des données est par ailleurs soumise au consentement des personnes concernées pour toutes les données à caractère personnel.

v-aegirprod-1