La protection des données personnelles est une priorité et doit être pensée à chaque étapes d’un projet de recherche, de la conception à l’archivage des données. Voici quelques exemple de questions à se poser et des actions à effectuer durant les différentes phases d’un projet de recherche :
Montage du projet
Détermination de l’objectif du projet et de la finalité des données.
Qui sera impliqué dans le projet ? Qui sont les destinataires des données (porteur scientifique, équipe technique, DPD, juriste, partenaire industriel, etc.) ?
Ciblerles données essentielles en minimisant les données personnelles.
Dois-je récolter des données sensibles ? Des données hautement personnelles ?
Combien de temps devrais-je conserver ces données ? De préférence, définissez une durée relative par rapport à un événement. exemple : 6 mois après la publication d’un article.
Dois-je faire une étude d’impact sur la vie privée ?
Cas collecte directe (directement auprès de la personne concernée) :
Cas 1 : Si elle est assurée par le responsable de traitement, elle est sous sa responsabilité.
Cas 2 : si elle est effectuée par un prestataire, c’est à lui d’assumer la responsabilité de cette collecte
Cas collecte indirecte (sur corpus déjà existant) :
Le fournisseur des données :
il s’assure que les ré-utilisateurs des données figurent dans les destinataires de l’étude.
il informe les sujets de la ré-utilisation de leurs données “si possible”
Le ré-utilisateur :
il est destinataire des données
il devient le nouveau responsable de traitement (il décharge de fait l’ancien responsable de traitement de sa responsabilité vis à vis des données)
Informer les personnes concernées par la collecte : il s’agit de s’assurer que, si un consentement est requis il est clair et univoque et a été donné librement. Le responsable de traitement devra conserver les consentements.
Sécuriser la collecte : cela consiste à sécuriser des serveurs mais aussi la collecte nomade avec supports (portables, tablettes,….) qui peuvent être volés et doivent être cryptés, etc.
Traitement Scientifique
Confidentialité :
Pseudonymisation à l’aide d’une table de correspondance stockée sur un autre support que le reste des données.
Chiffrement des ordinateurs et des bases de données.
Minimisation des destinataires.
Responsabilités : le responsable de traitement et les sous-traitants doivent :
S’assurer de la protection des données
Signaler une fuite de données en moins de 72h
Respecter ses obligations
Publication
Anonymiser les données pour toutes les publications et communications.
Les participants doivent avoir consentis à la publication des résultats.
Anonymiser les données mises à disposition sur des plateformes de publication. Attention, on ne doit pas pouvoir identifier les sujets en recoupant les informations disponibles.
Fin de projet
Archivage : si les données présentent un intérêt historique, statistique ou scientifique elles doivent être anonymisées et archivées. Il est préférable de faire intervenir l’archiviste.
Contacter son DPD (Délégué à la Protection des Données – Data Protection Officer)
Le contact DPO@grenet.fr (DPO mutualisé pour l’UGA, l’INP, sciences PO Grenoble et l’USMB)