Protection des données personnelles
Activités de recherche et données personnelles
Dans un nombre de cas importants et surtout dans certaines disciplines scientifiques, le chercheur est amené à collecter, traiter et conserver des données à caractère personnel.
Le traitement de données personnelles à des fins de recherche est interprété au sens large : il couvre le développement et la démonstration de technologies, la recherche fondamentale et la recherche appliquée. Cela concerne notamment les sciences biomédicales et cliniques, l'épidémiologie, la sociologie quantitative, l'économie comportementale, les sciences de l'éducation, l'informatique centrée sur l'humain ou encore la psychologie expérimentale.
Le traitement n'est pas nécessairement informatisé : les fichiers papier sont également soumis au RGPD et à la loi Informatique et Libertés.
Quelle que soit la discipline, dès lors qu'une donnée permet d'identifier directement ou indirectement une personne physique, les obligations réglementaires issues du RGPD s'appliquent intégralement au protocole de recherche.
Parmi les obligations principales, il faut notamment :
Au moment de la collecte de données identifiantes auprès de tout type de populations, il est nécessaire d’informer les personnes concernées de diverses mentions concernant le traitement de leurs données, notamment l'identité du responsable de traitement (l’établissement de recherche responsable), les finalités, la durée de conservation des données, les modalités d’exercice des droits des personnes (droit d’accès, suppression, rectification etc.) et le cas échéant, les données qui peuvent être conservées au titre du livre II du Code du patrimoine.
Il est également important de donner un point de contact (adresse mail de l’équipe de recherche, si possible générique) pour les questions et demandes liées aux données personnelles.
Il est également crucial de mettre en œuvre des mesures appropriées pour garantir la sécurité des données personnelles conformément à l'article 32 du RGPD. Cela inclut l'utilisation d'outils numériques et de procédures spécifiques.
Par exemple, le chiffrement des données peut être assuré par des logiciels tels que VeraCrypt ou AxCrypt, qui permettent de sécuriser les informations sensibles. Les systèmes de contrôle d'accès robustes peuvent être mis en place à l'aide de solutions comme Okta ou Microsoft Azure Active Directory, qui gèrent les identifiants et les autorisations des utilisateurs de manière sécurisée. Tous ces outils doivent être mis en place sous la supervision des services informatiques de l’établissement.
La pseudonymisation des données peut être facilitée par des outils comme ARX ou sdcMicro, qui masquent les informations identifiantes tout en permettant leur analyse. Pour les sauvegardes et la restauration des données, des solutions comme Acronis ou Backblaze offrent des services.
Aussi, il est obligatoire de s'assurer que tout sous-traitant qui fournit des services de stockage ou autre respecte des normes de sécurité. Cela implique la sélection de sous-traitants fiables, la mise en place de contrats clairs stipulant leurs obligations en matière de protection des données, et la surveillance continue de leur conformité.
L'objectif est de minimiser les risques de violation de données et de garantir la protection optimale des informations sensibles fournies aux sous-traitants (hébergeurs, fournisseurs de services analytiques, mais aussi partenaires d’échange étudiants ou organismes de formations professionnelles…).
Contacts :
- École polytechnique : dpd[at]polytechnique.fr
- ENPC : dpo[at]enpc.fr
- GENES-ENSAE : dpo-genes[at]ensae.fr
- CNRS : dpd.demandes[at]cnrs.fr
- ENSTA : dpo[at]ensta.fr
- Télécom Paris : rgpd[at]telecom-paris.fr
- Télécom SudParis : dpo[at]telecom-sudparis.eu