Monter un projet RGPD

La protection des données personnelles est une priorité et doit être pensée à chaque étapes d’un projet de recherche, de la conception à l’archivage des données. Voici quelques exemple de questions à se poser et des actions à effectuer durant les différentes phases d’un projet de recherche :

Montage du projet

Interrogez-vous sur :

  • la détermination de l’objectif du projet et de la finalité des données,
  • les personnes qui seront impliquées dans le projet et notamment sur les destinataires des données (porteur scientifique, équipe technique, DPD, juriste, partenaire industriel, etc.),
  • les données essentielles afin de minimiser le recueil de données personnelles,
  • les données sensibles (ou données hautement personnelles) car leur collecte peut nécessiter des démarches spécifiques auprès de la CNIL,
  • le temps nécessaire de conservation des données pour le projet (à définir si possible par rapport à un événement ; e.g., 6 mois après la publication d’un article),
  • la nécessité d’une étude d’impact sur la vie privée,
  • la rédaction du consentement.
Collecte des données

Identifiez votre rôle et responsabiités dans la collecte des données. Plusieurs cas sont possibles :

  • Cas d’une collecte directe (directement auprès de la personne concernée):
    • si elle est assurée par le responsable de traitement, elle est sous sa responsabilité,
    • si elle est effectuée par un prestataire, c’est à lui d’assumer la responsabilité de cette collecte.
  • Cas d’une collecte indirecte (sur corpus déjà existant) :
    • Le fournisseur de données :
      • il s’assure que les « ré-utilisateurs » des données figurent dans les destinataires de l’étude,
      • il informe « si possible » les sujets de la ré-utilisation de leurs données.
    • Le « ré-utilisateur » :
      • il est destinataire des données,
      • il devient le nouveau responsable de traitement (il décharge de fait l’ancien responsable de traitement de sa responsabilité vis à vis des données).

Lorsque vous devez informer les personnes concernées d’une collecte de données, vous devez :

  • vous assurer que, si un consentement est requis il est clair et univoque et a été donné librement. Le responsable de traitement devra conserver les consentements.
  • sécuriser la collecte de données ce qui concernera probablement la sécurisation des serveurs mais aussi la collecte nomade avec supports (portables, tablettes,….) qui peuvent être volés. Il peut par exemple être nécessaire de crypter les données.
Traitement Scientifique

Le traitement des données doit être confidentiel. Ainsi, est-il nécessaire de :

  • pseudonymiser les données à l’aide d’une table de correspondance stockée sur un autre support que le reste des données,
  • chiffrer les ordinateurs et bases de données,
  • minimiser le nombre de destinataires.

Le responsable de traitement et les sous-traitants doivent :

  • S’assurer de la protection des données
  • Signaler une fuite de données en moins de 72h
  • Respecter ses obligations
Publication

Avant toute publication ou communication de résultats, il est nécessaire de :

  • avoir recueilli le consentement des participants pour la publication des résultats,
  • anonymiser les données tant dans les publications ou communications des résultats que dans leur mise à disposition sur des plateformes.

Attention, on ne doit pas pouvoir identifier les sujets en recoupant les informations disponibles.

Archivage

Si les données présentent un intérêt historique, statistique ou scientifique elles doivent être anonymisées et archivées. Il est préférable de faire intervenir l’archiviste.

Contacter son DPO

Le DPO (Data Protection Officer) est le Délégué à la Protection des Données chargé de vous donner un avis sur la conformité de votre projet au recueil et traitement des données.

Le DPO de l’université Grenoble-Alpes peut-être contacté par mail à DPO@grenet.fr (DPO mutualisé pour l’UGA, l’INP, sciences PO Grenoble et l’USMB)

Pour une instruction de dossier d’un traitement de données personnelles par le DPO de l’UGA, il convient de remplir en amont et de retourner au DPO le formulaire dédié.