Rechercher
Menu
Je me connecte

Les Bibliothèques et Learning Centers de l'Université catholique de Louvain

Rechercher
  • Accueil
  • Les Bibliothèques et Learning Centers de l'Université catholique de Louvain

Les Bibliothèques et Learning Centers de l'Université catholique de Louvain

RGPD - Règlement Général sur la Protection des Données

biul |

Le Règlement général sur la protection des données (RGPD) est une règlementation européenne en matière de droit à la vie privée. Elle est entrée en vigueur le 25 mai 2018.

Donnée à caractère personnel = toute information relative à une personne physique identifiée ou identifiable (article 4 RGPD).

Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, psychologique, génétique, psychique, économique, culturelle, sociale... d'une personne physique (VLIR - Mind the Gap).

Les identifiants indirects, ou leurs combinaisons, peuvent également conduire à l'identification et sont donc également des données à caractère personnel (Idem).

NB : les règles de protection des données personnelles ne s'appliquent pas aux personnes décédées.

Traitement de donnée à caractère personnel = toute opération effectuée sur une donnée à caractère personnel.

Ce concept large couvre la consultation des données ainsi que leur modification, transfert, stockage, enregistrement, utilisation, destruction, etc. (UCLouvain, “Vade Mecum of the application of the GDPR and its framework law in the field of research").

Certaines données sont qualifiées de « sensibles » ou de « catégories particulières de données à caractère personnel » :

Données sensibles = données relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions philosophiques ou religieuses, à l'appartenance syndicale, aux données génétiques et biométriques, aux données relatives à la santé et à la vie sexuelle ou à l'orientation sexuelle.

En principe, le traitement de ces données est INTERDIT sauf dans le cas d'exceptions limitées (énumérées de manière exhaustive à l'article 9 du GDPR). L'une de ces conditions est la recherche scientifique, pour autant qu'elle s'accompagne de garanties appropriées (articles 9 et 89 du GDPR).

Comment déterminer si vos données contiennent des données à caractère personnel ? Check here !

Les principes à respecter (article 5 RGPD) lors du traitement des données personnelles :

Licéité, loyauté et transparence : base légale (cf. infra) ; les données ne sont pas obtenues ou traitées de manière déloyale ou trompeuse ; des informations spécifiques sont fournies aux personnes concernées ;

Limitation de la finalité (finalité et proportionnalité) : les données sont collectées pour des finalités déterminées, explicites et légitimes. La finalité est claire et sans ambiguïté ;

Minimisation des données : pertinentes et limitées à ce qui est nécessaire pour atteindre les objectifs ;

Exactitude - précision des données : maintenir les données à jour ;

Limitation du stockage (conservation limitée) : les données ne peuvent pas être conservées plus longtemps que nécessaire pour la poursuite des objectifs ;

Intégrité et confidentialité : assurer une sécurité appropriée des données ; les protéger contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou détérioration accidentelle. Mesures de sécurité, cryptage, anonymisation, pseudonymisation ;

Responsabilité : vous devez être en mesure de démontrer que tous ces principes ont été respectés dans le traitement des données à caractère personnel.

Le traitement est licite (base légale) s'il remplit au moins l'une des conditions suivantes :

  • La personne concernée a donné son consentement.
  • Le traitement est nécessaire au respect d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles à la demande de la personne concernée.
  • Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne.
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

Dans le domaine de la recherche, les bases juridiques « intérêt public », “consentement” et, dans une certaine mesure, « intérêt légitime du responsable du traitement ou d'un tiers » sont généralement les plus appropriées (Utrecht University - Data Privacy Handbook : legal bases).

Le consentement: il est important de comprendre que le consentement n'est pas toujours nécessaire ! Toutefois, lorsque le consentement constitue la base de la licéité du traitement, il doit être librement donné, spécifique, éclairé et non équivoque. Il doit s'agir d'un acte affirmatif clair. Il ne peut donc y avoir de consentement en cas de silence ou d'inactivité. Il peut être retiré à tout moment.

Lorsque vous utilisez le consentement, vous devez être en mesure de démontrer que la personne concernée a été informée et a donné son consentement, et pour quelle(s) raison(s) elle a donné son consentement (Utrecht University - Data Privacy Handbook : legal bases). Plus d'informations sur le consentement : ici

Le droit des personnes concernées :

Les personnes dont les données sont traitées détiennent un certain nombre de droits. 

  • Droit d'être informé
  • Droit d'accès
  • Droit de rectification
  • Droit à l'effacement/à l'oubli
  • Droit à la limitation du traitement
  • Droit à la portabilité des données
  • Droit d'opposition

Toutefois, ceux-ci peuvent être limités s'ils rendent impossible ou entravent sérieusement la réalisation des objectifs de la recherche.

La transparence et l'information : 

Le RGPD impose au responsable du traitement de fournir un certain nombre d'informations à la personne dont les données sont traitées. Ces informations sont les suivantes :

  • l'identité et les coordonnées du responsable du traitement ou de son représentant ;
  • les coordonnées du délégué à la protection des données, s'il en existe un ;
  • les données collectées ;
  • les finalités du traitement et la base juridique ;
  • les destinataires des données à caractère personnel ;
  • le transfert éventuel à un pays tiers ou à une organisation internationale ;
  • la durée de conservation ou les critères pour la déterminer
  • existence des droits de la personne concernée (accès, rectification, effacement, limitation, opposition, portabilité + droit de retirer son consentement à tout moment) ;
  • existence du droit d'introduire une réclamation auprès de l'autorité de contrôle ;
  • l'existence d'une prise de décision automatisée.

Il en va de même lorsque les données n'ont pas été collectées auprès de la personne concernée. Cependant, dans le domaine de la recherche, le responsable du traitement ultérieur est exempté de l'obligation d'information lorsque celle-ci s'avère impossible ou exige des efforts disproportionnés.

La durée de conservation des données :

Le principe de limitation du stockage du RGPD oblige à ne pas conserver des données à caractère personnel plus longtemps que cela est nécessaire à la réalisation des finalités annoncées. Les données à caractère personnel peuvent être conservées plus longtemps à condition qu'elles soient traitées uniquement à des fins de recherche scientifique et que :

  • les objectifs de la recherche peuvent être atteints par un traitement qui ne permet pas ou plus l'identification des personnes concernées ;
  • des garanties appropriées existent.


La déléguée à la protection des données (DPO) :

Pour toute question relative au RGPD, veuillez contacter Michèle Remy, Déléguée RGPD de l'UCLouvain : privacy@uclouvain.be