Rechercher
Menu
Je me connecte

Les Bibliothèques - Learning centers de l'UCLouvain

Rechercher
  • Accueil
  • Les Bibliothèques - Learning centers de l'UCLouvain

Les Bibliothèques - Learning centers de l'UCLouvain

RGPD - Règlement Général sur la Protection des Données

biul |

Le Règlement général sur la protection des données (RGPD) est une règlementation européenne en matière de droit à la vie privée. Elle est entrée en vigueur le 25 mai 2018.

Donnée à caractère personnel = toute information relative à une personne physique identifiée ou identifiable (article 4 RGPD).

Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, psychologique, génétique, psychique, économique, culturelle, sociale d'une personne physique (article 4.1.).

Les identifiants indirects, ou leurs combinaisons, peuvent également conduire à l'identification et sont donc également des données à caractère personnel (Idem).

NB : les règles de protection des données personnelles ne s'appliquent pas aux personnes décédées.

Traitement de donnée à caractère personnel = toute opération effectuée sur une donnée à caractère personnel.

Ce concept large couvre la collecte des données ainsi que leur enregistrement, organisation, modification, transfert, stockage/conservation, utilisation, consultation, communication, destruction, etc. (article 4.2)

Certaines données à caractère personnel sont qualifiées de « sensibles » ou de "particulières" :

Données sensibles = données relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions philosophiques ou religieuses, à l'appartenance syndicale, aux données génétiques et biométriques, aux données relatives à la santé et à la vie sexuelle ou à l'orientation sexuelle.

En principe, le traitement de ces données est INTERDIT sauf dans le cas d'exceptions limitées (énumérées de manière exhaustive à l'article 9 du GDPR). L'une de ces conditions est la recherche scientifique, pour autant qu'elle s'accompagne de garanties appropriées (articles 9 et 89 du GDPR).

Le traitement de données sensibles ne peut intervenir que si les deux conditions cumulatives suivantes sont remplies :
- le traitement est valablement fondé sur l'une des bases légales prévues à l’article 6 du RGPD (cf. infra);
- une des exceptions mentionnées à l’article 9 du RGPD est applicable au traitement concerné.

Données anonymes, anonymisées et pseudonymisées :

Une donnée est anonyme lorsqu’elle ne peut pas ou plus être mise en lien avec une personne identifiée ou identifiable, et ce par qui que ce soit.

La pseudonymisation signifie que les données à caractère personnel ne peuvent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires (art. 4.5.).

Les données anonymes ou anonymisées ne sont pas couvertes par le RGPD. En revanche, les données pseudonymisées sont couvertes par le RGPD ! En effet, la "dé-personnalisation" est réversible : il est toujours possible d'identifier les personnes concernées, mais cela est plus difficile.

Comment déterminer si vos données contiennent des données à caractère personnel ? Check here !

(Illustration : The Turing Way Community, & Scriberia. (2020). CC-BY 4.0. Zenodo. https://doi.org/10.5281/zenodo.4323154)

Les principes à respecter (article 5) lors du traitement des données personnelles :

Licéité, loyauté et transparence : base légale (cf. infra) ; les données ne sont pas obtenues ou traitées de manière déloyale ou trompeuse ; des informations spécifiques sont fournies aux personnes concernées ;

Limitation de la finalité (finalité et proportionnalité) : les données sont collectées pour des finalités déterminées, explicites et légitimes. La finalité est claire et sans ambiguïté ;

Minimisation des données : adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre les objectifs ;

Exactitude - précision des données : les données doivent être exactes et, si nécessaire, mises à jour sans délai.

Limitation de la conservation : les données ne peuvent pas être conservées sous une forme permettant l'identification plus longtemps que nécessaire pour la poursuite des objectifs ;

Intégrité et confidentialité : assurer une sécurité appropriée des données ; les protéger contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou détérioration accidentelle via des mesures de sécurité techniques ou organisationnelles (notamment : cryptage, anonymisation, pseudonymisation, ...) ;

Responsabilité : vous devez être en mesure de démontrer que tous ces principes ont été respectés dans le traitement des données à caractère personnel.

Le traitement n'est licite que s'il repose sur l'un des bases juridiques suivantes (article 6) :

  • La personne concernée a donné son consentement au traitement pour une ou plusieurs finalités spécifiques ;
  • Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures contractuelles prises à la demande de celle-ci  ;
  • Le traitement est nécessaire au respect d'une obligation légale ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
  • le traitement est nécessaire à l'exécution d'une mission d'intérêt public ; 
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l'une de ces bases légales. Dans le domaine de la recherche, les bases légales "intérêt public", "consentement” et, dans une certaine mesure, "intérêt légitime du responsable du traitement ou d'un tiers" sont généralement les plus appropriées (Utrecht University - Data Privacy Handbook : legal bases). Plus d'informations sur les bases légales : ici.

Les droit des personnes concernées :

Les personnes dont les données sont traitées détiennent un certain nombre de droits (art. 12 - 13)

  • Droit à l'information (connaître l'utilisation de vos données)
  • Droit d'accès (accéder à vos données)
  • Droit de rectification (corriger, compléter)
  • Droit à l'effacement/à l'oubli, déréférencement
  • Droit à la limitation du traitement
  • Droit à la portabilité des données (récupérer et réutiliser vos données)
  • Droit d'opposition (refuser l'utilisation de vos données)

Vous devez fournir aux personnes concernées les coordonnées d’un point de contact auprès 
duquel elles pourront exercer leurs droits. Vous pouvez recourir à une adresse générique ou nominative.

Dans un contexte de recherche, certains droits peuvent être limités dans des circonstances bien définies,  à savoir lorsque l’exercice de ces droits est susceptible de rendre impossible ou de compromettre  gravement la réalisation des objectifs du projet de recherche.

La durée de conservation des données :

Le principe de limitation de la conservation prévu par le RGPD oblige à ne pas conserver des données à caractère personnel plus longtemps que cela est nécessaire à la réalisation des finalités annoncées. Les données à caractère personnel peuvent être conservées plus longtemps à condition qu'elles soient traitées uniquement à des fins de recherche scientifique et que :

  • les objectifs de la recherche peuvent être atteints par un traitement qui ne permet pas ou plus l'identification des personnes concernées ;
  • des garanties appropriées existent (des mesures techniques et organisationnelles).

Enregistrez votre traitement de données à caractère personnel :

Le Règlement général sur la protection des données exige que les traitements de données à caractère personnel au sein de l’UCLouvain soient documentés et enregistrés dans un registre des activités de traitement.

La déléguée à la protection des données (DPO) :

Pour toute question relative au RGPD, veuillez contacter Michèle Remy, Déléguée RGPD de l'UCLouvain : privacy@uclouvain.be

(Sources : UCLouvain, Vade mecum on the application of the GDPR and its framework law in the field of research ; Utrecht University, Data Privacy Handbook)

 

Le consentement n'est pas toujours requis. Toutefois, lorsque le consentement constitue la base de la licéité du traitement, il doit être libre, spécifique, éclairé et sans ambiguïté. Il doit s'agir d'un acte affirmatif clair. Il ne peut donc pas y avoir de consentement en cas de silence ou d'inaction.

 

Le meilleur moment pour demander le consentement est avant la collecte des données. La personne concernée peut retirer son consentement à tout moment. Le retrait du consentement n'affecte pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.

 

Notez que les mineurs ne peuvent légalement donner leur consentement au traitement de leurs données à caractère personnel.

 

Lorsque vous utilisez le consentement, vous devez être en mesure de démontrer que la personne concernée a été informée et a donné son consentement, et à quelles fins elle a donné son consentement (Utrecht University - Data Privacy Handbook : legal bases). 

 

Source : UCLouvain, Vade mecum sur l'application du RGPD et de la loi-cadre dans le domaine de la recherche.

Plus d'informations :
- Data Privacy Handbook;
- CNIL

Informer les personnes dont les données sont traitées est l'un des principes fondamentaux du RGPD . Cette obligation s'applique dans tous les cas, quelle que soit la base juridique (et donc pas uniquement lorsque vous utilisez le consentement éclairé).

 

Les informations que vous fournissez doivent être : claires et compréhensibles, facilement accessibles, disponibles via plusieurs canaux (le cas échéant) et hiérarchisées (le cas échéant).

 

Le RGPD fait la distinction entre les informations à fournir lorsque les données à caractère personnel sont collectées directement auprès de la personne concernée (données primaires) et celles à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée (données secondaires, réutilisation) (articles 13 et 14).

 

Si vous collectez des données à caractère personnel directement auprès de la personne concernée (que ce soit par le biais d'un questionnaire, d'une enquête ou d'un entretien, ...), vous devez fournir les informations suivantes :

- l'identité et les coordonnées du responsable du traitement ou de son représentant ;
- les coordonnées du délégué à la protection des données, s'il en existe un ;
- les données collectées ;
- les finalités du traitement ;
- la base juridique du traitement ; 
- le caractère obligatoire ou facultatif du recueil des données ;
- les destinataires des données à caractère personnel ;
- le transfert éventuel à un pays tiers ou à une organisation internationale ;
- la durée de conservation ou les critères pour la déterminer ;
- les droits de la personne concernée (droit à l'information, droit d'accès, rectification, effacement, limitation, opposition, portabilité, retirer son consentement à tout moment) ;
- l'existence du droit d'introduire une réclamation auprès de l'autorité de contrôle;
- l'existence d'une prise de décision automatisée.

Ces informations doivent être fournies au moment où les données à caractère personnel sont obtenues. 

 

Si les données à caractère personnel que vous utilisez dans le cadre de vos recherches n'ont pas été collectées directement auprès des personnes concernées (=> vous réutilisez des données à caractère personnel provenant d'une autre source), vous devez les informer, dans un délai d'un mois après avoir obtenu leurs données, de ce traitement et de la source à partir de laquelle vous les avez obtenues. Il existe toutefois certaines exceptions à cette obligation d'information dans le cas d'un traitement ultérieur (art. 14.5 et rec. 62).

 

(Sources : UCLouvain, Vade mecum sur l'application du RGPD et de la loi-cadre dans le domaine de la recherche ; Utrecht University Data Privacy Handbook)

Pseudonymisation :

Processus consistant à remplacer les identifiants directs d'une personne (prénom, nom, etc.) par des informations d'identification indirectes (alias, numéro de dossier, etc.). La pseudonymisation est une mesure de sécurité ou une garantie qui réduit la possibilité de relier vos données aux personnes concernées.

 

La pseudonymisation est une mesure réversible. C'est pourquoi les données pseudonymisées restent des données à caractère personnel. Leur traitement reste soumis aux obligations du RGPD.

 

Anonymisation :

Processus consistant à supprimer toutes les informations permettant d'identifier une personne dans un jeu de données. L'anonymisation est une mesure irréversible. Les données anonymisées ne sont plus des données à caractère personnel. Elles ne sont par conséquent plus soumises aux règles du RGPD.

 

Les autorités européennes de protection des données définissent trois critères qui garantissent qu'un ensemble de données est véritablement anonyme : l'individualisation, la corrélation et l'inférence (CNIL).

 

Il faut savoir que l'anonymisation entraîne une perte d'informations. Elle limite donc l'utilisation future des données. Ces contraintes doivent être prises en compte dès le début du projet. Cependant, l'anonymisation des données est un processus clé pour les pratiques d'Open Data : elle ouvre des possibilités de réutilisation de données dont l'ouverture était initialement interdite en raison de leur caractère personnel (Idem).

 

En pratique :

Il existe plusieurs techniques pour anonymiser et pseudonymiser des données. En France, la CNIL (autorité française de protection des données) a listé différentes techniques (cité par DORANum) :

- Pseudonymisation : les techniques qui reposent sur la création de pseudonymes basiques (compteur et générateur de nombre aléatoire) et celles qui s'appuient sur des techniques cryptographiques (encryption) ;
- Anonymisation : les techniques de randomisation et de généralisation.
Amnesia est une solution gratuite et open source proposée par OpenAIRE.

 

Source : 
DoRANum, https://doi.org/10.13143/SJQQ-HC40 (we translate)

Plus d'informations : 
- Utrecht University, Data Privacy Handbook
- AEPD, 10 misunderstanding related to anonymisation