RGPD-2021-SCDAMUCSO
Données Recherche
Created on December 18, 2020
More creations to inspire you
Transcript
Protection des données personnelles et RGPD dans la recherche :conséquences, obligations, implications
Cellule Science Ouverte
RGPD
Conséquences | Sanctions
3
Conséquences | Sanctions
5
Qui est concerné ?
4
Qu’est-ce qu’un traitement de données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
2
Qu’est-ce que le RGPD ?
1
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe, en offrant un cadre juridique unique aux professionnels, et permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.Où trouver le texte ?Brexit : le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021
4
5
Conséquences | Sanctions
3
Conséquences | Sanctions
5
Qui est concerné ?
4
Qu’est-ce qu’un traitement de données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
2
Qu’est-ce que le RGPD ?
1
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ».Une personne peut être identifiée :
- directement (nom, prénom)
- indirectement (identifiant [n° client], numéro [téléphone], donnée biométrique, éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, la voix ou l’image).
- à partir d’une seule donnée (numéro de sécurité sociale, ADN)
- à partir du croisement d’un ensemble de données (un individu vivant à telle adresse, né tel jour, abonné à tel magazine et militant dans telle association).
Conséquences | Sanctions
3
Lionel Maurel, Données personnelles et recherche scientifique : quelle articulation dans le RGPD ?
Conséquences | Sanctions
5
Qui est concerné ?
4
Qu’est-ce qu’un traitement de données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
2
Qu’est-ce que le RGPD ?
1
Qu’est-ce qu’un traitement de données personnelles ? /1
↪ collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition.
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé.
Un traitement de données personnelles n’est pas nécessairement informatisé, MAIS il doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.
Selon la CNIL
Conséquences | Sanctions
3
Qu’est-ce qu’un traitement de données personnelles ? /2 →
Conséquences | Sanctions
5
Qui est concerné ?
4
Qu’est-ce qu’un traitement de données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
2
Qu’est-ce que le RGPD ?
1
Exemples :
- Consultation de données de contacts comprenant des données personnelles ;
- Campagne d’e-mails promotionnels ;
- Conservation d’adresse IP ;
- Conservation d’enregistrements de vidéosurveillance ;
- Publication d’une photo d’une personne sur internet.
Qu’est-ce qu’un traitement de données personnelles ? /2
Sa désignation est obligatoire dans les établissements publics.Vous devez contacter votre DPO avant tout traitement pour déclarer vos recherches utilisant des données personnelles. Le/La DPO doit :
- tenir le registre des traitements des données personnelles des unités ;
- garantir les droits et libertés fondamentales des personnes dont les données sont collectées au sein de l’établissement de recherche ;
- permettre la mise en œuvre du RGPD ;
- accompagner les activités de recherche.
Conséquences | Sanctions
3
Délégué·e à la protection des données (DPD) | Data Protection Officer (DPO)
Conséquences | Sanctions
← Qu’est-ce qu’un traitement de données personnelles ? /1
5
Qui est concerné ?
4
Qu’est-ce qu’un traitement de données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
2
Qu’est-ce que le RGPD ?
1
Qui est concerné ? /2 →
Qui est concerné ? /1
Territoire d’application : ↪ États membres de l’Union européenne. ↪ Traitement de données de tout citoyen européen.Le Règlement général sur la protection des données (RGPD) s’applique :
- à toute organisation, publique et privée, quelle que soit sa taille (entreprise, ministère, administration, collectivité, association, etc.) ;
- qui traite des données personnelles pour son compte ou non ;
- qui est établie sur le territoire de l'Union européenne ;
- ou qui, non établie sur le territoire de l'Union européenne, cible directement des résidents européens (exemple : un site internet chinois qui propose un service de livraison en France avec paiement en euros).
Conséquences | Sanctions
3
Conséquences | Sanctions
5
Qui est concerné ?
4
Qu’est-ce qu’un traitement de données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
2
Qu’est-ce que le RGPD ?
1
Qui est concerné ? /2
2 questions & 2 critères
Conséquences | Sanctions
3
Champ d’application 1 : toute information qui se rapporte à une personne physique
- identifiée > nom, prénom, adresse, photo...
- identifiable (directement ou indirectement) : numéro de téléphone, numéro client, adhérent, immatriculation de véhicule, croisement de diverses informations....
Champ d’application 1 : l’établissement du responsable du traitement ou du sous-traitant est sur le territoire de l’UE. Se demander qui est le responsable du traitement.
Conséquences | Sanctions
Pour en savoir plus
Pour en savoir plus
5
Champ d’application 2 : toute opération ou ensemble d’opération(s) effectuée(s) ou non à l’aide de procédés automatisés appliqués à des données à caractère personnel.
1. Est-ce que je mets en oeuvre un ou des traitements de données à caractère personnel ? ↪ critère matériel
2. Ce traitement a-t-il un lien avec l’UE ?↪ critère géographique
Champ d’application 2 : concerne le sous-traitant qui traite des données à caractère personnel pour le compte du responsable du traitement. Doit avoir une entité juridique distincte du responsable de traitement.
Exclusion
Qui est concerné ?
Exclusions
← Qui est concerné ? /1
4
Qu’est-ce qu’un traitement de données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
2
Qu’est-ce que le RGPD ?
1
Les données anonymisées de manière irréversible > ne permettent plus l’identification de la personne et ne sont pas soumises à la règlementation sur la protection des données personnelles. ↬ Cela ne comprend pas les données pseudonymisées qui, elles, permettent la (ré)identification d’une personne grâce à une table de correspondance par exemple. Ces données sont soumises à la règlementation sur la protection des données personnelles.
critère matériel
Champ d’application 1 - Exclusion
Retour à la fiche 4 Qui est concerné ? /2
EXCLUSION 1 : les traitements effectués par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. Exemples :
- les contacts d’un téléphone : exclus du RGPD si c’est un téléphone personnel mais inclus si le téléphone est professionnel ;
- les contacts d’un compte mail : un particulier n’est pas concerné par les obligations du RGPD MAIS le responsable du traitement (celui qui fournit le service) est concerné par les obligations du RGPD > Google, Facebook, l’employeur...
critère matériel
Champ d’application 2 - Exclusions
Retour à la fiche 4 Qui est concerné ? /2
Questions que l’on peut se poser pour savoir qui est responsable du traitement :
- Qui a une influence de fait sur les finalités (qui détermine à quoi va servir le traitement ?) ?
- Les finalités correspondent aux objectifs du traitement et les moyens dits essentiels aux types de données, qui y aura accès, combien de temps, qui sera concerné...
- Qui a les moyens du traitement (qui détermine comment atteindre les objectifs ?) ?
- personne physique, morale, autorité publique, service ou organisme qui, seul ou collectivement, impose des finalités et les moyens pour traiter des données...
- De fait l’Université (le Président) est responsable du traitement des données administratives relatives aux étudiants.
- Si l’EC est dans une UMR ou au CNRS, le directeur de l’unité est responsable du traitement.
- Si l’EC travaille sur un projet ANR, H2020... le responsable du traitement est le responsable du projet de recherche.
- Si l’EC travaille pour ses propres recherches, sur ses propres moyens avec ses propres objectifs, il est responsable du traitement.
critère géographique
Champ d’application 1
Retour à la fiche 4 Qui est concerné ? /2
Retour à la fiche 4 Qui est concerné ? /2
- Le sous-traitant exécute les instructions en respectant les finalités et moyens donnés par le responsable du traitement. Il a une absence d’autonomie pour le traitement des données.
- Il peut s’agir d’une personne physique, morale, d’une autorité publique, d’un service...
- biens ou services proposés à des personnes de l’UE par un organisme hors UE : Amazon, Facebook, Google, universités qui reçoivent des étudiants européens... L’organisme est soumis au RGPD.
- suivi de comportement de personnes situées dans l’UE (profilage) : traitement automatisé de données à caractère personnel et utilisation de ces données pour évaluer des aspects personnels d’une personne physique (prédiction, analyse...).
critère géographique
Champ d’application 2
Conséquences | Sanctions /2 →
Conséquences | Sanctions /1
Conséquences | Sanctions
3
Conséquences | Sanctions
5
Qui est concerné ?
4
Qu’est-ce qu’un traitement de données personnelles ?
Nouvelles obligations et grands principes du RGPD :
Licéité, loyauté et transparenceDroits des personnesFinalité Limitation de la conservation des donnéesSécurité des données personnellesSous-traitant Minimisation
Qu’est-ce qu’une donnée personnelle ?
2
FAQ de la Commision européenne
Qu’est-ce que le RGPD ?
1
↪ Traitement de manière loyale, licite et transparente des données, après avoir vérifié l’existence d’une base légale permettant leur traitement.
Licéité, loyauté et transparence
Le traitement doit reposer sur :
- le consentement de la personne concernée : libre, spécifique à une finalité, éclairé, univoque. La personne doit être consciente de son droit de retrait, de l’identité du responsable du traitement, de la finalité, des destinataires, des données traitées. Le responsable du traitement doit pouvoir prouver l’existence du consentement (compréhensible, clair, accessible). Pour les mineurs de moins de 15 ans, le consentement n’est valable que s’il est donné par le mineur ET le représentant de l’autorité parentale.
- une nécessité contractuelle
- une obligation légale
- la nécessité de sauvegarder les intérêts vitaux de la personne concernée
- l’intérêt public
- un intérêt légitime pour le responsable du traitement : sauf si les données sont à caractère personnel. 4 éléments à vérifier :
- vérifier si l’intérêt est légitime ;
- apprécier l’impact du traitement sur la personne ;
- faire un bilan provisoire ;
- donner le bilan définitif qui prend en compte l’étude des garanties fournies par le responsable du traitement.
Retour à la fiche 5 Conséquences | Sanctions /1
L’article 9 du RGPD interdit de recueillir certaines données à caractère personnel : origine raciale, ethnique, religion, informations génétiques, idées politiques, santé ou sexualité... > Données sensibles. Exceptions
- si les données sont anonymisées par un procédé validé par la CNIL ;
- si la personne concernée donne son consentement ;
- si la personne concernée rend ses données publique volontairement, d’elle même ;
- si le traitement est nécessaire pour l'intérêt public, pour la recherche, l’histoire, les statistiques...
↪ Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant si elle repère des erreurs, inexactitudes ou des données dont la collecte, l’utilisation, la communication ou la conservation est interdite.↪ Sur simple demande, le responsable du traitement informatique ou du fichier doit fournir une copie des informations et préciser d’où elles proviennent.
Droits des personnes
Droit d’accès, de modification (Article 16 du RGPD). La dérogation pour la recherche n’est pas applicable si :
- la mise en œuvre de ce droit risque de rendre impossible ou d’entraver la réalisation des finalités spécifiques au traitement.
- les données à caractère personnel sont conservées sous une forme excluant tout risque d’atteinte à la vie privée et à la protection des données des personnes concernées.
- la durée n’excède pas celle nécessaire aux seules finalités de réalisation de recherche scientifique ou historique.
- la mise en œuvre de ce droit risque de rendre impossible ou d’entraver la réalisation des finalités spécifiques au traitement. Il faut justifier en quoi l’accès à une telle demande risque de compromettre la recherche.
- le traitement poursuivant des finalités de recherche est fondé sur l’exécution d’une mission d’intérêt public. Cela implique l’existence d’un texte légal qui sert de référence pour mettre en œuvre l’activité de recherche.
Retour à la fiche 5 Conséquences | Sanctions /1
↪ Avant tout, annoncer aux personnes concernées les objectifs de la collecte des données : ce à quoi elles vont servir. ↪ Ces données ne pourront être réutilisées pour une autre finalité que celle prévue.
Finalité
Les finalités doivent être fixées par le responsable du traitement. ↬ Pourquoi demande-t-il la création de tel fichier ? la collecte de telle donnée ?Obligation de préciser l’objectif précis de la recherche : création d’une application, BDD, article, future recherche... NOUVEAUTÉLes finalités doivent être explicites, données par écrit aux personnes concernées au début du traitement. Exception pour la recherche qui dispose d’une certaine marge de manœuvre pour formuler les finalités des traitements de données collectées d’une manière moins précise que ce qui est exigé en principe par le RGPD (considérant 33 article 5).
« Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet. »
Retour à la fiche 5 Conséquences | Sanctions /1
↪ Il n’est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, limitée au strict minimum.
Limitation de la conservation des données
Dérogations pour la recherche :
- Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
- Des mesures techniques et organisationnelles appropriées doivent être mises en œuvre pour garantir les droits et libertés de la personne concernée.
Retour à la fiche 5 Conséquences | Sanctions /1
Il convient de distinguer :
- La base active : correspond à la durée d’utilisation courante des données (exemple : la réalisation des recherches)
- L’archivage intermédiaire : les données ont encore un intérêt, peuvent être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.
- L’archivage définitif : certaines données de « valeur » et d’intérêt sont archivées de manière définitive et pérenne.
- Ces données sont conservées par le responsable du traitement (ou le sous-traitant) et ne sont accessibles ou modifiables QUE par des personnes autorisées.
- Ces personnes respectent les règles de déontologie applicables à leurs activités.
- Ces données ne peuvent pas être diffusées sans avoir été préalablement anonymisées.
↪ Garantir la sécurité et la confidentialité des informations détenues. Veiller à ce que seules les personnes autorisées y aient accès. ↪ Rendre des comptes (accountability) sur l’utilisation des données.
Sécurité des données personnelles
D’après l’article 24 du RGPD, prendre des mesures de sécurité consiste à :
- protéger les données contre le traitement non autorisé ou illicite, la perte, la destruction, les dégâts d’origine accidentelle, la divulgation à des personnes non autorisées, ...
- établir une politique de sécurité des données, d’actions de sensibilisation du personnel...
- La cartographie (inventaire) des traitements de données à caractère personnel.
- La sécurisation des données et des traitements. En cas de violation des données, notifier la CNIL et la personne concernée.
- La réalisation d’éventuelles analyses d’impact.
Retour à la fiche 5 Conséquences | Sanctions /1
3 obligations 1. La cartographie des traitements de données à caractère personnel Faire l’inventaire des traitements de données à caractère personnel mis en œuvre sous la forme d’un registre régulièrement mis à jour (par le/la DPO + responsable du traitement).Cela permet de prouver la conformité au RGPD et contient :
- les différents traitements de données personnelles ;
- les catégories de données personnelles traitées ;
- les objectifs poursuivis par les opérations de traitements de données ;
- les acteurs (internes ou externes) qui traitent ces données ;
- les flux indiquant l’origine et la destination des données (surtout pour identifier les transferts de données hors de l’Union européenne).
- rendant incompréhensibles les données à caractère personnel ;
- supprimant les risques pour les droits et les libertés des personnes concernées ;
- lorsque cette information exige des efforts disproportionnés.
- un accès sécurisé et contrôlé aux données ;
- l’anonymisation imposée lors de la diffusion des résultats ;
- la pseudonymisation - mise en œuvre toutes les fois où cela est pertinent.
- Processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité.
- Évaluer et déterminer les mesures nécessaires pour y faire face.
- Obligatoire en cas de « risque élevé pour les droits et les libertés des personnes » (traitement à grande échelle, grande zone publique...).
- Si l’analyse d’impact conclut à un risque élevé, obligation de consulter la CNIL qui a entre 8 et 14 semaines pour se prononcer : conseils, enquête, interdiction du traitement.
↪ Obligations de transparence et de traçabilité du parcours et des transformations des données personnelles (mêmes obligations pour le responsable du traitement).
Sous-traitant
Établir un contrat pour identifier les obligations de chacun :
- répertorier les actions effectuées sur les données transmises par le client ;
- si les données sont encore sous-traitées, avoir l’autorisation du fournisseur de données.
- Obligation de respecter les principes du RGPD.
- Obligation de garantir la sécurité des données à caractère personnel.
- Obligation d’alerte et de conseil.
Retour à la fiche 5 Conséquences | Sanctions /1
Obligation de respecter les principes du RGPD
- Les outils et services du sous-traitant doivent prendre en compte les exigences du RGPD et être en conformité avec ces dernières en termes de protection des données personnelles.
- Obligation de garantir que seules les données en rapport avec la mission seront conservées et traitées.
- Assurer au client que les données qui lui ont été confiées sont bien en sécurité, avec une obligation de confidentialité vis-à vis de ces informations.
- À la demande du client, à la fin de la prestation, le sous-traitant rend ou détruit les données (sauf si une obligation légale le contraint à les conserver).
- Accompagner, conseiller le client en matière de bon usage des informations traitées.
- Alerter le client si les données présentent un risque.
- Veiller à ce que le client (qui est responsable du traitement des données personnelles) réponde aux requêtes des personnes souhaitant exercer leurs droits en matière d’accès, de modification ou de suppression des données personnelles qu’il traite.
- Avertir le client en cas de faille de sécurité.
↪ Seules les données strictement nécessaires à la réalisation de l’objectif doivent être collectées.
Minimisation
Obligations :
- de limiter la collecte aux données pertinentes, adéquates et strictement nécessaires au regard de la finalité du traitement.
- pour le responsable du traitement de prouver que le traitement mis en place est absolument nécessaire pour parvenir à l’objectif.
- Nature des données ;
- Ampleur du traitement ;
- Impact du traitement sur la vie privée des personnes concernées ;
- Nombre de personnes ayant accès au traitement et facilité d'accès au traitement ;
- Existence de garanties (limitation d'accès, pseudonymisation, ...).
Retour à la fiche 5 Conséquences | Sanctions /1
Conséquences | Sanctions /2
Conséquences | Sanctions
3
Santions successives prévues par la CNIL > croissantes & progressives
- Avertissement | Rappel à l’ordre
- Retrait d’une certification
- Obligation du respect des droits > injonction de se mettre en conformité
- Arrêt du traitement (temporaire ou définitif )
- Interruption/blocage/suspension des échanges de données
- Amende administrative
- Procès
Conséquences | Sanctions
La CNIL propose une formation en ligne sur le RGPD ouverte à tous
← Conséquences | Sanctions /1
5
Qui est concerné ?
4
Qu’est-ce qu’un traitement de données personnelles ?
Qu’est-ce qu’une donnée personnelle ?
2
Qu’est-ce que le RGPD ?
1