Les chercheurs doivent d’abord identifier l’objectif de leur activité (par exemple, réaliser une étude théorique, développer un système biométrique, tester un système existant, etc.) Il s’agit d’une étape importante non seulement pour définir les finalités pour lesquels les données personnelles seront collectées, mais aussi pour aider les chercheurs à identifier si l’activité peut être qualifiée de “recherche” et, par conséquent, si les dispositions légales spécifiques aux activités de recherche s’appliquent. L’article 89.2 du RGPD, par exemple, introduit plusieurs dérogations pour le traitement des données personnelles dans le cadre de la recherche. En particulier, l’article reconnaît que certains droits des personnes concernées (droit d’accès, droit de rectification, droit de limitation, droit d’opposition. Pour plus d’informations, voir “Droits des personnes concernées” dans la partie II des présentes lignes directrices) rendraient plus difficile ou impossible la réalisation des objectifs de certaines recherches. C’est pourquoi elle prévoit des dérogations à ces droits lorsque deux critères sont remplis. Premièrement, la dérogation doit être explicitement prévue par les États membres ou le droit de l’Union. Cela signifie que, outre les dispositions du RGPD, les chercheurs ne peuvent être exemptés de l’obligation de respecter ces droits que dans la mesure où il existe des bases juridiques spécifiques dans un droit national ou dans le droit de l’Union autres que le RGPD (voir la section “Identifier la base juridique la plus appropriée”). Deuxièmement, les chercheurs doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour sauvegarder les droits et libertés des personnes concernées, comme l’exige l’article 89.1 du RGPD. Compte tenu de l’impact potentiel de la conformité pour l’activité de recherche, il est important d’évaluer immédiatement si l’activité peut être qualifiée de “recherche”.
Une délimitation correcte des activités est également nécessaire pour que les chercheurs comprennent les risques de protection des données liés à la recherche. Par exemple, les systèmes destinés à être utilisés dans le domaine des soins de santé ou de l’application de la loi sont susceptibles d’exiger des résultats plus précis que ceux utilisés pour les activités de loisirs (comme les services de streaming musical). Étant donné que la précision d’un système peut, dans certains cas, dépendre de la quantité de données à caractère personnel à traiter (par exemple, lors de l’apprentissage d’un algorithme d’IA), la nécessité d’une plus grande précision peut entraîner des risques accrus pour la protection des données. Les chercheurs devraient identifier clairement le niveau de précision auquel le système devra satisfaire et définir des stratégies pour s’assurer que cette précision est atteinte en introduisant le niveau de risque le plus faible possible, par exemple en limitant la quantité de données personnelles traitées (voir “Minimisation des données” dans la partie II, section “Principes” des présentes Lignes directrices).
Enfin, et surtout, les chercheurs doivent comprendre leur rôle et celui des autres acteurs impliqués. Les chercheurs doivent examiner leur participation au traitement des données prévu afin de comprendre s’ils (c’est-à-dire l’entité pour laquelle ils travaillent) sont les principales entités responsables du traitement des données (responsables du traitement des données), s’ils partagent le rôle de responsables du traitement des données avec d’autres entités (responsable du traitement des données conjoint) ou s’ils traitent les données pour le compte d’autres entités (sous-traitants de données). Les différents rôles impliquent une répartition différente des responsabilités et des obligations.