L’étape suivante pour les chercheurs consiste à déterminer si les données à caractère personnel vont être collectées directement auprès des personnes concernées ou indirectement (par exemple, auprès d’autres chercheurs, dans des bases de données commerciales, etc.) Bien que cela n’oblige pas nécessairement les chercheurs à adopter une base juridique particulière (voir la section “Identifier la base juridique la plus appropriée”), cela peut influencer cette décision. Par exemple, si les chercheurs décident de collecter des données directement auprès des personnes concernées, ils pourraient être plus favorables à l’utilisation du consentement comme base juridique, puisqu’une relation directe avec les personnes concernées sera de toute façon établie. En outre, conformément aux articles 13 et 14 du RGPD, le choix d’une approche directe ou indirecte de la collecte des données modifie les informations que les responsables du traitement doivent fournir aux personnes concernées.
| Informations à fournir aux personnes concernées en fonction de la méthode de collecte. | ||
| Directe | Indirecte | |
| L’identité et les coordonnées du responsable du traitement | ✓ | ✓ |
| Le cas échéant, l’identité et les coordonnées du représentant du responsable du traitement | ✓ | ✓ |
| Les coordonnées du délégué à la protection des données | ✓ | ✓ |
| Les finalités du traitement | ✓ | ✓ |
| Les catégories de données personnelles concernées | ✓ | |
| La base juridique du traitement | ✓ | ✓ |
| Le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement ou par des tiers | ✓ | ✓ |
| Les destinataires ou catégories de destinataires des données à caractère personnel | ✓ | ✓ |
| L’intention du responsable du traitement de transférer des données à caractère personnel vers un pays tiers ou une organisation internationale | ✓ | ✓ |
| En cas de transfert, l’existence ou l’absence d’une décision d’adéquation de la Commission ou, le cas échéant, la référence aux garanties et aux moyens d’obtenir une copie des données | ✓ | ✓ |
| La période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période | ✓ | ✓ |
| L’existence du droit de demander l’accès aux données concernant la personne concernée, leur rectification, leur effacement ou la limitation du traitement, ou de s’opposer au traitement, ainsi que du droit à la portabilité des données | ✓ | ✓ |
| En cas de “consentement explicite” comme base juridique du traitement, l’existence du droit de retirer le consentement à tout moment | ✓ | ✓ |
| Le droit de déposer une plainte auprès d’une autorité de contrôle | ✓ | ✓ |
| La source des données à caractère personnel et, le cas échéant, si elles proviennent de sources accessibles au public | ✓ | |
| Si la fourniture des données est une exigence légale ou contractuelle, ou une exigence pour conclure un contrat, et si la personne concernée est obligée de fournir les données et les conséquences de la non-communication de ces données | ✓ | |
| L’existence d’une prise de décision automatisée, y compris le profilage | ✓ | ✓ |
| Dans le cas d’une prise de décision automatisée, des informations sur la logique impliquée, la signification du traitement et ses conséquences envisagées pour le sujet | ✓ | ✓ |
Le RGPD reconnaît qu’il peut y avoir des cas où cette obligation d’information n’est pas applicable et énumère des exceptions à l’article 14.5 du RGPD. Ces exceptions sont les suivantes :
- La personne concernée dispose déjà de l’information ;
- La fourniture de ces informations :
- s’avère impossible ;
- impliquerait un effort disproportionné,
- est susceptible de rendre impossible ou de compromettre gravement la réalisation des finalités de ce traitement.
À cet égard, il est important de préciser que cette exception s’applique notamment au traitement à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans le respect des conditions et des garanties inscrites à l’article 89.1 du RGPD.
En outre, dans ces cas, le responsable du traitement prend les mesures appropriées pour protéger les droits et libertés et les intérêts légitimes de la personne concernée, y compris en rendant les informations accessibles au public ;
- Le responsable du traitement est tenu par la législation de l’UE ou d’un État membre d’obtenir ou de divulguer les données à caractère personnel ; ou
- Lorsque les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel régie par le droit de l’Union ou des États membres, y compris une obligation légale de secret.
Quel que soit le mode de collecte des données, le responsable du traitement doit prendre les mesures appropriées pour garantir la précision et la mise à jour des données (par exemple, vérification régulière de la précision). La collecte de données directement auprès des personnes concernées peut contribuer à réduire le risque d’inexactitude (notamment en ce qui concerne les données biométriques comportementales, qui peuvent changer au fil du temps). En outre, le responsable du traitement doit assurer la transparence à chaque étape du processus (voir “Licéité, loyauté et transparence” dans la partie II, section “Principes” des présentes lignes directrices). Pour une explication plus détaillée du droit à l’information et de ses nuances, veuillez consulter la section “Droits des personnes concernées” de la partie II des présentes lignes directrices.