Selon le considérant 78 du RGPD, “[l]a protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel exige que des mesures techniques et organisationnelles appropriées soient prises pour garantir le respect des exigences du [RGPD]”. Cette disposition, qui représente une pierre angulaire du cadre juridique, est précisée pour le cas spécifique du traitement à des fins de recherche. Le considérant 156 du RGPD et l’article 89 du RGPD appellent à la mise en œuvre de “garanties appropriées”, soulignant l’importance de la sauvegarde des droits et libertés des personnes physiques.
Le RGPD ne fournit pas une liste exhaustive des mesures techniques et organisationnelles, laissant au responsable du traitement des données la tâche de les identifier et d’évaluer leur efficacité à atténuer les risques pour les personnes concernées. En outre, les chercheurs devraient envisager un audit externe de sécurité et de protection des données, afin de confirmer que les mesures de sécurité et de conformité sont solides, et de démontrer davantage le respect du principe de responsabilité.
| Exemples de mesures techniques et organisationnelles | |
| Mesures techniques | Mesures organisationnelles |
| Anonymisation ou pseudonymisation des données[1] | Politiques de sécurité |
| Cryptage de la communication | Plans de gestion des données |
| Protection des données contre les accès non autorisés | Programme de formation pour le personnel |
| Évaluation des vulnérabilités / Tests de pénétration | Audits et évaluations réguliers |
- Voir également la section 3.3.5 Effacement ou destruction des données pour plus d’informations sur l’anonymisation. Pour de plus amples informations techniques, veuillez vous référer aux sections “Identification”, “Pseudonymisation” et “Anonymisation” de la partie II, section “Concepts principaux” des présentes lignes directrices.) ↑