Diffusion des résultats
Home » Biométrie » Exposition et directives étape par étape » Phase d’exécution » Diffusion des résultats

À la fin de l’activité de recherche, les chercheurs peuvent décider de diffuser leurs travaux. Si la diffusion n’inclut pas les données personnelles traitées pendant la recherche, le travail peut être diffusé à d’autres parties intéressées. Si la diffusion inclut les données traitées au cours de la recherche (par exemple, en mettant les données à la disposition de la communauté scientifique pour un examen par les pairs), des mesures supplémentaires doivent être prises. La diffusion de données à caractère personnel constitue un traitement au sens de l’article 4.2 du RGPD et – comme décrit ci-dessus – tout traitement impliquant des données biométriques est interdit, sauf dérogation. Par conséquent, les chercheurs doivent répéter les étapes déjà décrites dans la section 3.2.2 avant de procéder à la diffusion. En particulier, si le responsable du traitement des données s’appuie sur la base juridique de la “recherche scientifique” et si toutes les conditions requises pour l’adoption de cette base juridique sont remplies (voir la section Identifier la base juridique la plus appropriée”), il est possible de distinguer deux scénarios. Dans le premier, l’équipe de recherche (équipe A) a terminé son activité de recherche et a l’intention de diffuser les données au profit d’autres équipes de recherche (équipe B). Dans ce scénario, la diffusion n’est pas une opération nécessaire pour atteindre les objectifs de recherche de l’équipe A, mais pourrait être nécessaire pour les objectifs de recherche de l’équipe B. Par conséquent, l’équipe A ne peut pas se fonder sur la base juridique “recherche scientifique”. Il s’ensuit que l’équipe A n’a aucune base juridique pour partager les données avec l’équipe B, ou tout autre destinataire, à moins qu’une base juridique différente ne soit trouvée (par exemple, l’équipe A peut recueillir un consentement explicite aux fins du partage des données avec l’équipe B). Dans le second scénario, l’équipe A se rend compte, après la collecte des données à caractère personnel, qu’elle ne dispose pas des capacités (techniques, par exemple) adéquates pour traiter les données et poursuivre la recherche. Par conséquent, l’équipe A décide de s’en remettre à la capacité de l’équipe B pour traiter les données. Dans cette situation, la diffusion des données à l’équipe B est une étape nécessaire pour atteindre les objectifs de recherche de l’équipe A, et l’équipe B doit être désignée comme “responsable du traitement des données” conformément aux dispositions de l’article 28 du RGPD. L’article 4.8 RGPD définit le sous-traitant des données comme “une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement”. La désignation et les rôles du sous-traitant des données sont communiqués à la personne concernée avant le transfert, et sont régis par un contrat ou par le droit de l’Union ou des États membres, qui contient au moins l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement.

Si des données à caractère personnel doivent être transférées en dehors de l’Espace économique européen[1] , et à condition que ce transfert ne soit pas soumis à une ou plusieurs des dérogations énumérées à l’article 49 du RGPD [2] , des mesures supplémentaires doivent être prises. Le RGPD envisage un certain nombre d’instruments pour le transfert international de données. Cependant, ils ne sont pas tous applicables actuellement, car les autorités compétentes travaillent encore à la formalisation de certains d’entre eux.

Transfert international de données
Poursuivre une décision d’adéquation Applicable
Appliquer les clauses standard de protection des données Applicable
Poursuivre des règles d’entreprise contraignantes Applicable
Respecter les codes de conduite Prévu
Poursuivre les mécanismes de certification Prévu
Recherche d’un instrument juridiquement contraignant entre autorités ou organismes publics Prévu[3]

Dans le premier cas (poursuite de la décision d’adéquation), les données peuvent être transférées vers des États extracommunautaires si une décision d’adéquation est prise par la Commission européenne. Une décision d’adéquation peut être adoptée si l’autre État offre un niveau de protection des données adéquat à la norme européenne[4] . Dans le deuxième cas (application des clauses types de protection des données), les données peuvent être transférées s’il existe un accord entre l’exportateur de données et l’importateur de données et si ces accords contiennent un certain nombre de clauses types concernant la protection des données qui ont été approuvées au préalable par la Commission européenne[5] . Dans le troisième cas, si le transfert extraterritorial a lieu au sein de la même entité (par exemple, un transfert entre deux branches d’un groupe international), les données peuvent être transférées s’il existe des règles d’entreprise contraignantes qui offrent des garanties en matière de protection des données conformément à l’article 47 du RGPD et qui sont approuvées par l’autorité de contrôle de la protection des données compétente.

 

 

  1. Ce qui inclut tous les États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège.
  2. Pour plus d’informations, voir également .European Data Protection Board, ‘Guidelines 2/2018 on Derogations of Article 49 under Regulation 2016/679’, May 2018.
  3. En juillet 2021, ces trois options de transfert international de données ont été planifiées mais pas encore mises en œuvre.
  4. La liste des pays reconnus par une décision d’adéquation peut être consultée sur https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
  5. La version la plus à jour des clauses types se trouve à l’adresse suivante .European Commission, ‘Implementing Decision 2021/914 on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries Pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council’ (2021), https://doi.org/10.5040/9781782258674.

 

Aller au contenu principal