La politique de confidentialité est le document public qui explique comment un projet de recherche traite les données personnelles et comment il applique les principes de protection des données, conformément aux articles 12-14 du RGPD. Toutes les personnes concernées doivent avoir accès à cette politique de confidentialité. Elle doit être documentée. Un modèle non officiel, mais recommandable, se trouve ici : https://gdpr.eu/wp-content/uploads/2019/01/Our-Company-Privacy-Policy.pdf.

Les responsables du traitement doivent toujours garder à l’esprit que, dans le cas de données recueillies sur les réseaux sociaux, ils peuvent finir par mélanger différents ensembles de données ou créer des données déduites ou dérivées. La traçabilité du traitement, les informations sur l’éventuelle réutilisation des données et l’utilisation des données relatives à différents ensembles de données dans les mêmes ou différentes étapes du cycle de vie, doivent être assurées par les registres. Quiconque traite des données à caractère personnel (y compris les responsables du traitement et les sous-traitants) doit documenter ses activités, principalement à l’intention des autorités de contrôle qualifiées/pertinentes. Cela doit se faire par le biais de registres des activités de traitement qui sont conservés de manière centralisée par l’organisation pour l’ensemble de ses activités de traitement, et de documents supplémentaires qui se rapportent à une activité individuelle de traitement des données (voir la sous-section “Documentation du traitement” dans la section “Principaux outils et actions” de la partie II des présentes lignes directrices).

Les premières étapes du développement du projet sont le moment idéal pour mettre en place une méthode systématique de collecte de la documentation nécessaire, puisque c’est à ce moment-là que l’organisation conçoit et planifie l’activité de traitement^[1] .

Enfin et surtout, les responsables du traitement doivent garder à l’esprit que les comités d’éthique joueront probablement un rôle clé dans le traitement des données personnelles. Toutefois, cela pourrait changer considérablement selon les secteurs et les pays. Les responsables du traitement doivent interroger leur DPD à ce sujet.

Enfin, les responsables du traitement ne doivent pas oublier qu’il peut y avoir des implications éthiques au-delà de la conformité légale. La consultation d’un expert en éthique des réseaux sociaux est toujours recommandée.

Liste de contrôle. Politique de confidentialité ☐ Leresponsable du traitement a contacté le bureau/personne qui tient les registres de traitement pour l’organisation. Si nécessaire, le délégué à la protection des données peut aider à établir ce contact. ☐ Leresponsable du traitement a informé très tôt le bureau/personne susmentionné de son intention de traiter des données à caractère personnel. Cette activité de traitement doit être inscrite dans les registres avant le début du traitement. ☐ Leresponsable du traitement a suivi les instructions sur : les informations nécessaires pour fournir les registres de traitement, le moment oùle responsable du traitement doit envoyer des mises à jour de ces informations. Documentation supplémentaire relative à une seule activité de traitement. Les éléments suivants doivent être documentés : ☐ Évaluation du fait que l’activité de traitement entraîne un risque élevé pour les droits et les libertés de personnes physiques. ☐ Analyse d’impact sur la protection des données lorsque l’évaluation ci-dessus donne un résultat positif. ☐ Potentielleconsultation de l’autorité de contrôle compétente avant le traitement. ☐ Requêteset tests d’acceptation pour l’achat et/ou le développement des logiciels, du matériel et de l’infrastructure employés. ☐ Implémentationdesmesures techniques et organisationnelles. ☐ Testsréguliers, évaluation et enregistrement de l’efficacité des mesures techniques et organisationnelles. ☐ Requêteset tests d’acceptation pour la sélection des sous-traitants. ☐ Contratsstipulés avec les sous-traitants. ☐ Possiblesinspections et audits du sous-traitant. ☐ Méthodedecollecte du consentement. ☐ Démonstrations de l’expression individuelle du consentement. ☐ Informationsfournies aux personnes concernées. ☐ Mise en œuvredes droits des personnes concernées. ☐ Traitement effectifdes droits des personnes concernées. ☐ Possiblenotification des violations à l’autorité de contrôle compétente. ☐ Possiblecommunication des violations de données à la personne concernée. Toute autre communication avec l’autorité de contrôle compétente.

 

1. L’article 25, paragraphe 1, du RGPD appelle cela “le moment de la détermination des moyens de traitement”. ↑