Le GDPR inclut certains concepts d’une pertinence particulière. On ne peut pas répondre adéquatement aux exigences de cette norme si on ne les traite pas correctement. Cinq d’entre eux sont abordés dans cette section : les données personnelles ; le traitement ; la protection des données dès la conception et par défaut ; l’identification, la pseudonymisation et l’anonymisation ; la protection des données et la recherche scientifique. Deux d’entre eux sont particulièrement complexes et/ou pertinents pour l’objet des présentes lignes directrices.
Protection des données et recherche scientifique
Comme l’a souligné le Contrôleur européen de la protection des données (CEPD), “la Commission européenne a défini les objectifs des politiques de recherche et d’innovation de l’UE comme étant “l’ouverture du processus d’innovation à des personnes ayant une expérience dans des domaines autres que le monde universitaire et scientifique”, “la diffusion des connaissances dès qu’elles sont disponibles grâce aux technologies numériques et collaboratives” et “la promotion de la coopération internationale dans la communauté des chercheurs”.[1] Comme l’a souligné le Contrôleur européen de la protection des données (CEPD), “la Commission européenne a défini les objectifs des politiques de recherche et d’innovation de l’UE comme étant “l’ouverture du processus d’innovation à des personnes ayant une expérience dans des domaines autres que le monde universitaire et scientifique”, “la diffusion des connaissances dès qu’elles sont disponibles grâce aux technologies numériques et collaboratives” et “la promotion de la coopération internationale dans la communauté des chercheurs”.
Identification, pseudonymisation et anonymisation
L’une des questions les plus complexes auxquelles nous sommes confrontés lorsque nous devons traiter des données à caractère personnel est de déterminer si ces données nous permettent d’identifier une personne concernée. Cela implique souvent d’examiner si l’anonymisation des données a été réalisée ou non. Dans d’autres cas, les données ne peuvent pas être rendues anonymes, mais doivent rester liées à la personne concernée. Dans ces occasions, la pseudonymisation est l’option la plus pertinente. Malheureusement, il n’est pas toujours facile de savoir dans quel scénario on se trouve. La pseudonymisation et l’anonymisation sont des concepts liés. En particulier, ils sont tous deux définis en termes d’identification. Pour cette raison, les deux sujets sont abordés dans une seule section et la première sous-section analyse la signification technique concrète de l’identification.
References
1EDPS, A Preliminary Opinion on data protection and scientific research, 2020, p. 10. At: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf Accessed: 15 January 2020. ↑