L’article 89, paragraphe 1, exige que des “garanties appropriées” soient appliquées au traitement de données à caractère personnel à des fins de recherche scientifique ou historique ou à des fins statistiques, quelle que soit la base légale du traitement. Ces garanties ont pour but d’assurer le respect du principe de minimisation des données à caractère personnel (voir la sous-section “Principe de minimisation” dans la section “Principes” de la partie II des présentes lignes directrices). Ainsi, le premier paramètre à analyser est de savoir si les conditions mêmes du traitement des données à caractère personnel sont réunies, c’est-à-dire que le traitement des données à caractère personnel doit être nécessaire à la réalisation de cette recherche particulière. L’article 89, paragraphe 1, prévoit que les garanties appropriées “doivent se traduire par des mesures techniques et organisationnelles”, telles que la pseudonymisation. La pseudonymisation doit être accompagnée d’autres dispositions, en fonction des risques encourus dans chaque projet. Les responsables du traitement doivent toujours veiller à la mise en œuvre de mesures techniques et organisationnelles adéquates visant à assurer la protection des droits et libertés des personnes concernées. Voici quelques exemples possibles de telles mesures ou sauvegardes :
- Contrôle de l’accès aux bases de données de manière à ce que cet accès ne soit accordé qu’aux personnes autorisées, pour des recherches approuvées, avec un intérêt scientifique justifié, et mise en œuvre d’une solution logicielle permettant un contrôle vérifiable des fichiers journaux d’accès.
- Signature d’un engagement juridiquement contraignant entre les parties, qui comprend les conditions du traitement : engagement de confidentialité et de non-identification des personnes concernées, et utilisation des données pour la finalité spécifique autorisée.
- Mettre en œuvre des mesures de sécurité pour assurer la protection du transfert et du stockage des données chez le destinataire.
- Assurer la transparence des informations fournies aux participants.
- Un contrôle continu des conditions de traitement dans le temps, qui pourrait prendre la forme de mesures de transparence (publication et accessibilité des politiques de gestion des données) et de prévisions à long terme (identification des obligations du responsable du traitement des données). En ce qui concerne ce dernier point, il convient de souligner la nécessité d’établir des engagements clairs en matière de surveillance de la gestion/du traitement des données à caractère personnel par l’institution qui mène la recherche, qui pourrait être plus spécifiquement confiée au comité d’éthique de la recherche (CER) correspondant.
- Mise en place d’un système de contrôle externe à l’investigateur qui pourrait relever de la compétence du CER correspondant ou de la direction du centre de recherche, qui devraient être impliqués dans l’accord susmentionné.
En outre, les chercheurs doivent garder à l’esprit qu’il existe d’autres mécanismes prévus dans le régime général du RGPD qui introduisent également des mesures appropriées au traitement des données à des fins de recherche au sens de l’article 89, paragraphe 1, comme les AIPD ou l’intervention des DPD. Enfin, il est intéressant de mentionner qu’il existe des initiatives visant à promouvoir des codes de conduite et des mécanismes de certification internationaux susceptibles d’harmoniser ces mesures de protection.