Même si un responsable du traitement parvient à trouver une base légale pour donner accès aux données à un tiers, cela ne signifie pas que les garanties et les exigences du RGPD ne s’appliquent pas à ces ensembles de données. De même, un chercheur qui obtient l’accès à une base de données doit être conscient des implications juridiques que sa nouvelle position (en tant que responsable du traitement, responsable conjoint du traitement ou sous-traitant) pourrait entraîner (voir la section “Principaux acteurs” de la partie II des présentes lignes directrices).  En outre, l’exigence de loyauté et de transparence devra à nouveau être respectée. Cela signifie que les personnes concernées doivent être informées de leurs droits quant à ce traitement ultérieur. Tous les autres principes du RGPD devront également être respectés en ce qui concerne ce traitement ultérieur.

Afin de clarifier les rôles à jouer par les différentes parties impliquées dans les accords de transfert de données et de garantir que les dispositions du RGPD sont correctement mises en œuvre, des contrats sont nécessaires et conseillés. Ces contrats devraient englober tous les détails des opérations de traitement des données, y compris l’objet (données à traiter), la durée du traitement, la finalité du traitement des données, la nature du traitement, la nature des données, les catégories de personnes concernées, etc. Ils doivent préciser comment les droits des personnes concernées seront protégés et par qui. Tout le monde doit être pleinement conscient des rôles, responsabilités et droits de chaque partie impliquée. Il va sans dire que les contrats doivent également inclure des clauses relatives aux mesures de sécurité, au stockage des données, aux droits d’audit, à la notification des violations et, en général, à toutes les questions sensibles qui sont couvertes par le RGPD. Ces clauses doivent clarifier les différentes obligations assumées par chaque partie signataire.

Des contrats types existent également pour les différents cas de figure, y compris, par exemple, le contrôle conjoint. Les chercheurs qui donnent accès à leurs bases de données doivent inclure des clauses détaillées consacrées à la gestion du consentement pour le traitement ultérieur, car ils sont le responsable du traitement initial qui transmet les données à caractère personnel.

Que le projet soit de nature académique ou commerciale, les responsables du traitement doivent fournir aux personnes concernées les mêmes informations que celles qui sont fournies lorsque les données sont collectées directement auprès des personnes concernées, y compris, mais sans s’y limiter, l’identité du responsable du traitement et la manière de le contacter, les finalités du traitement et la base légale du traitement ainsi que les droits des personnes concernées. En outre, les personnes concernées doivent être informées de l’origine des données à caractère personnel et savoir si elles proviennent de sources accessibles au public. L’obligation d’information doit être remplie dans un délai raisonnable à compter de l’obtention des données, mais au plus tard dans un délai d’un mois. Des exceptions à cette obligation s’appliquent (par exemple, si la personne concernée a déjà reçu l’information). Des détails complets sur le champ d’application de cette obligation et les exceptions applicables sont fournis à l’article 14 du RGPD (voir “Droit à l’information” dans la partie II, section “Droits de la personne concernée”).