Créer ou obtenir l’accès à un ensemble de données
Home » RGPD » Principaux outils et actions » Créer ou obtenir l’accès à un ensemble de données » Créer ou obtenir l’accès à un ensemble de données

Frederic Tronnier (GUF)

Cette partie des lignes directrices a été revue par Aurélie Pols (DPD) et Iñigo de Miguel Beriain (UPV/EHU).

Cette partie des lignes directrices a été revue et validée par Marko Sijan, conseiller principal spécialiste (APD RH).

 

Cette section fournit des lignes directrices pour les chercheurs désireux d’accéder à une base de données externe ou pour les responsables du traitements prêts à donner accès à leurs bases de données en échange d’une compensation. Elle s’appuie sur plusieurs hypothèses fondamentales :

  • Les bases de données ont, en général, de la valeur. Cette valeur provient de deux sources différentes :
    • Les informations qu’elles contiennent
    • La structure et l’organisation sur lesquelles elles reposent. Une base de données bien organisée, documentée et structurée a beaucoup plus de valeur qu’une base de données chaotique.
  • Les données concernées sont des données à caractère personnel. Il s’agit de :
    • Les données concernées ne sont pas des données anonymisées. Les données anonymes ne sont pas des données à caractère personnel et ne relèvent donc pas du champ d’application du RGPD[1] . Ces données peuvent donc être vendues ou achetées comme n’importe quelle autre marchandise. Nous ne nous concentrons pas maintenant sur un tel type de données ;
    • Les données personnelles, qu’elles aient été pseudonymisées ou non, sont protégées par le RGPD et doivent être traitées conformément à ce règlement.
    • Les données relatives aux personnes décédées ne sont pas considérées comme des données à caractère personnel[2] . Elles ne sont généralement pas soumises aux obligations prévues par le RGPD (considérant 27), mais des interprétations locales peuvent s’appliquer (voir les rapports nationaux qui complètent ces lignes directrices). En outre, il est important de garder à l’esprit que si des données sont obtenues auprès de personnes décédées et sont utilisées pour obtenir des informations sur des parents vivants (données génétiques, par exemple), ces données peuvent être considérées comme des données à caractère personnel des parents.[3]
  • La situation peut être totalement différente si le tiers utilise la base de données à des fins de recherche au titre de l’article 89 du RGPD ou non (voir la section sur la protection des données et la recherche scientifique). Cette différence concerne principalement le principe de limitation de la finalité (article 5, point b), du RGPD).

 

  1. Considérant 26 du RGPD pour de plus amples informations.
  2. Voir le considérant 27 du RGPD.
  3. Il faut toutefois tenir compte de la réglementation nationale. Il existe d’énormes différences entre les différents États membres. Voir notre analyse D21, Issues and gaps analysis on informed consent in the context in ICT research and Innovation (en anglais).

 

Aller au contenu principal