Partage des données
Home » RGPD » Principaux outils et actions » Partage des données

Frederic Tronnier (GUF)

Cette partie des lignes directrices a été revue par Aurélie Pols (DPD) et Iñigo de Miguel Beriain (UPV/EHU).

Cette partie des lignes directrices a été revue et validée par Marko Sijan, conseiller principal spécialiste (APD RH).

 

Cette partie des lignes directrices fournit des conseils aux chercheurs qui souhaitent partager des données traitées avec d’autres chercheurs ou organismes de recherche après avoir accompli leur tâche de recherche initiale. Le partage de données avec d’autres chercheurs est susceptible d’être considéré comme une forme de “diffusion” ou de mise à disposition de données à d’autres chercheurs. Par conséquent, il s’agit d’un traitement différent (ultérieur) du traitement initial, qui consiste à “utiliser” les données pour répondre à une question de recherche (voir “Accès à une base de données” dans la partie II, section “Principaux outils et actions”).

En partant de l’hypothèse qu’aucun consentement explicite n’a été obtenu de la part des personnes concernées (sinon, il serait plus facile de satisfaire à l’exigence de licéité prévue à l’article 6, paragraphe 1, point a)), il existe plusieurs scénarios exigeant des évaluations juridiques différentes (voir “Identification”, “Pseudonymisation” et “Anonymisation” dans la partie II, section “Concepts” des présentes lignes directrices). 6, paragraphe 1, point a), il existe plusieurs scénarios exigeant des évaluations juridiques différentes (voir “Identification”, “Pseudonymisation” et “Anonymisation” dans la partie II, section “Concepts principaux” des présentes lignes directrices) :

  • Si les données ont été pseudonymisées ou si des garanties appropriées contre la réidentification ont été mises en place, il peut être plus facile de considérer le “partage” des données comme légal au titre de l’article 6, paragraphe 4. 6(4).
  • Même si les données n’ont pas été pseudonymisées, tant que la diffusion des données est considérée comme nécessaire à des fins de recherche scientifique ou historique (par exemple, elle n’est pas destinée à satisfaire la curiosité morbide d’autres chercheurs, mais à les aider réellement à progresser dans leur domaine), le traitement est toujours susceptible d’être considéré comme un traitement licite compatible (considérant 50), bien qu’il soit toujours fortement conseillé d’obtenir le consentement des personnes concernées pour le traitement ultérieur. Les considérants 159 et 33 introduisent la notion de consentement large pour la recherche scientifique, ce qui signifie que le traitement exact ne doit pas être entièrement spécifié à l’avance. Les personnes concernées doivent toutefois avoir la possibilité de donner leur consentement pour des domaines spécifiques de la recherche et de le retirer pour d’autres parties de l’objectif de la recherche.

En tout état de cause, les responsables du traitement devront à nouveau satisfaire au principe de loyauté/transparence (voir “licéité, loyauté et transparence” dans la section “Principes” du chapitre II des présentes lignes directrices), eninformant les personnes concernées de leurs droits concernant cette nouvelle finalité (article 14, paragraphe 4). Tous les autres principes du RGPD devront également être respectés en ce qui concerne ce traitement ultérieur.

Comme dans le cas de la vente de données à caractère personnel, n’oubliez pas que vous êtes peut-être en situation de contrôle conjoint avec le destinataire des données et que vous êtes toujours responsable de la base de données, c’est-à-dire que vous êtes responsable en cas d’infractions commises par le destinataire des données (voir “Principaux acteurs” dans la partie II des présentes lignes directrices). Par conséquent, comme pour toute transaction, il est nécessaire et conseillé de conclure des contrats entre vous et le destinataire de la base de données afin de clarifier les obligations légales et les droits de chaque partie concernée. Les contrats doivent préciser la finalité de l’utilisation des données par le destinataire ainsi que la manière dont les droits des personnes concernées seront protégés et par qui.

À FAIRE
  • Avant d’acheter l’accès à une base de données, un contrat entre le fournisseur et le destinataire des données devrait définir les droits et les responsabilités de chaque partie impliquée dans la transaction. Il s’agit notamment de définir si la finalité du traitement par le destinataire est conforme au traitement auquel les personnes concernées ont consenti auparavant.
  • Traitez toutes les données avec le même soin que pour les données personnelles et n’oubliez pas que les données peuvent être agrégées avec des données supplémentaires provenant d’autres sources. L’anonymisation des données personnelles est donc très difficile.
  • Si vous recueillez le consentement pour le partage des données, n’oubliez pas de garder un langage clair et simple afin d’impliquer le plus grand nombre de personnes possible. Faites en sorte qu’il soit pertinent pour la vie des gens ; utilisez des exemples concrets et quotidiens lorsque c’est possible. Expliquez notamment à quoi servent les données, quels sont les droits des personnes concernées et comment vous protégez les données et la vie privée des personnes concernées. Veillez à recueillir un consentement individuel pour chaque finalité différente pour laquelle vous prévoyez la nécessité de traiter les données à caractère personnel.
  • Rassemblez la preuve que des investissements substantiels ont été réalisés pour la création de votre base de données (et non pour la création de données en tant que telle). Cela garantit les droits sui generis de la base de données qui vous donnent le droit d’empêcher les autres d’utiliser la base de données ou d’en extraire des informations.
  • Enregistrez tout ce que vous faites et expliquez pourquoi.
  • Veillez à disposer d’une base légale pour la communication à des tiers. Transmettez les obligations aux destinataires des données et faites des stipulations claires.
  • Si vous avez des questions concernant la commercialisation des données, demandez à autant d’experts que possible avant de commercialiser vos données par vous-même.
  • Informez-vous sur le RGPD en le lisant. Une bonne compréhension des termes de base : ” données personnelles “, ” traitement “, ” sous-traitants de données “, ” responsable du traitement des données ” et ” personne concernée ” est nécessaire, mais gardez à l’esprit que la conformité au RGPD va au-delà de ces termes. Par conséquent, consultez un délégué à la protection des données (s’il a été nommé dans votre organisation) ou des spécialistes de la protection des données personnelles avant de commencer les opérations de traitement.
  • Pour la recherche scientifique, utilisez l’avis du CEPD sur la protection des données et la recherche scientifique.[1]
À ne pas faire
  • N’utilisez pas le paradigme de la propriété des données – il ne convient pas. Les droits fondamentaux des personnes concernées ne peuvent être “vendus”.
  • Ne pensez pas que si vous payez les fabricants de bases de données pour utiliser leur base, vous serez exclu de toute responsabilité dans les cas où le fournisseur des données a enfreint un autre droit sur une base de données antérieure. Posez toujours des questions critiques sur l’origine des données que vous êtes sur le point d’acheter.
  • N’essayez pas de recueillir le consentement pour tous les scénarios possibles, les gens se méfieront de vous. Toutefois, ne recueillez pas non plus un seul consentement pour plus d’une finalité de traitement. N’utilisez pas non plus de jargon pour cacher vos intentions ou effrayer les gens.
  • Ne mettez pas en garde contre les conséquences économiques du retrait du consentement ou du refus de donner son consentement. N’oubliez pas d’offrir aux participants un véritable choix.
  • Ne partez jamais du principe que les données que vous avez collectées ne sont pas critiquables. Ne faites pas l’impasse sur l’application du RGPD en raison de la pseudonymisation des données personnelles. Dans la plupart des cas, il est beaucoup plus facile de ré-identifier les personnes concernées que vous ne le pensez (par exemple, en raison des technologies avancées qui peuvent corréler des données provenant de plusieurs sources et établir un lien avec une personne spécifique). Ce n’est que si les données sont réellement anonymisées qu’il n’est plus possible de les inverser en données personnelles.

 

  1. CEPD, 2020.Un avis préliminaire sur la protection des données et la recherche scientifique. Disponible sur : https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf

 

Aller au contenu principal