Frederic Tronnier (GUF)
Cette partie des lignes directrices a été revue par Aurélie Pols (DPD) et Iñigo de Miguel Beriain (UPV/EHU).
Cette partie des lignes directrices a été revue et validée par Marko Sijan, conseiller principal spécialiste (APD RH).
Cette partie des lignes directrices fournit des conseils aux chercheurs qui souhaitent partager des données traitées avec d’autres chercheurs ou organismes de recherche après avoir accompli leur tâche de recherche initiale. Le partage de données avec d’autres chercheurs est susceptible d’être considéré comme une forme de “diffusion” ou de mise à disposition de données à d’autres chercheurs. Par conséquent, il s’agit d’un traitement différent (ultérieur) du traitement initial, qui consiste à “utiliser” les données pour répondre à une question de recherche (voir “Accès à une base de données” dans la partie II, section “Principaux outils et actions”).
En partant de l’hypothèse qu’aucun consentement explicite n’a été obtenu de la part des personnes concernées (sinon, il serait plus facile de satisfaire à l’exigence de licéité prévue à l’article 6, paragraphe 1, point a)), il existe plusieurs scénarios exigeant des évaluations juridiques différentes (voir “Identification”, “Pseudonymisation” et “Anonymisation” dans la partie II, section “Concepts” des présentes lignes directrices). 6, paragraphe 1, point a), il existe plusieurs scénarios exigeant des évaluations juridiques différentes (voir “Identification”, “Pseudonymisation” et “Anonymisation” dans la partie II, section “Concepts principaux” des présentes lignes directrices) :
- Si les données ont été pseudonymisées ou si des garanties appropriées contre la réidentification ont été mises en place, il peut être plus facile de considérer le “partage” des données comme légal au titre de l’article 6, paragraphe 4. 6(4).
- Même si les données n’ont pas été pseudonymisées, tant que la diffusion des données est considérée comme nécessaire à des fins de recherche scientifique ou historique (par exemple, elle n’est pas destinée à satisfaire la curiosité morbide d’autres chercheurs, mais à les aider réellement à progresser dans leur domaine), le traitement est toujours susceptible d’être considéré comme un traitement licite compatible (considérant 50), bien qu’il soit toujours fortement conseillé d’obtenir le consentement des personnes concernées pour le traitement ultérieur. Les considérants 159 et 33 introduisent la notion de consentement large pour la recherche scientifique, ce qui signifie que le traitement exact ne doit pas être entièrement spécifié à l’avance. Les personnes concernées doivent toutefois avoir la possibilité de donner leur consentement pour des domaines spécifiques de la recherche et de le retirer pour d’autres parties de l’objectif de la recherche.
En tout état de cause, les responsables du traitement devront à nouveau satisfaire au principe de loyauté/transparence (voir “licéité, loyauté et transparence” dans la section “Principes” du chapitre II des présentes lignes directrices), eninformant les personnes concernées de leurs droits concernant cette nouvelle finalité (article 14, paragraphe 4). Tous les autres principes du RGPD devront également être respectés en ce qui concerne ce traitement ultérieur.
Comme dans le cas de la vente de données à caractère personnel, n’oubliez pas que vous êtes peut-être en situation de contrôle conjoint avec le destinataire des données et que vous êtes toujours responsable de la base de données, c’est-à-dire que vous êtes responsable en cas d’infractions commises par le destinataire des données (voir “Principaux acteurs” dans la partie II des présentes lignes directrices). Par conséquent, comme pour toute transaction, il est nécessaire et conseillé de conclure des contrats entre vous et le destinataire de la base de données afin de clarifier les obligations légales et les droits de chaque partie concernée. Les contrats doivent préciser la finalité de l’utilisation des données par le destinataire ainsi que la manière dont les droits des personnes concernées seront protégés et par qui.
À FAIRE |
|
À ne pas faire |
|
- CEPD, 2020.Un avis préliminaire sur la protection des données et la recherche scientifique. Disponible sur : https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf ↑