Tom Lindemann (EUREC)
Cette partie des lignes directrices a été revue et validée par Marko Sijan, conseiller principal spécialiste (APD RH).
Qu’est-ce qu’un plan de gestion des données ?
Un plan de gestion des données (PGD) est un élément clé d’une bonne gestion des données et témoigne d’un engagement proactif en faveur de l’intégrité scientifique.
Un PGD couvre l’ensemble du cycle de vie de la gestion de toutes les données collectées, générées ou traitées par un projet de recherche. En général, un PGD fournit des informations sur :
- le traitement des données de recherche pendant et après un projet, y compris les mesures visant à garantir la confidentialité, le cas échéant ;
- quelles données seront collectées, générées et traitées ;
- quelle méthodologie et quelles normes seront appliquées ;
- si les données seront partagées ;
- comment les données seront conservées et préservées, y compris après le projet ;
- les questions d’éthique et de propriété intellectuelle.
En d’autres termes, un PGD se concentre sur la collecte, l’organisation, l’utilisation, le stockage, la contextualisation, la préservation et le partage des données. Plus précisément, le PGD définit les ressources allouées à la gestion des données, identifie et attribue les responsabilités aux responsables du traitement des données et aux sous-traitants, et établit les procédures de protection, de sauvegarde et de partage des données. Par conséquent, un PGD attribue des responsabilités, alloue des ressources, assure une protection et une sauvegarde adéquates des données et spécifie des mécanismes de partage des données de recherche.
En ce qui concerne l’ouverture de la recherche et le partage des données de recherche, les principes FAIR[1] constituent des lignes directrices particulièrement importantes. Les principes FAIR s’appliquent aux données de la recherche (c’est-à-dire les données sur lesquelles se fondent les processus de raisonnement scientifique/les preuves à l’appui des affirmations) et décrivent comment les projets de recherche peuvent garantir que les données de la recherche sont aussi ouvertes que possible et aussi fermées que nécessaire.
Cette dernière disposition est particulièrement importante en ce qui concerne les données à caractère personnel. Les exigences en matière de protection des données supplantent les principes FAIR et les invalident si les données de recherche sont des données personnelles. En Europe, les exigences en matière de protection des données découlent du RGPD, de la législation nationale et internationale pertinente et des directives institutionnelles. Il est important de noter que le RGPD contient des exemptions de recherche qui facilitent l’utilisation et le stockage des données à des fins de recherche. Si les données personnelles sont anonymisées, elles peuvent être partagées, car les données anonymes sont des informations qui ne se rapportent pas à une personne physique identifiée ou identifiable, et le RGPD ne concerne donc pas le traitement de ces informations anonymes, y compris à des fins statistiques ou de recherche (voir “Identification, pseudonymisation et anonymisation” dans la partie II, section “Concepts” des présentes lignes directrices). Étant donné que la relation entre la science ouverte et la protection des données doit être clarifiée dans le paysage réglementaire actuel, les chercheurs doivent prêter une attention particulière aux développements en cours.[2]
Au cours d’un projet, le PGD doit être révisé périodiquement et mis à jour lorsque des changements surviennent, par exemple en raison de nouvelles données ou de l’ajout de nouveaux responsables du traitement ou sous-traitants de données. La mise à jour des informations garantit que le PGD continue à faciliter les bonnes pratiques scientifiques tout au long du projet.
Pourquoi devrais-je rédiger un PGD ?
Bien que les projets de recherche ne soient pas légalement obligés d’adopter des PGD, ils devraient le faire pour au moins trois raisons :
- Les PGD aident les chercheurs à se conformer à la législation sur la protection des données et à suivre les bonnes pratiques en matière d’ouverture des données de recherche. Ils fournissent ainsi des orientations, réduisent l’incertitude et augmentent la transparence.
- Les organismes de financement de la recherche conditionnent de plus en plus le financement au partage des données de recherche, afin de soutenir une recherche fiable, transparente et cumulative.
- Les directives de nombreuses institutions de recherche encouragent les chercheurs à rédiger des PGD.
Suis-je légalement obligé d’avoir un plan de gestion des données ?
Bien que la rédaction d’un PGD ne soit pas actuellement une obligation légale dans le contexte de la recherche européenne, elle est devenue un élément essentiel des bonnes pratiques scientifiques. De nombreux organismes de financement de la recherche attendent des bénéficiaires de subventions qu’ils élaborent un PGD afin de promouvoir une bonne gestion des données. L’une des raisons en est que la gestion des données devient de plus en plus complexe, car il est possible de traiter toujours plus de données et le nombre de projets multicentriques ne cesse d’augmenter. Par conséquent, les projets de recherche impliquant le traitement de données devraient avoir un PGD qui régit le traitement des données de l’ensemble du projet. Par conséquent, à titre d’exemple de bonne pratique, il devrait y avoir un PGD par projet auquel tous les partenaires peuvent se référer pour obtenir des conseils.
Quand dois-je rédiger un plan de gestion des données ?
Les PGD doivent être rédigés avant ou au début d’un projet de recherche, et être revus à intervalles réguliers pendant le projet. Des ajustements doivent être apportés lors de ces révisions, ou chaque fois que cela s’avère nécessaire en raison de changements importants, tels que l’utilisation de nouvelles données, l’utilisation de données à des fins différentes ou l’ajout de nouveaux responsables du traitement ou sous-traitants de données. En tant que tels, les PGD doivent être des “documents vivants” qui évoluent constamment au cours d’un projet. La gestion des données, en d’autres termes, doit être une priorité tout au long du projet.
Qui, le cas échéant, examine ou approuve mon plan de gestion des données ?
Un PGD ne nécessite généralement pas l’approbation d’un délégué à la protection des données (DPD) ou d’une autorité institutionnelle. Toutefois, les obligations précises que les organismes de financement de la recherche ou les directives institutionnelles imposent peuvent varier. Comme les PGD décrivent en détail les pratiques de gestion des données des projets de recherche et répartissent les responsabilités, ils incluent souvent des informations sur l’identité des DPD concernés, en particulier dans les projets qui traitent des données personnelles. Dans ce cas, il est souvent judicieux d’impliquer les DPD dans le processus de rédaction. En outre, les DPD sont généralement une bonne source de conseils et peuvent souvent aider les chercheurs à se conformer à toutes les législations et normes de bonnes pratiques pertinentes.
En outre, les organismes de financement de la recherche peuvent considérer les PGD comme des livrables officiels du projet qui doivent être soumis, et qui sont ensuite examinés par des experts qui peuvent demander des modifications. Les mécanismes d’approbation varient donc en fonction des circonstances et des obligations contractuelles.
Quelle est la valeur juridique et la force coercitive des plans de gestion des données ?
Les PGD ne sont pas juridiquement contraignants. Au lieu de cela, ils fournissent des orientations, augmentent la transparence et aident les chercheurs à suivre la législation pertinente, comme le RGPD. La force coercitive réside principalement dans les instruments juridiques (par exemple, la loi sur la protection des données, les règlements en matière de cybersécurité) et les principes directeurs convenus (par exemple, les principes de gestion des données FAIR) que le PGD spécifie pour des projets de recherche concrets, mais pas dans les PGD eux-mêmes.
Les organismes de financement de la recherche subordonnent de plus en plus le versement des fonds à une gestion correcte des données de recherche, ce qui donne plus de “mordant” aux PGD en tant qu’instrument. Toutefois, cela ne modifie pas leur statut juridique officiel.
Où puis-je obtenir de l’aide pour rédiger un plan de gestion des données ?
La bonne gestion des données étant devenue un élément essentiel des bonnes pratiques scientifiques, les ressources aidant les chercheurs à élaborer des PGD ont proliféré. Par exemple, les PGD pour les projets financés par la Commission européenne dans le cadre du programme de recherche et d’innovation Horizon 2020 doivent suivre le modèle fourni ici et inclure les informations expliquées ici. Si vous soumettez votre proposition à un autre financeur, vous devez vérifier s’il offre des conseils ou a formulé des exigences spécifiques. D’autres modèles et lignes directrices utiles sont fournis, entre autres, par le Digital Curation Centre, DMPTool de l’Université de Californie (axé sur les États-Unis), OpenAIRE, l’initiative Go-FAIR, le Research Data Management Organizer et diverses universités. Avant de rédiger un PGD, il convient de vérifier si votre université ou votre institut de recherche a élaboré un modèle de PGD. Les délégués à la protection des données – si des données à caractère personnel sont concernées – ou les comités d’éthique de la recherche peuvent également vous aider à formuler votre PGD.
Des vidéos YouTube utiles sont fournies, par exemple, par OpenAIRE (ici et ici), la bibliothèque des sciences de la santé de l’université de New York (ici) et le UK Data Service (ici). Des webinaires et des formations sur la gestion des données de recherche sont régulièrement proposés par le Consortium of European Social Science Data Archives (CESSDA) ; voir ici.
Cependant, il est important de souligner que beaucoup de ces ressources contiennent peu d’informations sur les données de recherche qui doivent être considérées comme des données personnelles et auxquelles, par conséquent, les exigences de la science ouverte ne s’appliquent qu’avec de grandes réserves. Nous vous recommandons de ne pas suivre aveuglément les modèles et les recommandations mentionnés ci-dessus, mais de tenir compte de vos propres exigences en matière de protection des données. Votre PGD doit toujours indiquer quelles données seront partagées et quelles données ne le seront pas, et expliquer pourquoi le partage de ces dernières n’est pas possible. Il est important de noter que les données personnelles anonymisées peuvent être partagées car elles ne sont plus considérées comme des données personnelles. En revanche, les données à caractère personnel ne peuvent pas être partagées, sauf si une base légale le permet. Les politiques existantes, telles que la “politique de confidentialité” d’une institution, peuvent être mentionnées dans le PGD afin de souligner l’engagement de votre institution vis-à-vis des questions concernées.
Qui doit rédiger un PGD ?
Chaque chercheur traitant des données peut rédiger un PGD pour faciliter sa propre recherche, respecter les principes d’intégrité scientifique et faire apparaître très tôt les conflits et problèmes potentiels liés à la gestion des données. Dans un consortium de recherche, une personne devrait être responsable, mais dans les projets de recherche interdisciplinaires et transdisciplinaires, tout le monde devrait être impliqué, afin de prendre en compte les différentes perspectives et besoins disciplinaires.
- Selon les principes FAIR, les données de recherche doivent être faciles à trouver, accessibles, interopérables et réutilisables. Ils sont décrits dans un article de Wilkinson et al. qui peut être consulté ici. ↑
- Pour ce faire, vous pouvez, par exemple, consulter le site web du Contrôleur européen de la protection des données ou du Conseil européen de la protection des données pour y trouver des conseils ou un avis sur “la protection des données et la recherche scientifique”. ↑