L'utilisation de vos données personnelles
Beaucoup d’entre vous ont dû entendre parler du RGPD. Ce célèbre règlement européen sur la protection des données. En fait, ce nom raccourci est trompeur : le RGPD protège, non pas les données, mais les personnes au regard du traitement des données personnelles.
Tout d'abord il faut bien comprendre ce que "traitement" signifie :
Le traitement de données est défini comme toute action sur des données. Notamment, la collecte, la consultation, la structuration, l’extraction, la conservation des données sont des traitements.
Différents principes encadrent le traitement des données :
Comme le principe de minimisation qui impose que seules les données nécessaires pour atteindre les finalités du traitement soient traitées ou le principe d’information. Les responsables de traitement de données personnelles ont l’obligation d’informer les personnes concernées. Le contenu et les modalités d’information des personnes sont définis dans le RGPD. Notamment la personne doit être informée sur ses droits, l’identité et les coordonnées du responsable du traitement, quelles données seront collectées, pour quelles finalités, quelle sera la durée du traitement des données, quels seront les destinataires des données, le cas échéant, l’existence d’un transfert de données en dehors de l’Union européenne… On ne vous demandera pas toujours votre consentement pour le traitement de vos données. Le RGPD définit des « bases légales » c’est à dire des fondements qui permettent de traiter des données personnelles sans devoir obtenir le consentement de la personne. Par exemple, dans le cadre d’une recherche clinique réalisée par un établissement public, comme un hôpital, qui a pour mission d’effectuer des recherches qui sont d’intérêt public, le fondement juridique du traitement des données est cette mission d’intérêt public, donc pas de consentement à demander, mais la personne peut toujours s’opposer au traitement des données.
Vous êtes maître de l'utilisation de vos données :
Pour les recherches impliquant la personne humaine, l’information doit être délivrée préalablement à tout traitement de données et individuellement auprès de chaque personne. Grâce à cette information, les personnes sont capables d’exercer leurs droits et d’être maîtres du traitement des données personnelles. Elles peuvent demander une copie des données qui sont collectées, s’opposer au traitement des données, demander l’effacement des données…
Il arrive que certains promoteurs décident de conserver les données pour les réutiliser dans d’autres recherches. Dans ce cas, les mêmes règles du RGPD s’appliquent. Vous devez être informés préalablement et individuellement sur la finalité du nouveau traitement, les destinataires, la durée du traitement….
Le cas particulier des données de santé :
En matière de recherche impliquant la personne humaine, ce sont des données de santé qui sont collectées. Les données de santé sont des données dîtes sensibles tout comme l’origine ethnique, les convictions religieuses ou les opinions politiques ou les données génétiques…Le principe est qu’il est interdit de traiter des données sensibles. Il existe des dérogations qui permettent dans certaines conditions très restreintes, de traiter ces données. Dans le cadre des recherches impliquant la personne humaine, les données de santé peuvent être traitées, et notre autorité de contrôle nationale, la Commission Nationale de l’informatique et des libertés (CNIL), a rédigé des règles strictes que l’on appelle « méthodologie de référence ». Les promoteurs doivent être conformes à la méthodologie de référence qui s’applique à leur recherche. Dans ces méthodologies de référence ont trouve la liste des données qui peuvent être traitées, la liste des destinataires possibles de ces données, la durée du traitement, les conditions de transfert des données dans un pays tiers… S’il décide de traiter des données en dehors des conditions de la méthodologie de référence, un promoteur doit obtenir l’autorisation de la CNIL.