Ce que dit la loi

La prise de données vidéo dans le contexte de la recherche implique l'adhésion au règlement européen sur la protection des données personnelles (RGPD) : voir quelques repères. 



Le RGPD (règlement européen sur la protection des données personnelles) est entré en vigueur depuis mai 2018. Il modifie de façon importante les démarches à faire dans le cadre d’une recherche, faisant disparaître certaines démarches auprès de la CNIL, mais renforçant les responsabilités des organismes. Nous revenons ici sur plusieurs points liés au traitement de données personnelles.

NB : Cette note présente les grands principes du RGPD, dans le cadre d’une collecte de données personnelles réalisée directement auprès de la personne concernée (et non pas obtenues par un tiers). Pour vous assurer de la conformité de votre protocole quel que soit le contexte de votre recherche, il est fortement conseillé de vous tourner vers votre DPO (ou DPD, délégué à la protection des données) ou le service juridique de votre établissement / tutelle de rattachement, avant la collecte des données. Cette démarche est d’autant plus nécessaire en cas de collecte auprès de mineurs, si vous collectez des données sensibles, ou si vos données sortent de l’UE (ex : projets de recherches internationaux).

Le RGPD comporte de nouvelles obligations, notamment :

  • L’accountability (responsabilisation, être capable de prouver la conformité des données) : La personne responsable doit s’assurer que la collecte et le traitement des données personnelles est conforme à la réglementation, documenter le processus de collecte et de traitement et pouvoir apporter la preuve que les mesures nécessaires pour être conforme à la réglementation ont été prises, si la CNIL le demande.
  • La protection par défaut (Privacy by default) et la minimisation de la collecte des informations seulement à celles indispensables,
  • La protection des données dès la conception (privacy by design), avec le consentement (ou non) des individus,
  • La réalisation d’études d’impact (traitement à risque, données sensibles)
  • L’instauration de registres, de contrats et de mentions obligatoires,

Le droit à la portabilité des données : permet à une personne de récupérer les données qu’elle a transmises sous format réutilisable.