Procédures en cas de collecte de données à caractère personnel

Mise à jour le :

La collecte de données à caractère personnel doivent faire l'objet d'une déclaration pour vérifier la conformité de leurs projets.

L’université de Bordeaux s’est engagée dans un processus de mise en conformité, qu’il s’agisse des procédures mises en place que des mesures techniques de sécurité des données.

Avant l’entrée en vigueur du Règlement général sur la protection des données (RGPD), la mise en œuvre d’un traitement de données à caractère personnel supposait d’accomplir des formalités auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Les dispositions héritées du RGPD ont changé la donne en introduisant une responsabilisation de tous ceux qui procèdent au traitement des données. L’université doit pouvoir prouver qu’elle se conforme à la réglementation en vigueur (principe dit d’accountability).

Cela suppose que tous les acteurs de la communauté universitaire (enseignants et responsables de formations pour les projets pédagogiques, chercheurs, porteurs de projets, services centraux, composantes, services en charge de la gestion administrative et financière, laboratoires…) entreprennent les démarches, auprès de l’équipe dédiée à la protection des données, pour faire instruire les dossiers et vérifier la conformité de leurs projets.

Outre le consentement des personnes concernées, il faut aussi veiller au respect de leurs droits, ce qui suppose une information claire et précise, ainsi que la mise en œuvre de droits d’accès aux données, de rectification des données, d’effacement des données, à la portabilité des données, de limitation du traitement ou d’opposition à un traitement.

L’université de Bordeaux respecte le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), et la loi nationale n° 78-17 du 6 janvier 1978 modifiée, dite  « Loi informatique et libertés ».  

En savoir plus sur la politique générale de confidentialité

L’instruction de tous les dossiers est une obligation

L’instruction de ces dossiers doit être lancée dès le début d’un projet car le non-respect des dispositions relatives aux données à caractère personnel fait peser sur l’université un risque de sanctions : financières, infractions pénales et condamnations.

Eléments de contexte

Qu’est-ce qu’une donnée à caractère personnel ?

Donnée à caractère personnel ou donnée s’entend de « toute information se rapportant à une personne physique identifiée ou identifiable ».

Cette personne physique peut être identifiée :

  • directement, par exemple via son prénom ou nom ;
  • et/ou indirectement, via son numéro de téléphone, une empreinte digitale, un identifiant, sa voix, son image ou tout autre information relative à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. L’identification peut aussi se faire par recoupement, même si on a l’impression que l’anonymat est respecté.

Qu’est-ce qu’une donnée « sensible » ?

Certaines typologies de données, dites « données sensibles », ou de traitements méritent une vigilance accrue.

Sont considérées comme des données sensibles celles :

  • révélant l’origine prétendument raciale ou ethnique ;
  • portant sur les opinions politiques, philosophiques ou religieuses ;
  • relatives à l’appartenance syndicale ;
  • concernant la santé ou l’orientation sexuelle ;
  • génétiques ou biométriques ;
  • relatives aux condamnations pénales.

Attention : s’agissant des données de santé, il n’existe pas de définition stricte fournie par la législation française. Il s’agit de toute donnée comportant des informations sur l’état de santé d’une personne. Par exemple, seront considérées comme des données de santé toute donnée :

  • relative à des maladies contractées par une personne physique ou des antécédents familiaux ;
  • relative au parcours de soins d’une personne ;
  • révélant une situation de comportement à risque (ex : dépendance) ;
  • issues d’échantillons biologiques.

Les données relatives au bien-être de la personne ou sur la pratique sportive ne sont pas considérées, en principe, comme des données de santé. Il en va de même pour la majorité des données collectées à partir d’une montre connectée.

Ces données, par principe, ne peuvent être traitées mais peuvent toutefois faire l’objet d’un traitement dans des circonstances particulières. La recherche scientifique, poursuivant une « mission d’intérêt public », est l’une des exceptions reconnues par la législation. Cela signifie que les projets de recherches entrepris au sein de l’université de Bordeaux pourront bénéficier de ce régime d’exception, du moment que la collecte de telles données est nécessaire et pertinente au regard des objectifs du projet présenté. Il y a là un point de vigilance essentiel dans l’instruction du dossier.

Qu’est-ce qu’une analyse d’impact ?

En cas de risque élevé pour les droits des personnes concernées, il faut procéder à une analyse d’impact (AIPD ou PIA pour Privacy Impact Assessement).

Une analyse d’impact est nécessaire si le traitement envisagé aboutit à :

  • l’évaluation d’aspects personnels ou la notation d’une personne physique (exemple : scoring financier) ;
  • une prise de décision automatisée ayant un effet juridique ou significatif sur des personnes physiques ;
  • une surveillance systématique des personnes (exemple : télésurveillance) ;
  • le traitement de données sensibles ;
  • le traitement de données personnelles concernant des personnes vulnérables (exemple : mineurs, patients, personnes sous tutelle/curatelle) ;
  • le traitement de données personnelles à grande échelle (dans un contexte où la réidentification des personnes serait aisée – exemple : ¾ de la population française, 90 patients sur une centaine au sein d’un seul et même hôpital) ;
  • le croisement d’ensembles de données (exemple : corrélation de données personnelles issues de différentes cohortes) ;
  • des usages innovants ou l’utilisation de nouvelles technologies (exemple : objets connectés, utilisation d’un système d’intelligence artificielle) ;
  • l’empêchement des personnes concernées d'exercer un droit ou d'utiliser un service ou un contrat (exemple : scoring bancaire pour l’octroi d’un prêt, pour une demande de logement social, pour le bénéfice d’une assurance, mise sur liste noire, etc.).

Dans l’éventualité où le traitement répond à au moins deux de ces neuf critères, il faut réaliser une analyse d’impact avant le démarrage du projet. La réalisation de cette analyse constitue alors une obligation légale.

L’équipe en charge des données à caractère personnel accompagne la réalisation de l’analyse d’impact. L’importance et la précision de cette analyse prennent du temps, et il est impératif de faire instruire au plus tôt le dossier.

Quels principes essentiels faut-il respecter ?

Il faut respecter :

  • le principe de minimisation : ne collecter et traiter que les données utiles au traitement envisagé ;
  • le principe de licéité du traitement : le RGPD indique les bases légales possibles d’un traitement de données : consentement de la personne concernée, exécution d’un contrat, mission d’intérêt public, mise en œuvre d’une obligation légale, intérêt légitime de l’établissement ;
  • le principe de proportionnalité de la durée de conservation des données aux finalités pour lesquelles elles sont traitées.

Outre le consentement des personnes concernées qui, dans certains cas, est recueilli, il faut aussi veiller aux droits de ces personnes, ce qui suppose une information claire et précise de celles-ci, ainsi que la mise en œuvre de droits d’accès aux données, de rectification des données, d’effacement des données, à la portabilité des données, de limitation du traitement ou d’opposition à un traitement.

L’instruction de tous les dossiers est donc une obligation. Elle passe par un audit de situation (réunion de travail ou, pour les projets de recherche, questionnaire de renseignement disponible ici), l’assurance du respect des droits des personnes concernées (avec les notices d’information dont le modèle est disponible ici et le recueil de leurs consentements selon un modèle disponible ici), ainsi que, le cas échéant, une analyse d’impact (formulaire disponible ici) et des conventions à élaborer dès lors qu’un tiers participe au projet (prestataire, partenaire pour l’organisation d’un projet, fournisseur de données, etc.).

C’est dire qu’il peut s’agir d’un processus long et que, au-delà du principe de privacy by design, il faut se rapprocher de l’équipe en charge des données personnelles dès la genèse du projet pour pouvoir être utilement accompagné et éviter tout retard dans sa mise en œuvre.

En même temps, la Direction des systèmes d’information de l’université œuvre à la sécurité des données.

Des professionnels vous accompagnent

Selon la nature du projet, des interlocuteurs spécifiques vous accompagnent :

 

  • Projet institutionnel

    Chaque fois que des données à caractère personnel font l’objet d’un traitement dans la gestion et l’administration de l’établissement, le Délégué à la protection des données (DPO) doit être contacté.

    Lire la suite

  • Projet de recherche

    Le porteur d’un projet de recherche initié par un laboratoire, ou le doctorant qui débute une thèse, un mémoire ou un rapport de stage est tenu de de se mettre en relation avec la Direction de la recherche et de la valorisation (DRV).

    Lire la suite

  • Cas particulier des données de santé

    La Direction de la valorisation doit être contactée pour les recherches ou thèses dans le domaine de la santé. Pour les thèses d’exercice en médecine, XXXX instruit le dossier et accompagne le doctorant.

    Lire la suite