Associer le Délégué à la Protection des Données (DPD ou DPO) le plus en amont possible de la mise en œuvre du projet de recherche ; cela permet de porter des projets qui intègrent le
principe de respect de la vie privée dès la conception (privacy by design).

Saisir dès que possible le comité d’éthique (ou comité d’éthique recherche) de l’établissement, car les textes sont soumis à interprétation. Le comité d’éthique devrait avoir
un rôle d’aiguillage des projets de recherche, ce qui permet ensuite d’avoir un parcours plus
fluide pour le chercheur.

Dès le début du projet de recherche, définir les objectifs du projet les buts poursuivis et s’assurer que le traitement des données personnelles se fasse en accord avec ceux-ci, dans un principe de minimisation des données.

Prendre en compte le fait que la mise en conformité d’un projet de recherche peut être longue et il convient de l’anticiper au maximum. Il est notamment nécessaire que le
rétroplanning tienne compte des délais règlementaires et institutionnels (CPP, délais de procédures auprès de l’INDS, du CEREES ou encore de la CNIL, Comités d’éthique pour la
recherche (CER) marchés publics, financements européens FEDER, analyse d’impact des traitements sur la vie privée, etc.)

Prendre en compte le fait qu’avant publication, les éditeurs vérifient de plus en plus la conformité au RGPD. Cette dernière permet donc d’éviter les déconvenues lors de la soumission des articles à des revues.

La mise en conformité au RGPD d’un projet de recherche passe par plusieurs étapes de vérification de la protection des personnes et protection des données. Un protocole de recherche conforme aux règles, permet de passer toutes les étapes sur une seule et même base. Le protocole peut même servir de fondement pour la réalisation du plan de gestion des données (data management plan, DMP1), obligatoire dans les projets à financements européens et ANR (à partir de 2020). Si le protocole évolue sensiblement au cours du projet, il est nécessaire d’en faire une mise à jour en lien avec le DPO.

Les captations audio ou vidéo (entretiens, notamment) sont des traitements de données personnelles (voix, image) et nécessitent d’obtenir le consentement préalable des personnes
concernées (ou de leurs tuteurs concernant les mineurs). Le consentement doit être éclairé et donné pour l’utilisation dans le cadre de la recherche. Il doit prévoir les utilisations ou
réutilisations ultérieures, le cas échéant. Le consentement donné au début de l’étude peut être retiré à tout moment par la personne et des processus doivent donc être définis pour
gérer ces consentements au cours du projet de recherche.

Les données de santé sont définies de manière large comme étant des « données relatives à la santé physique ou morale passée, présente ou future qui donne une indication sur l’état de santé de la personne ». La définition d’une donnée de santé ne doit donc pas être minimisée et la pratique montre que les données de santé ne sont pas uniquement utilisées par les sciences médicales et odontologiques et toutes les disciplines de recherche peuvent y avoir recours (et en premier lieu les sciences humaines et sociales).
La CNIL a rédigé une page d’aide à la définition de données de santé ;
En savoir plus
 

L’hébergement des données de santé est un domaine spécifique et sensible, qui peut être soumis à une certification. A ce titre, il faut distinguer notamment la sous-traitance (dans le
cadre où un prestataire assure l’hébergement des données de santé, par exemple) et la co-responsabilité (dans le cadre où les données sont hébergées par l’un des partenaires du projet, qui en détermine les modalités). Dans les deux cas, un accord doit être signé des deux parties pour définir les obligations respectives.

L’anonymisation des données personnelles permet de s’affranchir des règles prévues par le RGPD. Néanmoins, il s’agit d’un processus irréversible ne permettant plus de ré-identifier les
personnes concernées par quelque moyen que ce soit, dont l’efficacité est discutée. Elle doit en tout état de cause être réalisée dans les règles de l’art (exemples d’utilisation de techniques d’anonymisation des données : tranches d’âge plutôt qu’âge précis, cohortes plutôt qu’individus, localisation plutôt qu’adresse, etc.).
Attention ! Une donnée pseudonymisée ou codée n’est pas anonyme et donc constitue une donnée personnelle indirectement identifiante soumise au respect des règles de
sécurité et de protection des données. La pseudonymisation doit être vue comme une mesure de sécurité.

L’ouverture des données (OpenData) doit se faire dans le respect de la protection des données personnelles (« ouvrir autant que possible, fermer autant que nécessaire »).
Un Guide pratique de la publication en ligne et de la réutilisation des données publiques élaboré par les services de la CNIL et de la CADA en association avec les services d’Etalab.
Un Guide d’analyse du cadre juridique en France sur l’ouverture des données de recherche (décembre 2017).

Les établissements proposent des services d’hébergement ou de travail collaboratif qui assurent la sécurité, la confidentialité et le respect de la vie privée. Utilisez-les de préférence,
conformément aux chartes informatiques de vos établissements.

L’hygiène numérique participe de la protection des données personnelles (bonnes pratiques : définition de mots de passe forts, chiffrement des supports physiques, utilisation d’écrans de confidentialité ; pratiques dommageables : utilisation du Wi-Fi public, partage de données sans gestion des habilitations,…). l’ANSSI propose une documentation riche : voir notamment leur guide d’hygiène informatique et recommandations de sécurité relative aux mots de passe.

Attention à l’usage des adresses de courriels personnels dans le cadre professionnel. Ne pas mêler les usages publics / privés (notamment les mails professionnels envoyés depuis une adresse personnelle). Privilégiez toujours l’utilisation des adresses institutionnelles dans le cadre des projets de recherche (ex : nom_projet@nom_etablissement.fr).

Se former et s’informer permet de gagner en autonomie et de faciliter les démarches (atelier de la CNIL11, MOOC du CNAM12, etc.) et participer aux sessions de sensibilisation organisées par vos établissements.