Données personnelles & sensibles

Le standard européen actuel incarné par le RGPD est plus "protecteur" et exigeant que celui exprimé dans la loi vaudoise sur la protection des données personnelles (LPrD). L'article 12 de la LPrD prévoit que : « Lorsque le traitement de données personnelles requiert le consentement de la personne concernée, cette dernière ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profil de la personnalité, son consentement doit être au surplus explicite ».

L’article 4 du RGPD définit quant à lui le consentement de la personne concernée comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement est l'une des 6 bases légales prévues par le RGPD afin de permettre le traitement de données personnelles. Les autres bases légales sont : un contrat (le traitement est nécessaire à sa conclusion ou son exécution), une obligation légale (le traitement est nécessaire au respect d'une obligation légale), un intérêt vital (le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne), une mission publique (le traitement est nécessaire à l'exécution d'une mission d'intérêt public), un intérêt légitime (le traitement est nécessaire aux fins des intérêts légitimes du responsable du traitement).

Comme le rappel la CNIL en France dans son document Régime juridique applicable aux traitements poursuivant une finalité de recherche scientifique : "Le consentement des personnes constitue le premier fondement légal à envisager en application du principe général d’autodétermination informationnelle."

Le consentement ne constituera une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Un consentement valable ne peut être recueilli qu'avant que le responsable de traitement ne commence à traiter la donnée.

Un consentement valable en droit européen implique donc une manifestation de volonté :

• Libre : la personne ne doit pas se sentir contrainte de consentir et son consentement ne doit pas être conditionné à l’octroi d’un avantage.
• Spécifique : le consentement doit être recueilli finalité par finalité et non pas pour un ensemble de finalités. Cela induit que si le responsable de traitement souhaite traiter les données pour une autre finalité, il doit solliciter un consentement complémentaire.
• Eclairée : le consentement éclairé est étroitement lié aux principes de transparence et de loyauté du traitement. Il s'agit ici de connaître l'identité du responsable du traitement, les finalités de ce traitement ainsi que les bases juridiques, etc.
• Univoque : le consentement doit être donné par un acte positif clair. Le silence ou l’inactivité de la personne concernée, ainsi que le simple fait qu’elle continue à utiliser un service, ne peuvent être considérés comme une indication active de choix.

Par ailleurs, le responsable de traitement doit conserver la preuve du consentement en cas de contrôle.

À noter que le traitement des données sensibles doit en outre répondre au recueil d’un consentement explicite. Un consentement oral n'est donc pas suffisant pour traiter des données personnelles sensibles.
Source : www.village-justice.com

Les garanties suivantes devraient être mises en place pour garantir la sécurité et la confidentialité des données collectées dans le cadre de la recherche scientifique :

• le principe de pertinence et de minimisation des données traitées doit être respecté ;
• l’anonymisation des données ou la pseudonymisation ;
• une logique d’accès sécurisé et contrôlé doit être développée ;
• enfin, il est fort probable que, dans la plupart des cas, les traitements mis en oeuvre dans ce cadre requièrent la réalisation d’une analyse d’impact sur la protection des données (AIPD ou PIA) en application de l’article 35 du RGPD. L’AIPD doit être distinguée du plan de gestion des données.

Source : CNIL - Régime juridique applicable aux traitements poursuivant une finalité de recherche scientifique