Recherche, thèses, mémoires et rapports de stages

Mise à jour le : 21/06/2023

Le porteur d’un projet de recherche initié par un laboratoire ou le doctorant qui débute une thèse est tenu, dès lors qu’il engage un traitement de données à caractère personnel, de faire procéder à l’instruction du dossier concernant ces travaux.

Ces démarches constituent une obligation réglementaire, nécessitant l’accompagnement du projet.

Quatre questions peuvent permettre d’orienter la démarche et la détection des cas où le projet est concerné par le Règlement général sur la protection des données. Si la réponse à la première question est positive, il faut s’assurer que les travaux envisagés sont conformes à la législation sur les données à caractère personnel.

Y a-t-il traitement de données à caractère personnel ?
Dans l’affirmative, y a-t-il des données sensibles qui sont mobilisées ?
Les participants et autres personnes concernées par le projet sont-ils informés du traitement des données envisagé ? Doivent-ils donner leur consentement ?
Quel sont le circuit et le devenir des données ? Des tiers sont-ils impliqués et faut-il contractualiser avec eux ?

Exemples

Recherche prospective dans laquelle seront collectées des informations concernant les participants ;
Diffusion d’un questionnaire (en ligne ou par tout autre moyen ou support) dans lequel on demande aux participants d’indiquer leur nom et/ou une adresse de messagerie électronique ;
Réutilisation de données à caractère personnel contenues dans une base de données déjà existante.

Votre interlocuteur

La Direction de la recherche et de la valorisation est l’interlocuteur unique pour l’instruction des projets de recherche portés par les laboratoires et les thèses (à l’exception des thèses d’exercice en médecine) à l’occasion desquels des données personnelles font l’objet de traitements. La DRV instruit le dossier et assiste les porteurs de projets (laboratoires, doctorants) pour leur mise en conformité.

Contact

Direction de la recherche et de la valorisation (DRV)

rgpd-recherche%40u-bordeaux.fr

Procédure

Dans le cadre d’un projet de recherche, d’une thèse ou d’un mémoire qui suppose un traitement de données à caractère personnel, il convient de s’assurer de la pleine conformité du projet aux textes en vigueur.

Pour cela, il convient de :

Définir le projet de recherche, son périmètre au regard des données utilisées

Cela se traduira par la détermination :

des objectifs poursuivis par le projet (« finalités de traitement ») ;
des catégories de données utiles (exemples : nom/prénom, âge/date de naissance, catégorie socioprofessionnelle, etc.) ;
des personnes qui auront accès aux données (le(s) destinataire(s) – exemples : l’ensemble de l’équipe de recherche, le coordinateur, le promoteur, les partenaires académiques et/ou industriels, l’hébergeur des données, etc.) ;
de la durée de conservation des données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Le protocole de recherche, à joindre au dossier, est essentiel.
Il faut également joindre toutes les conventions qui ont été passées ou décrire les partenariats envisagés pour connaître les tiers impliqués dans le projet.

Ne collecter que les données strictement nécessaires (principe de minimisation)

Pour chacun des projets, il faut:

que les données traitées soient strictement nécessaires pour la réalisation des objectifs prévus ; par exemple : il n’est pas nécessaire de connaître la date de naissance précise des participants se prêtant à une recherche si une catégorie d’âge est suffisante, à condition bien sûr que cela n’impacte pas la pertinence scientifique du projet (éliminer des documents, formulaires, questionnaires et bases de données toutes les données personnelles inutiles) ;
recenser toutes les typologies de données que l’on envisage de traiter, notamment les données dîtes « sensibles » ;
s’assurer que seules les personnes ayant besoin d’en connaître aient accès aux données et uniquement celles dont elles ont besoin (définir notamment qui peut accéder à quelles données dans une équipe ou un laboratoire) ;
prévoir de ne pas conserver les données au-delà de ce qui est nécessaire, par exemple : jusqu’aux dernières publications scientifiques se basant sur les données concernées (établir des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans les logiciels ou applications utilisés dans le cadre des travaux).

Respecter les droits des personnes

Dès que des personnes physiques acceptent de participer à un projet de recherche ou que le projet réutilise des données concernant des personnes physiques, celles-ci devront être informées du projet, que ce soit via une mention d’information dans un questionnaire ou bien via une notice dédiée.

Cette information devra indiquer aux personnes concernées :

la ou les raisons pour lesquelles il est nécessaire de collecter les données (finalités du traitement) ;
ce qui fonde l’autorisation de collecter ces données (fondement juridique/base légale – dans le cadre de la recherche portée par l’Université de Bordeaux, il s’agira souvent de la poursuite d’une mission d’intérêt public, ce qui devra toutefois être confirmé par lors de l’instruction du dossier) ;
les personnes qui auront accès aux données (destinataires des données – Il peut s’agir d’une personne physique comme d’une équipe entière, voire d’une personne morale) ;
la durée de conservation des données personnelles (ex : 5 ans après la collecte auprès des participants) ;
les modalités selon lesquelles les personnes concernées pourront exercer leur droits (exemple : communication dans ladite notice d’information de l’adresse email du responsable scientifique du projet et du DPO de l’Université de Bordeaux) ;
si les données sont amenées à circuler hors de l’Espace économique européen (Union européenne + Norvège, Islande et Liechtenstein), l’instrument juridique garantissant le maintien d’un niveau de protection des données équivalent.

Un modèle de notice d’information répondant aux exigences est disponible.

La sécurité des données

Outre qu’il s’agit d’une obligation légale, la protection des données à caractère personnel va de pair avec la politique de protection du patrimoine scientifique et technique de la nation (PPST). Cela signifie que les données personnelles traitées, comme les travaux scientifiques dans leur globalité, doivent être protégés de tout risque de compromission.

A cette fin, dans toute recherche, le respect des règles visant la sécurité des données fait l’objet d’un examen lors de l’instruction du dossier ; ils sont visés dans le questionnaire initial de renseignement et dans le document permettant de réaliser une analyse d’impact. Il s’agit des moyens matériels, organisationnels et informatiques mis en œuvre. Tout porteur de projet est invité à respecter les dispositions de la Charte informatique de l’Université de Bordeaux ainsi que le Guide des bonnes pratiques en matière d’utilisation des outils informatiques.

En cas de traitement de données sensibles

En cas de traitement de données sensibles, il est possible qu’il faille procéder à une analyse d’impact. Un accompagnement de cette démarche sera réalisé lors de l’instruction du dossier. Il faut alors se référer au formulaire d’analyse d’impact.

Contractualisation

Un projet de recherche mené par un laboratoire peut nécessiter une contractualisation (accord de consortium / partenariats divers). Une simple recherche peut aussi passer par une convention (établissement fournisseur de données).

Dans tous les cas, il faut s’assurer que le co-contractant, par le biais de dispositions contractuelles, s’engage au respect plein et entier de la règlementation concernant les données personnelles et garantisse l’Université de Bordeaux à cet égard. L’instruction du dossier oblige à vérifier l’état de ces conventions et aboutit, le cas échéant, à la rédaction d’annexes ou avenants consacrés aux données personnelles. Il est demandé de fournir, lorsqu’ils existent, les contrats afférents à la recherche qui ont déjà été conclus.

A noter

La conformité au Règlement général sur la protection des données ne dispense pas de respecter d’autres dispositions. Selon le domaine scientifique, il faudra potentiellement témoigner d’une conformité à d’autres législations, comme par exemple celles relevant du Code de la santé publique pour les recherches impliquant la personne humaine.