PhD is loading

Carnet de recherche de A. Abbadie

Recherche

SearchSearch

01 Processus de conformité RGPD

09 avr. 2025, 5 min read

Avant la réflexion éthique, la conformité légale !

Attention cependant, ce document est en cours de production, merci de ne pas vous y fier en tout confiance tant que cette phrase est lisible.

Voici le processus par étapes pour une collecte et traitement de données personnelles, en conformité avec le RGPD, avec l’utilisation d’un PGD1 :

Étape 1 : Constitution du PGD

  1. Déclaration de confidentialité : établir une déclaration de confidentialité qui explique aux participants comment leurs données seront collectées, traitées et protégées.
  2. Inventaire des données : identifier les données que vous collecterez, y compris les données personnelles, et décrire comment elles seront traitées.
  3. Consentement des participants : obtenir le consentement explicite des participants pour collecter et traiter leurs données.
  4. Registre de traitement des données : établir un registre de traitement des données qui décrit les traitements de données personnelles effectués dans le cadre d’un projet.

Registre de traitement des données

Il s’agit d’une obligation légale qui doit être pensée dès la constitution du PGD, et doit faire l’objet d’un document spécifique. C’est pourquoi j’ai prévu une page dédiée : Registre de traitement des données.

Étape 2 : Mise en œuvre du PGD

  1. Protection des données : mettre en œuvre des mesures de sécurité pour protéger les données contre toute forme de dommage, de perte, de destruction ou d’accès non autorisé.
  2. Stockage et conservation : décrire comment les données seront stockées et conservées, y compris la durée de conservation et les conditions de stockage.
  3. Accès et partage : décrire qui aura accès aux données et comment elles seront partagées avec d’autres personnes ou entités.

Étape 3 : Approbation du comité d’éthique

  1. Soumission du projet : soumettre votre projet à un comité d’éthique pour obtenir son approbation avant de commencer la collecte de données.
  2. Rapport d’éthique : établir un rapport d’éthique qui décrit les mesures que vous avez prises pour respecter les obligations en matière de documents et les principes éthiques.

Étape 4 : Déclaration à la CNIL

  1. Déclaration de projet : déclarer votre projet à la CNIL pour obtenir l’autorisation de collecter et de traiter les données personnelles.
  2. Règlement de la CNIL : respecter le règlement de la CNIL qui décrit les obligations en matière de protection des données.

Étape 5 : Collecte et traitement des données

  1. Collecte des données : collecter les données personnelles dans le cadre de votre projet.
  2. Traitement des données : traiter les données personnelles de manière à respecter les obligations en matière de protection des données.

Il est important de noter que ces étapes peuvent varier en fonction de la nature du projet et de la législation applicable. Il est donc recommandé de consulter un avocat spécialisé en droit de la protection des données pour obtenir des conseils personnalisés.

Pour répondre à votre question concernant la collecte de tweets dans le cadre d’une recherche et les obligations liées au RGPD, voici les éléments à prendre en compte :

Pseudonymisation et anonymisation

Même si vous n’utilisez pas les pseudonymes des auteurs et veillez à ce que le contenu ne permette pas une identification directe, cela ne garantit pas nécessairement une anonymisation complète des données[^1][^2]. La pseudonymisation permet toujours d’identifier un individu grâce à ses données personnelles, car elle consiste simplement à remplacer un attribut par un autre[^2].

Risque de réidentification

Il est important de noter que le recoupement d’informations, même pseudonymisées, peut permettre d’identifier une personne[^3]. Les techniques de renseignement d’origine source ouverte (ROSO ou OSINT) permettent de relier différentes données éparpillées publiquement pour révéler une identité[^3].

Obligations légales

Dans le cadre de la recherche, le RGPD prévoit certaines dérogations à l’obligation d’informer individuellement les personnes concernées[^4]. Cependant, cela ne dispense pas totalement des obligations liées à la protection des données personnelles.

Recommandations

  1. Évaluation du risque : Effectuez une analyse approfondie pour déterminer si vos données peuvent être considérées comme véritablement anonymes ou si elles restent pseudonymisées.

  2. Mesures de protection : Mettez en place des mesures techniques et organisationnelles pour garantir un niveau élevé de sécurité des données[^4].

  3. Information générale : Publiez une information générale sur votre site internet concernant votre collecte et utilisation des données[^4].

  4. AIPD : Envisagez de réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) si le traitement présente des risques élevés[^4].

  5. Consultation de la CNIL : En cas de doute sur la nécessité d’une déclaration, il est recommandé de consulter la CNIL pour obtenir des conseils spécifiques à votre situation.

En conclusion, même si vous prenez des précautions pour pseudonymiser les données, il est possible que vous ayez encore des obligations au regard du RGPD. Une déclaration à la CNIL pourrait être nécessaire si les données ne sont pas considérées comme totalement anonymes. Dans le doute, il est préférable de contacter la CNIL pour obtenir des clarifications adaptées à votre cas spécifique.

Citations: [1]: https://ceres.sorbonne-universite.fr/articles/2022-03-15_pgd_rgpd_reponses_aux_questions/ [2]: https://www.village-justice.com/articles/donnees-personnelles-anonymisation-pseudonymisation,26194.html [3]: https://www.cnil.fr/fr/recoupement-dinformations-en-ligne-ce-que-vous-publiez-peut-devoiler-votre-vie-privee [4]: https://www.cnil.fr/fr/ia-informer-les-personnes-concernees [5]: https://avocatspi.com/2019/12/05/expression-litteraire-et-artistique-et-protection-des-donnees-personnelles/ [6]: https://www.scam.fr/donnees-personnelles/ [7]: https://www.dreyfus.fr/2019/08/20/le-pseudonyme-quelle-protection/ [8]: https://centrenationaldulivre.fr/rgpd

Footnotes

  1. Plan de gestion de données, pour ma part j’utilise DMP Opidor, recommandé par l’ingénieur en humanités numériques en charge des PGD au sein de notre université.

Vue Graphique

Liens retour