02 Déclaration CNIL

Déclaration à la CNIL : c’est quoi ?

La déclaration à la CNIL est une formalité administrative qui consiste à informer la CNIL de la collecte et du traitement de données personnelles dans le cadre d’un projet. Voici les exigences et les questions auxquelles un chercheur doit répondre :

Exigences pour la déclaration à la CNIL

1. Déclaration obligatoire :

   • La déclaration à la CNIL est obligatoire pour tous les projets impliquant la collecte et le traitement de données personnelles.

2. Formalité administrative :

   • La déclaration doit être effectuée avant la collecte et le traitement des données personnelles.

3. Informations détaillées :

   • La déclaration doit contenir des informations détaillées sur le projet, incluant les objectifs, méthodes, et résultats attendus.

4. Respect du règlement de la CNIL :

   • La déclaration doit être conforme au règlement de la CNIL, qui encadre les obligations en matière de protection des données.

Questions auxquelles un chercheur doit répondre

1. Nom et adresse du responsable du traitement : Qui est responsable du traitement des données personnelles ?
2. Objectif du traitement : Quels sont les objectifs du traitement des données personnelles ?
3. Catégories de données personnelles : Quels types de données personnelles sont collectés et traités ?
4. Catégories de personnes concernées : Qui sont les personnes concernées par ce traitement ?
5. Catégories de destinataires : Qui aura accès aux données personnelles ?
6. Transferts de données : Les données seront-elles transférées vers des pays tiers ?
7. Mesures de sécurité : Quelles mesures sont mises en place pour protéger les données personnelles ?
8. Droits des personnes : Quels sont les droits des personnes concernant leurs données personnelles ?
9. Durée de conservation : Combien de temps les données seront-elles conservées ?
10. Conditions de stockage : Comment les données seront-elles stockées et conservées ?
11. Accès et partage : Qui aura accès aux données personnelles et comment seront-elles partagées ?
12. Règles de confidentialité : Quelles règles de confidentialité sont mises en place pour protéger les données personnelles ?

Il est important de noter que ces questions peuvent varier en fonction de la nature du projet et de la législation applicable. Il est donc recommandé de consulter un avocat spécialisé en droit de la protection des données pour obtenir des conseils personnalisés.

---

Si je ne collecte pas les données sur internet ?

Si votre recherche est in-situ, c’est-à-dire que vous collectez des données directement auprès des participants dans un contexte spécifique, sans collecte de données sur internet, vous n’avez pas besoin de faire une déclaration à la CNIL.

Définition d’une recherche in-situ

• Une recherche in-situ se déroule dans un contexte spécifique (laboratoire, hôpital, école, etc.).
• Elle implique la collecte de données directement auprès des participants, sans utiliser de moyens électroniques.

Exemptions à la déclaration

• Les recherches in-situ sans collecte de données sur internet sont exemptées de la déclaration à la CNIL.
• Conditions pour être exempté :
  • La recherche doit se dérouler dans un contexte spécifique.
  • La collecte de données doit se faire directement auprès des participants, sans moyens électroniques.
  • Aucune donnée ne doit être collectée sur internet.

Conséquences en cas de non-respect

• Si vous ne respectez pas ces conditions, vous pouvez être tenu responsable des dommages causés aux personnes concernées.
• Vous risquez aussi des sanctions de la CNIL pour non-respect des règles de protection des données.

---

Variations selon le type de recherche

La déclaration à la CNIL varie en fonction du type de recherche et de la nature des données collectées. Voici quelques exemples :

Recherche médicale

• Doit inclure des informations sur les données de santé collectées, les méthodes de collecte et de traitement, ainsi que les mesures de sécurité.
• Doit également informer sur les droits des participants (droit à l’oubli, droit à la rectification).

Recherche sociale

• Doit inclure des informations sur les données collectées, les méthodes de collecte et de traitement, ainsi que les mesures de sécurité.
• Doit également informer sur les droits des participants.

Recherche en intelligence artificielle

• Doit inclure des informations sur les données collectées, les méthodes de collecte et de traitement, ainsi que les mesures de sécurité.
• Doit également informer sur les droits des participants.

Recherche en sciences humaines

• Doit inclure des informations sur les données collectées, les méthodes de collecte et de traitement, ainsi que les mesures de sécurité.
• Doit également informer sur les droits des participants.

Recherche en sciences naturelles

• Doit inclure des informations sur les données collectées, les méthodes de collecte et de traitement, ainsi que les mesures de sécurité.
• Doit également informer sur les droits des participants.

Il est important de noter que ces exemples ne sont pas exhaustifs. La déclaration à la CNIL peut varier selon la nature du projet et la législation applicable. Il est donc recommandé de consulter un avocat spécialisé pour obtenir des conseils personnalisés.

---

Modalités de recueil selon l’objectif du recueil

Sur le site de la CNIL...

On peut lire ceci :

• Une déclaration simplifiée faisant référence à la méthodologie de référence MR 001, MR 002 ou MR 003, si la recherche peut être réalisée conformément à l’une de ces trois méthodologies.
• Sinon, une demande d’autorisation recherche dans le domaine de la santé
• Attention !  La CNIL doit être saisie après avis d’un Comité de protection des personnes (CPP). ~ Source

Les MR (Modalités de Recueil) sont des catégories de déclaration à la CNIL en fonction de la nature du projet et des données collectées. Voici un aperçu des trois catégories de MR et comment choisir chacune d’elles :

MR 001 : Recherche

• Destiné aux projets de recherche impliquant la collecte de données personnelles.
• Ces projets doivent être déclarés à la CNIL en utilisant le MR 001 et respecter les règles de protection des données et principes éthiques.

MR 002 : Traitement automatisé de données à caractère personnel

• Destiné aux projets impliquant le traitement automatisé de données personnelles.
• Ces projets doivent être déclarés à la CNIL en utilisant le MR 002 et respecter les règles de protection des données et principes éthiques.

MR 003 : Traitement de données à caractère personnel pour des finalités de marketing

• Destiné aux projets impliquant le traitement de données personnelles pour des finalités de marketing.
• Ces projets doivent être déclarés à la CNIL en utilisant le MR 003 et respecter les règles de protection des données et principes éthiques.

En résumé, voici des exemples de projets par MR :

• MR 001 : Recherche

  • Projet de recherche sur la santé
  • Projet de recherche sur l’éducation
  • Projet de recherche en sociologie

• MR 002 : Traitement automatisé de données

  • Projet de traitement automatisé pour des finalités de marketing
  • Projet de traitement automatisé pour des finalités de gestion
  • Projet de traitement automatisé pour des finalités de recherche

• MR 003 : Marketing

  • Projet de marketing en ligne
  • Projet de publicité en ligne
  • Projet de vente en ligne

Parfois, une déclaration ne suffit pas !

Les déclarations au moyen des MR 00x ne suffisent pas dans le cadre de traitements mixtes. Exemple : Si vous faites une recherche en sciences sociales sur la santé et que vous traitez automatiquement certaines données, vous devez soumettre les deux déclarations à la CNIL, à savoir le MR 001 et le MR 002. Et ce, même s’il y a de la redondance au travers des deux déclarations.

---

Une fois la déclaration terminée

Une fois que vous avez déclaré votre projet à la CNIL, vous obtenez un numéro de déclaration de projet (NDP). Ce numéro est unique et permet à la CNIL de suivre votre projet et de vous contacter si nécessaire.

Ce numéro permet également aux participants de se plaindre

C’est rarement mentionné sur les documents liés à la recherche, mais en tant qu’ancienne webmarketer, je dois vous dire que ce numéro obtenu, vous devez le communiquer dans tous les documents qui parlent de recueil de données. Et les participants peuvent s’en servir pour simplifier un processus de plainte ou de rétractation auprès de la CNIL.

---

Révision du fichier CNIL

Le fichier CNIL est un fichier électronique qui contient toutes les informations sur votre projet de recherche. Ce fichier est soumis à une révision périodique pour s’assurer qu’il est à jour et conforme aux exigences de la CNIL.

Pourquoi faut-il une révision périodique du fichier CNIL ?

Parce que, même si vous faites tout bien, la législation change. Donc, la CNIL doit vérifier régulièrement si votre projet est toujours conforme.

Règles pour la révision du fichier CNIL

• La révision du fichier CNIL doit être effectuée au moins une fois par an.
• La révision doit être effectuée par un expert en protection des données ou un avocat spécialisé en droit de la protection des données.
• La révision doit inclure une mise à jour des informations sur votre projet, des données collectées, des méthodes de collecte et de traitement, ainsi que des mesures de sécurité.
• La révision doit être soumise à la CNIL pour validation.

Conséquences en cas de non-respect

• Si vous ne respectez pas les règles de révision du fichier CNIL, vous risquez des sanctions de la CNIL.
• Vous pouvez également être tenu responsable des dommages causés aux personnes concernées.