aux fins de l’éthique de la recherche et
respecter les exigences du RGPD
Coordinateur de l’évaluation
Coordinateur des praticiens
Coordinateur technique
Prestataires de solutions
à propos
à quoi sert
cet outil
Les questions relatives à l’éthique de la recherche sont pertinentes dans les trois dimensions de mesure de la performance d’un trial. Des règles et normes en matière d’éthique de la recherche font partie de la TGM et doivent être prises en compte lors de la mise en place d’un trial. Chaque fois que des êtres humains participent aux activités, des règles et exigences en matière de protection des données doivent être respectées afin de protéger leur vie privée et de réglementer leur participation. Ces obligations sont notamment définies dans le règlement général sur la protection des données (RGPD) de l’UE. Le RGPD s’articule autour de quelques principes de confidentialité, brièvement décrits ci-dessous. S’appuyant sur ces principes, ce guide répertorie les principales exigences et recommandations liées à chacune des trois phases d’un trial : préparation, exécution et évaluation. Avec le nouveau règlement, une entreprise peut être condamnée à une amende s’élevant à 2 % de son chiffre d’affaires pour ne pas avoir tenu ses dossiers en règle (article 28 du RGPD), pour n’avoir pas informé l’autorité de contrôle et la personne concernée d’une infraction ou pour n’avoir pas procédé à une étude d’impact. Pour la réalisation d’un trial, les modifications imposées par ce nouveau règlement concernent principalement les droits des citoyens. Dans le RGPD, les droits de la personne concernée sont détaillés au chapitre III. Bien que les nouvelles règles pour les entreprises soient également pertinentes dans le contexte d’un trial, la mise en œuvre et l’application du RGPD incombent à chaque entreprise/société/organisation participant au trial. En résumé, cette directive en matière d’éthique (dans le cadre de la trial guidance methodology) ne visera pas à aider les entreprises à s’adapter au RGPD, mais elle tiendra compte avant tout des droits des personnes concernées qui participent potentiellement aux activités du trial.
Les directives suivantes reflètent les problèmes et les concepts les plus attendus dans l’organisation d’un trial, mais elles ne sont pas entièrement exhaustives. La raison en est que pour identifier précisément les problèmes éthiques à même d’être pertinents pour un trial, il est nécessaire de disposer de davantage d’informations sur la configuration, telles que le scénario et le degré d’engagement des participants extérieurs (par ex. les volontaires). Cependant, les directives donnent une bonne indication des éventuels problèmes les plus importants et de la manière de les résoudre.
Tout d’abord, un aperçu de certains des principes clés du RGPD :
Licéité, équité et transparence : e RGPD stipule clairement que le traitement des données n’est licite que si, et dans la mesure où, au moins l’une des conditions suivantes est remplie [article 6 du RGPD]. Ces conditions sont par exemple que la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. Les conditions du consentement ont été renforcées et le consentement doit être fourni sous une forme intelligible et facilement accessible, dans un langage simple.
Limitations à la collecte, au traitement et à la finalité : Le RGPD stipule que les données à caractère personnel ne peuvent être obtenues que pour des « finalités déterminées, explicites et légitimes » [article 5 du RGPD, clause 1(b)]. Le RGPD stipule également que les personnes concernées doivent être en mesure de « donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet ». L’article 17 accorde à chaque personne concernée le droit de faire effacer ses données à caractère personnel lorsqu’elle retire son consentement ou s’oppose à leur traitement, ainsi que lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées en premier lieu. En vertu du RGPD, il n’est pas nécessaire de soumettre à chaque autorité de protection des données (DPA) locale des notifications / enregistrements des activités de traitement des données. À la place, il existe des exigences internes de tenue de dossiers et la désignation d’un délégué à la protection des données (DPO) est obligatoire dans certains cas.
Exactitude : Le RGPD stipule que les données doivent être « exactes et, si nécessaire, tenues à jour » [article 5 du RGPD, clause 1(d)].
Minimisation des données & Pprotection de la vie privée dès la conception : le RGPD stipule que les données recueillies sur une personne doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » [article 5, RGPD, clause 1(c)]. La protection de la vie privée dès la conception, nouvelle exigence légale du RGPD, appelle à l’inclusion de la protection des données dès le début de la conception des systèmes, plutôt qu’à un ajout. L’article 23 prévoit que les responsables du traitement ne détiennent et ne traitent que les données absolument nécessaires à l’accomplissement de leurs tâches (minimisation des données). Il prévoit en outre que l’accès aux données à caractère personnel soit limité à ceux qui sont chargés de leur traitement.
Limites de stockage/intégrité et confidentialité : Le RGPD stipule que les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire » [article 5, clause 1(e) du RGPD]. Le RGPD stipule également que les personnes chargées du traitement des données doivent procéder « de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle » [article 5, clause 1(f) du RGPD]. Également appelé « effacement des données », le droit à l’oubli autorise la personne concernée à demander au responsable du traitement des données d’effacer ses données à caractère personnel, de cesser toute diffusion de ces données et, éventuellement, de faire interrompre le traitement des données par des tiers. Les conditions d’effacement, telles que décrites à l’article 17, incluent les données qui ne sont plus pertinentes au regard des finalités initiales du traitement, ou une personne concernée retirant son consentement.
Exigences et recommandations du RGPD pour la phase de préparation
Décidez de la nécessité de réaliser une analyse d’impact relative à la protection des données [cf. la section 3 du RGPD, article 35]. Une DPIA est notamment requise dans les cas suivants :
- une évaluation systématique et détaillée des aspects personnels liés aux personnes physiques, basée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui entrainent des conséquences juridiques concernant la personne physique ou qui touchent de manière significative la personne physique ;
- le traitement à grande échelle de catégories spécifiques de données visées à l’article 9(1), ou de données à caractère personnel relatives à des condamnations pénales et des infractions visées à l’article 10 ; ou
- une surveillance systématique à grande échelle d’une zone accessible au public.
- Veiller à ce que les données soient collectées à des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement d’une manière incompatible avec ces finalités [RGPD, article 5, clause 1(b)].
- Informez la personne concernée (la personne auprès de laquelle les données à caractère personnel sont recueillies) de l’identité et des coordonnées du responsable du traitement, du type de données qui seront recueillies et traitées, de la manière dont le résultat de sa contribution sera utilisé et assurez-vous que les données effectivement recueillies correspondent à cette description. Fournissez des informations sur le but de la recherche, qui aura accès aux données et combien de temps les données seront stockées. Ces informations doivent être fournies sur une fiche de consentement éclairé, que la personne concernée doit signer avant la collecte des données.
- Faites en sorte que le processus d’observation ou d’enregistrement soit expliqué très clairement. Donnez à toute personne potentiellement concernée la possibilité de refuser d’être observée ou enregistrée.
- Informez systématiquement l’ensemble des participants et des spectateurs potentiels de manière détaillée et bien avant de mener les recherches. Dans le cas où des spectateurs pourraient être concernés par l’activité, par ex. en étant exposé à un scénario de trial avec une composante de terrain, il convient de leur donner le plus d’informations possible et à l’avance. On peut par exemple placer des affiches d’information à proximité de la zone de trial. Cela serait considéré comme une bonne pratique, même si les spectateurs ne sont pas des « personnes concernées ». Cependant, cela dépend de la situation. Si les prestataires de solutions mettent en œuvre une surveillance vidéo ou un suivi des spectateurs, il se peut que ces derniers deviennent des personnes concernées.
Exigences & recommandations du RGPD pour la phase de préparation
- Si nécessaire, consultez les autorités locales de protection des données pour vous assurer que les règles et réglementations garantissant les droits de protection des données sont respectées. Il convient de faire un enregistrement auprès des autorités nationales le cas échéant. Avec le RGPD, il n’est plus nécessaire d’informer la DPA du traitement des données. Cependant, d’autres responsabilités s’appliquent, qui peuvent avoir une incidence sur les droits des participants, telles que le devoir d’effectuer une analyse d’impact relative à la protection des données et de mener des consultations préalables (les descriptions du moment où il convient de le faire se trouvent dans les articles 35 et 36 du RGPD).
- La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (article 22 du RGPD). Si un tel traitement est nécessaire dans DRIVER+ (par ex., pour mesurer et consigner la performance de façon « potentiellement automatisée » à l’aide de l’infrastructure technique dans SP92), la décision doit être fondée sur le consentement explicite de la personne concernée [article 22 du RGPD, clause 2(c)].
- Prévoyez de pratiquer la minimisation des données, c’est-à-dire d’éviter de recueillir des données inutiles.
- Prévoyez et assurez-vous que les données à caractère personnel collectées sont stockées de manière sécurisée, par ex. en utilisant la famille de normes ISO/IEC 27000 ou le type d’orientations fournies par le National Cyber Security Center.
- Anonymisez et cryptez les données à caractère personnel en règle générale.
- N’utilisez la technologie pour l’enregistrement des données que si nécessaire. Fournissez une justification.
Exigences & recommandations u RGPD pour la phase d’exécution
- Dans le cas où des serveurs sont piratés ou si des données à caractère personnel sont obtenues d’une autre manière par une personne qui n’est pas autorisée à y accéder, des notifications d’infraction sont désormais obligatoires dans tous les États membres. Cela est vrai dans les cas où une violation des données est susceptible de « représenter un risque pour les droits et libertés des personnes ». Cela doit être fait dans les
- 72 heures après avoir pris connaissance de la violation.
- Assurez-vous que les données à caractère personnel collectées sont stockées de manière sécurisée, par ex. en utilisant la famille de normes ISO/IEC 27000 ou le type d’orientations fournies par le National Cyber Security Center au Royaume-Uni.
- N’utilisez la technologie pour l’enregistrement des données que si nécessaire. Fournissez une justification.
- Pratiquez la minimisation des données, c’est-à-dire évitez de collecter des données inutiles. Les données collectées, qui ne sont plus nécessaires, doivent être supprimées. En cas de violation des données, cela réduira le nombre de personnes concernées.
- Évitez de traiter des données qui ne sont pas à jour.
- Anonymisez et cryptez les données à caractère personnel en règle générale.
- Sachez qu’en vertu du RGPD, toute personne vivant dans l’Union européenne (toute personne résidant dans l’UE, pas seulement les citoyens de l’UE) peut demander que ses informations à caractère personnel soient supprimées d’une base de données professionnelle, ou connaître la raison pour laquelle cela n’est pas possible.
- La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (article 22 du RGPD). Si un tel traitement est nécessaire pour l’exécution d’un trial (par ex. pour mesurer et consigner la performance de façon « potentiellement automatisée » à l’aide de la test-bed technical infrastructure), la décision doit être fondée sur le consentement explicite de la personne concernée [article 22 du RGPD, clause 2(c)].
- Veiller à ce que les données soient collectées à des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement d’une manière incompatible avec ces finalités [RGPD, article 5, clause 1(b)].
Exigences & recommandations du RGPD pour la phase d’évaluation
- Dans le cas où des serveurs sont piratés ou si des données à caractère personnel sont obtenues d’une autre manière par une personne qui n’est pas autorisée à y accéder, des notifications d’infraction sont désormais obligatoires dans tous les États membres. Cela est vrai dans les cas où une violation des données est susceptible de « représenter un risque pour les droits et libertés des personnes ». Cela doit être fait dans les 72 heures après avoir pris connaissance de la violation.
- Ne réutilisez pas les données sans accord écrit. Un consentement éclairé mis à jour et signé doit être obtenu auprès de la personne concernée lorsqu’un responsable du traitement a l’intention de traiter les données à d’autres fins.
- Évitez de traiter des données qui ne sont pas à jour.
- Les données collectées qui ne sont plus nécessaires doivent être supprimées. En cas de violation des données, cela réduira le nombre de personnes concernées.
- Anonymisez et cryptez les données à caractère personnel en règle générale. Les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire » [article 5 du RGPD, clause 1(e)].
- Les personnes chargées du traitement/de l’analyse des données doivent procéder « de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle » [article 5 du RGPD, clause 1(f)].
- Sachez qu’en vertu du RGPD, toute personne vivant dans l’Union européenne (toute personne résidant dans l’UE, pas seulement les citoyens de l’UE) peut demander que ses informations à caractère personnel soient supprimées d’une base de données professionnelle, ou connaître la raison pour laquelle cela n’est pas possible.
- Si des données à caractère personnel sont contenues dans la description des résultats du trial qui est stockée dans le PoS, il convient d’en fournir la justification.
- En plus de garantir que les données à caractère personnel sont collectées à des finalités déterminées, explicites et légitimes, assurez-vous que les données ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités [article 5 du RGPD, clause 1(b)].
Lien
- Il ne s’agit pas d’un outil physique, mais d’un processus.