Données personnelles

Le RGPD est entré en vigueur en 2018 et pose le cadre de ce qui peut être fait ou non en matière de données personnelles. Ce règlement s'applique à tout traitement de données, automatisé ou non.

Les données à caractère personnel comprennent toutes les informations se rapportant à une personne identifiée ou identifiable, par exemple par un numéro d'identification, des données de localisation, un élément spécifique de son identité physique ou génétique.

Les catégories particulières de données à caractère personnel, souvent appelées données sensibles, sont celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques permettant d'identifier une personne de manière univoque ou des données concernant la santé ou la vie et l'orientation sexuelles. Leur collecte est interdite sauf dans certains cas très encadrés.

Un traitement de données à caractère personnel doit être réalisé selon plusieurs principes :

• un principe de transparence : les personnes doivent être informées
• un principe de finalité, à savoir que les données sont collectées dans un but déterminé, explicite et légitime
• un principe de proportionnalité, c'est-à-dire que la collecte doit être faite a minima avec seulement des données indispensables au traitement
• une durée de conservation limitée n'excédant pas celle nécessaire à l'exécution de l'objectif de la collecte,
• un garantie de sécurité et de confidentalité

Un traitement de données à caractère personnel doit également démontrer sa licéité en répondant au moins à une des conditions suivantes (nous ne listons ici que celles utiles dans le cadre d'un projet de recherche) :

• la personne a consenti au traitement de ses données
• le traitement est nécessaire à l'exécution d'une mission d'intérêt public

Travailler avec la déléguée à la protection des données de l'université

A l'université, une délégué à la protection des données, DPD (ou DPO, data protection officer), peut vous accompagner :

•    contact : dpd@sorbonne-universite.fr

Lorsqu'un traitement de données est effectué, il doit être consigné sur un registre d’activité. Le modèle de fiche de registre d'activité se trouve sur l'intranet, il est à remplir et à remettre au DPD.

Dans les UMR, le DPD a été choisi par la/le DU : il n'y a qu'un seul interlocuteur pour l'unité, soit au CNRS/INSERM, soit à l’université.

En savoir plus

• Université Paris Lumières. 2019. « Fiches pratiques sur le Règlement Général pour la Protection des Données ».
• Sciences humaines
  • InSHS. 2019. « Les sciences humaines et sociales et la protection des données à caractère personnel dans le contexte de la science ouverte : guide pour la recherche ».
• Santé
  • CNIL. 2018. « Recherche médicale : quel est le cadre légal ? » 2018.

Source: DORANum