Étude EDPB sur l'utilisation secondaire des données personnelles dans la recherche scientifique : Implications pour la conformité

Contexte et objectifs de l'étude EDPB

Le Comité européen de la protection des données (EDPB) vient de publier une étude approfondie sur l'utilisation secondaire des données personnelles dans le contexte de la recherche scientifique. Cette analyse détaillée examine les pratiques actuelles, les défis et les recommandations pour assurer la conformité au RGPD dans ce domaine spécifique.

L'étude s'inscrit dans un contexte d'augmentation significative de la réutilisation des données personnelles à des fins de recherche, notamment dans les secteurs de la santé, des sciences sociales et de l'intelligence artificielle. Elle vise à clarifier le cadre juridique applicable et à fournir des orientations pratiques aux organisations concernées.

Principaux constats et recommandations de l'EDPB

L'analyse met en évidence plusieurs points critiques :

1. Base juridique et consentement

- Nécessité d'une base juridique spécifique pour l'utilisation secondaire

- Importance du consentement éclairé et de sa documentation

- Conditions de validité du consentement dans le contexte de la recherche

2. Garanties et mesures de protection

- Mise en place de mesures techniques et organisationnelles appropriées

- Importance de la minimisation des données

- Nécessité d'une évaluation d'impact (AIPD) dans certains cas

3. Droits des personnes concernées

- Modalités d'information sur l'utilisation secondaire

- Exercice des droits dans le contexte de la recherche

- Exceptions possibles et leur encadrement

Impact sur les organisations et mise en conformité

Les organisations doivent adapter leurs pratiques selon plusieurs axes :

1. Gouvernance des données

- Révision des politiques de conservation

- Mise à jour des registres de traitement

- Renforcement des mesures de sécurité

2. Processus opérationnels

- Mise en place de procédures de validation

- Documentation des décisions

- Formation des équipes

3. Relations avec les parties prenantes

- Communication transparente

- Gestion des demandes d'accès

- Collaboration avec les autorités

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser un audit de vos traitements de données impliquant une utilisation secondaire à des fins de recherche

• Mettre à jour votre documentation RGPD (registre, politiques, procédures) pour intégrer les recommandations de l'EDPB

• Former vos équipes aux nouvelles exigences et mettre en place un processus de validation spécifique pour les projets de recherche

• Renforcer vos mesures de sécurité et de traçabilité pour les données utilisées dans un contexte de recherche

• Établir une procédure claire de gestion des demandes d'accès et d'exercice des droits dans ce contexte particulier