Avec l’aide du DPO ou du service compétent, apportez les ajustements nécessaires aux traitements de données envisagés dans le cadre de vos travaux de recherche, en vous posant les bonnes questions :
- La finalité (l’objectif) de la recherche est-elle clairement définie ?
- Les données que vous envisagez de collecter sont-elles toutes strictement nécessaires par rapport au sujet de votre thèse ou de votre mémoire ?
- Avez-vous prévu, lorsque votre recherche sera terminée, une durée à l’issue de laquelle les données seront supprimées ?
- Les personnes concernées seront-elles informées ava nt le début de votre recherche ?
- Comment la personne concernée pourra- t-elle exercer ses droits (droit d’accès, droit d’opposition, etc.) ?
- Les mesures mises en place sont-elles suffisantes pour préserver la sécurité des données ?
Il faudra particulièrement être attentif à l’information délivrée aux personnes concernées et aux mesures pour assurer la sécurité des données traitées.
Information des personnes
|
Recherche interne
|
Recherche multicentrique
|
A quel moment informer ?
|
Avant le début de la recherche
|
Comment informer ?
|
Par tous moyens
Ex : affichage dans les locaux, information dans le livret d’accueil de l’hôpital sur l’activité de recherche, notice d’information.
|
Information individuelle
Ex : remise d’une lettre d’information, envoi d’une information par courrier postal.
|
Que doit contenir cette information ?
|
Si la collecte est faite directement auprès de la personne : voir l’article 13 du RGPD
Ex : si un questionnaire est soumis au patient, ajouter la mention d’information directement sur le document.
Si la collecte des données n’est pas faite directement auprès de la personne (ex : collecte de données dans les dossiers médicaux ou dans le PMSI de l’établissement de santé): voir l’article 14 du RGPD
|
Sécurité des données
Dans le cadre d’une recherche médicale, le traitement de données sensibles (données de santé) nécessite de mettre en œuvre des mesures appropriées afin de garantir un niveau de sécurité adapté au niveau de risque.
Il est donc nécessaire de respecter certaines précautions élémentaires en termes de sécurité :
- tenir secrets ses mots de passe (ex. : ne pas les noter sur un post-it, ne pas les communiquer à un proche ou un collègue, etc.) ;
- utiliser des antivirus mis à jour et installer un « pare-feu » (firewall) logiciel ;
- être prudent vis-à-vis des contenus extérieurs, notamment les courriels (contact inconnu, tournures employées inhabituelles, etc.), un document reçu, un lien de téléchargement sur un site web, etc.
En cas de doute, ne cliquez pas ou n’ouvrez pas le document.
- prévoir une procédure de verrouillage automatique de session et verrouiller son ordinateur dès que l’on quitte son poste de travail ;
- enregistrer régulièrement vos travaux pour éviter toute perte de données ;
- ne pas stocker les données collectées sur des matériels non sécurisés ; le cas échéant, prévoir des moyens de chiffrement du matériel.
Attention : en cas de violations de données (destruction, perte, altération ou divulgation non autorisée de données), signaler le sans délai à votre université ou à l’établissement de soin de rattachement auquel vous êtes rattaché.
Pour plus de précisions sur comment sécuriser votre traitement de données, vous pouvez consulter le guide « sécurité des données personnelles ».