« Le respect des règles est essentiel pour la crédibilité de notre activité de recherche »
Depuis plusieurs semaines, les projets de recherche en lien avec le COVID-19 ne cessent de fleurir. Pour une partie, notamment en sciences humaines et sociales ou en sciences de la vie, la question de la protection des données personnelles nécessite d’être soulevée. Déléguée à la protection des données du CNRS depuis avril 2018, Gaëlle Bujan nous dévoile les détails de la démarche.
Quel est le rôle de la déléguée à la protection des données du CNRS et de son service en ces temps de crise ?
Gaëlle Bujan : La recherche suscite en ce moment une forte attente du public. Le respect des règles en vigueur, les comportements éthiques et l’intégrité scientifique sont donc primordiaux pour la crédibilité de l’activité du CNRS. C’est toujours le cas mais je dirais que ça l’est encore davantage dans les conditions actuelles. C’est pourquoi nous nous efforçons, comme pour les projets européens qui sont prioritaires, de donner une première réponse en moins de 24 heures pour les questions concernant des projets sur le COVID-19.
De plus, il faut être conscient que le nombre d’actes de malveillances et de fraudes (cyberattaques, e-mail d’hameçonnage, ransomwares, etc.) va croissant – en lien avec l’augmentation des connexions, du télétravail, des téléchargements, etc. et la relative sécurité
Quelles sont les questions qui relèvent de votre expertise ?
G. B. : Nous assurons la conformité des traitements de données à caractère personnel à la réglementation, i.e. le règlement européen RGPD
En pratique, nous conseillons sur l’utilisation, l’hébergement et le stockage des données. Nous avons été saisis 950 fois l’an dernier, dont 250 à propos de projets de recherche. Nous restons en veille sur les décisions du gouvernement et les conseils émis par la CNIL
Par exemple, quels dossiers avez-vous traités en lien avec la crise sanitaire ?
G. B. : Nous avons accompagné l’organisation de la gestion des actions liées à la crise, notamment les actions de solidarité des laboratoires. Nous avons fait les démarches et attesté du fait que l’ensemble des données recueillies pour recenser ces actions (nom et prénom des intervenants, laboratoire associé, etc.) était conforme aux dispositions réglementaires.
Plusieurs scientifiques, sensibilisés à la question, sont aussi venus nous demander conseil pour leurs projets de recherche autour du COVID-19. Par exemple, nous avons apporté notre expertise au Centre de recherche en neurosciences de Lyon
À Toulouse, le laboratoire Cognition, langues, langage, ergonomie
Comment s’organise votre service ?
G. B. : Nous sommes une petite équipe de six personnes, rattachée à la présidence du CNRS. Chacun d’entre nous a ses spécialités, mais nous partageons nos compétences sur un sujet commun : la conformité à la protection des données. Nous intervenons sur tout le territoire national, parfois en nous déplaçant, notamment pour des actions de formation et de sensibilisation en laboratoires. Mais, nous nous occupons de « seulement » la moitié des 1 100 unités du CNRS et de ses partenaires. En effet, lors du déploiement du RGPD au CNRS, chaque directeur d’unité a choisi un ou une délégué(e) à la protection des données parmi ses tutelles, désigné(e) auprès de la CNIL. Nous sommes néanmoins en mesure de répondre à toutes les sollicitations et réorienter vers les délégués à la protection des données en charge si nécessaire. Et nous interagissons avec la Direction des affaires juridiques (DAJ) du CNRS, pour les dossiers complexes et parfois pour les demandes d’accès, modification ou suppression de données personnelles. Celles-ci sont peu nombreuses et nous les traitons toujours très rapidement, notamment car il est important de respecter les droits des personnes. Nous sommes aussi en contact avec le responsable de la sécurité des systèmes d'information (RSSI) et ses homologues en délégations, ainsi qu’avec l’Institut des sciences biologiques du CNRS et l’Institut des sciences humaines et sociales pour les projets de recherche en santé. Mais nous n’avons pas la capacité de savoir si les projets de recherche comportent des données personnelles: nous avons besoin que les scientifiques nous sollicitent !
À l’heure où tout doit aller vite, comment la protection des données personnelles est-elle gérée entre les différentes tutelles d’un projet, voire à l’international ?
G. B. : Nous travaillons en réseaux et nous mettons facilement en contact avec nos homologues des autres tutelles. Par exemple, en France, un projet de recherche sur l’histoire du virus dans le Haut-Rhin concernait ainsi le Laboratoire de physique de Clermont-Ferrand, dont la déléguée à la protection des données (DPO) est le CNRS, et l’Institut Pascal, dont la DPO est l’Université de Clermont-Ferrand. Nous nous sommes coordonnées, l’idée étant de ne pas refaire deux fois l’analyse mais de partager notre expertise.
À l’international, cela peut être plus complexe mais c’est la même démarche : nous allons regarder quels sont les objectifs et les responsabilités, qui fait quoi et travailler pour être complémentaires. Nous avons par exemple rendu un avis au Centre neuroscience intégrative et cognition
Comment être en conformité avec la règlementation sur la protection des données personnelles
Contactez la déléguée à la protection des données du CNRS en fournissant :
- la présentation du projet
- le questionnaire visé et le guide d'entretien
- éventuellement les avis du comité de protection des personnes ou du comité d’éthique
dpd.demandes@cnrs.fr - 03 83 85 64 26
Un formulaire est également disponible sur l’intranet du CNRS pour faciliter les échanges.
Attention : le RGPD est une réglementation à respecter mais ce n’est pas la seule. En particulier, dans le domaine de la santé, le code de la santé publique s’applique. Pour les financements nationaux ou européens, des dispositions particulières peuvent aussi exister.
En savoir plus :
- guide conçu avec l’Institut des sciences humaines et sociales du CNRS
- site des Systèmes d’information (accès aux personnels dans les laboratoires du CNRS)