13. Si je collecte des données personnelles dans le cadre de ma recherche, à quoi dois-je prêter attention ?
Préambule :
La Loi sur l’Université ne donne pas de bases légales pour le traitement des données de la recherche et par conséquent, la Loi sur l’Information du Public, l’Accès aux Documents et la protection des données personnelles (LIPAD) s’applique aux activités de l’Université (et donc à ses collaborateur-trices). Cette loi cantonale régit le traitement des données personnelles, des données personnelles sensibles ou l’établissement de profils de personnalité dans le cadre d’un projet de recherche, excepté les projets de recherche qui entrent dans le champ d’application de la Loi fédérale relative à la Recherche sur l’être Humain (LRH) et qui sont soumis à la Commission cantonale d’éthique de la recherche (CCER).
En conséquence, tous les projets de recherche qui n’entrent pas dans le champ d’application de la LRH et qui impliquent un recueil de données non anonymes, sont concernés par la LIPAD.
Il faut entendre ici par données personnelles toutes informations ou regroupement d’informations permettant l’identification sans équivoque d’une personne physique ou morale de droit privé, comme par exemple l’identité, la date de naissance l’adresse postale, l’adresse mail….
Les données personnelles sensibles et le profil de la personnalité sont une catégorie spécifique de données personnelles qui nécessitent des démarches supplémentaires. Pour plus de détails, vous pouvez consulter la FAQ n° 15.
Par traitement, il faut entendre (art.4 ; let. e – LIPAD) : « toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données ».
Ainsi un certain nombre de principes sont à respecter, nous vous listons les principaux :
- Principe de proportionnalité (art. 36 LIPAD) : vous ne pouvez collecter que les informations personnelles qui sont utiles à la poursuite de votre but : par exemple si vous avez besoin de l’âge mais que la date de naissance exacte (01.01.1962) ne vous est pas utile, alors il ne faut pas la demander.
- Principe de finalité (art. 35 al. 1 LIPAD) : vous devez indiquer à vos participant-es les informations que vous souhaitez collecter les concernant ainsi que le but de la collecte, c’est-à-dire pourquoi vous réalisez cette collecte. Cela doit être fait au moment de la collecte. Vous ne pourrez utiliser les données collectées QUE pour les buts initialement annoncés aux participant-es.
- Principe de sécurité (art. 37 LIPAD) : vous êtes tenu-e de protéger ces informations contre tout traitement illicite et d’en assurer la confidentialité en mettant en place des mesures de protection appropriées.
- Principe de droit à l’oubli (destruction des données – art. 40 LIPAD): dès que ces informations ne sont plus nécessaires à la poursuite de votre but, vous devez les détruire. Par ex : dès que le nom, ou les coordonnées d’une personne ne vous sont plus utiles, ces informations doivent être supprimées de vos fichiers, notes, documents…
Depuis le 16 novembre 2021, il n’est plus nécessaire de déclarer les fichiers contenant des données personnelles auprès du Préposé cantonal à la Protection des Données et à la Transparence (PPDT). En effet, grâce à l’action du DPO de l’UNIGE[1] en concertation avec le service des affaires juridiques de l’UNIGE et la CUREG nous avons obtenus qu’une déclaration générique des fichiers au catalogue du Préposé Cantonal soit suffisante pour tous les projets de recherche évalués par la CUREG et dans lesquels des données personnelles sont traitées. Le PPDT a donné son accord considérant que les contrôles relatifs au traitement des données personnelles dans le cadre de la recherche effectués par la CUREG et le DPO sont bien encadrés.
[1] Alain Jacot-Descombes a été nommé Délégué à la protection des données ou Data Protection Officer (DPO) de l’UNIGE en avril 2021.