Assurer la conformité RGPD de son projet

En tant que Researchers, nous collectons des données personnelles auprès de nos participants lors de nos projets de Recherche. Depuis le 25 Mai 2008 nous sommes donc tenus de suivre les directives du Règlement Général sur la Protection des Données (RGPD), sous peine de nous exposer à des amendes conséquentes.

Le RGPD offre un cadre juridique pour toute activité nécessitant le traitement de données personnelles. Pour un projet de Recherche, voici ce qu’il impose :

  1. Obtenir le consentement éclairé de ses participants
  2. Ne collecter que les données dont on a vraiment besoin
  3. Disposer d’un endroit sécurisé pour entreposer les données
  4. Donner la possibilité aux participants de retirer à tout moment leurs données

Voici en détail comment vous assurer que votre projet est bien aligné avec les points ci-dessus, sans pour autant vous empêtrer dans des lourdeurs administratives ou légales.

Le RGPD c’est quoi ?

Pour se remettre en contexte, le RGPD a été créé en réponse à la multiplication et à la propagation de nos données personnelles, utilisées à tort et à travers à des fins de marketing, de publicité ou encore de management interne. Le constat était simple : nous ne savions plus qui avait nos données, ni ce qui en était fait.

Derrière cet acronyme, il y a donc un ensemble de lois dont l’objectif est d’aider les particuliers à avoir un meilleur contrôle sur les personnes qui disposent de leur données personnelles, et ce qu’elles en font.

Deux types de données rentrent dans le cadre du RGPD:

  • Il y a bien sûr les données “directes”: nom, email, téléphone,…
  • Mais également des données qualifiées d’ “indirectes”: habitudes, préférences, comportements,…

Cette définition est volontairement large afin de couvrir tout type de donnée qui pourrait être perçu comme sensible par les individus. Pour résumer, n’importe quel contenu textuel ou media liée à un particulier peut être considéré comme étant une donnée personnelle. Il est donc quasi certain que les données que vous collecterez auprès de vos participants rentrent bien dans le cadre du RGPD.

Vous êtes considéré comme responsable dans le cadre du RGPD si vous “traitez” les données susmentionnées. Pour vous donner une idée, le simple fait de mettre le nom d’un participant dans un tableur est considéré comme un traitement de données. Là aussi, on peut dire sans prendre trop de risque que votre projet de Recherche rentrera très probablement dans le cadre du RGPD.

Pour autant, il serait faux de concevoir le RGPD uniquement comme un mécanisme coercitif. En cadrant la façon dont sont traitées les données, le RGPD protège aussi bien les particuliers que les entreprises : les particuliers gardent la maîtrise de leurs données et sont plus à l’aise à l’idée de les partager; et les entreprises minimisent le risque légal auquel elles s’exposent.

Quel impact sur la Recherche ?

En tant que Researchers, les donnés mentionnées ci-dessus constituent la matière brute sur laquelle nous travaillons.

Le RGPD vient donc directement impacter les méthodologies et outils dont nous nous servons au quotidien. Pour autant, il n’a pas pour objectif de freiner la Recherche. Il reconnait même au contraire l’importance et la valeur des données personnelles traitées à des fins de Recherche; ainsi que la nécessité de devoir conserver dans le temps ces données pour pouvoir les analyser !

La bonne nouvelle, c’est donc que notre activité a été prise en compte lors de l’élaboration du RGPD : il l’encadre mais ne l’entrave pas. Il est par conséquent relativement simple de faire rentrer son projet de Recherche dans les clous du RGPD.

Comment être en règle vis-à-vis du RGPD ?

Vous devrez être particulièrement attentifs aux points suivants tout au long de votre projet.

Avant de débuter votre projet : partez sur des bases saines.

1. Identifiez les données dont vous avez vraiment besoin

Finie l’approche “collectons tout ce que nous pouvons, et on fera le tri ensuite”.

Vous devez pouvoir justifier la collecte de chaque donnée personnelle de vos participants. À chaque traitement de données doit être assigné un objectif, qui doit bien évidemment être légal mais aussi légitime au regard de votre activité professionnelle.

L’autre grande nouveauté du RGPD c’est l’accent mis sur la transparence vis-à-vis des participants : vous allez devoir expliquer dès le début à vos participants très précisément de quel type de donnée vous avez besoin, et pourquoi.

Cependant, ce petit travail à effectuer en amont n’est pas juste une contrainte : en étant totalement honnêtes avec vos participants vous créez un climat de confiance et vous les mettez dans de bonnes prédispositions pour vous partager les données dont vous avez besoin, aussi sensibles soient-elles.

Une fois que vous avez identifié les données que vous souhaitez collecter (ainsi que le rationnel sous-jacent), précisez-le dans votre formulaire de consentement (voir point ci-dessous).

2. Obtenez le consentement éclairé de vos participants

Soyons clairs : une obscure case pré-cochée sur un formulaire en ligne ne constitue pas un consentement.

Le consentement est la pierre angulaire du RGPD : vos participants doivent savoir qui vous êtes, pourquoi vous faites ce projet de Recherche, le type de données que vous allez collecter, comment vous allez les utiliser, avec qui vous allez les partager, et combien de temps vous allez les conserver.

Vous devez également leur rappeler leur droits, notamment le fait qu’ils puissent se retirer à tout moment et exiger la suppression de leurs données.

Le plus simple est d’établir un formulaire de consentement spécifique à votre projet. Si vous passez par une agence externe ou une plateforme disposant d’un panel interne comme Tactix, elle s’occuperont de cette partie.

3. Vérifiez la conformité RGPD de vos partenaires

Avec le RGPD, vous êtes responsable non seulement des données que vous collectez en direct mais vous conserverez également cette responsabilité si vous les transmettez.

A priori, la plupart des outils de marché nécessaires à la réalisation de projet de recherche respectent les règles du RGPD, et leur politique sont facilement consultable. Chez Tactix par exemple, notre politique est accessible à tout moment ici.

Cependant, il se peut que vous soyez amené à traiter avec un prestataire externe pour un besoin très spécifique (un transporteur pour l’envoi d’un produit par exemple) et que vous deviez lui communiquer des données personnelles de vos participants. Dans ce cas, demandez-lui sa politique RGPD et vérifiez qu'il supprime bien les données des participants une fois votre projet finalisé.

Tout au long de votre projet : ne relâchez pas la pression.

Le RGPD est peu contraignant lors de cette phase, néanmoins il insiste sur un point que vous devrez garder à l’esprit durant l’ensemble du déroulé de votre projet : vos participants doivent avoir la possibilité à tout moment de consulter votre politique RGPD, et de se retirer s’ils le souhaitent (et ce sans raison particulière). Le cas échéant vous devrez pouvoir assurer rapidement la suppression de leurs données.

Après votre projet  : restez rigoureux jusqu’au bout.

1. Centralisez et sécurisez vos données

Comme expliqué précédemment, vous êtes responsables du maintien de l’intégrité des données tant qu’elles sont en votre possession.

Par conséquent, il est capital que vos données soient hébergées à un endroit protégé des cyberattaques, et qu’elles soient le plus centralisées possibles. En d’autres termes, privilégiez la consultation ponctuelle de vos données plutôt que les duplicata, et gardez toujours une trace des doubles qui sont faits. Si vous devez être amené à supprimer ces données, cela doit pouvoir être réalisable facilement. En cas de partage en interne, pensez à les anonymiser ou a minima à les pseudonymiser, l’idée générale étant que l'on ne puisse pas identifier le participant grâce à elles.

2. Conservation et disponibilité des données

Vous l’aurez compris : avec le RGPD l’individu est roi; et il doit donc pouvoir consulter ou supprimer ses données - quand il le souhaite et ce sans justification particulière. Vous devez donc à tout moment être capable de lui fournir une copie de ses données, en interrompre le traitement, et éventuellement les supprimer.

3. Suppression des données

Normalement, vous avez dû établir avec vos participants une durée de conservation des données au début de votre projet. À l'issue de cette dernière et sauf indication contraire, assurez-vous qu'elles sont bien entièrement supprimées.

Un dernier conseil : discutez-en avec votre équipe juridique

L’objectif de cet article est de vous fournir les clés pour rapidement lever les interrogations que vous pourriez avoir au sujet des données que vous allez collecter durant votre projet de Recherche. Cependant, si vous avez la moindre hésitation, adressez-vous à votre département légal et plus précisément à votre Data Protection Officer. Ils pourront vous fournir un regard critique sur vos documents et vous assurer de leur conformité légale. 

Le mot de la fin : il est important de ne pas concevoir le RGPD comme une contrainte venant entraver vos travaux de recherche. Suivre les points ci-dessus demande certes de la rigueur et discipline, mais cela sera in fine bénéfique à votre projet. En montrant que vous respectez le RGPD, vous créez un environnement propice au partage et à la collaboration pour l'ensemble de vos parties prenantes : qu'il s'agisse de vos clients, de vos collègues, ou de vos participants.

Découvrir Tactix

Obtenez des enseignements du terrain et informez les décisions de votre entreprise.