Dès qu’un projet de recherche manipule des données se rapportant à des personnes — réponses à un questionnaire, entretiens, données de santé, traces d’usage — il entre dans le champ du Règlement général sur la protection des données. Quelques réflexes pris au démarrage évitent l’essentiel des difficultés.

Identifier les rôles : responsable de traitement ou sous-traitant

Le premier réflexe est de qualifier la position de chaque acteur. Le responsable de traitement est celui qui détermine les finalités et les moyens du traitement : pourquoi les données sont collectées et comment. Dans un projet de recherche, il s’agit le plus souvent de l’établissement, et non du chercheur à titre individuel. Le sous-traitant, lui, traite les données pour le compte du responsable et selon ses instructions, par exemple un prestataire qui héberge une plateforme d’enquête ou réalise une retranscription.

Cette distinction n’est pas formelle : elle détermine qui porte les obligations et la responsabilité juridique. Dans un projet collaboratif, plusieurs établissements peuvent même être responsables conjoints du traitement. C’est l’une des raisons pour lesquelles la qualification des rôles RGPD doit figurer dans l’accord de consortium, négocié dès le lancement.

Définir une base légale et respecter les finalités

Tout traitement de données personnelles doit reposer sur une base légale prévue par le règlement. En recherche, plusieurs fondements sont mobilisables selon le contexte, notamment l’exécution d’une mission d’intérêt public ou le consentement de la personne. Le choix de cette base conditionne les obligations qui suivent, en particulier l’information des personnes concernées et les modalités d’exercice de leurs droits.

S’y ajoute le principe de limitation des finalités : les données collectées pour un objectif de recherche déterminé ne peuvent pas être réutilisées librement pour un autre. Une finalité clairement définie au départ évite d’avoir à régulariser des usages imprévus en cours de projet.

Minimiser, sécuriser, tracer

Trois principes opérationnels structurent la gestion quotidienne :

• Minimisation : ne collecter que les données strictement nécessaires à la finalité. Recueillir « au cas où » est contraire au règlement et alourdit inutilement les responsabilités.
• Sécurité et confidentialité : protéger les données par des mesures adaptées à leur sensibilité — contrôle des accès, chiffrement, pseudonymisation. Les données de santé et les autres catégories particulières appellent une vigilance renforcée.
• Traçabilité : documenter les traitements, leur durée de conservation et les mesures prises. Cette documentation rejoint la logique de preuve attendue lors d’un contrôle ou d’un audit.

Pour les traitements susceptibles d’engendrer un risque élevé pour les personnes, une analyse d’impact relative à la protection des données peut être requise. Le délégué à la protection des données (DPO) de l’établissement est l’interlocuteur à solliciter en amont, et non une fois le dispositif déjà en place.

Le plan de gestion des données comme point d’appui

L’ANR exige la production d’un plan de gestion des données (PGD, ou data management plan) pour les projets qu’elle finance. Ce document décrit la façon dont les données seront produites, organisées, stockées, partagées et conservées tout au long du projet et au-delà. Loin d’être un simple livrable administratif, il constitue un excellent support pour articuler les exigences du RGPD avec celles de la science ouverte.

Le plan de gestion oblige en effet à se poser, dès le départ, les bonnes questions : quelles données, sous quelle forme, avec quelles précautions de protection, quelles données pourront être ouvertes et lesquelles devront rester restreintes. Traiter ces points au démarrage, plutôt que de les découvrir en cours de route, fait partie des réflexes de sécurisation qui évitent les régularisations tardives.