Avant toute collecte de données à caractère personnel, il est nécessaire d’effectuer une déclaration de traitement auprès de son Délégué à la Protection des données (DPD).
Depuis la mise en place du Règlement Général pour la Protection des Données (Règlement (UE) 2016/679 du 27 avril 2016) entré en vigueur le 28 mai 2018, ces déclarations ne sont plus à faire directement auprès de la Commission Nationale de l’Informatique et des Libertés, la CNIL, mais il revient aux organismes publics et privés de tenir un registre des traitements des données à caractères personnel qui sont effectués au sein de leur établissement.
Dans le cadre de structures multi-tutelles, comme les unités mixtes de recherche (UMR) par exemple, le directeur de laboratoire choisit le Délégué à la Protection des Données d’un des établissements de tutelle, qui sera chargé de l’enregistrement des déclarations de traitement dans son registre interne. Ce registre peut être contrôlé à tout moment par la CNIL.
Le laboratoire ICAR dépend du Délégué à la Protection des Données du CNRS. Voici le formulaire de déclaration de traitement de données à caractère personnel à compléter et à envoyer au DPD.
La déclaration de traitement fait état :
- des coordonnées du responsable du traitement (celui/celle qui est responsable légalement du traitement, à savoir le/la directeur/directrice du laboratoire)
- des coordonnées du responsable de la mise en oeuvre du traitement (le/la responsable de projet pour ICAR)
- de la finalité du traitement (l’objectif suivi),
- de la licéité (légale si fondé sur une des 6 bases légales prévues par le RGPD),
- de la description des données à collecter,
- de la durée de conservation des données,
- des destinataires des données,
- des mesures de protection adoptées.
Toutes ces informations sont également constitutives du Plan de gestion des données, que beaucoup d’organismes financeurs sont susceptibles d’exiger. On peut donc conseiller d’établir la déclaration en parallèle du plan de gestion des données.
Par ailleurs, ces informations, relatives à l’identité du responsable du traitement, à la finalité, à l’utilisation qui sera faite des données, à la durée de conservation des données doivent être communiquées aux personnes concernées. L’information doit être transparente et facilement accessible (voir article 12 du RGPD et la Note d’information aux enquêtés).