Le Règlement Général de Protection des Données (RGPD) réglemente la protection des données et de la vie privée pour tout individu résidant au sein de l'UE, ainsi que la communication de données personnelles en dehors de l'UE. Dans le domaine de la recherche, sont soumises à ce règlement toutes les institutions et entreprises actives au niveau international qui collectent et traitent des données personnelles de résidents de l'UE ou envoient des données de ressortissants suisses à l'étranger (UE).
A l'instar des lois suisses et cantonales sur les données personnelles, le RGPD ne s’applique pas au traitement des données à caractère personnel des personnes décédées ou des personnes morales.
Le RGPD liste dans son article 9 un ensemble de données dites « particulières » dont le traitement est par principe interdit :
Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
Néanmoins, l’article liste ensuite une série de 10 exceptions en vertu desquelles ces types de données peuvent faire l’objet de traitements, dont une concerne la recherche scientifique :
j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.
Le RGPD prévoit encore que les données personnelles ne peuvent être collectées que pour des « finalités déterminées, explicites et légitimes » qui doivent en principe être définies en amont du traitement et être portées à la connaissance des personnes concernées (articles 13 et 14). Néanmoins, le considérant 33 admet qu’il n’est pas toujours possible de déterminer à l’avance la finalité exacte d’un traitement effectué à des fins de recherche scientifique.
En matière de recherche, il existe donc une certaine marge de manœuvre pour formuler les finalités des traitements de données collectées d’une manière moins précise que ce qui est exigé par le RGPD. Il peut être admis par exemple que cette finalité s’élargisse ou se précise au fil du projet de recherche et en fonction de ses nécessités.
Le cadre légal européen en matière de gestion des données personnelles doit être pris en compte dans le cadre d'une recherche menée en collaboration avec des chercheur·e·s européen·ne·s ou portant sur des données personnelles de résident·e·s de l'UE.
A noter encore que le RGPD (art. 35) prévoit qu'avant toute activité de traitement « susceptible d’engendrer un risqué élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer une analyse d’impact relative à la protection des données (AIPD). Pour plus d'information, se référer au site de la CNIL.