Protection des données personnelles : Résumé de la checklist ESOMAR

Face aux enjeux auxquels la recherche et les études sont exposés, ESOMAR et SYNTEC Etudes ont dressé d’un commun accord une liste d’exigences et recommandations à suivre au regard du nouveau cadre réglementaire européen. Ce guide de bonnes pratiques s’inscrit dans une problématique plus large de réputation liée à la nécessité croissante de maintenir la confiance du public pour la sauvegarde de la profession. Survey-Magazine vous donne ci-dessous un résumé.

Exemples de données jugées personnelles

Nom, adresse, email, numéro de téléphone et mobile, date de naissance, identifiant de l’appareil mobile, adresse IP, photographies et enregistrements audio et vidéo, numéros d’identification nationale (permis de conduire, sécurité sociale, assurance nationale), identifiant d’utilisateur affecté par votre organisme, nom d’utilisateur dans les réseaux sociaux, données stockées dans un cookie ou tracking pixel / tag. A noter que le titre et les coordonnées du lieu de travail d’un individu sont considérés comme relevant de la vie privée d’après la législation.

PRATIQUES DE BASE

Limitez la collecte aux informations nécessaires à l’étude

Le devoir revient à la personne chargée de l’étude de distinguer et sélectionner en amont de la collecte les données personnelles réellement nécessaires à l’étude ; les autres déterminées comme moins voire non pertinentes doivent être exclues et supprimées.

Anticipez les conséquences d’une collecte

Des données croisées avec d’autres peuvent permettre de déduire l’identité d’un individu. Cette situation doit être évitée grâce à un effort en amont de qualification des données demandées.

Responsabilisez les parties prenantes

Le recours à des tiers fournisseurs de services nécessite l’établissement d’un contrat qui borne l’utilisation faite des données personnelles : ces-derniers doivent respecter les mêmes règles imposées à l’organisme d’études. La société cliente quant à elle a la charge de valider les potentiels transferts de données. Aux répondants revient la responsabilité de décider d’un potentiel croisement entre réponses et données personnelles. Le cas échéant, l’institut doit communiquer sur le partage et l’utilisation faites de leurs données.

Informations à communiquer à tout participant au préalable

  • Liste précise et utilisation finale des données qui seront collectées
  • Nom, adresse et contact dans l’entreprise ou l’organisation collectant les données et de celle du responsable de traitement si différent ; le cas échéant de la communication des données à des tiers.
  • PRATIQUES LIÉES À L’INFORMATION ET CONSENTEMENT

    Obtenez le consentement au préalable de façon systémique

    L’institut doit s’assurer d’obtenir un consentement libre (« volontaire et capable d’être retiré à tout moment »), spécifique (« lié à un ou plusieurs objectifs identifiés »), éclairé (« en pleine connaissance des conséquences du consentement ») et exprimé par le participant via l’option d’adhésion ou le droit d’opposition. Les panels tiers et bases de données clients ne sont pas exempts. Toute donnée personnelle transmise par le répondant ou collectée involontairement doit être rendue anonyme voire détruite.

    Expliquez les finalités de collecte et conservation des données

    Les opportunités de recueil de données se sont densifiées avec les nouvelles technologies et diminuent la distinction entre étude de marché et collecte purement commerciale. Ainsi les objectifs d’une étude, l’utilisation prévue des données et le partage à des tiers sont à expliciter dans une notice dédiée afin d’annihiler toute confusion auprès du grand public. Ce standard de transparence doit être maintenu dans le temps.

    Précisez les données à collecter

    Les données personnelles utiles à l’étude sont à énumérer, décrire et renseigner à l’ensemble des parties prenantes.

    Exposez les méthodes de collecte requises lors de l’étude de façon synthétique

    Le participant doit être informé du mode de recueil retenu via une notice courte explicative. Les méthodes jugées subtiles (géolocalisation, écoute passive, traçage par cookie) devraient faire l’objet d’une notice plus détaillée et obtenir un consentement explicite.

    PRATIQUES D’INTÉGRITÉ ET DE SÉCURITÉ

    Contrôlez la qualité des données tout au long de l’étude

    Des examens de qualité assurent des études conformes et évitent des erreurs dans la collecte et le traitement. Une mise à jour des données doit être possible pour le répondant dans le cas spécifique des panels.

    La norme ISO 27001 est référente en sécurité de l’information.

    Fixez un délai de conservation et un accès limité aux données

    Un délai de conservation qui est plus ou moins long selon la nature (ad hoc, longitudinale, panel) devrait être proposé et fait même l’objet d’un contrat dans certains cas. Les données personnelles doivent être conservées le temps de l’étude. L’accès aux données personnelles en interne doit être restreint. La bonne pratique est de codifier les données grâce à des identifiants pseudonymes.

    Encadrez l’accès aux données pour les répondants

    Tout répondant qui souhaite accéder à ses données personnelles devrait confirmer son identité et recevoir une réponse de la part de l’institut dans un délai de 10 à 30 jours. Dans les cas exceptionnels relevant de la sécurité nationale, l’institut peut refuser l’accès sur décision des autorités législatives.

    Mettez en place une politique de sécurité

    Face aux risques de perte, accès non autorisé, destruction et divulgation de données, des mesures de précaution sont imaginables : accès restreint aux bureaux, systèmes d’alarme, mots de passe, cryptage, pare-feu, formation du personnel, accords avec les clients et soustraitants etc. La violation d’une mesure de sécurité devrait être anticipée et encadrée par une procédure. Enfin, tout répondant exposé à des risques suite à une divulgation d’identité doit en être informé.

    La norme ISO 27001 est référente en sécurité de l’information.

    Communiquez un délai de conservation

    Recrutement ou introduction de questionnaire sont des instants opportuns pour communiquer ce type d’informations.

    Lois référentes en matière d'utilisation des données personnelles

  • Loi de la vie privée
  • Code ICC / ESOMAR et autres guides ESOMAR
  • Engagements inscrits dans la politique de confidentialité soumise en début d’étude
  • PRATIQUES DANS LE CAS DE TRANSFERT

    Mettez-vous à jour des règles de divulgation aux tiers

    Ce sont les lois sur la vie privée relatives à chaque pays qui encadrent ces règles. Chaque institut devrait être au fait des procédures et assurer un relai d’informations à ses équipes.

    Gardez une trace écrite ou orale du consentement de chaque répondant

    Sensibilisez et formez les équipes à la protection des données personnelles

    Les lois et codes applicables ainsi que les pratiques internes de confidentialité et procédures opérationnelles en place devraient être connus de tous afin de pouvoir renseigner tout répondant.

    PRATIQUES SPÉCIFIQUES AUX FLUX TRANSFRONTIÈRES

    Quel institut est concerné ?

    Tout institut qui répond à l’une de ces affirmations est concerné :

  • Les données des répondants sont recueillies à l’étranger
  • Les données des répondants sont traitées à l’étranger
  • Respectez les lois locales

    L’institut doit se conformer à la législation nationale de chaque pays concerné par l’étude. Les principes de conformité demeurent le consentement ou l’utilisation de clauses contractuelles appropriées et l’obtention de l’autorisation de l’instance de régulation référente en matière de vie privée du pays (si requis par la loi nationale). La codification des données personnelles assure une sécurité supplémentaire. Rappelons que les transferts de données devraient faire l’objet d’un accord écrit entre sous-traitant et responsable d’étude afin d’éviter tout risque. Enfin, ce sont les lois nationales du pays où est situé l’institut qui précèdent toute autre loi applicable.

    Précautions pour collecter des données dans un pays étranger

    Les répondants devraient être informés lors du recrutement de :

  • L’état juridique de l’institut (nom de l’entreprise, adresse postale etc.)
  • Les transferts interétatiques à venir (qui sont à mentionner dans la politique de confidentialité et lors de la question de consentement).
  • Soyez exigeant envers les sous-traitants

    Les règles de protection des données personnelles sont à communiquer et devraient être renforcées par un processus informatique spécifique (cryptage des données transférées, plateforme de transfert FTP). Toute donnée sauvegardée doit respecter les mêmes standards de stockage et conservation qu’une donnée originale.

    Elaborez une politique de confidentialité claire et accessible

    Objectif, type de collecte, mode de gestion, réclamation : les informations et procédures qui régissent une étude doivent être consignées dans une charte de confidentialité qui doit rester disponible, à jour et à la portée de tous.

    Présentez distinctement chaque acteur de l’étude

    L’organisation de l’étude et le rôle des parties prenantes doivent être précisés à chaque répondant. Une personne de l’institut est désignée responsable des procédures en matière de protection des données dans certaines juridictions. Enfin un droit de savoir donne la possibilité à tout répondant de connaître le nom du client commanditaire de l’étude à tout moment.

    Restez responsable des données en toute circonstance

    La politique de confidentialité est l’opportunité d’impliquer les sous-traitants dans le traitement de données en précisant leur localisation géographique. A savoir que le transfert de données est interdit vers certains pays pour des raisons de non-conformité dans les exigences de protection de données. Enfin le transfert de données dans un groupe multinational est toléré si les règles en vigueur sont respectées et que les répondants sont informés de la localisation de leurs données pour certaines juridictions.

    Pratiques spécifiques

    Des lois nationales et codes professionnels encadrent la pratique à défaut le guide Esomar Interviewing Children and Young People fait référence. A savoir que l’adulte responsable de l’enfant doit disposer de suffisamment d’informations pour délivrer son autorisation de collecte et informer de son lien pour être enregistré avec l’enfant.

    Toute organisation juridique (entreprise, établissement scolaire, association etc.) a le droit au même niveau de protection de données qu’un individu ; certaines lois l’exigent.

    Ces nouveaux types et formats de données sont à considérer et traiter comme relevant de la vie privée. Si une personne externe à l’étude est photographiée ou enregistrée et devient ainsi identifiable alors une autorisation est requise. Enfin toute observation réalisée dans le cadre d’une étude dans un environnement ouvert doit être indiquée de façon explicite.

    La pratique expose l’institut à des risques considérables (dommages financiers, conséquences de violation de la vie privée) si les contrôles de sécurité ne sont pas évalués. Le cryptage des flux de données transférées et des dépôts stockés sur les serveurs sont des barrières de sécurité supplémentaires à envisager ainsi que le recours à une police d’assurance du risque numérique. De plus, la localisation des serveurs du fournisseur doit être connue afin d’informer de la localisation des données. Enfin, le cloud privé est à privilégier au public car assure un degré de sécurité supplémentaire et garantit que les données sont centralisées en un seul et même lieu.

    LAISSER UN COMMENTAIRE

    Please enter your comment!
    Please enter your name here