Le règlement général sur la protection des données (RGPD) concerne toute entité qui manipule des informations à caractère personnel. Il s’applique à l’ensemble des structures situées sur le territoire européen ou encore les données à l’étranger relatives aux citoyens européens. Le RGPD concerne tout type d’organisations : associations, collectivités, administrations, entreprises…
A ce titre, un département Suivi Evaluation Apprentissage manipule et traite de nombreuses données personnelles et se doit d’expliciter l’utilisation faite de ces données avec pour objectif à minima la protection et le respect de la vie privée. Mais encore ?
Qu’est-ce qu’une donnée personnelle ?
Un nom, un prénom, un numéro de téléphone, une adresse, un numéro de sécurité sociale, une photo, une empreinte, un numéro de passeport, une adresse email, un identifiant…
« toute information se rapportant à une personne physique identifiée ou identifiable » (article 4, RGPD)
Le règlement général sur la protection des données – RGPD – Chapitre 1, Article 4
Cela concerne ainsi toute information liée à une personne physique, directement ou indirectement, identifiée ou identifiable.
Par exemple, un portrait photographique ou un numéro de téléphone : même si le nom de la personne n’est pas connu, il est possible de recouper les informations. La personne devient alors identifiable, c’est à dire encours le risque d’être identifiée.
Le responsable SEA va ainsi collecter et traiter des données personnelles tout au long du cycle de mise en place du SSE. Dès le diagnostic initial et tout au long de la phase de conception, des données personnelles vont permettre d’identifier le public visé par l’intervention.
Pendant la phase de mise en oeuvre et de clôture, des questionnaires de satisfaction ou des entretiens individuels, par exemple, vont de nouveau alimenter le programme en données personnelles.
Les critères de conformité
Un certain nombre de critères vont ainsi permettre d’apprécier si la collecte des données s’effectue telle que prévue par le règlement général de protection des données, notamment :
- obtenir le consentement éclairé des répondants avant la collecte
- autoriser un droit d’accès à ces données, un droit à la modification, un droit d’effacement,…
- la mise en place d’un registre : une sorte de récapitulatif de l’ensemble des activités de collecte en explicitant :
– l’objectif poursuivi,
– la personne en charge de ces données
– le type de données collectées
– la durée de conservation des données
– les habilitations pour accéder aux données…
- la mise en place d’un registre : une sorte de récapitulatif de l’ensemble des activités de collecte en explicitant :
- la sécurisation des données : mots de passe, sauvegardes, antivirus,… Il s’agit avant tout d’une obligation de moyens
Quelques bases : par quoi commencer ?
- désigner un DPO (Data Protection Officer ou délégué à la protection des données)
- sur le site internet : insérer un chapitre sur la protection des données, émettre une demande de consentement, informer sur le droit d’accès ou à la rectification des données
- sur les formulaires et questionnaires : informer les répondants de la façon dont leurs données sont utilisées et formuler une demande de consentement.
Les données sensibles
Au sein de ces données personnelles, figurent un certain nombres de données considérées comme sensibles : informations médicales, opinions politiques, orientation sexuelle, conviction religieuse, appartenance à un syndicat,…
Ces données bénéficient par principe d’une interdiction de traitement (article 9 RGPD).
Stratégie et bon sens
Attention ainsi à ne pas considérer le RGPD comme une simple contrainte administrative. Par ailleurs, il s’agit d’un processus régulier à interroger en continu. Si la demande de transparence et de redevabilité est prégnante, les enjeux concernant la mise en sécurité des personnes concernées prévalent.
D’une part, dans des contextes volatiles, la sécurisation des données ne pourra pas toujours être garantie. Une forte rotation de personnels augmentera aussi un risque d’évaporation des données et l’affaiblissement de la garantie de confidentialité. Accorder l’accès aux données à un responsable communautaire engendre par essence un risque de dérive et que des données sensibles persistent dans le temps ou dans l’esprit des personnels, qu’ils soient exploitées par delà les motivations initiales du projet.
A chaque fois s’interroger : bien sûr la représentation graphique des bénéficiaires par âge, par sexe, quartier, niveau de diplôme, de revenu, etc. apportera toujours un niveau de compréhension complémentaire au bénéfice du projet, à des fins d’apprentissage. Mais, sans anonymisation, quels risques de détournement à d’autres fins ? Risque ultime : une mise en danger physique. Une stigmatisation. Un simple photographie pour mettre en valeur un évènement comporte un risque, en fonction du contexte, pour la personne exposée, dont les promoteurs du programme ne sont pas toujours conscients.
Considérations éthiques et déontologiques
Bien sûr, la protection des données personnelles s’inscrit dans les critères éthiques et déontologique de l’évaluation.
Néanmoins le caractère récent de cette réglementation ainsi que les évolutions numériques facilitant les processus de collecte, nécessitent de reconsidérer en temps réel ces considérations éthiques.
Par exemple :
- le caractère proportionné voire intrusif : est-ce que chaque donnée sollicitée est justifiée, utile et utilisée ?
- fins détournées : est-que les données ne sont pas utilisées à d’autres fins que celles explicitées ? Comment garantir que les fichiers ne seront pas revendus, par exemple à des fins commerciales ?
Proportionné
Existe-t-il un juste rapport entre le nombre et type d’information sollicité et un service ou une prestation rendue ? Exemple type pour une location immobilière : est-que le nombre de justificatif (fiches de paies, avis d’imposition,..) est proportionné ?
Intrusivité
Est-ce que les données sollicitées sont susceptibles de constituer une ingérence. Une atteinte à la dignité. Par exemple l’accès au relevés bancaires pose la question du droit : un organisme est-t-il habilité à solliciter le relevé bancaires ? Mais aussi du mode d’utilisation et d’interaction : l’agent qui émet un jugement de valeur sur un achat, un abonnement, etc
Un préalable à la qualité des données
Expliciter les mesures et enjeux de protection des données personnelles est aussi un préalable à la qualité des données. Il s’agit ainsi d’une dynamique à double sens. Un répondant s’autorisera ainsi des réponses franches et circonstanciées seulement s’il a été préalablement rassuré sur les conditions d’utilisation et de protection de ses données. A moins d’avoir été abusé. En bref : une question de confiance.
Astuce
Pour des questions d’affichage, de communication, en raison d’information trop abondantes, il est parfois complexe d’appréhender la finalité d’une organisation. Les rubriques CGU (conditions générales d’utilisation), mentions légales, l’explication des demandes de consentement et la justification de l’utilisation des données sont souvent un moyen indirect d’obtenir de manière très factuelle quelques orientations de base concernant l’organisation.
Ressources extérieures
- Protection des personnes impliquées dans l’évaluation, Prise de position d’EvalNet pour les rapports d’évaluation, Réseau du CAD sur l’évaluation du développement, 2022
En bref : comment la protection des données personnelles s’intègre dans la pratique du suivi évaluation ?
Respecter les dispositions du RGPD lors de la collecte, du traitement et de l’analyse des données personnelles est une obligation légale : toute évaluation de projets, de programme ou du politique publique est ainsi concernée de plein front. Le RGPD impose des règles strictes concernant la protection des données personnelles, cela inclut l’obligation d’informer les personnes concernées avant la collecte, de garantir l’accès aux données, de respecter les droits des individus sur leurs données et de sécuriser les données collectées. La protection des données personnelles est également une question d’éthique et de déontologie. Les organisations publiques, les associations, les évaluateurs ou consultants qui collectent et utilisent des données personnelles doivent veiller à ce que la collecte et l’utilisation de ces données soient proportionnées et non intrusives.
Pour aller plus loin
Etape 4 : planifier la collecte d’information et et le traitement des données
➡ Tableaux de suivi des indicateurs
➡ Seuil de déclenchement
➡ Suivi des activités
➡ veille documentaire et sources d’information
➡ observation
➡ entretiens
➡ focus group
➡ enquête par questionnaires
- Contrôle qualité des données
- Biais et points de vigilance
- La protection des données personnelles
Date de diffusion : 2023
Dernière actualisation : 2024