Gestion des données de recherche: Données sensibles ou confidentielles

Données sensibles ou confidentielles

 

Comité d'éthique de la recherche

Toute recherche menée par des membres de l’Université de Sherbrooke, à l’intérieur ou non de ses constituantes légales ou affiliées, et qui implique des êtres humains, doit être approuvée au préalable par un comité d'éthique de la recherche (CÉR) constitué ou reconnu par l’Université.

Pour connaitre les obligations, veuillez consulter le site du Service d'appui à la recherche, à l'innovation et à la création (SARIC) : La recherche avec des êtres humains.

 

Gestion des données sensibles
Anonymisation, questions juridiques et éthiques, propriété intellectuelle

La gestion des données sensibles à des fins de recherche doit être effectuée en conformité avec l’Énoncé de politique des trois conseils : Éthique de la recherche avec des êtres humains – 2e édition (EPTC2). L’énoncé fournit des lignes de conduite sur les aspects de gestion des données de recherche avec des êtres humains, tels que le consentement, le respect de la vie privée et de la confidentialité, les droits des peuples autochtones, le contrôle des accès aux données confidentielles, l’utilisation des données secondaires et le couplage des données.

Toute information identificatoire, y compris une combinaison de renseignements, sur une personne ou pouvant permettre d’identifier une personne doit être traitée de façon confidentielle et ne peut pas être divulguée sans l’accord de la personne. En outre, des informations à caractère sensible pour la sécurité ou pour des enjeux commerciaux ou stratégiques peuvent être déclarées confidentielles. 

Les chercheurs et chercheuses qui recueillent des informations personnelles auprès d’individus dans le cadre de leurs recherches ont l’obligation de respecter la vie privée des participants et d’assurer la confidentialité des données. Ainsi, les responsables des équipes de recherche ont la responsabilité de réduire au minimum la possibilité d’identifier les participants et participantes à une recherche et les risques de préjudices que ces personnes pourraient subir suite à la collecte, l’analyse, la diffusion et la conservation des données et des résultats de recherche (EPTC2).

Il relève donc de la personne responsable et des équipes de recherche de bien comprendre quelles sont les contraintes éthiques, légales et partenariales en place qui peuvent affecter leurs projets. La gestion du droit d'auteur, de la propriété intellectuelle, des données secondaires qui sont réutilisées et la protection des données sensibles sont autant d'éléments importants qui influenceront comment seront gérées les données. 

Dans les cas où les données ne pourraient pas être partagées en raison de ces contraintes, il faut tout de même considérer que les métadonnées pourraient être partageables afin de diffuser l'existence de ces données.  

 

---

Liens complémentaires

• Glossaire terminologique sur l'utilisation des données sensibles à des fins de recherche;
• Matrice de risque lié aux données de recherche avec des êtres humains;
• Langage en matière de gestion de données de recherche pour le consentement éclairé;
• Puis-je partager mes données?;
• Énoncé de politique des trois conseils : éthique de la recherche avec des êtres humains;
• Protégez votre recherche;
• Cadre de référence des trois organismes sur la conduite responsable de la recherche;
• Ressources de DORANum - Aspects éthiques et juridiques (normes et règles françaises);
• Directive sur la dépersonnalisation des données.

 

 

Élaborer un formulaire de consentement et confidentialité

Ce formulaire inclut : 

• L’accord des participants à ce que l’information confidentielle à leur sujet ou divulguée par eux et qui est nécessaire à la réalisation de la recherche (en précisant le but, les objectifs et les activités requises et leur durée approximative) puisse être collectée et conservée.
• La permission d’utilisation de l’information confidentielle par les chercheurs du projet, après que ces derniers aient signé un engagement à ne pas divulguer cette information confidentielle, et à prendre toutes les mesures nécessaires pour la protéger. 
• La durée de conservation de l’information confidentielle, les mesures de protection, les moyens de diffusion et d’utilisation secondaire.

 

Protection de l’information confidentielle

Recourir à une procédure d’anonymisation et à des processus d’accès contrôlés pour protéger l’information confidentielle. 

Par exemple : Utilisation de codes numériques ou de noms fictifs pour protéger l’identité des personnes, élimination lors de la transcription d’entrevues des renseignements pouvant mener à l’identification des personnes participantes, absence dans les instruments de collecte de données de questions pouvant mener à l’identification, non diffusion de vidéos, enregistrements audio ou photographies, brouillage de l’image pour les vidéos à diffuser, etc. 

---

Lien complémentaire

• Directives sur la dépersonnalisation des données

 

 

Contrôle des accès à l’information confidentielle et conservation des données

Protéger l’information confidentielle en restreignant l’accès aux seules personnes de confiance et en ne leur donnant accès qu’aux sections nécessaires pour leur travail.

Stockage et sauvegardes 

•  La règle du 3-2-1 : 3 copies, dont 2 copies de sauvegarde sur deux types de médias différents avec une copie hors site. Aucun type de technologie n’est parfait, c’est pourquoi il est recommandé d’utiliser différentes technologies pour copier une même base de données.

Transfert de fichiers à l’externe

• Réaliser tout transfert de données sensibles vers l’externe en utilisant un canal de communication chiffré ou en chiffrant les données avant leur envoi.
• Utiliser une infrastructure infonuagique institutionnelle pour transmettre, partager ou conserver des données. L’utilisation d’infrastructures infonuagiques publiques telles que Dropbox, Google Drive ou One Drive associé à un compte Google ou Microsoft personnel n’est pas recommandée. 

Conservation et destruction des données

• Conserver l’ensemble des données de recherche pour une durée de sept (7) ans suivant la publication ou la fin du projet, ou pour toute période requise par les ententes ou les législations en vigueur;
• Effectuer une élimination sécuritaire de toutes les données en format papier;
• Utiliser des mécanismes d’effacement sécuritaire pour tous les équipements électroniques;
• Procéder à la destruction physique de CD ou DVD;
• Conserver un historique et une documentation des données ayant été détruites et des moyens utilisés pour le faire. 

Confidentialité

• Il est recommandé d'obtenir l'engagement formel de toutes les personnes ayant des accès aux données confidentielles à ne pas les divulguer et à faire en sorte que ces données resteront protégées. Ces personnes s'engagent aussi à aviser le plus rapidement possible les responsables du projet de recherche si une faille de sécurité survenait. ​​​​​

---

Liens complémentaires

• Alliance de recherche numérique du Canada
• Le guide sécurité données du CIUSSS de l’Estrie disponible sur la plateforme Nagano du CIUSSS de L’Estrie-CHUS
  (seulement disponible pour les utilisateurs du CÉR du CIUSSSE)
• STI