Aller au contenu principal

Règlement général sur la protection des données (RGPD)

Découvrez l’outil pour vérifier votre conformité au RGPD et les questions les plus fréquemment posées à ce sujet.

Le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) touche toutes les organisations canadiennes qui traitent des données à caractère personnel de personnes se trouvant sur le territoire de l’UE. Toute organisation qui recueille, utilise, stocke, communique ou traite les données à caractère personnel de toute personne résidant dans l’UE – sans égard à sa citoyenneté ou au lieu où est établi le siège social de l’organisation – sera assujettie au RGPD.

Par conséquent votre groupe ou votre projet de recherche pourrait être soumis au RGPD si: 

  • vous traitez des données à caractère personnel et que
  • vous répondez oui à l’une ou plusieurs des questions de préqualification.

Outils pour valider la conformité au RGPD

L’Université Laval a créé 2 outils pour vous aider à vérifier la conformité de votre projet de recherche au RGPD.

À noter:
  • Ces documents servent à déterminer si le RGPD est susceptible de s’appliquer à votre projet de recherche, mais nonobstant la réponse à cette question, vous devez respecter l’encadrement législatif québécois dans tous les cas, à savoir la Loi sur l’accès au document des organismes publics et sur la protection des renseignements personnels, incluant les modifications qui entreront en vigueur prochainement.
  • Ces documents ne constituent pas un avis ou une opinion juridique, et ne peuvent remplacer une consultation auprès d’une ou d’un juriste qualifié.

Votre projet est-il soumis au RGPD?

Répondez d’abord aux questions pour le découvrir.

Consulter l’outil de préqualification (PDF)

Votre projet est-il conforme au RGPD?

Vérifiez si tous les aspects de votre projet respectent le RGPD.

Consulter l’outil de conformité (PDF)

Foire aux questions

Est-ce que la «citoyenneté» a un impact sur l’application du RGPD?

Non. Une personne de citoyenneté canadienne bénéficie de la même protection qu’un individu européen. Ainsi, toute personne résidant ou se trouvant sur le territoire de l’Union européenne est concernée sans égard à sa citoyenneté. Le RGPD peut aussi s'appliquer lorsque le ou la responsable du traitement des données possède un établissement situé dans un pays de l’Union européenne, ou lorsque les données traitées appartiennent à une personne s’y trouvant.

Qu’est-ce qu’on entend exactement par «personne résidente»?

Le critère de résidence au sens juridique n’est pas déterminant, c’est l’adresse du domicile qui importe. On utilise l’expression «résidence» dans le sens suivant: être physiquement sur le territoire du Canada au moment du transfert des données. Le RGPD s’applique aux individus qui sont sur le territoire européen au moment du transfert de données.

Comment valider le critère de résidence ou le domicile?

Demander aux personnes participantes au projet l’adresse physique au moment de l’envoi des données à l’Université.

À partir du moment où des données sortent de l’Union européenne, peu importe leur type, sont-elles systématiquement soumises au RGPD?

S’il s’agit de données personnelles ou sensibles d’une personne sur le territoire de l’Union européenne, et que l’intention de la collecte et de l’utilisation n'est pas personnelle ni domestique, alors elles sont soumises au RGPD. Seule leur anonymisation rendrait le RGPD inapplicable.

Je fais partie d’une équipe de recherche qui travaille sur un projet lié à un ou des pays de l’Union européenne. Comment savoir si je dois considérer le RGPD?

Répondez aux questions de l’outil de préqualification (PDF) pour vérifier si votre projet de recherche est soumis au RGPD.

Les thèses sont-elles considérées comme des activités personnelles exclues de l’application du RGPD?

À première vue, une thèse n’est pas considérée comme une activité strictement personnelle ni domestique. Les étudiants et étudiantes développant un projet de recherche qui traite des données à caractère personnel d’individus se trouvant sur le territoire de l’Union européenne doivent donc appliquer le RGPD.

J’étudie à l’Université Laval, rédige ma thèse en Europe et traite des données à caractère personnel d’individus se trouvant sur le territoire de l’Union européenne: dois-je me soumettre au RGPD?

Vous devez probablement vous soumettre au RGPD, au même titre que les autres membres de la communauté de recherche. Pour le confirmer, consultez l’outil de préqualification (PDF).

Quelles sont les responsabilités que je dois assumer en lien avec les RGPD, celles de mon établissement et de mes partenaires?

Toutes les personnes concernées par le projet de recherche peuvent avoir une part de responsabilité dans l’application du RGPD. Pour connaitre l’attribution des responsabilités et savoir comment vous conformer au RGPD, consultez l’outil de conformité (PDF).

Exemples de mises en situation illustrant lorsque le RGPD s’applique ou non

Mises en situation Application ou non du RGPD
L’Université de Lyon, en France, réalise une étude sur la consommation de bleuets des personnes résidentes du Lac-Saint-Jean, au Québec. Le RGPD ne s’applique pas.
L’Université Laval effectue une étude sur la perception du temps et compare les résultats d’un sondage répondu par des personnes citoyennes canadiennes, et des individus de citoyenneté européenne, ou qui résident en Europe. Le RGPD s’applique uniquement à l’égard des données visant des citoyens et des citoyennes, des résidents et des résidentes ou toute autre personne dont les données ont été collectées sur le territoire de l’Union européenne.
Des chercheurs et chercheuses de plusieurs universités, dont certaines en Europe, évaluent l’efficacité d’un médicament pour soulager les symptômes de la COVID-19. Le RGPD s’applique si les données concernent une ou des personnes participantes au projet de recherche se trouvant sur le territoire de l’Union européenne.
Une personne achète des données européennes: le RGPD s’applique, mais cet achat devrait faire l’objet d’une entente de transfert de matériel. Le RGPD ne s'applique pas si les données sont anonymisées.
Un groupe de recherche de l’Université Laval effectue un contrat pour une entreprise européenne afin de tester un de ses produits.

Le RGPD ne s’applique pas si:

  • aucun renseignement personnel n’est collecté
  • des renseignements personnels sont collectés uniquement auprès de gens physiquement hors de l’Union européenne
  • les résultats sont transmis à l’entreprise européenne partenaire, et compilés sans renseignements personnels.
Une citoyenne européenne est physiquement au Canada, et elle répond à un sondage envoyé par un groupe de recherche de l’Université Laval. Aucun partage des informations recueillies n’est fait, ni d’offre de services d’un pays de l’Union européenne.

Le RGPD ne s’applique pas.

Cette situation ne répond à aucun des 2 critères de l’article 3, à savoir: 

  • un lien d’établissement de l’entreprise avec l'Union européenne 
  • une présence de la personne participante sur le territoire de l'Union européenne.
Un étudiant citoyen français, établi au Québec pour réaliser un doctorat, répond à un sondage dans le cadre d’un projet de recherche québécois mené par une chercheuse québécoise.

Le RGPD ne s’applique pas, les données du projet de recherche étant collectées et traitées au Québec. De plus, l’étudiant n’est pas sur le territoire de l’Union européenne.

À noter: Si l’étudiant répond au même sondage au moment où il est physiquement en France, le RGPD s’applique, car il y a échange de données entre l’Union européenne et le Québec.

Un projet de recherche d’une équipe de l’Université Laval recueille des données avec une adresse courriel et détruit tout renseignement personnel afin de ne conserver que les données anonymisées.

Ni le RGPD, ni la loi sur l’accès ne s’appliquent dans le cas d’une utilisation secondaire de données anonymisées.

À noter: une adresse courriel personnelle peut être considérée comme un renseignement personnel.