Le risque d'atteinte à la vie privée augmente de jour en jour compte tenu de la fréquence et de la granularité accrues des données collectées, et les progrès de la technologie pour les traiter. Cela a, inévitablement, conduit à la nécessité de lois pour sécuriser la confidentialité des données personnelles.

Les chercheurs et les données de recherche ne sont pas à l'abri :les progrès de l'analyse des mégadonnées pour la recherche ont conduit à la collecte de quantités de données encore plus importantes. Les chercheurs se sont traditionnellement autorégulés. Mais les lois sur la protection des données personnelles ont commencé à augmenter les restrictions. Les chercheurs doivent être conscients.

Au Kenya, une nouvelle loi est entrée en vigueur à la fin de l'année dernière qui affecte considérablement les chercheurs. Passé en 2019, la loi sur la protection des données personnelles du Kenya a été conçue pour amener la protection des données personnelles contre les abus au Kenya dans le 21e siècle. C'est une avancée significative car elle facilite l'utilisation licite des données personnelles, y compris la recherche, renforçant ainsi les droits fondamentaux des individus. La nomination du premier commissaire à la protection des données du Kenya en novembre a finalement rendu la loi opérationnelle.

La loi régit l'utilisation, En traitement, et archivage des données personnelles, institue le Commissariat à la protection des données, prévoit la réglementation du traitement des données personnelles, stipule les droits des producteurs de données, et précise les obligations des responsables du traitement et des sous-traitants.

Cela a des implications importantes pour les chercheurs en général, et pour les personnes impliquées dans le secteur de la santé en particulier. La loi définit les données de santé comme des données relatives à l'état de santé physique ou mentale des personnes concernées. Dans la recherche, les données de santé peuvent provenir de l'examen des dossiers des patients ou de l'accès aux informations des bases de données nationales de santé.

La question de savoir quelles données sont collectées, et qu'est-ce qu'on en fait, est devenu beaucoup plus urgent à la lumière des efforts accélérés pour trouver un vaccin contre le COVID-19. Un projet de règlement a été publié par le nouveau commissaire du Kenya pour la recherche sur le COVID-19. Ceux-ci fournissent un test décisif sur la façon dont la nouvelle loi pourrait affecter la recherche et ce dont les processeurs et les contrôleurs de données doivent être conscients.

Les règlements proposés pour COVID-19 reflètent les nouvelles exigences de la loi. Il s'agit du fait que les chercheurs ne peuvent collecter des données que d'individus et que les données personnelles ne peuvent être utilisées que pour détecter, contenir et prévenir la propagation du COVID-19.

Consentement spécifique et anonymisation

Le rôle du commissaire aux données est de faire appliquer la nouvelle loi en enregistrant et en contrôlant la nomination des délégués à la protection des données, contrôleurs de données et sous-traitants. La personne est également chargée de sensibiliser le public aux problèmes de données et de fournir un code de pratique pour accompagner la Loi.

Les responsables du traitement sont ceux qui déterminent la finalité et les moyens du traitement des données personnelles. Processeurs de données, d'autre part, traite les données personnelles pour le compte du responsable du traitement. Par exemple, les scientifiques traitent les données tout au long du cycle de vie de la recherche :collecte, une analyse, et parution.

Une personne concernée est une personne qui fait l'objet de données personnelles.

Les chercheurs doivent connaître les implications de la nouvelle loi pour la recherche utilisant des données personnelles. Ils ont également besoin de savoir qui sont les sous-traitants et les contrôleurs de données pour les institutions de recherche et universitaires. Par exemple, les processeurs de données peuvent inclure ceux qui offrent des services de transcription et des services de séquençage ou de traduction d'ADN pour les sociétés d'analyse de données. Les instituts de recherche et les universités seraient les contrôleurs des données par l'intermédiaire de leur autorité désignée.

La nouvelle loi anticipe le coût énorme de l'embauche d'un délégué à la protection des données. Il prévoit le partage entre les institutions en permettant aux institutions de recherche de se regrouper en consortium pour en embaucher une.

La loi contient également des dispositions qui exemptent les données destinées à la recherche si elles sont rendues anonymes. Les données génétiques et les données biométriques (y compris l'ADN) sont considérées comme des informations sensibles et identifiantes. Par conséquent, les études qui impliquent les données de séquence d'un individu relèveraient du règlement mais seraient soumises aux exemptions sur les données personnelles pour la recherche.

La loi exige expressément, explicite, sans équivoque, libre, spécifique, et le consentement éclairé des personnes concernées au traitement des données personnelles. Les chercheurs devaient déjà obtenir le consentement pour collecter des données personnelles pour la recherche en obtenant une approbation éthique pour l'étude. Mais le besoin de spécifique consentement, spécifier la collecte des données lors de la planification et de la création des données, peut entraver la recherche et la réutilisation des données car il est difficile de définir clairement la portée de l'utilisation des données personnelles pour la recherche.

Les données personnelles relatives à la santé d'une personne concernée ne peuvent être traitées que sous la responsabilité d'un prestataire de soins, pour l'intérêt général, ou par une personne soumise au secret professionnel en vertu d'une loi.

La nouvelle loi stipule que les données personnelles ne peuvent pas être transférées en dehors du Kenya "à moins qu'il n'y ait la preuve de garanties adéquates de protection des données ou du consentement de la personne concernée".

Des questions demeurent

La loi n'a pas été formulée pour réglementer les données de recherche. Mais certaines sections affectent la recherche. La réglementation sur la protection des données qui suivra devra avoir à cœur les intérêts du scientifique et favoriser la recherche. Les chercheurs devraient avoir le temps d'aligner leurs travaux sur la nouvelle loi.

Il y a aussi des questions sans réponses. Par exemple, les dérogations pour les données de recherche semblent ne s'appliquer qu'au traitement. Cela restreint-il le transfert de données personnelles destinées à la recherche ? Qu'est-ce que cela signifie pour la publication des données de recherche, où les revues sont basées à l'extérieur du pays ? Qu'est-ce que cela signifie pour la collaboration en recherche?

La restriction est préoccupante car de nombreux pays d'Afrique n'ont pas encore adopté de loi similaire.

En outre, le respect de la Loi exige l'adoption de pratiques de recherche — consentement, anonymisation—pour protéger les données personnelles qui ne sont pas couramment utilisées. Les pratiques de gestion des données de recherche font défaut dans la plupart des institutions universitaires et de recherche, remettant en question la façon dont ils seraient en mesure d'appliquer la Loi.

Il est également toujours nécessaire de sensibiliser et de doter les contrôleurs de données et les producteurs kenyans des compétences nécessaires pour se conformer à la nouvelle loi. Les établissements de recherche et universitaires doivent élaborer des politiques de gestion des données de recherche alignées sur les dispositions de la Loi pour guider les chercheurs et embaucher des agents de protection des données.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.