Conformément à l’article 6 (1c), du règlement (UE) 2016/679 (Règlement général sur la protection des données – RGPD), le traitement des données à caractère personnel est légitime lorsque cela est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. En principe, le RGPD (article 9(1)) interdit le traitement de catégories particulières de données à caractère personnel, les données dites «sensibles» qui couvrent par exemple les données de santé. Toutefois, sous réserve de la mise en place de garanties appropriées pour les droits et intérêts fondamentaux de la personne concernée, la législation de l’UE ou des États membres peut, pour des motifs d’intérêt public important, prévoir des dérogations (article 9 (2g) du RGPD). L’interdiction de traiter des données sensibles peut également être levée en cas de consentement explicite de la personne concernée (c’est-à-dire du participant). Par conséquent, si la collecte de données sur la santé (telles que les patients atteints du VIH ou du COVID) est nécessaire pour la collecte d’indicateurs communs ou spécifiques au programme, ou à des fins de contrôle ou d’audit (par exemple pour évaluer l’admissibilité des participants), le règlement portant dispositions communes - RPDC 2021-2027 (article 4) - fournit une base juridique pour le traitement légitime de ces données conformément au RGPD. Toutefois, la législation nationale en matière de protection des données peut être plus restrictive. Il est donc recommandé que les autorités de gestion sollicitent activement l’avis de leurs autorités nationales responsables de la protection des données sur la manière de se conformer aux obligations en matière de traitement des données énoncées dans le RGPD et dans la législation nationale. Il se peut en effet que, pour satisfaire aux exigences de suivi du FSE+, certains États membres soient tenus de promulguer de nouveaux textes législatifs pour rendre la collecte de données licite. Par ailleurs, veuillez noter que les données peuvent être pseudonymisées (par exemple en utilisant un numéro d’identification unique créé artificiellement, qui peut être dissocié des données à caractère personnel grâce à un système de chiffrement).
Answer