Guide pour créer une enquête
Plusieurs types d’enquêtes peuvent être utilisés pour recueillir les retours d’expérience des membres du personnel.
En commençant par le niveau de confidentialité le plus élevé, le premier type est l’enquête anonyme, dans laquelle aucune donnée personnelle n’est collectée, les personnes interrogées ne peuvent pas être identifiées et ne peuvent pas retrouver leurs propres réponses.
Ensuite, il y a l’enquête nominative, qui implique la collecte directe de données personnelles et/ou inclut des réponses permettant d’identifier les personnes.
Enfin, il y a l’enquête à long terme, qui nécessite que les participants soient identifiés, suivis et gérés sur une certaine période.
Étant donné que les enquêtes à long terme sont rarement utilisées au CERN, elles ne sont pas couvertes par les recommandations de ce guide.
Les conseils ci-dessous visent à vous accompagner tout au long du processus de création de votre enquête, de l’envoi de l’invitation à y répondre, et de la création d’un registre des opérations de traitement (RoPO).
1. Choix des outils/services
→ Utiliser des outils conformes aux principes de gestion des données personnelles
- Quel outil utiliserez-vous pour créer votre enquête ?
Le CERN met à disposition des outils internes permettant au personnel de créer des enquêtes voir la liste des outils informatiques pour les enquêtes).
Si vous envisagez d’utiliser un outil qui n’est pas encore disponible au CERN, veuillez contacter le Cloud Licence Office (CLO) avant toute utilisation ou achat (même si l’outil est disponible gratuitement), et prévoir un délai de 2 à 3 mois pour le traitement de votre demande.
Attention : L’utilisation d’outils "freemium" (c’est-à-dire proposés par une entité externe - commerciale ou pas - comprenant certaines fonctionnalités gratuites) nécessite tout de même un accord entre le CERN et le fournisseur. En principe, le personnel du CERN n’est pas autorisé à signer des conditions d’utilisation ou des contrats avec des fournisseurs pour des outils traitant des données personnelles à des fins professionnelles. Un accord d’entreprise intégrant des garanties en matière de protection des données doit être établi, généralement pendant le processus d’achat.
- Besoin d’aide pour choisir un outil ?
Contactez le IT Consulting Service du CERN.
- Vous souhaitez externaliser votre enquête ?
Si vous souhaitez confier la réalisation de votre enquête à un prestataire externe, prévoyez un délai de 2 à 3 mois pour la conclusion d’un contrat et l’évaluation des pratiques du fournisseur en matière de données personnelles. Il est recommandé de demander un rapport anonymisé et de ne pas accéder aux données personnelles collectées par l'enquête. Plus d’informations disponibles sur la page Traitement par des entités externes.
2. Préparation de l’enquête
→ Preparer l'invitation
- Saviez-vous que la préparation de votre enquête implique souvent le traitement de données personnelles ?
Vous ciblez probablement une audience spécifique et vous souhaitez inviter cette audience à répondre à votre enquête. Des cet instant, vous traitez des données personnelles. Par exemple, lorsque vous :
- générez une liste de diffusion du public cible à partir des informations recueillies dans une base de données, telles que les noms et adresses e-mail des personnes qui répondent à vos critères, puis ;
- envoyez une invitation par e-mail à cette liste.
- Faut-il créer un RoPO ?
Oui, vous devez documenter le traitement dans un RoPO et mentionner ce RoPO dans l’invitation à répondre à l’enquête. Si vous contactez régulièrement ce groupe cible dans le cadre habituel de vos activités, un RoPO existant couvre déjà ce traitement.
Sinon, vérifiez si l’avis de confidentialité générique pour les enquêtes publié par le service “Online Survey Solutions” est adapté. Il cible les enquêtes internes du CERN réalisées à l'aide des outils standard fournis par le CERN. Cela comprend l'identification du public cible à l'aide de critères de filtrage standard, la prise de contact par e-mail et la collecte des réponses à l'enquête, y compris la connexion à l'outil.
Si l'avis de confidentialité générique ne convient pas et que vous ne disposez pas d'un RoPO, vous devez en créer un nouveau couvrant l'invitation et l'enquête.
- Que faire lorsque vous optez pour l'avis de confidentialité générique relatif aux enquêtes ?
Lorsque vous envoyez l'invitation (par exemple par e-mail) à votre public cible :
- Ajoutez un lien vers pointant vers l’avis de confidentialité
- Indiquez quel outil sera utilisé ;
- Précisez clairement que votre service est le Service Responsable du traitement et que c’est à vous qu’il faudra s’adresser en cas de questions ou si les personnes concernées souhaitent exercer leurs droits.
- Que devez-vous inclure dans le RoPO si vous devez en créer un nouveau ?
Indiquez les critères de sélection utilisés pour constituer la liste car il s’agit également de données personnelles que vous traitez pour inviter les personnes pertinentes à participer à l’enquête.
Par exemple, si votre enquête s’adresse aux membre du personnel du département RH qui vont partir a la retraite prochainement, vous devez sélectionner les critères de sélection suivant : statut, département et âge
- Quelle base légale devriez-vous indiquer dans votre RoPo ?
Ce type de traitement est généralement effectué dans le cadre des intérêts légitimes du service concerné si le groupe cible peut s'attendre à être contacté pour cette enquête. C'est le cas par exemple lorsque
- votre service est chargé de gérer les activités de la population concernée et que l'enquête porte sur cet aspect (par exemple, une enquête de satisfaction des clients) ;
- les personnes fournissent leurs coordonnées pour être contactées.
Si vous avez des doutes, posez-vous la question suivante : Serais-je surpris de recevoir l'invitation à l'enquête ? Si vous répondez « non », vous pouvez supposer que vous avez un intérêt légitime.
- Combien de temps les données doivent-elles être conservées ?
Toutes les données traitées dans le cadre de la préparation de l'invitation doivent être supprimées sans délai après l'envoi de l'invitation et des éventuels rappels, au plus tard après la fin de l'enquête.
- Comment informer le groupe cible ?
Dans l’email d'invitation, il est important d'inclure un lien vers l'avis de confidentialité (c'est-à-dire le RoPO, une fois qu'il a été publié sur le Service Portal) et de souligner le caractère volontaire de l'enquête.
3. Contexte de l'enquête
- Votre enquête traite-t-elle des données personnelles ?
Si vous utilisez pour votre enquête un outil qui nécessite la connexion des répondants pour accéder au questionnaire, vous traiterez nécessairement des données à caractère personnel, telles que le nom du compte, le nom de connexion, l'adresse IP, les cookies.
De même, si votre enquête comporte des questions dont les réponses permettent l'identification directe ou indirecte du répondant, vous traiterez des données à caractère personnel.
- Votre formulaire d'enquête contient-il des données à caractère personnel ?
C'est le cas si vous recueillez des données telles que l'adresse électronique, le numéro de téléphone, l'identifiant du CERN ou l'identifiant de la personne.
C'est également le cas si votre enquête comporte des questions démographiques dont la réponse permet d'identifier des individus par déduction, surtout si le groupe ciblé par l'enquête est relativement restreint.
Dans la mesure du possible, il est préférable d'éviter de collecter des données à caractère personnel. Et si vous devez les collecter, ne recueillez que ce qui est strictement nécessaire.
En particulier, la collecte de données personnelles sensibles, telles que les données relatives à la santé, aux opinions politiques ou aux positions philosophiques, n'est autorisée que dans des conditions très spécifiques. S'il est absolument nécessaire de collecter des données sensibles, envisagez de faire appel à une société externe pour générer et analyser les résultats de l'enquête et les présenter sous la forme de rapports anonymes, sans divulguer le contenu des réponses.
En adaptant les questions de l'enquête et/ou les options de réponse à choix multiples, vous pouvez éviter de traiter des données à caractère personnel. Par exemple, vous pouvez utiliser une approche agrégée : au lieu de demander l'âge exact des personnes, optez pour des tranches d'âge telles que « 30-39 ans ».
En fin de compte, deux scénarios sont possibles :
Scénario 1 - Enquête anonyme :
Les personnes ne peuvent pas être identifiées dans votre enquête, vous ne traitez donc pas de données à caractère personnel. Cela signifie que vous n'avez pas besoin de créer un RoPO pour l'enquête, mais vous devrez peut-être le faire pour l'invitation.
Scénario 2 - Enquête Identifiante :
Vous collectez des données à caractère personnel dans le cadre de votre enquête et vous avez donc besoin d'une RoPO : Vous pouvez soit vous référer à l'avis de confidentialité générique de l'enquête, le cas échéant, ou vous devez remplir un RoPO.
Vous pouvez inclure les informations dans le RoPO que vous avez créée pour l'invitation, le cas échéant, mais cela risque de compliquer le document.
Vous pouvez également créer un RoPO distinct.
Quoi qu'il en soit, la collecte et le traitement des données de l'enquête doivent se faire avec le consentement des personnes concernées. Vous ne devez pas conserver les données plus longtemps que nécessaire pour les analyser. Selon les lignes directrices du CERN sur la conservation des données, les données doivent être supprimées au plus tard six mois après la fin de l'analyse des données. Vous pouvez envisager de rendre les données anonymes.
N'oubliez pas d'inclure un lien vers l'avis de confidentialité (soit l'avis générique, soit votre propre avis) dans votre formulaire d'enquête.
4. Création de l'enquête
→ Obtenir leur consentement
- Avez-vous besoin d'aide pour créer l'enquête ?
Contactez votre coordinateur de la protection des données du département (DDPC).
Quelques recommendations |
---|
Recommendation 1: Réfléchissez bien en amont à la nécessité de collecter des données à caractère personnel et à la raison de cette collecte. N'incluez pas de données démographiques (par exemple, l'âge ou la nationalité) qui pourraient en fin de compte permettre d'identifier une personne. Ne collectez que les données dont vous avez réellement besoin. Si vous suivez ces conseils, le RoPO sera plus facile à rédiger. Recommendation 2: Décider d'une période raisonnable de conservation des données, conformément aux lignes directrices sur la conservation des données. Cette durée de conservation des données devra être clairement indiquée dans le RoPO. Une fois cette période écoulée, les données peuvent être anonymisées et conservées sous forme de statistiques. Recommendation 3: Faites référence à l'avis de confidentialité dans votre email d'invitation ou votre message de présentation de l'enquête, et mentionnez que la participation à l'enquête est volontaire. Les personnes doivent donner leur consentement pour que leurs données personnelles soient collectées. En répondant à l'enquête, ils donnent leur consentement.. Recommendation 4: Si vous utilisez l'avis de confidentialité générique, indiquez dans votre message quel outil sera utilisé pour l'enquête et que votre service est le service responsable, qui doit être contacté en cas de questions ou si une personne souhaite exercer ses droits en tant que personne concernée. Recommendation 5: Les personnes restent propriétaires de leurs données personnelles. Elles doivent pouvoir en demander l'effacement ou la rectification. |
5. Creation d'un Registre des opérations de traitement (RoPO)
- Avez-vous besoin d'aide pour créer le RoPO ?
Si vous avez besoin d'aide pour créer un RoPO, vous pouvez contacter votre coordinateur départemental de la protection des données (DDPC).
Consultez la procédure Registre des opérations de traitement disponible dans l’Admin e-guide
- Où peut-on trouver des exemples ?
Si vous manquez d'inspiration, vous pouvez jeter un coup d'œil à l'avis de confidentialité général et effectuer une recherche sur la page web (à l'aide de la fonction « trouver sur la page » propre à votre navigateur) pour repérer les avis qui contiennent le mot « survey » dans le titre. Vous pouvez également consulter l’avis de confidentialité générique pour les enquêtes publié par le service “Online Survey Solutions”.
- Devez-vous établir à chaque fois un nouveau RoPO pour une enquête réalisée de manière récurrente, par exemple une fois par an ?
Pour les enquêtes récurrentes, vous pouvez soit prévoir votre propre RoPO générique couvrant toutes les enquêtes si celles-ci impliquent le même traitement de données, soit cloner un RoPO déjà existant figurant dans l'avis de confidentialité général et l'adapter à vos besoins.
- Êtes-vous obligé de documenter à la fois l'invitation et l'enquête dans un seul RoPO ?
Si nécessaire, vous pouvez documenter la préparation de l'invitation dans un RoPO distinct. Cette étape est importante si vous avez présélectionné vos participants sur la base de critères tels que la nationalité ou l'âge afin de cibler votre public (en utilisant des e-groups ou d'autres listes de contacts). Vous devez fixer une période de conservation au terme de laquelle vous supprimerez cette liste.
- Dans le cadre d'un événement que vous organisez, vous présenterez aux participants une enquête destinée à mesurer leur satisfaction. Avez-vous besoin de deux RoPO distincts, l'un pour l'événement, l'autre pour l'enquête ?
Il est possible de regrouper dans un même RoPO l'organisation d'un événement et l'enquête, à condition que les personnes concernées sachent clairement à quoi se rapporte chaque partie et que les différentes activités soient bien documentées.
Notez que l'avis de confidentialité générique publié par le service Online Survey Solutions ne couvre pas le traitement des données à caractère personnel dans le cadre de l'événement !
- Comment obtenir un avis de confidentialité ?
Une fois publiée, le RoPO sera converti en avis de confidentialité et sera disponible sur le Service Portal.
Il convient de noter qu'avant d'être publié, un RoPO doit être examiné par le Bureau de la protection des données. Si la publication est urgente, vous pouvez contacter votre coordinateur départemental de la protection des données, qui se chargera de le contacter.
Quelques recommendations |
---|
Recommendation 1: Commencer par mentionner l'invitation et le service chargé de l'enquête. Recommendation 2: Pour chaque question démographique, donnez des détails sur les données personnelles qui seront utilisées, stockées et partagées, et expliquez l'objectif de la question. Regroupez les questions d’ordre plus générales. Fournissez également des détails sur les questions spéciales. Recommendation 3: Indiquez quelles informations techniques sont automatiquement détectées et enregistrées (par exemple l'adresse IP) lorsque le membre du personnel se rend sur le site web de l'enquête. Recommendation 4: Si vous utilisez pour votre enquête une plateforme informatique fournie par le CERN, par exemple si l'enquête est exécutée sur SharePoint ou hébergée sur un site web sous DRUPAL, n'oubliez pas de mentionner le service correspondant (tel que le service informatique DRUPAL) dans le RoPO sous "Who at CERN has access". Recommendation 5: Si vous faites appel à un fournisseur externe qui n'appartient pas au CERN, vérifiez ses pratiques en matière de gestion des données personnelles (par exemple, marketing, analyse, partage avec d'autres fournisseurs). Recommendation 6: Fixez une courte période de conservation pour les réponses à l'enquête, puis anonymisez les données à caractère personnel. |
6. Traitement des données collectées
Quelques recommendations |
---|
Recommendation 1: Vous devez rendre les données anonymes le plus tôt possible. Recommendation 2: Les résultats que vous publiez doivent être anonymes, sauf si vous avez l'autorisation explicite de publier les réponses des personnes avec leur nom. |
7. Accompagnement dans le processus RoPO
Liens utiles
Link Type | URL |
---|---|
Procédure | Registre des opérations de traitement |
Externe | Notices de confidentialité à différents niveaux |
Procédure | Avis de confidentialité |
Documentation | RoPO Template for a survey with an invitation |