Ethics & legal obligations

National and international laws may require from researchers to follow a number of principles when collecting and / or processing personal data.

If you are processing personal data and your research falls under the Federal Act
on Research involving Human Beings (HRA), the relevant ethics commission is the Cantonal Commission for Ethics and Research (CCER). Otherwise, you must contact the University of Geneva's Committee for Ethical Research (CUREG 2.0).

To find out which law applies to your research, consult this summary table. If you are working with international collaborators, this may involve various laws.

Here are the links for the main regulations about data management and protection:

General Data Protection Regulation (GDPR)

GDPR regulates data protection and privacy for all individuals within the EU, as well as export of personal data outside the EU. It aims primarly to give control to individuals over their personal data. In human research, this affects all internationally active institutions and companies that collect and process personal data from EU residents or send data from Swiss citizens abroad (EU). 

Federal Act on Data Protection (FADP)

 The FADP (Loi fédérale sur la Protection des données - LPD): defines what is considered (sensitive) personal data and general data protection provisions, such as: proportionality, correctness of data, possibility of cross-border disclosure, of data processing by third parties,…

Federal Act on Research involving Human Beings (Human Research Act, HRA)

The HRA (ou LRH):

Applies to research on human diseases and on the structure and functioning of the human body, carried out:

a. on people;

b. on deceased people;

c. on embryos and fetuses;

d. on biological material;

e. on personal data related to health.

 

Does not apply to the research carried out:

a. on in vitro embryos (within the meaning of the Federal Act of 19 December 2003 on embryonic stem cell research)

b. on anonymous biological material;

c. on health-related data that have been collected anonymously or anonymized.

Loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD)
Processing for general purposes: "Public institutions are entitled to process personal data for general statistical purposes, scientific research (…) under the conditions that:  
(b) such data are destroyed or made anonymous as soon as the purpose of the specific processing operation concerned so permits;

(c) the data collected for these purposes alone are not communicated to any other institution, entity or person". (LIPAD, art. 41, our translation)

Loi sur l’Université (LU)

The Loi sur l’Université (LU) C130 gives indication about owership of data in the university context:

"A l’exception des droits d’auteur sur les publications, l’université est titulaire des droits de propriété intellectuelle portant sur toutes les créations intellectuelles ainsi que les résultats de recherches, y compris les programmes informatiques, obtenus dans l’exercice de leurs fonctions par les personnes ayant une relation de travail avec l’université " (art.15 LU)

La directive UNIGE « Intégrité dans la recherche scientifique »

These guidelines specify (under section 2.6 "données de base") that:

  • good data management and documentation is required
  • defining who can access them after the research project's end should be anticipated
  • how research data should be kept secure for 5 years minimum after the end of the research project.

"Les données relatives à l’avancement de la recherche et les résultats des expériences originelles (“données de base”) doivent être documentés de manière claire, complète et précise, selon les règles de chaque discipline, afin d’exclure autant que possible tout dommage, toute perte ainsi que toute manipulation ciblée. Il en va de même pour les données électroniques (sauvegarde des données sur CD-ROM, etc.) et pour la documentation originale des projets de recherche indiquée dans le protocole de recherche.
(...)
Pour chaque projet, il convient également de définir, au préalable, le cercle des participants qui auront encore accès aux données de base au terme de leur collaboration au projet ou de leurs rapports avec l’Université, et de préciser les fins pour lesquelles ils auront le droit d’exploiter ces données.
Le responsable de projet doit veiller à ce que les données de base soient conservées en sécurité pendant cinq ans au moins après le terme de la recherche. Au cas où il quitterait l’Université, le responsable de projet doit s’assurer que les données de base continueront à être conservées de manière appropriée au sein de l’Université."  (Directive, point 2.6)

Under section 3.2.1, the guidelines also list some infractions linked to research data.