Le RGPD réglemente la protection des données et de la vie privée pour tous les individus au sein de l'UE, ainsi que l'exportation de données personnelles en dehors de l'UE. Il vise principalement à donner aux individus le contrôle de leurs données personnelles. Dans le domaine de la recherche sur l'être humain, cela concerne toutes les institutions et entreprises actives au niveau international qui collectent et traitent des données personnelles de résident-es de l'UE ou envoient des données de ressortissant-es suisses à l'étranger (UE).

 La LPD définit ce qui est considéré comme des données personnelles et sensibles et les dispositions générales de protection des données, telles que : le traitement selon les principes de bonne foi et de proportionnalité, l'exactitude des données, la possibilité de communication transfrontière, le traitement des données par des tiers, etc.

La LRH vise à protéger la dignité, la personnalité et la santé de l'être humain dans le cadre de la recherche (Art.1).

Elle s'applique à la recherche sur les maladies humaines et sur la structure et le fonctionnement du corps humain, pratiquée:

a. sur des personnes;

b. sur des personnes décédées;

c. sur des embryons et des foetus;

d. sur du matériel biologique;

e. sur des données personnelles liées à la santé.

Elle ne s'applique pas à la recherche pratiquée:

a. sur des embryons in vitro au sens de la loi fédérale du 19 décembre 2003 relative à la recherche sur les cellules souches embryonnaires;

b. sur du matériel biologique anonymisé;

c. sur des données liées à la santé qui ont été collectées anonymement ou anonymisées.

(Art.2)

b) ces données soient détruites ou rendues anonymes dès que le but du traitement spécifique visé le permet;

c) les données collectées à ces seules fins ne soient communiquées à aucune autre institution, entité ou personne;

(LIPAD, art. 41)

La Loi sur l’Université (LU) C130 précise à qui appartiennent les données produites à l’Université  

"A l’exception des droits d’auteur sur les publications, l’université est titulaire des droits de propriété intellectuelle portant sur toutes les créations intellectuelles ainsi que les résultats de recherches, y compris les programmes informatiques, obtenus dans l’exercice de leurs fonctions par les personnes ayant une relation de travail avec l’université " (art.15 LU)

Cette directive contient au point 2.6 intitulé "données de base" des indications sur les données de recherche, notamment :

• la nécessité de leur bonne documentation,
• les personnes pouvant y avoir accès
• et leur durée minimale de conservation (5 ans après le terme de la recherche).

"Les données relatives à l’avancement de la recherche et les résultats des expériences originelles (“données de base”) doivent être documentés de manière claire, complète et précise, selon les règles de chaque discipline, afin d’exclure autant que possible tout dommage, toute perte ainsi que toute manipulation ciblée. Il en va de même pour les données électroniques (sauvegarde des données sur CD-ROM, etc.) et pour la documentation originale des projets de recherche indiquée dans le protocole de recherche.
(...)
Pour chaque projet, il convient également de définir, au préalable, le cercle des participants qui auront encore accès aux données de base au terme de leur collaboration au projet ou de leurs rapports avec l’Université, et de préciser les fins pour lesquelles ils auront le droit d’exploiter ces données.
Le responsable de projet doit veiller à ce que les données de base soient conservées en sécurité pendant cinq ans au moins après le terme de la recherche. Au cas où il quitterait l’Université, le responsable de projet doit s’assurer que les données de base continueront à être conservées de manière appropriée au sein de l’Université."  (Directive, point 2.6)

Au point 3.2.1., la directive liste également des infractions en lien avec les données de recherche.