Acteurs et organes de la protection des données
Un service est un service responsable s'il détermine pour son propre compte les finalités et les moyens du traitement des données à caractère personnel auquel il procède.
Dans la pratique, le responsable du traitement décide quelles données doivent être collectées, comment elles seront utilisées et pour quelles raisons (finalité, base juridique, durée de conservation, transfert, etc.).
Lorsque plusieurs services définissent des finalités ou des moyens différents pour un même traitement, chaque service est considéré comme responsable du traitement pour la partie du traitement qu’il a définie.
Lorsque les finalités et les moyens sont déterminés conjointement par deux services ou plus, ces services sont considérés comme des responsables conjoints du traitement.
Le responsable du traitement est le CERN ou une entité externe qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
En pratique, le responsable du traitement décide des raisons pour lesquelles les données à caractère personnel sont collectées et de la manière dont elles sont traitées (par exemple, finalité, base juridique, durée de conservation, transferts).
Le CERN est le responsable du traitement des données à caractère personnel relevant du champ d’application de l’OC 11 lorsqu’il détermine ces finalités et ces moyens.
Lorsque des données à caractère personnel sont traitées par une entité externe agissant en tant que responsable du traitement, cette entité est seule responsable de veiller au respect du cadre juridique qui lui est applicable (par exemple, le RGPD pour une entité commerciale établie dans l’UE), y compris de s’assurer que le traitement est licite, loyal, transparent, proportionné, exact, sécurisé et limité à ce qui est nécessaire au regard de la finalité déclarée.
N.B. : Au sein du CERN, il ne faut pas confondre la notion de « responsable du traitement » avec celle de « service responsable ». Le service responsable est une fonction interne du CERN chargée de déterminer les finalités et les moyens d’une opération spécifique de traitement des données. En revanche, le responsable du traitement est un concept juridique plus large qui s’applique au CERN dans ses relations externes.
En résumé, alors que le service responsable concerne les responsabilités organisationnelles internes du CERN, le responsable du traitement fait référence au rôle du CERN au regard des cadres applicables en matière de protection des données.
Un sous-traitant est le CERN ou une entité externe qui traite des données à caractère personnel pour le compte d'un responsable du traitement.
Le sous-traitant ne décide pas des finalités du traitement des données. Il agit uniquement selon les instructions du responsable du traitement et ne prend aucune décision indépendante concernant les données à caractère personnel qu'il traite.
Le CERN peut lui-même agir en tant que sous-traitant, par exemple lorsqu'il met à la disposition d'utilisateurs externes des plateformes telles que Zenodo ou Indico. Dans de tels cas, c'est l'utilisateur externe qui détermine la finalité du traitement ; le rôle du CERN se limite à fournir et à exploiter les moyens techniques par lesquels ce traitement est effectué.
Lorsqu'une entité externe agit en tant que sous-traitant pour le compte du CERN, celui-ci ne fera appel qu'à des entités offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer que le traitement répond à des exigences comparables à celles de l'OC 11. La relation doit être régie par un accord écrit précisant, entre autres, l'objet, la nature, la finalité et la durée du traitement, les catégories de données à caractère personnel et de personnes concernées, ainsi que les obligations des deux parties.
N.B. : Au sein du CERN, il ne faut pas confondre la notion de « sous-traitant » avec celle de « service de traitement ». Le service de traitement est une fonction interne du CERN qui traite des données à caractère personnel exclusivement pour le compte d’un service responsable. En revanche, la notion de sous-traitant est un concept juridique plus large qui s’applique au CERN dans le cadre de ses relations externes.
En résumé, alors que le service de traitement relève des responsabilités organisationnelles internes du CERN, le sous-traitant fait référence au rôle du CERN au regard des cadres applicables en matière de protection des données.
La personne concernée est toute personne physique - vivante ou décédée - dont les données à caractère personnel font l'objet d'un traitement.
Une entité extérieure est toute personne physique (un individu) ou morale (organisations ou entreprises) exerçant ses activités en dehors de la structure du CERN.
Lorsque deux ou plusieurs responsables du traitement déterminent conjointement les finalités et les moyens d’un traitement, ils sont considérés comme des responsables conjoints du traitement. La responsabilité conjointe est déterminée par le fait que chaque partie influence réellement les décisions concernant les raisons et les modalités du traitement des données à caractère personnel, et non par la manière dont les parties choisissent de qualifier ou d’organiser leur relation.
Les responsables conjoints doivent définir, au moyen d’un accord formel, leurs responsabilités respectives (par exemple, comment répondre aux demandes des personnes concernées et comment celles-ci seront informées de ces responsabilités).
Un service est un service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte d'un service responsable.
Il effectue le traitement conformément aux instructions du service responsable et ne prend aucune initiative pour définir ou modifier les finalités ou les moyens du traitement.
Un service de traitement peut devenir un service responsable s'il décide de traiter les données d'une manière qui va au-delà ou diffère des instructions données par le service responsable.
Un service peut agir à la fois en tant que service responsable et en tant que sous-traitant pour différentes opérations de traitement.
Un service, au sens du cadre général sur la protection des données, désigne une ou plusieurs activités supposant le traitement de données à caractère personnel au bénéfice de l’Organisation.
La notion de service ne correspond pas nécessairement à une unité organique ou à un domaine d'activité.
Un service est un
-
service responsable s'il détermine les finalités et les moyens du traitement auquel il procède, ou un
-
service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte du service responsable.
La personne responsable d'un service (« Service Owner ») est responsable du traitement par ce service des données à caractère personnel et assume donc la responsabilité des activités effectuées par ce service.
Icons made by Freepik from www.flaticon.comUne séparation claire des responsabilités
La protection des données personnelles est une responsabilité fondamentale au CERN. Afin de garantir l'efficacité, la transparence et la fiabilité de cette protection, le CERN applique une séparation claire des responsabilités dans le domaine de la gouvernance de la protection des données.
Le CERN veille à ce que les responsabilités en matière de protection des données soient assumées par des rôles clairement définis et distincts:
- Le directeur des systèmes d'information (CIO), en collaboration avec le Comité de coordination de la protection des données (DPCC), est responsable pour la mise en œuvre de la CO 11. Cela implique la définition des procédures, la mise en places des politiques et la supervision de la gouvernance quotidienne au sein de l'Organisation.
- Le Bureau de la protection des données (ODP) et la Commission de protection des données (DPC), quant à eux, agissent indépendamment de ce rôle de mise en œuvre. Ils interprètent la CO 11, fournissent des conseils et des orientations neutres et indépendants, évaluent la conformité et examinent des cas spécifiques. Leur autonomie, ainsi que la ligne hiérarchique directe de l'ODP avec le directeur général, garantissent que les obligations en matière de protection des données sont appliquées de manière équitable et cohérente.
Cette séparation des tâches est un principe essentiel de bonne gouvernance. Elle renforce la responsabilité, prévient les conflits d'intérêts et contribue à maintenir la confiance dans la manière dont le CERN gère les données à caractère personnel.