En principe, non.

Les conditions contractuelles types du CERN exigent que les données à caractère personnel traitées pour son compte restent sur le territoire des États membres du CERN. Cela garantit que les données bénéficient du cadre juridique du CERN, y compris de ses privilèges et immunités, qui offrent un niveau de protection supplémentaire.

Par conséquent, l’utilisation de services cloud qui stockent ou traitent des données à caractère personnel en dehors des États membres du CERN (y compris aux États-Unis) n’est généralement pas autorisée, que ce soit par le personnel du CERN ou par ses fournisseurs.

Précision importante

Certains pays, dont les États-Unis, sont reconnus (dans certains cadres) comme offrant des niveaux adéquats de protection des données comparables aux normes européennes.

Toutefois, pour le CERN – qui n’applique pas le RGPD – cela ne suffit pas à lui seul. Les exigences contractuelles et institutionnelles du CERN vont au-delà des règles générales d’adéquation en matière de protection des données.

Ce que cela signifie en pratique

• Vous ne devez utiliser que des solutions cloud qui conservent les données à caractère personnel au sein des États membres du CERN
• Les transferts en dehors de ces pays nécessitent une évaluation préalable et une autorisation explicite du CERN
• Vous ne devez pas supposer qu’un service est acceptable simplement parce qu’il est conforme aux règles de l’UE en matière de protection des données