L’outil informatique que je souhaite acheter est présenté comme étant « conforme au RGPD ». Cela signifie-t-il qu’il répond également aux exigences de la CO 11 ?

Les affirmations de « conformité au RGPD » faites par les fournisseurs d’outils informatiques doivent être prises avec des pincettes.

Tout d’abord, le terme « conformité au RGPD » ne constitue pas une garantie légale contraignante, et chacun peut l’interpréter à sa guise. En général, ces affirmations ne reposent pas sur un audit formel, sur l’adhésion à un code de conduite officiel ou à une norme certifiée, mais plutôt sur des auto-évaluations faites par l’entreprise. À ce titre, elles doivent être considérées davantage comme de la publicité que comme la preuve d’une réelle conformité juridique.

La conformité au RGPD n’est pas un simple avantage – c’est une obligation légale. Tout fournisseur établi dans l’UE ou traitant les données personnelles de citoyens de l’UE est tenu de respecter le RGPD. Mettre en avant la conformité avec des exigences légales n’est guère convaincant – cela souligne seulement le fait que l’entreprise respecte la loi, ce qui devrait être une évidence.

Pour illustrer cela : imaginez un service de transport en commun faisant la promotion du fait que ses conducteurs possèdent un permis de conduire valide – vous sentiriez-vous vraiment plus rassuré et penseriez-vous que cela rend leur service plus fiable ?

Le fait qu’un outil ou un fournisseur respecte les exigences de protection des données du CERN – telles que celles définies dans la CO 11 – ne dépend pas d’une déclaration de conformité au RGPD. Il faut procéder à une évaluation rigoureuse basée sur des éléments concrets : les finalités prévues du traitement des données, les fonctionnalités de l’outil, les garanties et services du fournisseur, les termes contractuels et si le fournisseur utilise les données personnelles du CERN à ses propres fins.

Enfin, le RGPD ne s’applique pas au CERN. Par conséquent, la « conformité au RGPD » – quelle que soit sa définition – n’est pas pertinente.

En résumé, il ne faut pas se fier à ces affirmations et il convient de faire preuve de diligence raisonnable pour évaluer si l’outil et le fournisseur remplissent les conditions requises pour un traitement de données personnelles conforme à la CO 11.