Lorsque vous créez un nouveau service, vous devriez procéder comme suit :

• Tout d’abord, le service doit être enregistré dans le catalogue des Services du CERN.

• Les concepteurs du service doivent identifier les opérations de traitements ainsi que les problèmes potentiels de confidentialité.

• Les services doivent être conçus de manière à garantir un niveau minimum de collecte, de traitement et de partage des données à caractère personnel. Cette exigence comprend également les transferts dans et hors du service, qui doivent être documentés dans l’avis de confidentialité.

• Comme les usagers doivent garder le contrôle total de leurs données, il n’est pas autorisé de baser le traitement sur le consentement implicite (la politique du CERN en la matière est de requérir le consentement explicite de l’individu). Les usagers doivent également pouvoir facilement décider et changer quel volume de données à caractère personnel ils souhaitent divulguer. Enfin, la faculté d’exercer leur droit d’accès ainsi que leur droit à l’oubli doit être mise en œuvre.

• Ces divers points devront être revus avec toutes les parties appropriées, y compris l’ODP si nécessaire.

• L’avis de confidentialité et le cas échéant une analyse d'impact relative à la protection des données doivent être complétés sur ServiceNow.

• S’il apparaît, qu’en l’absence de mesures d’atténuation, le traitement pourrait entraîner un risque élevé pour les droits de l’individu, une consultation préalable avec l’ODP est requise.

• Des mesures de sécurité adéquates doivent être mises en place pour assurer la sécurité tout au long de la durée de vie du service, afin de garantir que toutes les données personnelles conservées en lien avec ce service seront supprimées à la fin de celui-ci, sans aucune possibilité d’y accéder à nouveau.