La version révisée de la CO 11 :
- aligne davantage les règles du CERN sur les meilleures pratiques internationales reconnues en matière de protection des données, notamment le règlement général sur la protection des données (RGPD) de l'UE,
- améliore la sécurité juridique et réduit les risques juridiques et réputationnels,
- simplifie la mise en œuvre pour les services tout en maintenant un niveau élevé de protection des données à caractère personnel, et
- garantit la neutralité technologique et soutient la viabilité à long terme des différentes activités du CERN.
Domaines clés de la modernisation
Parmi les différentes modifications introduites, la révision met en évidence dix domaines clés où une clarification ou une simplification était particulièrement necessaire:
Champ d'application et applicabilité clarifiés
- Le traitement purement privé est exclu, le concept de « traitement régulier » est supprimé
|
Prise de décision automatisée
- Les droits ne s'appliquent que lorsque les décisions ont des effets juridiques ou similaires importants, ce qui simplifie la conformité.
|
Archivage, recherche et statistiques
- Désormais considérés comme des finalités compatibles plutôt que comme des bases juridiques, ce qui facilite le traitement ultérieur
|
Transferts internes
- La consultation de l'ODP remplace l'approbation formelle, ce qui préserve le mandat et le rôle de l'ODP tout en maintenant la surveillance.
|
Analyses d'impact relative à la protection des données
- Introduction d'une approche fondée sur les risques qui permet de mieux hiérarchiser les traitements présentant un risque réellement élevé et de réduire les évaluations inutiles.
|
Transferts externes
- Des responsabilités plus claires et des obligations simplifiées améliorent la compréhension des fournisseurs et facilitent la coopération.
- Un cadre plus proportionné et basé sur les risques permet désormais l'utilisation de solutions cloud pour les données personnelles sensibles, tout en préservant la responsabilité.
|
Protection des données dès la conception
- Des critères de mise en œuvre plus clairs permettent d'intégrer la protection dans les systèmes et les processus dès le départ et tout au long du processus.
|
Traitement par des entités externes
- Une distinction claire entre les rôles du CERN en tant que responsable du traitement et sous-traitant établit des responsabilités définies, aligne le cadre plus étroitement sur le RGPD et améliore la compréhension des fournisseurs, facilitant ainsi les relations contractuelles et les partenariats.
|
Notifications de violation de données
- Requis uniquement en cas de risque élevé et inévitable, ce qui garantit un processus plus proportionné.
|
Doléances
- Une terminologie spécifique identifie désormais les traitements non conformes qui affectent directement les personnes (« doléances»), renforçant ainsi la clarté juridique et opérationnelle, améliorant la compréhension et contribuant à réduire les plaintes.
|
Perspectives d'avenir
Avec cette révision, le CERN confirme son engagement en faveur de la protection des données personnelles grâce à un cadre moderne conçu pour suivre l'évolution des technologies et des environnements de recherche collaborative, tout en maintenant un niveau élevé de protection et en garantissant la continuité, la clarté et la proportionnalité dans la pratique.
