Ces lignes directrices s’appliquent à tout document papier contenant des données personnelles.
Elles complètent la procédure administrative correspondante « Traitement des documents papiers » en fournissant des conseils et astuces pratiques.

• Quelles sont les vulnérabilités liées aux documents papier ?

1. Les documents papier peuvent être lus, photocopiés, photographiés, partagés accidentellement, mal manipulés, endommagés, déplacés ou détruits, perdus ou volés.

2. Les documents contenant des informations personnelles peuvent être dupliqués (plusieurs copies) comme sauvegarde au cas où l’original serait perdu ou égaré. Des copies non sécurisées peuvent être dispersées un peu partout ou ne pas être supprimés correctement, ce qui peut entraîner des fuites de données.

• Pouvez-vous localiser tous les documents contenant les données personnelles d’une personne concernée lorsqu’elle demande la suppression, l’accès ou la correction de ses données ?

Il peut être difficile d’identifier quels documents existent et/ou si plusieurs copies existent. Si l’on ne peut pas retrouver physiquement ces documents, il devient très difficile de respecter les obligations en matière de protection des données.

• Évitez d’imprimer à moins que cela ne soit nécessaire ; adoptez le mode sans papier et privilégiez les documents numériques existants ;

• Évitez de dupliquer les documents (en format papier et numérique).

• Pouvez-vous gérer la durée de conservation définie par le service responsable ?

IIl peut être difficile de s’assurer que tous les documents sont détruits et au bon moment.

• Détruisez autant que possible lorsque c’est légitime (consultez les avis de confidentialité appropriés) et conformément aux procédures en vigueur, notamment « Destruction de supports physiques contenant des données à caractère personnel. ».

• Pouvez-vous garantir la sécurité des documents papier ?

Des personnes non autorisées peuvent accéder accidentellement à des documents contenant des données personnelles posés sur votre bureau ou à votre domicile.

Le transport de documents papier en dehors du site représente un risque : les documents peuvent être oubliés dans un train ou une voiture, puis finir entre de mauvaises mains (en cas de vols).

Les informations personnelles contenues dans ces documents peuvent être utilisées de manière préjudiciable pour les individus.

• Limitez l’accès physique aux documents papier contenant des données personnelles aux seules personnes autorisées ;

• Il est recommandé d’identifier clairement les documents contenant des données personnelles par le biais d’un en-tête, filigrane pour encourager une manipulation prudente.

• Que faut-il garder à l’esprit lors de l’impression ou de la photocopie de documents contenant des données personnelles ?

• Récupérez immédiatement les documents imprimés ; ou utilisez l’impression sécurisée si possible (code PIN sur l’imprimante) ;

• Imprimez/copiez uniquement ce qui est nécessaire ;

• Veillez à utiliser la bonne imprimante ;

• Évitez que des données sensibles soient imprimées/copier intentionnellement, par inadvertance ou par des personnes non autorisées.

• Vous devez envoyer un document papier contenant des données (sensibles) à un collègue, que faire ?

Remarque générale : cette pratique est à éviter autant que possible.

• Vérifiez avec le service responsable si une version papier est réellement nécessaire. Si non, privilégiez un envoi électronique via une plateforme sécurisée recommandé par l’Organisation (ex. CERNBox) ;

• Si le format papier est requis, assurez-vous de le remettre en mains propre. Ne le laissez pas dans votre boîte aux lettres mail ouverte, surtout s’il contient des données personnelles sensibles.

• Quelles mesures de sécurité doivent être mises en place dans votre bureau ?

Vous devez vous assurer que :

• Votre bureau est fermé à clé en votre absence ;

• Vous disposez d’une armoire verrouillable, si vous êtes absent assurez-vous qu’une autre personne de confiance à la clé ;

• Seules les personnes autorisées ont accès aux bureaux où sont conservées de nombreuses données personnelles (ex. Bureau DAO, secrétariats, archives des départements). Ces personnes doivent être identifiées et avoir une raison légitime d’y accéder.

Les personnes entrant dans le bureau d’un collègue doivent toujours respecter le Code de conduite du CERN, notamment en ce qui concerne la confidentialité.

Les notes personnelles (carnets, blocs-notes, post-it…) peuvent contenir vos propres données personnelles ou celles d’autrui. Vous devez les transporter en toute sécurité.

• Que faire lorsque vous emportez des documents papier en dehors du site ?

• Transportez les documents de manière sécurisée, et gardez-les toujours avec vous ;

• Lorsque les documents sont dans un véhicule, ne les laissez pas visibles au public. Rangez-les dans le coffre et ne les laissez jamais dans la voiture pendant la nuit ;

• Vous devez vous assurer que les documents ne sont pas facilement accessibles par d'autres membres du ménage (y compris la famille, les amis et les voisins) ou à l'hôtel ou dans l'avion, même si ces personnes sont des collègues du CERN, à moins que leur accès au document papier ne soit légitime ;

• Évitez de faire des copies supplémentaires ;

• Si vous devez vous débarrasser de documents papier en dehors du site, détruisez-les de manière appropriée (ex. déchiquetage). Si vous ne disposez pas des équipements nécessaires, rapportez-les au CERN pour destruction.

• Comment puis-je protéger mes propres données personnelles ?

Il est de notre responsabilité individuelle de veiller à protéger nos propres données sur le lieu de travail. Vous trouverez ci-dessous une liste de bonnes pratiques à adopter pour mieux protéger vos données personnelles :

• Évitez de laisser traîner vos documents personnels, à proximité des imprimantes et dans les bacs à courrier ;

• Placez vos documents personnels dans un endroit sûr de votre bureau ;

• Si vous devez envoyer des données personnelles sensibles à une entité externe, privilégiez le format électronique, l'utilisation de doubles enveloppes ou remettre le document en mains propres lorsque c’est possible. Pour les demandes de remboursement de l'UNIQA par exemple, vous pouvez utiliser la plateforme web dédiée myUNIQA ou apporter personnellement votre enveloppe bleue au bureau d’UNIQA du CERN (boîte aux lettres ou bureau) ;

• Les enveloppes doubles doivent être utilisée s’il existe un risque que l’enveloppe soit ouverte par un tiers non autorisé. En effet, il peut arriver qu'une organisation utilise un ouvre-lettres automatique, voire un extracteur. Dans ce contexte, le fait de placer votre document personnel dans deux enveloppes augmente sa sécurité.