Traitement des demandes d'exercise de droits
Une demande d'exercise de droits est une demande de la part d'une personne concernée à un service responsable d'exercer un ou plusieurs de ses huits droits de la personne concerée comme définis dans la CO 11.
L'un des objectifs du cadre juridique pour la protection des données au CERN (Circulaire opérationnelle no. 11, CO 11) est de favoriser l’autonomisation des individus et de leur donner le contrôle sur leurs données à caractère personnel.
La CO 11 définit huit droits des personnes concernées, comme suit :
- Droit à l'information
- Droit d'accès
- Droit d'opposition
- Droit de rectification
- Droit de demander la suspension provisoire du traitement
- Droit à l'effacement
- Droit à la portabilité
- Droits relatifs à la prise de décision automatisée
La circulaire opérationnelle n° 11 donne des droits aux personnes concernées pour gérer leurs données personnelles qui ont été collectées par le CERN. Ces droits comprennent l'accès aux données personnelles, l'obtention de copies de celles-ci, la demande de modifications, la restriction de leur traitement, leur suppression ou leur réception dans un format électronique.
Le service responsable est tenu d'examiner rapidement toute demande des personnes concernées visant à exercer leurs droits. Il doit fournir une réponse concrète, soit en prenant les mesures demandées, soit en expliquant pourquoi le responsable du traitement ne peut pas donner suite à la demande.
Un délai de 90 jours ouvrables doit être respecté.
Les demandes de droits des personnes concernées soumises via le formulaire Service Now sont attribuées par défaut à l'ODP, qui assure la coordination de la demande. Cela inclut l'identification du service responsable et la transmission de la demande à ce service.
Notez que l'identité de la personne doit être vérifiée avant de fournir des données personnelles. En outre, l'envoi de données personnelles par courrier électronique peut ne pas être approprié sans garanties supplémentaires comme le cryptage (voir les autres conseils de cette section).
Droit d’être informé
L’avis de confidentialité doit être complet et disponible.
Droit d'accès
Vous devez être en mesure de vérifier quel traitement est effectué sur les données personnelles d'une personne et de lui donner accès à ces données. Notez que toutes ces informations doivent correspondre à celles qui figurent sur l'avis de confidentialité.
Droit à la portabilité des données
Lorsque les données traitées sur la base du consentement ou d'un contrat existent dans un format numérique, une personne peut demander que ses données lui soient fournies dans un format numérique. Nous considérons qu'Excel est un format approprié, mais d'autres formats, y compris les fichiers texte, seraient également appropriés. Les formats binaires obscurs ne sont pas considérés comme appropriés.
Droit à la rectification
Les données doivent être exactes et complètes et toute inexactitude ou tout manquement doit être corrigé rapidement.
Lorsque les données personnelles ont été transférées à un autre service ou à une entité externe, vous devez faire un effort raisonnable pour les informer de cette correction.
Droit à l'effacement
Normalement, les données doivent être supprimées sans "retard excessif" lorsqu'elles ne sont plus nécessaires à la réalisation de la finalité ou qu'elles ont été traitées de manière inappropriée. Ce droit doit être mis en balance avec les besoins de l'Organisation, notamment lorsqu'elles sont encore nécessaires pour des enquêtes officielles.
Les données ne doivent pas être supprimées en cas de suspension du traitement demandé par la personne concernée, comme ce serait le cas lorsque les données sont nécessaires à une action en justice de la personne concernée.
Lorsque les données personnelles ont été transférées à un autre service ou à une entité externe, vous devez faire un effort raisonnable pour les informer de cette suppression.
Droit d'opposition au traitement
Si l'avis de confidentialité indique que le traitement est fondé sur l'intérêt légitime de l'Organisation, et que la personne exerce ce droit, le traitement doit cesser jusqu'à ce que l'Organisation puisse démontrer des raisons "impérieuses" de poursuivre le traitement.
Pour les autres bases légales, le demandeur doit expliquer les raisons pour lesquelles la légitimité du traitement de ses données personnelles fait défaut.
Droit à la suspension
Ce droit peut être exercé dans deux situations :
- lorsque la personne concernée a émis une demande de rectification ou d'effacement et souhaite qu'avant le traitement de ces demandes, les données concernées ne soient plus traitées.
- lorsque la personne concernée a besoin des données personnelles pour une réclamation légale et veut éviter que les données concernées soient effacées par le service de contrôle.
Dans les deux cas, vous devez immédiatement arrêter le traitement, puis vérifier la légitimité de la demande de suspension.
Droits relatifs à la prise de décision automatisée
Si les données personnelles sont utilisées pour une prise de décision automatique, vous devez être en mesure d'expliquer à la personne concernée les règles appliquées pour cette prise de décision. Si la décision est contestée, vous devez la revoir avec une intervention humaine, c'est-à-dire sans utiliser l'algorithme.
Liens utiles
Link Type | URL |
---|---|
Procédure | Traitement des demandes de personnes concernées d'exercer leurs droits - Lignes… |