En tant que service responsable, vous êtes en charge de traiter les demandes de transfert de données qui concernent les données personnelles que vous traitez.

Ces demandes peuvent être soumises soit par un autre service du CERN, soit par une entité externe.

Transferts au sein du CERN

Lorsque vous transférez des données au sein du CERN, le transfert doit se faire uniquement aux fins qui sont documentées dans le RoPO des services concernés.

En tant que service responsable, vous devez informer les services auxquels vous transférez les données qu'ils doivent appliquer des mesures organisationnelles et techniques appropriées.

S'il est nécessaire de transférer des données en interne à des fins qui ne font pas partie du RoPO, le service concerné doit :

1. prouver que cela serait dans l'intérêt du CERN, et
2. demander à l'ODP d'approuver le transfert.

Pour ce faire, veuillez soumettre une demande à l'ODP en utilisant le formulaire mentionné ci- dessous.

Transferts entre le CERN et des entités externes

a) Transfert au CERN

Lorsque vous recevez des données personnelles d'une entité externe, avant de commencer tout traitement de ces données, vous devez vérifier que l'entité externe était légalement autorisée à transférer les données.

En pratique, cela signifie que vous devez demander à l'expéditeur des données de vous fournir une preuve appropriée (par exemple : un formulaire de consentement signé par la personne concernée, si le transfert était basé sur le consentement).

b) Transfert à une entité externe

Lorsqu'un service responsable transfère des données à une entité externe, cela se produit en général parce que

• soit il existe un transfert récurrent de données à caractère personnel établi dans le cadre d'un contrat ou d'un autre accord formel.

  Par exemple, le transfert récurrent de données à l'administrateur tiers du CERN, UNIQA, pour le CHIS, et l'échange régulier de données avec les autorités des États hôtes du CERN pour établir les documents de légitimation des membres du personnel. Ces transferts doivent être documentés dans le RoPO des services responsables concernés.

• soit l'Entité externe a soumis une demande ad hoc pour un seul transfert de données.

  Il s'agit par exemple de demandes de missions des Etats membres du CERN concernant les données personnelles de leurs ressortissants.

  Pour les transferts de données ad-hoc, l'entité externe doit soumettre une demande de transfert de données en utilisant le formulaire désigné. Ces demandes sont par défaut attribuées à l'ODP, qui en assure la coordination et détermine et contacte le service de contrôle concerné. Une documentation détaillée du traitement des demandes de transferts ad hoc de données est disponible dans la procédure mentionnée ci-dessous.