Présenter une réclamation
Un traitement non conforme veut dire que des données personnelles ne sont pas traité conformément à la CO 11, le cadre juridique de la protection du données du CERN.
Une violation de la sécurité des données est un cas spécifique d'un traitement non conforme qui impacte la sécurité des données personnelles.
Exemples:
- Un service traite des données sans base légale.
- Les données personnelles sont utilisées pour autres finalités que celles énoncées dans l'avis de confidentialité.
- A la fin de la période de conservation, les données ne sont ni éffacées ni anonymisées.
- Mesures de sécurité insuffisantes pour protéger les données.
- Trop de données personnelles sont exposées - des données qui ne sont pas nécessaires à la finalité du traitement.
- Le service responsable n'a pas donné suite à une demande de la personne concernée dans le délai légal de 90 jours et n'a pas fourni de réponse ou de justification.
Dans quels cas?
Si vous n'êtes pas satisfait du résultat de votre rapport de traitement non conforme en ce qui concerne le traitement de vos données à caractère personnel, vous pouvez présenter une réclamation auprès de la Commission de protection des données (CPD).
Pour ce faire, vous devez avoir reçu le rapport d'évaluation émis par l'ODP et pouvoir prouver que vos données à caractère personnel ont fait l'objet du traitement non conforme signalé. Veuillez noter qu'il n'est pas possible de déposer une réclamation pour des traitements non conformes qui ne vous ont pas impacté personnellement, c'est-à-dire lorsque vos propres données personnelles n'ont pas été affectées.
Soumettre une réclamation
Vous disposez d'un délai de 60 jours à compter de la réception du rapport d'évaluation pour déposer la réclamation.
Si vous décidez de le faire, veuillez contacter l'ODP qui vous expliquera les formalités et vous fournira le formulaire de réclamation standard à compléter avec les informations suivantes, en plus de votre identité :
- Un exposé détaillé des faits
- L'impact du traitement contesté sur vous
- Tout autre document pertinent
Traitement de votre réclamation
1) Évaluation de la recevabilité
Le CPD dispose d'un délai de 30 jours pour procéder à une première évaluation afin de décider si la réclamation est recevable. Une réclamation est recevable si le délai de 60 jours pour sa soumission est respecté, si le formulaire contient les informations requises et s'il est accompagné du rapport d'évaluation.
Veuillez noter qu'une réclamation n'est possible et recevable que si vos propres données personnelles sont ou ont été affectées par le traitement.
Le CPD vous informera, ainsi que le directeur général, de sa décision.
2) Investigation
Si votre réclamation est recevable, le CPD mènera son enquête
- en examinant votre rapport initial sur traitement non conforme et son évaluation par l'ODP
- en recueillant les observations de l'Organisation sur la réclamation, et
- en examinant la réclamation et les observations de l'Organisation.
Dans ce contexte, le CPD est libre de
- demander des déclarations écrites et/ou des documents supplémentaires
- vous interroger, ainsi que les représentants de l'Organisation et tout témoin pertinent, si nécessaire ;
- obtenir l'avis d'un expert de tout service pertinent ; et,
- recueillir toute autre information nécessaire pour mener à bien son enquête.
Lors des entretiens avec le CPD, vous pouvez être accompagné par un membre ou un ancien membre du personnel du CERN qui n'est pas impliqué dans la procédure. En cas de force majeure, cette personne peut également vous représenter lors de l'entretien.
Si vous ne travaillez pas au CERN et que vous souhaitez être accompagné, vous pouvez contacter l'ODP, qui vous trouvera un volontaire.
Une fois que l'Organisation a fait part de ses observations au CPD (point c) ci-dessus), le CPD doit finaliser l'enquête dans un délai de 60 jours civils en publiant un rapport d'enquête écrit. Dans des circonstances exceptionnelles, ce délai peut être prolongé une fois, sur notification écrite à vous et au Directeur général.
3) Avis et recommandation
Le rapport d'enquête est présenté au Directeur général et doit contenir
- l'exposé de la procédure suivie;
- les personnes interrogées;
- la documentation et toute information complémentaire prise en compte au cours de l'enquête ;
- les faits établis ;
- l'avis du CPD sur la question de savoir si les faits établissent que les données à caractère personnel de la personne concernée ont été traitées d'une manière non conforme à la CO 11 ; et
- d'éventuelles recommandations assorties de mesures de suivi.
Ces recommandations peuvent porter sur l'octroi de mesures correctives appropriées, y compris le remboursement de frais raisonnables sur présentation des pièces justificatives appropriées et, lorsque les circonstances le justifient, une compensation morale d'un montant maximal de 5 000 francs suisses. Dans des situations exceptionnelles et bien justifiées, le CPD peut recommander une compensation morale allant jusqu'à 10 000 francs suisses.
Décision
Le Directeur général dispose de 30 jours pour décider d'accepter ou non l'avis et les recommandations du CPD, et de 5 jours supplémentaires pour vous notifier la décision finale.
En même temps que la décision, vous serez informé des faits établis au cours de l'enquête et des avis formulés dans le rapport d'enquête, ainsi que, le cas échéant, des raisons pour lesquelles la recommandation du CPD n'a pas été suivie.
Recours
Si vous estimez que la décision du Directeur général vous porte préjudice, vous pouvez la contester :
- Si vous êtes membre du personnel du CERN, vous pouvez former un recours auprès du Tribunal administratif de l'Organisation internationale du travail (TAOIT).
- Sinon, vous pouvez contester la décision par voie d'arbitrage conformément à la section II de l'annexe 2 de l'OC 11.