Qu'est-ce qu'une autorité de contrôle ?
Une autorité de contrôle de la protection des données est un organe bien défini et bien établi en Europe et dans le monde entier, chargé de plusieurs tâches relatives à l'application des lois sur la protection des données.
Il existe actuellement plus de 130 autorités de ce type, dans divers pays et organisations intergouvernementales.
Elles ont des caractéristiques spécifiques concernant leur mission et leurs pouvoirs :
- elles doivent être indépendantes
- elles contrôlent l'application des règles de protection des données
- elles doivent être en mesure de recevoir des plaintes, de mener des enquêtes et d'assurer le respect de la réglementation
- elles supervisent le traitement des violations de données
- elles offrent un accès à des voies de recours et de réparation (ce qui signifie qu'elles sont compétentes pour accorder une indemnisation aux personnes concernées en cas de traitement non-conforme).
Pourquoi le CERN a-t-il besoin d'une autorité de contrôle ?
Lorsque la Circulaire opérationnelle n° 11 intitulée "Traitement des données à caractère personnel au CERN" (CO 11) a été établie en 2018, le "Comité de concertation permanent" (CCP) a convenu de mettre en œuvre le cadre complet de protection des données selon une approche progressive, et d’instaurer l'autorité de contrôle dans un second temps, éventuellement partagée avec d'autres organisations intergouvernementales.
Entre-temps, les autres organisations intergouvernementales ont chacune mis en place leur propre autorité et l'idée de l'approche partagée a été abandonnée.
Il convient de noter que la CO 11 n'est pas complète sans une autorité de contrôle ; à titre d'exemple, les possibilités de plainte ne sont disponibles que pour les membres du personnel, et ceci seulement lorsque leurs propres données sont concernées.
L'absence d'une autorité crée divers risques :
- en termes de collaboration scientifique avec les partenaires de recherche en Europe.
- concernant les projets de l'UE (les évaluations des piliers comprennent désormais une évaluation de la protection des données)
- si des plaintes doivent être adressées à une autorité de surveillance d’un État hôte.
L'audit sur la protection des données réalisé en 2020 au CERN a correctement identifié que cet élément était absent de notre programme, et en conséquence deux annexes de la CO 11 ont été élaborées, définissant la Commission de protection des données.
Comment les annexes de l'OC 11 ont-elles été élaborées ?
Compte tenu des conclusions de l'audit et des risques susmentionnés, la Directrice générale (DG) a créé un groupe de travail chargé d’élaboration d’une proposition. Le groupe de travail était présidé par l'ancien Directeur des finances et des ressources humaines, Martin Steinacher ; ses membres étaient le Service juridique et le Bureau de la protection des données (ODP). L'Association du personnel a rejoint le groupe en août 2020.
Le groupe de travail a effectué un benchmarking auprès d'autres organisations et a analysé les exigences et les structures possibles, afin d'identifier une approche adaptée au CERN.
Comme indiqué précédemment, deux projets d'annexes à la CO 11 ont été établis pour décrire le mandat, les pouvoirs et les fonctions de l'autorité de contrôle du CERN : la Commission de protection des données (DPC).
Ces annexes ont été présentées au sous-groupe 1 du CCP, et discutées lors de plusieurs réunions. Les commentaires des départements et de l'Association du personnel ont été pris en compte pour arrêter la version finale du texte, qui a ensuite été approuvée par le CCP et signée par la DG.
L'introduction de la Commission de protection des données a également nécessité de légères adaptations des Statuts et règlement du personnel afin de permettre un recours direct au TAOIT contre ses décisions ; les modifications correspondantes ont été approuvées par le Conseil en juin 2021.
Quelle sera la composition de la Commission de protection des données ?
La DPC sera composée de trois experts externes en matière de protection des données, recommandés collectivement par les représentants de la DG, de l'Association du personnel et de l'ODP pour nomination par la DG.
Ils sont nommés pour une période de trois ans et leur mandat peut être prolongé de trois ans au maximum. Dans l'exercice de leurs fonctions, les membres du CPD agissent en toute indépendance et impartialité, ne sollicitent ni acceptent d'instructions de quiconque et gardent la confidentialité sur les questions découlant de leurs fonctions.
Comment la Commission de protection des données exercera-t-elle ses fonctions de conformité ?
L'ODP informera la Commission de la protection des données des violations de données et des rapports de traitement non-conforme, afin qu'elle puisse décider si des enquêtes et des évaluations sont nécessaires.
En outre, afin de garantir l'indépendance, la Commission de protection des données est libre de déterminer la meilleure façon d'exercer ses fonctions de conformité. Cela signifie qu'elle peut décider librement d'activités supplémentaires pour garantir le respect des règles et des politiques de protection des données. La Commission de protection des données collaborera avec les services du CERN, le service d'audit interne et l'ODP.
Dans le cadre de ses fonctions de conformité, la Commission de protection des données a le droit de mener des enquêtes, d'obtenir l'accès aux données personnelles si nécessaire, et d'ordonner, par l'intermédiaire de la Directrice générale, à un service responsable de limiter ou d'arrêter le traitement des données personnelles et de mettre le traitement en conformité avec la CO 11. Elle peut également recommander à la Directrice générale des mesures de suivi appropriées.
Comment la Commission de la protection des données exercera-t-elle sa fonction d'audition de plaintes ?
Les personnes concernées qui ne sont pas satisfaites du résultat de leur demande d’exercice de droits ou d'un rapport de traitement non-conforme concernant leurs propres données peuvent soumettre une plainte à la commission de protection des données dans les 60 jours suivant la notification de la décision par l'ODP.
La Commission de protection des données vérifiera d'abord si la plainte est recevable, avant d'examiner si les droits de la personne concernée ont été violés. À la fin de l'enquête, la Commission de protection des données établira un rapport écrit afin de documenter les faits et les constatations et d'exprimer son avis, et recommandera à la Directrice générale des mesures de suivi appropriées, le cas échéant.
Ces mesures peuvent comprendre le remboursement des frais raisonnables et le versement d'une indemnité morale d'un montant maximal de 5000 CHF à la personne concernée. Dans des situations exceptionnelles et bien justifiées, cette compensation peut aller jusqu'à 10000 CHF.
La Directrice générale décide ensuite d'accepter ou non le rapport et les recommandations. La personne concernée sera informée de la décision par écrit.
Les personnes concernées peuvent-elles contester la décision de la Directrice générale ?
Oui.
Les membres du personnel qui estiment que la décision de la Directrice générale leur fait grief peuvent déposer une plainte auprès du Tribunal administratif de l'Organisation internationale du travail (TAOIT).
Les personnes concernées qui ne sont pas membres du personnel peuvent recourir à l'arbitrage.