Que dois-je faire lorsqu'un autre service veut accéder aux données en ma possession ?

Lorsqu’un autre service vous demande de lui fournir des données, vous devez vous poser les questions suivantes:

  • Pourquoi ce service veut les données se trouvant en ma possession? Est-ce qu’il existe une finalité claire?
  • Puis-je fournir ces données sous forme anonymisée pour éviter de transférer des données à caractère personnel, ou tout du moins sous forme pseudonymisée? Cette situation sera fréquente pour les services effectuant un travail statistique ou analytique, mais il se peut que vous devriez alors traiter les données avant de les transmettre.
  • Puis-je compter sur le destinataire pour être en conformité avec les obligations du CERN en matière du droit au respect à la vie privée?

En tant que Service chargé du transfert, vous avez la responsabilité de vous assurer que la protection de la vie privée est transférée avec les données. À nouveau, s’il n’est pas absolument nécessaire de transférer des informations personnelles, anonymisez d’abord les données.

Données requises par le service de l'audite interne du CERN (IAS)

Lorsque la demande est présentée par le IAS aux fins d'un audit ou d'une enquête sur une fraude, il convient de considérer que le Directeur Général a déjà autorisé l'accès aux données personnelles nécessaires à l'accomplissement de la mission du IAS: à des fins d'audit (voir le point 8 de la charte de l'audit interne du CERN) et à des fins d'enquête sur une fraude (§§ 10 et 31 CO 10). Il existe donc une finalité claire et des bases juridiques pour accéder aux données qui sont nécessaires et proportionnées.

La transparence est assurée par l'avis de confidentialité du l'IAS, qui documente non seulement les finalités des données personnelles traitées, mais aussi la source de collecte, ainsi que par l'avis de confidentialité central du CERN, qui stipule que chaque service responsable peut transférer des données personnelles aux services compétents du CERN à des fins d'audit ou dans le cadre d'enquêtes officielles (par exemple, pour fraude ou harcèlement) ou pour l'établissement, l'exercice ou la défense de droits en justice.

Par conséquent, vous devez transférer les données à caractère personnel pertinentes comme demandé.

Si vous êtes le service de traitement des données demandées et que vous n'avez pas reçu d'instructions spécifiques de la part du responsable du traitement pour transférer les données à l'IAS, vous devez transmettre la demande au responsable du traitement si elle a été soumise dans le cadre d'un audit.
Dans le cas contraire, si vous êtes informé que la demande est soumise dans le cadre d'une enquête sur une fraude, ce qui vous oblige à coopérer pleinement et à maintenir la confidentialité tout au long de l'enquête, vous devez divulguer les données à caractère personnel demandées par l'IAS.
À cet égard, il convient de noter que l'IAS doit vous informer du contexte dans lequel elle soumet la demande de données, sans toutefois mentionner de détails concernant l'enquête spécifique.

N'hésitez pas à contacter l'ODP en cas de questions ou de doutes.