Le traitement par des entités extérieures signifie que vous, en tant que service responsable, utilisez des ressources non-CERN et/ou engagez des entreprises ou organisations pour le traitement de données à caractère personnel.

Exemples typiques:

• Un service engage une entreprise pour mener une enquête auprès des utilisateurs au nom du CERN ;
• Vous utilisez un outil logiciel en ligne pour gérer des données personnelles, par exemple pour le recrutement de nouveaux talents ;
• Des données personnelles sont stockées dans une solution cloud.

Lorsqu’un sous-traitant externe est utilisé, en tant que service responsable, vous devenez garant du traitement effectué par cette entité externe. Par conséquent, vous devez vérifier attentivement si le sous-traitant est approprié. La liste de contrôle suivante et les détails ci-dessous expliquent les obligations du service responsable dans ce contexte.

Vous devez suivre cette liste de contrôle très tôt dans le processus d’acquisition. Les points 1 et 2 doivent faire partie du processus décisionnel, car le non-respect ou l’absence de garanties suffisantes constituent des critères d’exclusion.

Il est fortement recommandé de contacter immédiatement le Cloud Licence Office (CLO) du département IT lorsque vous devez acquérir des outils informatiques ou des solutions cloud. Le CLO coordonnera les points 1 et 2 du processus ci-dessus, et collaborera avec l’équipe de sécurité informatique, le bureau de la protection des données et le service des achats si nécessaire.

1. Conformité à la CO 11

Lorsque vous utilisez des sous-traitants externes, vous devez vous assurer qu’ils respectent le cadre de protection des données du CERN. Cela implique que vous compreniez clairement quelles données personnelles sont traitées par un fournisseur en tant que sous-traitant, et pour quelles données le fournisseur prétend être un responsable du traitement.

En pratique, cela signifie que pour sélectionner un sous-traitant externe approprié, vous devez vérifier attentivement

1. &oute la documentation fournie par le fournisseur, telle que la documentation technique, les conditions d'utilisation, ainsi que tout autre document contractuel mentionnant les aspects liés à la protection des données, etc.
2. le pays du fournisseur
3. le pays dans lequel le traitement des données, y compris leur stockage, aura lieu
4. l'avis/politique de confidentialité fournie par le fournisseur s'il traite des données à caractère personnel en tant que responsable du traitement,

Le pays du fournisseur devrait être un des États membres du CERN, conformément aux règles d’achat du CERN. Comme ces États membres accordent au CERN des privilèges et immunités diplomatiques, les données personnelles bénéficient d’une protection supplémentaire par les clauses garantissant l’inviolabilité des documents.

Si le pays du fournisseur ou celui du traitement fait partie de l’Espace économique européen (EEE) ou de la Suisse, la législation applicable sur la protection des données (RGPD ou LPD) est très similaire à la CO 11 du CERN, assurant ainsi les conditions essentielles de conformité, de mise en œuvre et de sensibilisation aux principes de protection des données sont respectées.

Pour toutes les opérations de traitement effectuées en tant que responsable du traitement, le fournisseur doit fournir un avis de confidentialité pour expliquer comment les données personnelles sont traitées. Les fournisseurs soumis au RGPD sont légalement obligés d’en avoir un. En général, ces avis sont publiés sur leur site internet, accompagnés d’autres documents juridiques tels que les conditions d’utilisation. Cet avis vous permettra de comprendre si le mode de traitement des données personnelles par le fournisseur est compatible avec la CO 11.

Attention particulière à accorder aux points suivants dans les avis de confidentialité :

• Quelles données sont collectées et traitées ? Sont-elles raisonnables et adéquates au regard de l’objectif de l’outil ? En cas de doute, contactez l’ODP.
• Les données personnelles sont-elles utilisées à des fins de marketing ? C’est souvent le cas avec des outils gratuits, mais cela ne devrait pas exister pour des logiciels payants. De plus, l’utilisation à des fins marketing nécessite le consentement explicite de la personne concernée ; une option de retrait (opt-out) n’est pas suffisante. En général, l’usage des données personnelles à des fins publicitaires n’est pas compatible avec la CO 11.
• Les données personnelles sont-elles revendues ? C’est parfois le prix à payer pour des outils gratuits. Cependant, pour des services payants, la revente de données personnelles n’est pas acceptable. Dans tous les cas, cela n’est pas compatible avec la CO 11.
• Avec qui les données personnelles sont-elles partagées, y compris les sous-traitants secondaires ? Si une liste des sous- traitants secondaires est disponible, examinez les entreprises et leurs emplacements. Si elles ne sont pas situées dans les États membres du CERN ou dans l’EEE/Suisse, il faut alors envisager des solutions alternatives.

L’ODP a préparé un questionnaire sur la protection des données à l’attention des fournisseurs potentiels afin d’évaluer leurs conditions de traitement des données personnelles. Vous pouvez l’envoyer au fournisseur potentiel (voir lien en bas de page), en demandant qu’il le retourne complété au Bureau de la protection des données. Les réponses aideront à déterminer si les exigences du CERN sont respectées.

Le Bureau de la protection des données vous assistera dans cette évaluation et fournira des recommandations si les conditions ne sont pas remplies.

2. Garanties

Lorsque vous utilisez des sous-traitants externes, vous devez vous assurer que des garanties appropriées sont mises en place pour protéger la vie privée des personnes concernées.

L’équipe de sécurité informatique est chargée de vérifier si les outils et solutions cloud externes respectent les normes de sécurité du CERN et garantissent une protection suffisante des données personnelles. Vous devez contacter le Cloud and Licence Office (CLO) qui coordonnera l’implication des experts techniques.

3. Instructions

Vous devez vous assurer que les sous-traitants externes reçoivent des instructions détaillées pour le traitement.

Ces instructions doivent inclure:

• L’objet et la durée du traitement ;
• La nature et la finalité du traitement ;
• Le type de données personnelles et les catégories de personnes concernées ;
• Les obligations et droits du responsable de traitement.

Vous devez en particulier indiquer si des transferts de données sont prévus et pendant combien de temps les données doivent être conservées par le sous-traitant externe.

Ces instructions feront partie du contrat entre le CERN et le fournisseur.

4. Contrat

Vous devez vous assurer que la conformité à la CO 11, les garanties et les instructions sont documentées dans un contrat.

Le service des achats est responsable de la mise en place des contrats commerciaux. Afin d'élaborer le document approprié, vous devez contacter un agent des achats en charge des logiciels informatiques en fonction du volume du contrat.

Veuillez noter que même pour des outils et services gratuits, un contrat doit être mis en place pour formaliser les responsabilités du CERN et du fournisseur concernant le traitement des données personnelles.

5. RoPO

Vous devez vous assurer que le traitement effectué par le sous-traitant est documenté dans un RoPO (Registre des opérations de traitement).

Suivez les instructions de la procédure sur le Registre des opérations de traitement et indiquez dans le tableau "Transfert de données externes" le fournisseur et son pays, les données personnelles traitées par ce dernier ainsi que les activités de traitement effectuées. Si l’avis de confidentialité standard du fournisseur est disponible et applicable, il est recommandé d’ajouter un lien vers celui-ci dans le RoPO concerné.