Le traitement par des entités extérieures signifie que vous, en tant que service responsable, utilisez des ressources non-CERN et/ou engagez des entreprises ou organisations pour le traitement de données à caractère personnel.

Exemples typiques:

• Un service engage une entreprise pour mener une enquête auprès des utilisateurs au nom du CERN ;
• Vous utilisez un outil logiciel en ligne pour gérer des données personnelles, par exemple pour le recrutement de nouveaux talents ;
• Des données personnelles sont stockées dans une solution cloud.

Lorsqu’un sous-traitant externe est utilisé, en tant que service responsable, vous devenez garant du traitement effectué par cette entité externe. Par conséquent, vous devez vérifier attentivement si le sous-traitant est approprié. La liste de contrôle suivante et les détails ci-dessous expliquent les obligations du service responsable dans ce contexte.

Vous devez suivre cette liste de contrôle très tôt dans le processus d’acquisition. Les points 1 et 2 doivent faire partie du processus décisionnel, car le non-respect ou l’absence de garanties suffisantes constituent des critères d’exclusion.

Il est fortement recommandé de contacter immédiatement le Cloud Licence Office (CLO) du département IT lorsque vous devez acquérir des outils informatiques ou des solutions cloud. Le CLO coordonnera les points 1 et 2 du processus ci-dessus, et collaborera avec l’équipe de sécurité informatique, le bureau de la protection des données et le service des achats si nécessaire.

1. Respect des exigences opérationnelles et légales

Lorsque vous utilisez des sous-traitants externes, vous devez vous assurer de ne choisir qu’une entreprise capable de prouver qu’elle traitera ces données conformément à vos besoins opérationnels et aux exigences légales du CERN. Cela signifie que vous devez clairement comprendre quelles données personnelles sont traitées par l’entreprise en tant que sous-traitant, et pour quelles données elle se présente comme responsable du traitement. Cela implique également que l’entreprise doit disposer de garanties techniques et organisationnelles solides afin que la manière dont elle traite les données personnelles soit pleinement conforme aux règles.
En résumé, vous ne devriez travailler qu’avec des sous-traitants externes en qui vous avez confiance pour traiter les données personnelles de manière sécurisée et dans le respect de toutes les exigences en matière de protection des données et autres.

En pratique, cela signifie que pour sélectionner un sous-traitant externe approprié, vous devez vérifier attentivement

1. la documentation fournie par le fournisseur, telle que la documentation technique, les conditions d'utilisation, ainsi que tout autre document contractuel mentionnant les aspects liés à la protection des données, etc.
2. le pays du fournisseur
3. le pays dans lequel le traitement des données, y compris leur stockage, aura lieu
4. l'avis/politique de confidentialité fournie par le fournisseur s'il traite des données personnelles en tant que responsable du traitement,

Le pays du fournisseur devrait être un des États membres du CERN, conformément aux règles d’achat du CERN. Comme ces États membres accordent au CERN des privilèges et immunités diplomatiques, les données personnelles bénéficient d’une protection supplémentaire par les clauses garantissant l’inviolabilité des documents.

Si le pays du fournisseur ou celui du traitement fait partie de l’Espace économique européen (EEE) ou de la Suisse, la législation applicable sur la protection des données (RGPD ou LPD) est très similaire à la CO 11 du CERN, assurant ainsi les conditions essentielles de conformité, de mise en œuvre et de sensibilisation aux principes de protection des données sont respectées.

Pour toutes les opérations de traitement effectuées en tant que responsable du traitement, le fournisseur doit fournir un avis de confidentialité pour expliquer comment les données personnelles sont traitées. Les fournisseurs soumis au RGPD sont légalement obligés d’en avoir un. En général, ces avis sont publiés sur leur site internet, accompagnés d’autres documents juridiques tels que les conditions d’utilisation. Cet avis vous permettra de comprendre si le mode de traitement des données personnelles par le fournisseur est compatible avec la CO 11.

Attention particulière à accorder aux points suivants dans les avis de confidentialité :

• Quelles données sont collectées et traitées ? Sont-elles raisonnables et adéquates au regard de l’objectif de l’outil ? En cas de doute, contactez l’ODP.
• Les données personnelles sont-elles utilisées à des fins de marketing ? C’est souvent le cas avec des outils gratuits, mais cela ne devrait pas exister pour des logiciels payants. De plus, l’utilisation à des fins marketing nécessite le consentement explicite de la personne concernée ; une option de retrait (opt-out) n’est pas suffisante. En général, l’usage des données personnelles à des fins publicitaires n’est pas compatible avec la CO 11.
• Les données personnelles sont-elles revendues ? C’est parfois le prix à payer pour des outils gratuits. Cependant, pour des services payants, la revente de données personnelles n’est pas acceptable. Dans tous les cas, cela n’est pas compatible avec la CO 11.
• Avec qui les données personnelles sont-elles partagées, y compris les sous-traitants secondaires ? Si une liste des sous- traitants secondaires est disponible, examinez les entreprises et leurs emplacements. Si elles ne sont pas situées dans les États membres du CERN ou dans l’EEE/Suisse, il faut alors envisager des solutions alternatives.

L’ODP a préparé un questionnaire sur la protection des données à l’attention des fournisseurs potentiels afin d’évaluer leurs conditions de traitement des données personnelles. Vous pouvez l’envoyer au fournisseur potentiel (voir lien en bas de page), en demandant qu’il le retourne complété au Bureau de la protection des données. Les réponses aideront à déterminer si les exigences du CERN sont respectées.

Le Bureau de la protection des données vous assistera dans cette évaluation et fournira des recommandations si les conditions ne sont pas remplies.

2. Garanties

Lorsque vous utilisez des sous-traitants externes, vous devez vous assurer que des garanties appropriées sont mises en place pour protéger la vie privée des personnes concernées.

L’équipe de sécurité informatique est chargée de vérifier si les outils et solutions cloud externes respectent les normes de sécurité du CERN et garantissent une protection suffisante des données personnelles. Vous devez contacter le Cloud and Licence Office (CLO) qui coordonnera l’implication des experts techniques.

3. Instructions

Vous devez vous assurer que les sous-traitants externes reçoivent des instructions détaillées pour le traitement.

Ces instructions doivent inclure:

• L’objet et la durée du traitement ;
• La nature et la finalité du traitement ;
• Le type de données personnelles et les catégories de personnes concernées ;
• Les obligations et droits du sous-traitant.

Vous devez en particulier indiquer si des transferts de données sont prévus et pendant combien de temps les données doivent être conservées par le sous-traitant externe.

Ces instructions feront partie du contrat entre le CERN et le fournisseur.

4. Contrat

Vous devez vous assurer que le respect des exigences opérationnelles et légales, les garanties et les instructions sont documentées dans un accord, p.ex. un contrat. Cet accord doit préciser quelles données sont traitées, pourquoi, pendant combien de temps et qui est concerné, ainsi que les responsabilités des deux parties. Le fournisseur doit respecter les règles suivantes :

1. Respecter les instructions : il ne peut traiter des données à caractère personnel que sur la base des instructions que vous ou le CERN lui donnez.
2. Pas de sous-traitants sans autorisation : il ne peut faire appel à un autre sous-traitant sans autorisation écrite. Si une autorisation générale est accordée, il doit informer le CERN de tout changement afin que vous puissiez vous y opposer.
3. Assumer ses responsabilités : s'il fait appel à un autre sous-traitant, il doit s’assurer que celui-ci respecte les mêmes règles et est entièrement responsable en cas de manquement de sa part.
4. Préserver la confidentialité des données : toute personne traitant les données doit être soumise à des obligations de confidentialité.
5. Protéger les données : il doit mettre en œuvre des mesures de sécurité appropriées, signaler rapidement toute violation de données et aider le CERN à respecter ses obligations légales.
6. Assister le CERN dans le traitement des demandes : il doit aider le CERN à répondre aux demandes des personnes concernées concernant leurs données.
7. Respecter les protections spéciales : il doit respecter les protections juridiques spécifiques, telles que l’inviolabilité de certains documents et archives.
8. Démontrer sa conformité : s’il y est invité, il doit prouver qu’il respecte les règles de protection des données et autoriser les audits ou les inspections.
9. Restituer ou supprimer les données : à l’expiration du contrat ou à la fin des travaux, il doit soit restituer toutes les données à caractère personnel, soit les supprimer définitivement, selon le choix du CERN.

Le service des achats est responsable de la mise en place des contrats commerciaux. Afin d'élaborer le document approprié, vous devez contacter un agent des achats en charge des logiciels informatiques en fonction du volume du contrat.

Veuillez noter que même pour des outils et services gratuits, un contrat doit être mis en place pour formaliser les responsabilités du CERN et du fournisseur concernant le traitement des données personnelles.

5. RoPO

Vous devez vous assurer que le traitement effectué par le sous-traitant est documenté dans un RoPO (Registre des opérations de traitement).

Suivez les instructions de la procédure sur le Registre des opérations de traitement et indiquez dans le tableau "Transfert de données externes" le fournisseur et son pays, les données personnelles traitées par ce dernier ainsi que les activités de traitement effectuées. Si l’avis de confidentialité standard du fournisseur est disponible et applicable, il est recommandé d’ajouter un lien vers celui-ci dans le RoPO concerné.