Partage et transferts de données

En tant que responsable d'un service, vous pourrez parfois recevoir des demandes ponctuelles pour extraire, traiter ou transférer des données à caractère personnel dans un but très particulier. Par exemple des informations sur tous les participants d’un évènement donné.
La meilleure façon de répondre à ce type de requête est avec des données sous forme anonymisées. Pour procéder à l’anonymisation des données, il est important de comprendre quelle information est demandée et à quelles fins elle va être utilisée.
Pour les jeux de données comprenant un nombre restreint de personnes ou des combinaisons très spécifiques, il est primordial de s’assurer que l’identification ne peut être reconstruire ou inférée en cas d’utilisation de toute autre information facilement accessibles.
Il est important de comprendre la différence entre des données anonymisées et des données pseudonymisées.
Pour réellement anonymiser des données, toutes les informations permettant l’identification de l’individu doivent être supprimées, et l’ensemble des données sera agrégé en fonction des champs demandés. L’anonymisation des données est un processus qui a pour résultat de rendre impossible toute identification postérieure de l’individu, alors que la pseudonymisation est simplement une protection supplémentaire, qui ne permet plus à l’individu d’être directement identifié, même s’il reste identifiable et peut être identifié par l’usage d’informations supplémentaires.
Par exemple, plutôt que de rapporter qu’il y a une femme grecque de 23 ans, un homme espagnol de 24 ans et une femme espagnole de 23 ans, il est préférable de rapporter que la moyenne d’âge est de 23.3 ans, 2/3 des participants sont espagnols et 1/3 est grecque, 2/3 sont des femmes et 1/3 des hommes.
Non. Le cadre juridique pour la protection des données au CERN permet le traitement de données personnelles uniquement lorsque cela est nécessaire au bon fonctionnement de l’Organisation (voir § 3 CO 11).
Le partage de données à caractère personnel avec des personnes physiques à des fins privées n’en fait pas partie.
Cela couvre également les situations où vous considérez avoir un intérêt justifié, comme le recouvrement d'une dette impayée d'un ancien collègue qui a quitté le CERN sans vous laisser sa nouvelle adresse.
Pour répondre à cette question, il faut d'abord vérifier les dispositions applicables de la Circulaire opérationnelle n° 11 (CO 11):
Comme le partage de données personnelles entre deux services du CERN est autorisé par la CO 11 si cela est dans l'intérêt du CERN et si le Bureau de la protection des données (ODP) a approuvé le transfert, on pourrait supposer que l'accès au dossier personnel devrait être possible dans ce cas précis.
L'ODP considère que l'objectif de publier une notice nécrologique pour un membre du personnel, décédé pendant ou après son contrat avec le CERN, écrite par le CERN est légitime. L'ODP approuve généralement de telles demandes, à condition que le plus proche parent du défunt consente au transfert.
Notre réponse est donc la suivante :
Oui, si les proches de la personne décédée sont d'accord avec l'édition et la publication d'une notice nécrologique, vous pouvez accéder au dossier personnel de cette personne.
Si la personne décédée était un membre actif du personnel, le Service des affaires sociales du CERN coordonne la procédure à suivre après le décès d'un membre du personnel et assure la communication entre la famille, les autorités extérieures et les services internes du CERN. Par conséquent, vous devez vous adresser au Service des affaires sociales pour savoir si une notice nécrologique est souhaitée.
Dans le cas où la personne décédée était un retraité du CERN, étant donné que le service de la Caisse des pensions ne s'occupera pas de ces demandes ni de la publication des nécrologies, il est suggéré de contacter directement les proches pour demander leur consentement.
La CO 11 définit le “transfert de données” et “entité extérieure” comme suit:
“§ 19. Le transfert de données à caractère personnel est l'opération par laquelle des données à caractère personnel sont communiquées à un ou plusieurs services ou entités extérieures, ou par laquelle l'accès à de telles données leur est donné.”
“§ 20. Une entité extérieure est toute personne morale extérieure à l'Organisation dont le CERN reçoit des données à caractère personnel ou à qui le CERN transfère de telles données.”
En jurisprudence, une personne physique est une personne (au sens juridique, c'est-à-dire une personne qui a sa propre personnalité juridique) qui est un être humain individuel, par opposition à une personne morale, qui peut être une organisation privée (c'est-à-dire une entité commerciale ou une organisation non gouvernementale) ou publique (c'est-à-dire un gouvernement).
Les personnes qui ne sont pas membres du personnel mais qui ont un contrat de travailleur temporaire, de consultant ou autre avec le CERN sont des personnes physiques et ne sont donc pas considérées comme des entités extérieures.
En conséquence, elles peuvent traiter des données à caractère personnel au CERN dans le cadre de leur mission et cette activité ne sera pas considérée comme un transfert de données.
Les entreprises sont en général des personnes morales et lorsqu'elles traitent des données à caractère personnel pour le compte du CERN, elles le font souvent dans le cadre d'un contrat de service qui les oblige à envoyer leur personnel sur place.
Dans ce cas, nous ferons la distinction entre le personnel du contractant et son employeur :
- Le personnel ne serait pas considéré comme une entité extérieure tant qu'il effectue son travail au sein de la structure du CERN (en étant rattaché à une unité organique, avec un bureau, un numéro de téléphone, une adresse électronique, etc.), qu'il traite des données à caractère personnel au sein des systèmes du CERN et qu'il ne partage pas les données à caractère personnel du CERN avec son employeur ou toute autre entité extérieure.
- Leurs employeurs, en revanche, seraient considérés comme des entités externes puisqu'ils ne travaillent pas au sein de la structure du CERN.
- Si le personnel du contractant partage des données à caractère personnel du CERN avec son employeur ou toute autre entité extérieure, ou s'il traite des données à caractère personnel en dehors des systèmes du CERN, nous considérerons, dans ce cas, tant le premier que le second comme des entités extérieures.
Tout partage de données à caractère personnel, y compris entre services (p.ex. des photos), doit être compatible avec le but initial de la collecte des données.
La base légitime (p.ex. fournir un service) et la finalité (p.ex. donner accès au service) doivent figurer dans l’avis de confidentialité sur ServiceNow, qui détaille les différents aspects du traitement, tels que la raison pour laquelle les données sont collectées, pour combien de temps elles seront conservées, dans quel but et avec qui elles seront partagées.
Il n’est donc pas approprié de partager des données avec un service autre que ceux prévus à l’origine.
Dans le cas où un tel transfert doit être considéré comme nécessaire, l'ODP doit avoir approuvé le transfert et il faut pouvoir:
-
fournir une justification supplémentaire, tel que le consentement de la personne concernée par exemple ou
-
démontrer que la finalité poursuivie est manifestement conforme au but initial de la collecte des données.
Lorsqu’un autre service vous demande de lui fournir des données, vous devez vous poser les questions suivantes:
- Pourquoi ce service veut les données se trouvant en ma possession? Est-ce qu’il existe une finalité claire?
- Puis-je fournir ces données sous forme anonymisée pour éviter de transférer des données à caractère personnel, ou tout du moins sous forme pseudonymisée? Cette situation sera fréquente pour les services effectuant un travail statistique ou analytique, mais il se peut que vous devriez alors traiter les données avant de les transmettre.
- Puis-je compter sur le destinataire pour être en conformité avec les obligations du CERN en matière du droit au respect à la vie privée?
En tant que Service chargé du transfert, vous avez la responsabilité de vous assurer que la protection de la vie privée est transférée avec les données. À nouveau, s’il n’est pas absolument nécessaire de transférer des informations personnelles, anonymisez d’abord les données.
Données requises par le service de l'audite interne du CERN (IAS)
Lorsque la demande est présentée par le IAS aux fins d'un audit ou d'une enquête sur une fraude, il convient de considérer que le Directeur Général a déjà autorisé l'accès aux données personnelles nécessaires à l'accomplissement de la mission du IAS: à des fins d'audit (voir le point 8 de la charte de l'audit interne du CERN) et à des fins d'enquête sur une fraude (§§ 10 et 31 CO 10). Il existe donc une finalité claire et des bases juridiques pour accéder aux données qui sont nécessaires et proportionnées.
La transparence est assurée par l'avis de confidentialité du l'IAS, qui documente non seulement les finalités des données personnelles traitées, mais aussi la source de collecte, ainsi que par l'avis de confidentialité central du CERN, qui stipule que chaque service responsable peut transférer des données personnelles aux services compétents du CERN à des fins d'audit ou dans le cadre d'enquêtes officielles (par exemple, pour fraude ou harcèlement) ou pour l'établissement, l'exercice ou la défense de droits en justice.
Par conséquent, vous devez transférer les données à caractère personnel pertinentes comme demandé.
Si vous êtes le service de traitement des données demandées et que vous n'avez pas reçu d'instructions spécifiques de la part du responsable du traitement pour transférer les données à l'IAS, vous devez transmettre la demande au responsable du traitement si elle a été soumise dans le cadre d'un audit.
Dans le cas contraire, si vous êtes informé que la demande est soumise dans le cadre d'une enquête sur une fraude, ce qui vous oblige à coopérer pleinement et à maintenir la confidentialité tout au long de l'enquête, vous devez divulguer les données à caractère personnel demandées par l'IAS.
À cet égard, il convient de noter que l'IAS doit vous informer du contexte dans lequel elle soumet la demande de données, sans toutefois mentionner de détails concernant l'enquête spécifique.
N'hésitez pas à contacter l'ODP en cas de questions ou de doutes.
Non. Partager des données personnelles avec vous serait considéré comme un transfert de données, et la Circulaire opérationnelle n°11 (CO 11) autorise les transferts de données entre services du CERN ou entre un service et une entité externe uniquement. De plus, le transfert de données doit être effectué dans un but légitime.
Les transferts de données à des personnes privées, autres que la personne concernée ou un représentant dûment autorisé, ne sont pas prévus par la CO 11.
En outre, accorder à une personne autre que la personne concernée l'accès à son dossier personnel impliquerait le traitement d'un nombre important de données personnelles, ainsi que de données sensibles, de cette personne, compte tenu également des limitations techniques de l'extraction des informations pertinentes des dossiers (principalement en format pdf).
Toutefois, nous pouvons proposer d'autres moyens de recueillir des détails pour le discours d'adieu.
Par exemple, en interrogeant la collègue sortante, à condition qu'elle y consente, ou en lui demandant d'exercer son droit de demander une copie de ses données personnelles en soumettant une demande correspondante via le formulaire web référencé au bas de l'avis de confidentialité concerné. De plus amples informations sur la manière d'exercer le droit d'accès de la personne concernée sont disponibles sur notre site web.