Les rapports de traitement non-conformes sont suivis par le Bureau de la protection des données (ODP) de la manière suivante :

1. Établissement des faits
   Tout d'abord, l'ODP établit les faits relatifs au traitement des données personnelles concernées. Cela se fait généralement en collaboration avec les services concernés, pour savoir ce qui a été fait par qui, quand et pourquoi. Mais l'étude des documentations, règlements, etc. applicables fait également partie de l'établissement des faits.

2. Contrôle de conformité
   Ensuite, l'ODP évalue si le traitement était/est conforme à la Circulaire opérationnelle n°. 11 (CO 11). L'ODP vérifie si les principes essentiels du traitement sont respectés, si une base légale existe, si les droits des personnes concernées sont respectés, etc.

3. Recommandations
   En outre, le cas échéant, l'ODP tente d'identifier les moyens de mettre le traitement en conformité et recommande aux services concernés des mesures spécifiques pour y parvenir. Il peut s'agir par exemple de : "Veuillez publier un avis de confidentialité", ou "Supprimez les données qui ne sont plus nécessaires", ou "Réalisez une Analyse d'impact relative à la protection des données pour étuder les risques et identifier les mesures d'atténuation appropriées."

4. Suivi
   Enfin, en tant qu'"étape supplémentaire" non définie dans la CO 11, l'ODP donne aux services concernés la possibilité de réagir aux recommandations, par exemple en s'engageant à les mettre en œuvre dans un certain délai.

   La raison pour laquelle l'ODP a ajouté cette étape supplémentaire est que la CO 11 ne prévoit pas de suivi des recommandations, tout en accordant aux personnes concernées le droit de déposer une plainte en cas de mécontentement, à condition que leurs propres données personnelles soient concernées par le traitement non-conforme.

   Ainsi, les personnes concernées disposent de suffisamment d'éléments leur permettant de décider si elles souhaitent déposer une plainte officielle auprès de la Commission de protection des données.

5. Documentation
   Les étapes ci-dessus sont documentées dans un rapport d'évaluation qui est partagé avec le plaignant et les services concernés. Une copie est également envoyée à la Commission de protection des données pour information.

En principe, l'ODP traite les rapports de manière confidentielle en ne divulguant pas l'identité du plaignant aux services concernés. Toutefois, cela n'est pas toujours possible, en particulier lorsque les données personnelles du plaignant sont concernées.

La CO 11 ne définit pas de délai pour le traitement des rapports de traitement non-conforme. L'ODP essaie de faire de son mieux pour enquêter, évaluer et recommander rapidement. Malheureusement, l'ODP est souvent confronté à une charge de travail importante, ce qui génère certains retards.

Contrairement à la législation européenne en matière de protection des données, la protection accordée par l'OC 11 ne prend pas fin avec le décès de la personne concernée. En cas de décès, les droits du défunt peuvent être exercés par son successeur légal. Cela signifie que le successeur légal peut, par exemple, accéder aux données personnelles du défunt, demander des modifications et/ou des corrections, ou signaler un traitement incorrect des données personnelles du défunt.

Pour ce faire, le demandeur doit prouver à la fois son identité et son statut de successeur légal du défunt.

La succession légale doit être prouvée par des documents publics ou certifiés conformes, tels qu'un certificat d'héritier ou un Certificat successoral européen.

Cas particulier : communauté d'héritiers

Si le document présenté indique que le défunt a plusieurs successeurs légaux, c'est-à-dire une communauté d'héritiers, l'exercice des droits devient un peu plus compliqué.

En règle générale, une communauté d'héritiers ne peut exercer les droits de la personne décédée que conjointement. Une exception s'applique aux demandes d'accès ou de copies des données personnelles du défunt : dans ce cas, chaque héritier peut soumettre une demande individuelle, qui sera traitée et répondue individuellement.

Tous les autres droits doivent être exercés conjointement, soit par :

• le demandeur qui présente le consentement écrit de tous les autres héritiers accompagné de leur preuves d'identité, soit
• un représentant légal (par exemple un notaire) agissant au nom de l'ensemble de la communauté des héritiers, muni des procurations de chaque héritier.

Lorsque vous êtes membre du personnel du CERN et que vous souhaitez accéder aux données contenues dans vos fichiers administratifs personnels (dossiers personnels, MERIT, dossiers médicaux et de la Caisse de pensions) ou en obtenir une copie, vous avez le choix d'exercer ce droit:

1. soit en se référant au § 9 de la Circulaire administrative no. 10 (CA 10): chaque membre du personnel a le droit de consulter son dossier personnel, en présence d'un conseiller en relations humaines (HRA).
   Un délai pour exercer ce droit n'est pas précisé dans la CA 10 et les dossiers sont à consulter en général soit dans les locaux du Bureau des dossiers, soit via le HRA ou dans son bureau. Ils peuvent également vous faire des copies de documents, le cas échéant. Si vous souhaitez procéder de cette manière, veuillez contacter directement votre HRA ou le Bureau des dossiers, et ne soumettez pas de demande de droit de la personne concernée.

2. ou en se référant à la CO 11, qui définit un délai de 90 jours pour l'octroi de l'accès. Si vous préférez procéder ainsi, vous trouverez les informations correspondantes sur l'exercice de vos droits d'accès sur ce site.

La responsabilité de la protection des données au CERN est décentralisée et organisée d'une manière particulière : Les services responsables sont responsables de leurs activités de traitement. Par conséquent, les droits des personnes concernées doivent être exercés en ce qui concerne les données à caractère personnel détenues par un service responsable spécifique.

Il n'est pas possible de satisfaire une demande générale couvrant "toutes les informations que le CERN détient sur moi". Sachant que le catalogue de services du CERN contient actuellement plus de 600 services actifs, répondre à une telle demande impliquerait un effort disproportionné.

Vous devez donc identifier les services responsables concernés, afin de formuler la demande d'accès aux données personnelles souhaitée.

L'avis de confidentialité central du CERN (aussi appelé "Layered Privacy Notice") contient la liste des services responsables qui ont publié leur avis de confidentialité, ce qui vous permet de comprendre quelles données personnelles ils traitent.

Si vous n'êtes pas sûr du service responsable de l'activité de traitement qui vous intéresse, le Bureau de la protection des données est à votre disposition pour vous conseiller.