Voilà arrivé le moment où vous voulez vous débarrasser des données personnelles en votre possession. La chose essentielle à retenir est que les données à caractères personnel sont votre responsabilité jusqu’à ce qu’elles soient effectivement détruites.

Avec cela en tête, il est clair que vous ne pouvez pas simplement mettre les données, par exemple des photocopies de passeports ou toute autre information personnelle, dans la poubelle à papier. Vous devez trouver un moyen de vous assurer que les papiers ont été détruits, que ça soit par une méthode de destruction sécurisée à laquelle vous avez accès, ou en contactant le Service qui s’occupe de la destruction des documents confidentiels au CERN.

Cela s’applique par analogie pour les informations personnelles se trouvant sur un support numérique. Laisser simplement un ordinateur ou un disque dans un bureau s’apparente à laisser les papiers dans la poubelle. Toutes les données à caractère personnel doivent être détruites de tout support (disque, clé usb, etc..) lorsque vous n’en avez plus besoin.

Finalement, lorsque des données à caractère personnel sont réputées avoir été détruites et que vous en découvrez des copies, par exemple sur un système de sauvegarde, alors les données doivent être immédiatement détruites de la sauvegarde et dans tous les cas ne pas être traitées et détruites dès que possible.

Dans le cas où un responsable de service reçoit une demande d’exercice de droit de la personne concernée relative au droit à l’effacement, cette demande devrait en principe être acceptée si :

• La personne concernée retire son consentement et le traitement reposait sur ce consentement ;
• Les données ont été collectées dans l’intérêt légitime de l’Organisation, mais cet intérêt ne peut pas être considéré comme essentiel aux finalités poursuivis par l’Organisation ;
• Les données ont été collectées et traitées en violation de la Circulaire Opérationnelle 11 ;
• Les données ne sont plus nécessaires à la finalité initialement prévue et il n’existe pas d’autre finalité justifiant leur conservation ;
• Il n’y a pas de traitement en cours pour lequel il existe une base juridique appropriée (par exemple, conserver des informations pour remplir des obligations contractuelles ou légales).

En général, la requête ne devrait pas être acceptée si les données font partie de publications à caractère journalistique.

Les situations suivantes doivent toujours être transmises à l’ODP (Bureau de la protection des données) :

• Il existe des intérêts liés à l’archivage ou des objectifs de recherche scientifique ou historique justifiant la conservation de ces données ;
• La personne concernée allègue des préjudices résultant du traitement ;
• Lorsque des personnes demandent que certains résultats les concernant soient supprimés des moteurs de recherche (sans suppression des documents ou données sources). Les responsables de services en charge des moteurs de recherche fonctionnant au CERN doivent être prêts à exécuter les demandes valides localement et peuvent rediriger les personnes concernées vers des moteurs de recherche externes comme Google (https://www.google.com/webmasters/tools/legal-removal-request et https://transparencyreport.google.com/eu-privacy/overview?hl=fr) pour une suppression plus complète (dé-référencement).