Une analyse d'impact relative à la protection des données est un processus visant à déterminer l'impact et les risques d'opérations de traitement du point de vue des droits des personnes concernées et à définir des mesures d'atténuation appropriées.

L'anonymisation est un processus irréversible par lequel sont enlevées les données susceptibles d'être utilisées pour identifier, soit directement soit indirectement, une personne, de façon à rendre la personne concernée non identifiable par la personne responsable ou par des tiers.

Lorsque les données sont anonymisée et les individus ne sont plus identifiables, les données ne sont plus considérées comme données à caractère personnel et l'CO 11 ne s'appliquera donc plus.

Un avis de confidentialité est une document publié à l'attention des personnes concernées qui explique les raisons pour lesquelles un service responsable traite ses données, détaille les opérations de traitement et informe les personnes concernées de leurs droits.

Une demande d'exercise de droits est une demande de la part d'une personne concernée à un service responsable d'exercer un ou plusieurs de ses huits droits de la personne concerée comme définis dans la CO 11.

Une doléance est une forme spécifique de traitement non conforme constituant un manquement à la CO 11, qui affecte directement la personne concernée en raison du traitement de ses données à caractère personnel.

Selon la CO 11, “Les données à caractère personnel sont toute information, quelle que soit sa forme et quel que soit son support, relative à une personne identifiée ou identifiable. Sont incluses les données telles que le nom, les informations figurant sur le passeport ou dans des systèmes d’enregistrement nationaux, le numéro d'identification CERN, les informations bancaires, les dossiers du personnel, les images et les vidéos enregistrées par les systèmes de vidéosurveillance, les identifiants en ligne et les identifiants d'appareils électroniques, l'adresse et le numéro de téléphone, ainsi que les données sensibles.”

Cela signifie que les données personnelles doivent être des informations qui se rapportent à une personne et que cette personne doit être identifiée ou identifiable.

Toute personne qui peut être distinguée des autres est considérée comme identifiable.

Une personne est directement identifiable si vous pouvez l'identifier uniquement à partir des informations dont vous disposez.
Elle est indirectement identifiable si vous ne pouvez pas l'identifier à partir de ces seules informations, mais que vous pourriez le faire en les combinant avec d'autres informations dont vous disposez ou auxquelles vous pouvez accéder par une autre source (y compris des informations détenues par des tiers).
Une tierce partie utilisant vos données et les combinant avec des informations auxquelles elle peut accéder pour identifier une personne est une autre forme d'identification indirecte.

Le numéro de plaque d'immatriculation d'une personne est un exemple simple d'information pouvant être utilisée pour identifier indirectement une personne. La police (un tiers) peut faire correspondre un nom à un numéro de plaque d'immatriculation. Par conséquent, le numéro de plaque d'immatriculation est une donnée personnelles.

Les données sensibles sont les données à caractère personnel relatives :

• à la santé physique ou mentale ;

• aux données génétiques ou biométriques ;

• à l'origine raciale ou ethnique ;

• à l'orientation sexuelle ;

• aux opinions politiques, aux positions philosophiques et aux croyances religieuses.

où:

les données génétiques sont les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne, donnant des informations spécifiques sur sa physiologie ou sa santé, et obtenues, en particulier, à partir de l'analyse d'un prélèvement biologique, et

les données biométriques sont les données à caractère personnel résultant d'un traitement technique spécifique et ayant trait aux caractéristiques physiques, physiologiques ou comportementales d'une personne, qui permettent ou confirment son identification unique.

L'un des objectifs du cadre juridique pour la protection des données au CERN (Circulaire opérationnelle no. 11, CO 11) est de favoriser l’autonomisation des individus et de leur donner le contrôle sur leurs données à caractère personnel.
La CO 11 définit huit droits des personnes concernées, comme suit :

• Droit à l'information

• Droit d'accès

• Droit d'opposition

• Droit de rectification

• Droit de demander la suspension provisoire du traitement

• Droit à l'effacement

• Droit à la portabilité

• Droits relatifs à la prise de décision automatisée

Une entité extérieure est toute personne physique (un individu) ou morale (organisations ou entreprises) exerçant ses activités en dehors de la structure du CERN.

La personne concernée est toute personne physique - vivante ou décédée - dont les données à caractère personnel font l'objet d'un traitement.

Le profilage est toute forme de traitement automatisé de données à caractère personnel visant à évaluer certains aspects relatifs à une personne concernée, en particulier, mais non exclusivement, sa performance au travail ou son comportement.

La protection des données dès la conception est un principe basé sur l'intégration proactive de la confidentialité dans la conception et l'exploitation des systèmes informatiques, de l'infrastructure en réseau, des politiques, des procédures et des pratiques administratives et commerciales.

Le développement et l'intégration de solutions de confidentialité dans les premières phases d'un projet permet d’identifier des problèmes potentiels à un stade précoce afin de les éviter à long terme.

La protection des données et de la vie privée désigne le droit des personnes à contrôler la manière dont leurs données à caractère personnel sont collectées et utilisées, et à s'assurer que ces données ne sont utilisées qu'aux fins prévues.

La protection des données et de la vie privée est un concept juridique – et non technique – reconnu par l'Union européenne comme un droit fondamental. Le CERN s'engage, dans son code de conduite, à respecter la vie privée d'autrui et à protéger les données à caractère personnel.

La protection des données par défaut signifie qu'une fois qu'un produit ou un service a été rendu public, les paramètres de confidentialité les plus stricts doivent s'appliquer par défaut, sans aucune intervention de l'utilisateur final.

La pseudonymisation est une technique visant à protéger les données personnelles des personnes en les remplaçant par exemple par un faux nom ou par un faux numéro d’identification comme un pseudonyme.

Ce processus rend plus difficile l’identification directe de la personne mais pas impossible ! En effet, malgré l’utilisation de cette technique il est toujours possible que les personnes puissent etre identifiés ou identifiables notamment si d’autres données personnelles additionnelles sont collectées et croisées.

C’est pour cette raison (c'est-à-dire parce que les données pseudonymisées sont des données à caractère personnel), la CO 11 reste pleinement applicable aux données pseudonymisées.

Le responsable du traitement est le CERN ou une entité externe qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

En pratique, le responsable du traitement décide des raisons pour lesquelles les données à caractère personnel sont collectées et de la manière dont elles sont traitées (par exemple, finalité, base juridique, durée de conservation, transferts).

Le CERN est le responsable du traitement des données à caractère personnel relevant du champ d’application de l’OC 11 lorsqu’il détermine ces finalités et ces moyens.

Lorsque des données à caractère personnel sont traitées par une entité externe agissant en tant que responsable du traitement, cette entité est seule responsable de veiller au respect du cadre juridique qui lui est applicable (par exemple, le RGPD pour une entité commerciale établie dans l’UE), y compris de s’assurer que le traitement est licite, loyal, transparent, proportionné, exact, sécurisé et limité à ce qui est nécessaire au regard de la finalité déclarée.

N.B. : Au sein du CERN, il ne faut pas confondre la notion de « responsable du traitement » avec celle de « service responsable ». Le service responsable est une fonction interne du CERN chargée de déterminer les finalités et les moyens d’une opération spécifique de traitement des données. En revanche, le responsable du traitement est un concept juridique plus large qui s’applique au CERN dans ses relations externes.
En résumé, alors que le service responsable concerne les responsabilités organisationnelles internes du CERN, le responsable du traitement fait référence au rôle du CERN au regard des cadres applicables en matière de protection des données.

Lorsque deux ou plusieurs responsables du traitement déterminent conjointement les finalités et les moyens d’un traitement, ils sont considérés comme des responsables conjoints du traitement. La responsabilité conjointe est déterminée par le fait que chaque partie influence réellement les décisions concernant les raisons et les modalités du traitement des données à caractère personnel, et non par la manière dont les parties choisissent de qualifier ou d’organiser leur relation.

Les responsables conjoints doivent définir, au moyen d’un accord formel, leurs responsabilités respectives (par exemple, comment répondre aux demandes des personnes concernées et comment celles-ci seront informées de ces responsabilités).

Le traitement des données à caractère personnel peut causer un préjudice physique, matériel ou moral aux personnes concernées, notamment dans les cas suivants :

• lorsque le traitement peut donner lieu

  • à une discrimination,

  • à un vol ou une usurpation d'identité,

  • à une perte financière,

  • à une atteinte à la réputation,

  • à une perte de confidentialité de données protégées par le secret professionnel,

  • à un renversement non autorisé du processus de pseudonymisation

  • ou à tout autre dommage économique ou social important;

• lorsque les personnes concernées pourraient être privées de leurs droits généraux ou empêchées d'exercer le contrôle sur leurs données personnelles.

Le degré de probabilité et de gravité des risques pour les droits généraux des individus peuvent varier en fonction de facteurs comme:

• lorsque le traitement concerne des données sensibles;

• lorsque les aspects liés aux personnes concernées sont évalués pour créer ou utiliser des profils individuels;

• lorsque le traitement porte sur des données personnelles relatives à des personnes âgées de moins de 16 ans;

• ou lorsque le traitement porte sur un volume important de données personnelles et touche un nombre important de personnes concernées.

La sécurité des données est l’ensemble des mesures organisationnelles, matérielles et techniques mises en place afin de préserver l'intégrité des données à caractère personnel et d'empêcher les actions non autorisées telles que l'accès aux données, leur modification, leur communication ou leur destruction.

Il est de la responsabilité du responsable de traitement et du service responsable d'assurer la sécurité des données qu'ils traitent.

Un service, au sens du cadre général sur la protection des données, désigne une ou plusieurs activités supposant le traitement de données à caractère personnel au bénéfice de l’Organisation.

La notion de service ne correspond pas nécessairement à une unité organique ou à un domaine d'activité.

Un service est un

• service responsable s'il détermine les finalités et les moyens du traitement auquel il procède, ou un

• service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte du service responsable.

La personne responsable d'un service (« Service Owner ») est responsable du traitement par ce service des données à caractère personnel et assume donc la responsabilité des activités effectuées par ce service.

Un service est un service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte d'un service responsable.

Il effectue le traitement conformément aux instructions du service responsable et ne prend aucune initiative pour définir ou modifier les finalités ou les moyens du traitement.

Un service de traitement peut devenir un service responsable s'il décide de traiter les données d'une manière qui va au-delà ou diffère des instructions données par le service responsable.

Un service peut agir à la fois en tant que service responsable et en tant que sous-traitant pour différentes opérations de traitement.

Un service est un service responsable s'il détermine pour son propre compte les finalités et les moyens du traitement des données à caractère personnel auquel il procède.

Dans la pratique, le responsable du traitement décide quelles données doivent être collectées, comment elles seront utilisées et pour quelles raisons (finalité, base juridique, durée de conservation, transfert, etc.).

Lorsque plusieurs services définissent des finalités ou des moyens différents pour un même traitement, chaque service est considéré comme responsable du traitement pour la partie du traitement qu’il a définie.

Lorsque les finalités et les moyens sont déterminés conjointement par deux services ou plus, ces services sont considérés comme des responsables conjoints du traitement.

Un sous-traitant est le CERN ou une entité externe qui traite des données à caractère personnel pour le compte d'un responsable du traitement.

Le sous-traitant ne décide pas des finalités du traitement des données. Il agit uniquement selon les instructions du responsable du traitement et ne prend aucune décision indépendante concernant les données à caractère personnel qu'il traite.

Le CERN peut lui-même agir en tant que sous-traitant, par exemple lorsqu'il met à la disposition d'utilisateurs externes des plateformes telles que Zenodo ou Indico. Dans de tels cas, c'est l'utilisateur externe qui détermine la finalité du traitement ; le rôle du CERN se limite à fournir et à exploiter les moyens techniques par lesquels ce traitement est effectué.

Lorsqu'une entité externe agit en tant que sous-traitant pour le compte du CERN, celui-ci ne fera appel qu'à des entités offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer que le traitement répond à des exigences comparables à celles de l'OC 11. La relation doit être régie par un accord écrit précisant, entre autres, l'objet, la nature, la finalité et la durée du traitement, les catégories de données à caractère personnel et de personnes concernées, ainsi que les obligations des deux parties.

N.B. : Au sein du CERN, il ne faut pas confondre la notion de « sous-traitant » avec celle de « service de traitement ». Le service de traitement est une fonction interne du CERN qui traite des données à caractère personnel exclusivement pour le compte d’un service responsable. En revanche, la notion de sous-traitant est un concept juridique plus large qui s’applique au CERN dans le cadre de ses relations externes.
En résumé, alors que le service de traitement relève des responsabilités organisationnelles internes du CERN, le sous-traitant fait référence au rôle du CERN au regard des cadres applicables en matière de protection des données.

Pour être bref: Le traitement désigne toute opération effectuée sur des données à caractère personnel, qu'il s'agisse de leur collecte, de leur utilisation, de leur stockage, de leur suppression ou même simplement de leur consultation

Une définition plus détaillée: Le traitement des données est toute opération, automatisée ou manuelle, appliquée aux données à caractère personnel, ou à des ensembles de ces données, telle que:

• la collecte,

• l'enregistrement,

• l'organisation,

• la structuration,

• le stockage,

• l'adaptation ou modification,

• l'extraction,

• la consultation,

• l'utilisation,

• la divulgation par transfert,

• la diffusion ou toute autre forme de mise à disposition,

• le rapprochement ou l'interconnexion,

• la restriction,

• la destruction.

Donc, en principe, tout ce que l'on peut faire avec des données est traitement!

Exemples:

• la gestion du personnel et de paie;

• accès à une base de données avec des données personnelles, ou consulation de ces données;

• envoi des courriels promotionnels;

• détruire des documents contenant des renseignements personnels;

• publier la photo d'un individu sur un site web;

• stocker des addresses IP ou MAC;

• enregistrement de vidéos (CCTV).

Un traitement non conforme veut dire que des données personnelles ne sont pas traité conformément à la CO 11, le cadre juridique de la protection du données du CERN.
Il s'agit de situations générales dans lesquelles les données à caractère personnel ne sont pas traitées conformément aux règles et principes énoncés dans l'OC 11 ; par exemple :

• Un service traite des données sans base légale.

• Les données personnelles sont utilisées pour autres finalités que celles énoncées dans l'avis de confidentialité.

• A la fin de la période de conservation, les données ne sont ni éffacées ni anonymisées.

• Mesures de sécurité insuffisantes pour protéger les données.

• Trop de données personnelles sont exposées - des données qui ne sont pas nécessaires à la finalité du traitement.

Toute personne ayant connaissance d'un traitement non conforme ou d'un risque de traitement non conforme doit le signaler au Bureau de la protection des données (ODP).
Si le traitement non conforme concerne ses propres données à caractère personnel, la personne concernée peut, à la place, signaler une doléance auprès de l'ODP.

Une violation de la sécurité des données est un manquement à la sécurité conduisant, de façon accidentelle ou illicite, à la destruction, la perte, l'altération ou la communication non autorisée des données à caractère personnel transmises, stockées ou faisant l'objet d'un autre traitement, ou à un accès non autorisé à celles-ci.

Une violation de la sécurité des données personnelles est donc une sorte d'incident de sécurité, et il y en a trois differents types qui peuvent survenir:

1. violation de la confidentialité – une communication accidentelle ou non autorisée de données personnelles ou un tel accès à celles-ci.
2. violation de la disponibilité – une perte ou une destruction accidentelle ou non autorisée de données personnelles.
3. violation de l'intégrité – une modification accidentelle ou non autorisée de données personnelles.

Une violation peut concerner confidentialité, disponibilité et intégrité au même temps, ou bien une combinaison de ces éléments.

Exemples de violations de la sécurité des données personnelles:

• données personnelles communiquées à une personne non authorisée, comme un courriel avec des données personnelles envoyé à un faux destinataire.
• une personne non authorisée ayant accès à des données personnelles, comme un dossier personnel qui est consulté de façon inappropriée par un autre employé à cause d'une carence de contrôles internes.
• la perte temporaire ou permanente d'accès aux données personnelles, comme l'indisponibilité des données d'un client pendant une certaine periode à cause d'un arrêt du système ou une panne matérielle, logicielle ou d'électricité; ou l'effacement de données personnelles suite à une erreur humaine ou par une personne non authorisée; ou la perte de la clé de déchiffrement pour les données cryptées.