Si vous êtes un fournisseur du CERN, ou si vous souhaitez le devenir, des informations sur les exigences spécifiques du CERN en matière de traitement des données personnelles peuvent vous intéresser.

Un bref aperçu du cadre juridique du CERN pour la protection des données est disponible dans la section Pour tout le monde de ce site Web.
Vous devriez d'abord lire ces pages pour vous familiariser avec les règles auxquelles le CERN et ses fournisseurs sont soumis.

Dans le cadre de la relation commerciale avec le CERN, vous traiterez certainement des données personnelles:

1. Dans le but de gérer la relation contractuelle avec nous.

   Vous enregistrerez probablement dans vos bases de données les noms de vos contacts au CERN, vous enverrez des e-mails à votre responsable des achats au CERN, des factures aux services financiers du CERN, etc.

   Ce faisant, vous traitez des données personnelles et vous suivrez les règles nationales du pays de votre entreprise (par exemple le RGPD lorsque votre entreprise se trouve dans un pays appartenant à l'UE). Le cadre de protection des données du CERN ne s’applique pas à ces activités.

2. Lorsque le service ou le bien que vous fournissez au CERN implique le traitement de données personnelles pour le compte du CERN (par exemple, vous fournissez une solution cloud au CERN).

   Dans cette situation, le traitement doit être conforme au cadre de protection des données du CERN. Veuillez trouver dans le lien ci-dessous une information spécifique pour les fournisseurs du CERN à ce sujet.
   
   En tant que fournisseur, se conformer au cadre de protection des données du CERN signifie en pratique:

   • Lorsque vous traitez des données personnelles pour le compte du CERN, vous agissez uniquement en tant que «sous-traitant externe» et ne devez traiter les données qu'en suivant les instructions du CERN.

   • La collecte et le traitement des données doivent être nécessaires, raisonnables et adéquats à cette fin.

   • Le seul responsable du traitement des données personnelles est le CERN.

   • Les données personnelles traitées au nom du CERN ne doivent pas être vendues ou partagées d'une autre manière.

   • Les données personnelles traitées au nom du CERN ne doivent pas être utilisées à d'autres fins, telles que le marketing.

   • Le traitement des données incl. le stockage ne doit avoir lieu que dans les États membres du CERN, idéalement soumis au RGPD ou à la LPD suisse. Cela s'applique également à tout sous-traitant éventuel que vous engagez.

   • Vous êtes responsable de la mise en place de mesures de protection adéquates pour assurer la sécurité des données.

Le Bureau de la protection des données a préparé un questionnaire sur la protection des données à l'attention des fournisseurs potentiels pour évaluer les conditions dans lesquelles ils traitent des données personnelles (voir lien en bas de page).

Vous pourriez être invité à le remplir avant l'établissement d'un contrat. Vos réponses aideront à décider si les exigences du CERN sont satisfaites.

Veuillez noter que la liste ci-dessus n'est pas exhaustive et qu'en fonction du cas particulier, des obligations supplémentaires peuvent être applicables. Les devoirs et droits de vous et du CERN dans le cadre de la protection des données feront partie du contrat.