Services responsables et de traitement
Un service est un service responsable s'il détermine pour son propre compte les finalités et les moyens du traitement des données à caractère personnel auquel il procède.
Dans la pratique, le responsable du traitement décide quelles données doivent être collectées, comment elles seront utilisées et pour quelles raisons (finalité, base juridique, durée de conservation, transfert, etc.).
Lorsque plusieurs services définissent des finalités ou des moyens différents pour un même traitement, chaque service est considéré comme responsable du traitement pour la partie du traitement qu’il a définie.
Lorsque les finalités et les moyens sont déterminés conjointement par deux services ou plus, ces services sont considérés comme des responsables conjoints du traitement.
Un service est un service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte d'un service responsable.
Il effectue le traitement conformément aux instructions du service responsable et ne prend aucune initiative pour définir ou modifier les finalités ou les moyens du traitement.
Un service de traitement peut devenir un service responsable s'il décide de traiter les données d'une manière qui va au-delà ou diffère des instructions données par le service responsable.
Un service peut agir à la fois en tant que service responsable et en tant que sous-traitant pour différentes opérations de traitement.
Un service, au sens du cadre général sur la protection des données, désigne une ou plusieurs activités supposant le traitement de données à caractère personnel au bénéfice de l’Organisation.
La notion de service ne correspond pas nécessairement à une unité organique ou à un domaine d'activité.
Un service est un
-
service responsable s'il détermine les finalités et les moyens du traitement auquel il procède, ou un
-
service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte du service responsable.
La personne responsable d'un service (« Service Owner ») est responsable du traitement par ce service des données à caractère personnel et assume donc la responsabilité des activités effectuées par ce service.
En bref...
Si vous souhaitez collecter ou traiter des données à caractère personnel au CERN, vous serez consideré comme service. Et si vous êtes la personne responsable du traitement, vous allez être le propriétaire du service.
Ceci implique que quelques règles de base sont a respecter.
Si vous êtes la personne décidant de quelles données à caractère personnel vont être collectées et de la manière dont elles seront utilisées et traitées, vous êtes responsable.
Avant tout, le traitement doit avoir une base légale (p.ex. l’intérêt légitime, un contrat ou le consentement de l’individu) et poursuivre un objectif défini.
Vous devez observer les principes essentielles, comme ne collecter que le minimum de données requises pour atteindre le but poursuivi et de ne pas conserver les informations plus longtemps que nécessaire.
Afin de pouvoir démontrer la conformité du traitement au moyen de l’avis de confidentialité, vous devez établir un registre des opérations de traitement.
Enfin, si vous utilisez d’autres services du CERN pour stocker ou traiter les données à caractères personnelles, vous devez vous assurer que les systèmes dans lesquels vous conservez les informations sont appropriés et sécurisés de façon adéquate.
Des explications détaillées de vos responsabilités est disponibles dans les pages sous le menu "Obligations du service responsable".
Liens utiles
| Link Type | URL |
|---|---|
| Procédure | Services responsables et services de traitement |