Services responsables et de traitement
Un service est un service responsable s'il détermine pour son propre compte les finalités et les moyens du traitement des données à caractère personnel auquel il procède.
Lorsque plusieurs services définissent des finalités ou des moyens différents pour une opération de traitement donnée, chaque service sera considéré comme un service responsable de l'opération de traitement pour laquelle il a défini des finalités ou des moyens.
Lorsque les finalités et les moyens sont déterminés conjointement par plusieurs services, ces services seront conjointement considérés comme services responsables de l'opération de traitement.
Un service est un service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte du service responsable.
Le service de traitement exécute l'opération de traitement demandée par le service responsable sans déterminer ni changer les finalités ou les moyens de l'opération de traitement.
Le service de traitement d'une activité donnée peut devenir service responsable des données à caractère personnel correspondantes s'il décide de traiter les données différemment des instructions données par le service responsable originel.
Un service qui est à la fois service responsable et service de traitement peut être service responsable pour certaines opérations de traitement, et service de traitement pour d'autres.
Un service, au sens du cadre général sur la protection des données, désigne une ou plusieurs activités supposant le traitement régulier de données à caractère personnel.
La notion de service ne correspond pas nécessairement à une unité organique ou à un domaine d'activité.
Un service est un
-
service responsable s'il détermine les finalités et les moyens du traitement auquel il procède, ou un
-
service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte du service responsable.
La personne responsable d'un service (« Service Owner ») est responsable du traitement par ce service des données à caractère personnel et assume donc la responsabilité des activités effectuées par ce service.
En bref...
Si vous souhaitez collecter ou traiter des données à caractère personnel au CERN, vous serez consideré comme service. Et si vous êtes la personne responsable du traitement, vous allez être le propriétaire du service.
Ceci implique que quelques règles de base sont a respecter.
Si vous êtes la personne décidant de quelles données à caractère personnel vont être collectées et de la manière dont elles seront utilisées et traitées, vous êtes responsable.
Avant tout, le traitement doit avoir une base légale (p.ex. l’intérêt légitime, un contrat ou le consentement de l’individu) et poursuivre un objectif défini.
Vous devez observer les principes essentielles, comme ne collecter que le minimum de données requises pour atteindre le but poursuivi et de ne pas conserver les informations plus longtemps que nécessaire.
Afin de pouvoir démontrer la conformité du traitement au moyen de l’avis de confidentialité, vous devez établir un registre des opérations de traitement.
Enfin, si vous utilisez d’autres services du CERN pour stocker ou traiter les données à caractères personnelles, vous devez vous assurer que les systèmes dans lesquels vous conservez les informations sont appropriés et sécurisés de façon adéquate.
Des explications détaillées de vos responsabilités est disponibles dans les pages sous le menu "Obligations du service responsable".
Liens utiles
| Link Type | URL |
|---|---|
| Procédure | Services responsables et services de traitement |