Les clubs du CERN sont des entités autonomes dotées de leur propre personnalité juridique (voir les descriptions au point 2.1 et au chapitre C du document Clubs sous l'égide de l'Association du Personnel du CERN). En conséquence, ils traitent les données personnelles sous leur propre responsabilité tout en appliquant la législation applicable de leur pays d'établissement:

• le Règlement général sur la protection des données (RGPD)
  si le club a été créé en vertu de la loi française de 1901 (voir publication du gouvernement français concernant les obligations du club au regard du RGPD), ou fournit des biens ou des services à des personnes présentes dans l'UE ;

• la Loi fédérale suisse sur la protection des données
  si le club a été créé sur la base de l'art. 60 du Code Civil Suisse (voir la publication correspondante de l'autorité suisse de protection des données).

Cependant, le club doit également se conformer aux règles énoncées dans la Circulaire opérationnelle n° 11 (CO 11) chaque fois que le CERN est utilisé pour le traitement de données personnelles (comme par exemple: utilisation d'e-groups, Indico, bases de données hébergées au CERN).
Il est à noter que les transferts de données personnelles entre le CERN et l'UE ou la Suisse ont des exigences supplémentaires à la fois dans les pays d'accueil et au CERN (CO 11).

Exemple:

Le club XYZ du CERN est établi en France et utilise un logiciel commercial standard pour gérer ses membres. L'outil comprend une solution cloud qui stocke les données quelque part en France.
→ Pour ce traitement, le RGPD est applicable.

Dans le but de faciliter la communication au sein du club, le même club crée un e-group au CERN et importe les adresses e-mail de ses membres.
→ OC 11 s'applique pour le transfert de données personnelles au CERN et pour tout traitement ultérieur à l'aide du groupe électronique.