Quoi faire quand un autre service veut avoir accès aux données en ma possession?

Lorsqu’un autre service vous demande de lui fournir des données, vous devez vous poser les questions suivantes:

  • Pourquoi ce service veut les données se trouvant en ma possession? Est-ce qu’il existe une finalité claire?
  • Puis-je fournir ces données sous forme anonymisée pour éviter de transférer des données à caractère personnel, ou tout du moins sous forme pseudonymisée? Cette situation sera fréquente pour les services effectuant un travail statistique ou analytique, mais il se peut que vous devriez alors traiter les données avant de les transmettre.
  • Puis-je compter sur le destinataire pour être en conformité avec les obligations du CERN en matière du droit au respect à la vie privée?

En tant que Service chargé du transfert, vous avez la responsabilité de vous assurer que la protection de la vie privée est transférée avec les données. À nouveau, s’il n’est pas absolument nécessaire de transférer des informations personnelles, anonymisez d’abord les données.

Données requises par le service de l'audite interne du CERN (IAS)

Where the request is submitted by the IAS for the purposes of an audit or fraud investigation, it is to be considered that the Director-General has already authorised access to personal data necessary for the fulfilment of the IAS’ mission: for audit purposes (see § 8 CERN Internal Audit Charter) and for fraud investigation purposes (§§ 10 and 31, OC 10). Hence, a clear purpose and legal grounds exist to access data that is necessary and proportionate.

Therefore, as long as the respective Records of Processing Operations of both IAS and your service clearly specify that access to personal data is required for the execution of the IAS’s mandate, you shall transfer the relevant personal data as requested.

In case you are the processing service of the requested data and you have not been specifically instructed by the data controller to transfer data to the IAS, you should forward the request to the data controller if it has been submitted in the context of an audit.
Else - if you are informed that the request is submitted in the context of a fraud investigation, which obliges you to fully cooperate and maintain confidentiality throughout the fraud investigation - you have to disclose the personal data requested by the IAS.
In this respect it is noted that the IAS has to notify you of the context in which it is submitting the request for data, however without mentioning any details with regard to the specific investigation.

Don't hesitate to contact the ODP in the event of questions or doubts.