Principes essentiels

Les données personnelles sont traitées pour une ou plusieurs finalités spécifiques

Une raison spécifique et légitime est nécessaire pour toute donnée personnelle traitée. Le principe essentiel exige que la finalité des données personnelles soit précisée avant leur collecte; en outre, les données personnelles ne peuvent être utilisées que pour les raisons spécifiées.

Les finalités spécifiques du traitement seront détaillées dans l'avis de confidentialité joint à la description du service dans ServiceNow. Il est de la responsabilité du service responsable de s'assurer que les informations contenues dans l'avis de confidentialité sont exactes et complètes. Les informations peuvent être mises à jour via ServiceNow pour générer un nouvel avis de confidentialité.

Questions d’orientation sur la limitation de la finalité
  1. Avez-vous recensé toutes les finalités de votre processus?
  2. Toutes les finalités sont-elles compatibles avec la finalité initiale?
  3. Y a-t-il un risque que les données puissent être réutilisées à d’autres fins (détournement d’usage)?
  4. Comment pouvez-vous vous assurer que les données ne seront utilisées qu’aux fins définies?
  5. Si vous souhaitez mettre à disposition/réutiliser des données à des fins de recherche scientifique, statistiques ou historiques, quelles garanties mettez-vous en place pour protéger les personnes concernées?

Les données personnelles collectées sont adéquates, pertinentes et limitées au minimum requis pour la finalité

Il appartient au service responsable de justifier la collecte des données personnelles et de s'assurer qu'elle est strictement limitée à la finalité prévue. Si nécessaire, par exemple lorsque des données personnelles sensibles sont traitées, cela sera expliqué et documenté dans le cadre d'une analyse d'impact relative à la protection des données. Ces informations sont conservées par l'ODP et ne sont pas destinées à une distribution générale.

Questions d’orientation sur la minimisation des données
  1. La qualité des données est-elle suffisante pour l’objectif poursuivi?
  2. Les données que vous collectez mesurent-elles ce que vous entendez mesurer?
  3. Pourriez-vous supprimer (ou masquer/cacher) certaines données sans compromettre l’objectif du processus?
  4. Faites-vous clairement la distinction entre les données obligatoires et facultatives dans les formulaires?
  5. Si vous souhaitez conserver des informations à des fins statistiques, comment gérez-vous le risque de réidentification?

Les données personnelles sont exactes et tenues à jour

Le service responsable doit veiller à ce que les données personnelles soient tenues à jour et cela inclut de permettre à l'utilisateur de demander des modifications de ses données. Ces demandes seront adressées au service directement via un formulaire spécifique dans ServiceNow.

Questions d’orientation sur l’exactitude des données
  1. Quelles pourraient être les conséquences pour les personnes concernées si des mesures ou des décisions étaient prises sur la base d’informations inexactes dans ce processus?
  2. Comment vous assurez-vous que les informations que vous recueillez vous-même sont exactes?
  3. Comment vous assurez-vous que les données que vous obtenez de tiers sont exactes?
  4. Vos outils permettent-ils de mettre à jour/corriger les données si nécessaire?
  5. Vos outils permettent-ils d’effectuer des contrôles de cohérence?

Traitement équitable, transparent et licite

Le concept de traitement «équitable, transparent et licite» est mis en œuvre à travers un certain nombre de mesures. Les services qui traitent des informations personnelles le feront généralement afin de fournir un service à la communauté des utilisateurs. L'utilisateur sera informé par l'avis de confidentialité qui est joint à la description du service dans ServiceNow. L'utilisateur a le droit d'accéder aux informations qui sont détenues à son sujet par le biais du mécanisme décrit dans la section Pour Particuliers sur ce site.

Questions d’orientation sur la loyauté
  1. Les personnes peuvent-elles s’attendre à ce que le traitement se produise, même si elles ne lisent pas les informations que vous leur fournissez?
  2. Cela pourrait-il générer des effets dissuasifs ou déboucher sur une discrimination?
  3. Comment vous assurez-vous que les informations que vous fournissez parviennent effectivement aux personnes concernées?
  4. Est-il facile pour les personnes d’exercer leurs droits d’accès, de rectification, d’effacement, etc.?
  5. Si vous vous fondez sur le consentement, celui-ci a-t-il vraiment été donné librement? Comment documentez-vous le fait que les personnes l’ont donné? Comment peuvent-elles révoquer leur consentement?

Les données personnelles sont conservées pendant la durée minimale nécessaire à la finalité

Le service responsable veillera à ce que les données personnelles ne soient conservées que pendant la période minimale nécessaire pour atteindre l'objectif spécifique de la collecte et du traitement des données personnelles. Les directives de conservation aideront le service responsable à déterminer la période appropriée pendant laquelle les données doivent ou peuvent être conservées avant d'être supprimées.

Questions d’orientation sur la limitation de la conservation
  1. Y'a-t'il une législation qui définit des délais de conservation pour votre processus?
  2. Combien de temps devez-vous conserver quelles données? À quelle(s) fin(s)?
  3. Pouvez-vous établir des distinctions dans les délais de conservation de différents types de données?
  4. Si vous ne pouvez pas encore supprimer les données, pouvez-vous en restreindre l’accès?
  5. Vos outils permettront-ils un effacement permanent automatisé au terme du délai de conservation?

Les données personnelles sont conservées de manière sécurisée

Le service responsable veillera à ce que les données personnelles soient conservées de manière sécurisée, à travers des techniques appropriées, comme le cryptage si applicable, des contrôles d'accès stricts, des journaux d'audit, etc. Le service responsable est chargé d'assurer la confidentialité, l'intégrité et la disponibilité appropriée des données personnelles.

Questions d’orientation sur la sécurité
  1. Disposez-vous d’une procédure de recensement, d’analyse et d’évaluation des risques de sécurité de l’information pouvant affecter les données à caractère personnel et les systèmes informatiques qui sous-tendent leur traitement?
  2. Ciblez-vous les répercussions sur les droits fondamentaux, les libertés et les intérêts des personnes et pas seulement sur les risques pour le CERN?
  3. Prenez-vous en considération la nature, la portée, le contexte et les finalités du traitement lorsque vous évaluez les risques?
  4. Avez-vous des ressources et du personnel affectés à l’évaluation des risques?
  5. Passez-vous systématiquement en revue et mettez-vous à jour les mesures de sécurité en fonction du contexte du traitement et des risques?

Liens utiles

Link Type URL
Document juridique Circulaire opérationnelle no. 11 "Traitement des données à caractère personnel …
Procédure Lignes directrices sur la conservation des données