Bases légales

 

La Circulaire Opérationnelle n.11 énonce six "bases légales" pour le traitement des données.

lawful bases

Au moins une de ces bases doit s'appliquer pour que les données soient traitées de manière licite. Sans base légale, le service responsable ne respecte pas les principes de légalité et de responsabilité de la CO 11 et le traitement des données concernées est illégal.

Donc c’est très important !

1. Contrat

Les données peuvent être traitées si elles sont nécessaires à la conclusion d'un contrat ou à l'exécution d'un contrat avec la personne (exemple : contrat de travail ou d'association ; inscription à un événement). Cela inclut également le traitement des données nécessaires pour décider si le contrat peut être conclu (par exemple, la vérification de l'éligibilité).

2. Obligation légale

Si le traitement des données personnelles est nécessaire pour se conformer à une législation interne ou aux obligations légales du CERN, alors ceci est considéré comme une base légale à condition que :

  • L'obligation légale soit identifiable dans une disposition spécifique ou un document officiel.
  • Le traitement soit nécessaire.

3. Intérêts légitimes

L'intérêt légitime est sans doute la base légale la plus souple, mais les services responsables qui l'utilisent doivent être en mesure de démontrer un équilibre entre leur intérêt à traiter les données d'une personne et les attentes raisonnables de cette dernière à leur égard.

Lorsque l'intérêt légitime est utilisé comme base, un test d’équilibrage en trois parties doit être appliqué pour le justifier. Lors de la recherche d’équilibre, les éléments suivants doivent être pris en compte :

  1. Établir un intérêt légitime :

    • Quels sont les avantages pour le service responsable, l'individu et/ou le CERN ?
    • Quelle est l’étendue de ces avantages ?
    • L'intérêt est-il éthique et légal ?
  2. En établir la nécessité :

    • Le traitement est-il raisonnable et proportionné ?
    • Le traitement profite-t-il à l'intérêt légitime ?
  3. Intérêts des personnes face à l’intérêt légitime :

    • Les intérêts de l'individu l'emportent-ils sur l'intérêt légitime ?

Ce n'est que lorsqu'il peut être démontré qu'il existe un équilibre des intérêts entre la personne concernée et l'organisation que l'intérêt légitime peut être considéré comme une base légale pour le traitement.

4. Intérêts vitaux

Si le traitement des données répond aux intérêts vitaux de la personne concernée, il s'agit d'une base légale. Cette base n'est susceptible de s'appliquer que dans des situations médicales d'urgence où le traitement de données médicales est nécessaire pour protéger la vie d’une personne ou celle d'une autre, mais où la personne n'est pas en mesure de donner son consentement.

S'il est possible de protéger les intérêts vitaux de la personne d'une manière alternative et moins intrusive, cette base ne s'applique pas.

Vous ne pouvez pas vous appuyer sur cette base pour les données relatives à la santé ou à d'autres catégories spéciales de données si la personne est capable de donner son consentement, même si elle refuse de le faire.

5. Archivage

Si le traitement des données personnelles est nécessaire

  • aux fins de la conservation des archives de l'Organisation,
  • pour des recherches scientifiques ou historiques, ou
  • pour l'élaboration de statistiques,

toujours sous réserve de la législation et des politiques internes corrélées, ce traitement est légal.

6. Consentement

Pour qu'un service responsable puisse utiliser le consentement comme base légale, les personnes concernées doivent accepter que leurs données personnelles soient traitées. Elles doivent avoir le libre choix de donner ou non leur consentement.

Important:

  • Les demandes de consentement doivent être claires, non ambiguës et distinctes des autres conditions.

  • Les personnes doivent donner leur consentement de manière active en cochant une case, en signant un document, en donnant une réponse affirmative à une déclaration verbale, etc.

  • Si une nouvelle finalité de traitement apparaît, un nouveau consentement doit être demandé aux personnes.

  • Le consentement doit être aussi facile à retirer qu'à donner.

  • La preuve du consentement doit être enregistrée (quand, où et comment il a été donné).

Contact
Office of Data Privacy
Data Privacy Adviser