Conseils et FAQ - Principes

Combien de temps puis-je conserver les données personnelles - périodes de conservation?

Stockage de données

Tout d'abord, il est important d'avoir une vue d'ensemble de l'endroit où les données personnelles sont stockées. Cela peut inclure:

propres serveurs;
serveurs tiers;
comptes mail;
ordinateurs de bureau;
appareil appartenant aux membres du personnel (BYOD);
stockage de sauvegarde; et / ou
dossiers papier.

Périodes de conservation générales

En règle générale, les données personnelles ne doivent être conservées que le temps nécessaire. Les durées de conservation peuvent différer en fonction du type de données traitées, de la finalité du traitement ou d'autres facteurs. Les questions à considérer comprennent:

Si des exigences légales s'appliquent à la conservation de données particulières. Par example:
- Droit commercial;
- Droit fiscal;
- Droit du travail;
- Loi administrative;
- Règlements concernant certaines professions, par ex. médical.
En l'absence de toute obligation légale, les données personnelles ne peuvent être conservées que le temps nécessaire aux fins du traitement. Cela signifie que les données doivent être supprimées, par ex. lorsque:
- la personne concernée a retiré son consentement au traitement;
- un contrat a été exécuté ou ne peut plus l'être; ou alors
- les données ne sont plus à jour.
La personne concernée a-t-elle demandé l'effacement des données ou la suspension du traitement?
La conservation est-elle toujours nécessaire pour la finalité initiale du traitement?
Des exceptions peuvent s'appliquer au traitement à des fins historiques, statistiques ou scientifiques.

Pendant la période de conservation

Établissez des revues périodiques des données conservées.
Établissez et vérifiez les périodes de conservation des données en tenant compte des catégories suivantes:
- les exigences de votre service;
- type de données personnelles;
- finalité du traitement;
- motifs légaux de traitement; et
- catégories de personnes concernées
Si des périodes de conservation précises ne peuvent pas être établies, identifiez les critères par lesquels la période peut être déterminée.
Établissez des revues périodiques des données conservées.

Expiration de la période de conservation

Après l'expiration de la période de conservation applicable, les données personnelles ne doivent pas nécessairement être complètement effacées. Il suffit d'anonymiser les données. Ceci peut, par exemple, être réalisé au moyen de:

l'effacement des identifiants uniques qui permettent l'attribution d'un ensemble de données à une personne unique;
l'effacement d'éléments d'information uniques qui identifient la personne concernée (que ce soit seuls ou en combinaison avec d'autres éléments d'information);
séparation des données personnelles des informations non identifiantes (par exemple, un numéro de commande du nom et de l'adresse du client); ou alors
agrégation de données personnelles de manière qu'aucune attribution à un individu ne soit possible.

Dans certains cas, aucune action ne sera requise si les données ne peuvent pas être attribuées à une personne identifiable à la fin de la période de conservation, par exemple, parce que:

le pool de données s'est tellement développé que l'identification personnelle n'est pas possible sur la base des informations conservées; ou alors
les données d'identification ont déjà été supprimées.

Obligations d'information

Outre les autres obligations d'information, dans le cadre de la conservation des données, les personnes concernées doivent être informées:

la période de conservation;
si aucune période de conservation fixe ne peut être fournie - les critères utilisés pour déterminer cette période; et
la nouvelle période de conservation si la finalité du traitement a changé après l'obtention des données personnelles.

Comment anonymiser des données?

L’anonymisation des données est un processus irréversible par lequel toutes les données pouvant permettre l’identification de la personne concernée sont supprimées de l’ensemble de données afin de rendre l’individu non identifiable.

Il existe plusieurs techniques d’anonymisation, et votre choix dépendra du contexte. Comme le résultat du processus d’anonymisation doit être aussi permanent que la destruction, nous vous conseillons de procéder à une vérification de la fiabilité de la technique choisie en vous basant sur trois critères :

Est-il toujours possible de distinguer un individu ?
Est-il toujours possible de relier les informations à un individu ?
Peut-on déduire des informations concernant un individu ?

Lorsque vous pouvez répondre par la négative aux trois questions ci-dessus, la technique choisie est fiable et vous amènera à une anonymisation complète des données. En cas de doute ou lorsque le processus choisi ne remplis pas tous les critères il faudra procéder à une analyse approfondie des risques potentiels et consulter le ODP.

La CO 11 s'applique-t-elle aux données collectées avant son entrée en vigueur?

L'application de la CO 11 ne dépend pas de la date à laquelle les données ont été collectées.

Elle s'applique à tous les traitements effectués depuis l'introduction de la CO 11 au 1.1.2019, y compris les droits de la personne concernée qui sont également valables pour les «anciennes» données.

Qu'est-ce que cela signifie en pratique?

Cela signifie que tout ce que vous faites aujourd'hui avec les données (même si elles ont été collectées il y a des années) doit être conforme. Ce «tout» comprend tout type de traitement, y compris le stockage.

Exemples:

Des données personnelles ont été collectées en 2010 lors de l'embauche d'un nouveau membre du personnel.
La collecte n'était pas soumise à l'OC 11, cependant, si les données sont toujours présentes aujourd'hui et qu'il s'avère qu'il n'y a pas de base légale et de finalité pour les conserver, vous devez les supprimer (OC 11 oblige!).
Un transfert de ces données à une entité externe effectué en mars 2018 n'était pas soumis à l'OC 11.
Cependant, lorsque la personne concernée soumet aujourd'hui une demande de correction des données, le CERN doit se conformer à la CO 11 et informer cette entité externe et lui demander de mettre également à jour les données.

La protection de vos données au CERN - Présentation rapide

La surveillance des personnes au travail est-elle acceptable?

En règle générale, la surveillance de l’activité informatique d’un employé, notamment par l’usage de logiciel d’enregistreur de frappe enregistrant toutes les entrées de clavier d’un ordinateur de bureau, n’est pas conforme aux meilleures pratiques en matière de protection des données.

Toute activité impliquant une surveillance substantielle dans le but d’identifier les actions d’individus doit faire l'objet au préalable d'une analyse d'impact relative à la protection des données.

Pour toute mesure, la première chose à prendre en considération est de minimiser l’intrusion dans la vie privée de l’individu. Il n’est donc pas suffisant de se baser sur les solutions techniques les plus simples à mettre en œuvre. Par exemple, le contrôle de l’ordinateur professionnel de l’employé/e en sa présence et en conformité avec les procédures de l’Organisation serait envisageable en tant que première mesure.

Prévention ou détection?

Généralement, d’un point de vue de la protection des données, il est préférable de prévenir quelque chose d’indésirable plutôt que de mettre en place une surveillance pour s’assurer que cela n’arrive pas. Il est en effet logique que pour détecter quelque chose, il faut le surveiller, et ce processus de surveillance est un risque de devoir traiter potentiellement des informations personnelles supplémentaires. Un tel traitement n’a pas de raison d’être si des mesures de prévention sont mises en œuvre.

Puis-je utiliser des données publiquement disponibles?

Lorsque quelqu’un poste des informations personnelles sur un réseau social, ces dernières sont publiques et je peux les utiliser, n’est-ce pas?

Non, pas exactement. Même si ces données sont désormais publiquement disponibles, elles ne pourront être traitées qu’aux même fins que celles qui ont fait qu’elles ont été rendues publiques à l’origine.

L’individu reste toujours le propriétaire de ses données personnelles, peu importe qu’elles soient publiquement accessibles ou pas.

Par conséquent, ce qui est posté sur un réseau social ne pourra pas être utilisé dans le cadre de l’évaluation de l’employé par exemple.

Qu'est-ce qu'il est important lorsqu'on crée un service?

Lorsque vous créez un nouveau service, vous devriez procéder comme suit :

Tout d’abord, le service doit être enregistré dans le catalogue des Services du CERN.
Les concepteurs du service doivent identifier les opérations de traitements ainsi que les problèmes potentiels de confidentialité.
Les services doivent être conçus de manière à garantir un niveau minimum de collecte, de traitement et de partage des données à caractère personnel. Cette exigence comprend également les transferts dans et hors du service, qui doivent être documentés dans l’avis de confidentialité.
Comme les usagers doivent garder le contrôle total de leurs données, il n’est pas autorisé de baser le traitement sur le consentement implicite (la politique du CERN en la matière est de requérir le consentement explicite de l’individu). Les usagers doivent également pouvoir facilement décider et changer quel volume de données à caractère personnel ils souhaitent divulguer. Enfin, la faculté d’exercer leur droit d’accès ainsi que leur droit à l’oubli doit être mise en œuvre.
Ces divers points devront être revus avec toutes les parties appropriées, y compris l’ODP si nécessaire.
L’avis de confidentialité et le cas échéant une analyse d'impact relative à la protection des données doivent être complétés sur ServiceNow.
S’il apparaît, qu’en l’absence de mesures d’atténuation, le traitement pourrait entraîner un risque élevé pour les droits de l’individu, une consultation préalable avec l’ODP est requise.
Des mesures de sécurité adéquates doivent être mises en place pour assurer la sécurité tout au long de la durée de vie du service, afin de garantir que toutes les données personnelles conservées en lien avec ce service seront supprimées à la fin de celui-ci, sans aucune possibilité d’y accéder à nouveau.

Quelle est la différence entre l’anonymisation et la pseudonymisation ?

L’anonymisation et la pseudonymisation sont deux techniques utilisées pour protéger les données personnelles des personnes, cependant celles-ci fonctionnent de manière sensiblement différente.

L’anonymisation est un processus irréversible qui supprime ou modifie complètement les informations susceptibles de permettre l’identification de la personne. Cela signifie qu’une fois que les données ont été anonymisées, il est alors impossible d’identifier ou de retrouver la personne.
En conséquence, les données réellement rendues anonymes ne sont plus considérées comme des données personnelles. Ainsi, la CO 11 n’est donc pas applicable aux données anonymisées.

En revanche, la pseudonymisation consiste à remplacer les identifiants personnels par d’autres données comme un faux nom ou des chiffres, de sorte qu’on ne puisse plus attribuer les données à une personne physique identifiée.
Cela n’empêche pas l’identification de la personne dans la mesure où il est toujours possible de remonter jusqu’à elle en collectant des données supplémentaires.
Etant donnée que les données pseudonymisées peuvent potentiellement etre reliées à des personnes, elles sont toujours considérées comme des données personnelles. Par conséquent, la CO 11 demeure pleinement applicable.

Anonymisation et Pseudonymisation en bref

Qu’est-ce que l’anonymisation?	Qu’est-ce que la pseudonymisation?
L’anonymisation est une procédure irréversible qui supprime complètement les marqueurs individuels, ce qui rend impossible l’identification de la personne	La pseudonymisation remplace les marqueurs individuels par des pseudonymes, rendant plus difficile (mais pas impossible !) l’établissement d’un lien avec la personne concernée

Exemples

Quelle est la position du CERN par rapport à la RGPD?

L'Organisation européenne pour la recherche nucléaire («CERN») est une organisation intergouvernementale dont le siège se trouve à Genève, en Suisse. En raison de son statut juridique particulier, l’Organisation bénéficie de certains privilèges et immunités en vertu du droit international.

Le CERN traite les données personnelles exclusivement conformément à sa législation interne. Le cadre juridique de protection des données du CERN s'appuie sur des principes établis dans ses États membres et plus généralement dans l'Union européenne, qui sont mis en œuvre par des mesures techniques et organisationnelles. Le CERN a désigné un Conseiller à la protection des données (DPA), qui fournit un centre de compétences pour toutes les questions liées à la protection des données au CERN.

En tout état de cause, le CERN n'étant soumis à aucune juridiction nationale ou similaire, les litiges dans le cadre du traitement des données personnelles seront résolus conformément à la législation interne du CERN ou, à défaut, par arbitrage.

Une déclaration concernant la protection de la confidentialité des données est disponible en ligne https://home.cern/fr/data-privacy-protection-policy.

Le CERN répondra à votre demande conformément à ses procédures internes.

Quelle est votre relation avec la personne concernée?

La personne concernée est l’individu dont vous traitez les données à caractère personnel. Votre relation avec cette personne peut avoir un effet sur les risques encourus lorsque vous veillez à ce que les données soient traitées correctement. De manière générale, nous pouvons définir 4 types de relation:

Une relation directe et transactionnelle avec l’individu, par exemple les secrétariats qui gèrent les traitements relatifs aux staff, aux utilisateurs, aux visiteurs, etc…
Une relation directe et à long terme avec l’individu, par exemple la caisse de retraite.
Une relation indirecte et visible avec l’individu, par exemple le traitement des données d’un Service agissant au nom d’un autre Service.
Une relation indirecte et invisible avec l’individu, par exemple le traitement des identifiants informatiques.

Lorsque vous complétez l’avis de confidentialité de votre Service, vous devez informer les personnes concernées de la manière dont vous traitez les données à caractère personnel.