Partage et transferts de données

Comment traiter des demandes d’informations contenant des données à caractère personnel?

En tant que responsable d'un service, vous pourrez parfois recevoir des demandes ponctuelles pour extraire, traiter ou transférer des données à caractère personnel dans un but très particulier. Par exemple des informations sur tous les participants d’un évènement donné.

La meilleure façon de répondre à ce type de requête est avec des données sous forme anonymisées. Pour procéder à l’anonymisation des données, il est important de comprendre quelle information est demandée et à quelles fins elle va être utilisée.

Pour les jeux de données comprenant un nombre restreint de personnes ou des combinaisons très spécifiques, il est primordial de s’assurer que l’identification ne peut être reconstruire ou inférée en cas d’utilisation de toute autre information facilement accessibles.

Il est important de comprendre la différence entre des données anonymisées et des données pseudonymisées.

Pour réellement anonymiser des données, toutes les informations permettant l’identification de l’individu doivent être supprimées, et l’ensemble des données sera agrégé en fonction des champs demandés. L’anonymisation des données est un processus qui a pour résultat de rendre impossible toute identification postérieure de l’individu, alors que la pseudonymisation est simplement une protection supplémentaire, qui ne permet plus à l’individu d’être directement identifié, même s’il reste identifiable et peut être identifié par l’usage d’informations supplémentaires.

Par exemple, plutôt que de rapporter qu’il y a une femme grecque de 23 ans, un homme espagnol de 24 ans et une femme espagnole de 23 ans, il est préférable de rapporter que la moyenne d’âge est de 23.3 ans, 2/3 des participants sont espagnols et 1/3 est grecque, 2/3 sont des femmes et 1/3 des hommes.

Demande de données par entités extérieures

En tant qu'individu, puis-je obtenir des données personnelles d'une personne travaillant au CERN, telles que son adresse privée, pour mes propres besoins?

Non. Le cadre juridique pour la protection des données au CERN permet le traitement de données personnelles uniquement lorsque cela est nécessaire au bon fonctionnement de l’Organisation (voir § 3 CO 11).

Le partage de données à caractère personnel avec des personnes physiques à des fins privées n’en fait pas partie.

Cela couvre également les situations où vous considérez avoir un intérêt justifié, comme le recouvrement d'une dette impayée d'un ancien collègue qui a quitté le CERN sans vous laisser sa nouvelle adresse.

Le département EP souhaite publier la notice nécrologique d'un physicien du CERN récemment décédé. J'ai été désigné comme rédacteur de la notice nécrologique. Puis-je consulter son dossier personnel afin de recueillir des informations sur sa carrière ?

Pour répondre à cette question, il faut d'abord vérifier les dispositions applicables de la Circulaire opérationnelle n° 11 (CO 11):

Comme le partage de données personnelles entre deux services du CERN est autorisé par la CO 11 si cela est dans l'intérêt du CERN et si le Bureau de la protection des données (ODP) a été consulté avant le transfert, on pourrait supposer que l'accès au dossier personnel devrait être possible dans ce cas précis.

L'ODP considère que l'objectif de publier une notice nécrologique pour un membre du personnel, décédé pendant ou après son contrat avec le CERN, écrite par le CERN est légitime. En règle générale, l'ODP n'émet aucune réserve quant à ces transferts, à condition que le plus proche parent du défunt consente au transfert.

Notre réponse est donc la suivante :

Si les proches de la personne décédée sont d'accord avec l'édition et la publication d'une notice nécrologique, votre accès au dossier personnel de cette personne serait conforme à la CO 11.

Si la personne décédée était un membre actif du personnel, le Service des affaires sociales du CERN coordonne la procédure à suivre après le décès d'un membre du personnel et assure la communication entre la famille, les autorités extérieures et les services internes du CERN. Par conséquent, vous devez vous adresser au Service des affaires sociales pour savoir si une notice nécrologique est souhaitée.

Dans le cas où la personne décédée était un retraité du CERN, étant donné que le service de la Caisse des pensions ne s'occupera pas de ces demandes ni de la publication des nécrologies, il est suggéré de contacter directement les proches pour demander leur consentement.

Le traitement de données à caractère personnel au CERN par une personne qui n'est pas un membre du personnel peut-il être considéré comme un "transfert à une entité extérieure" ?

La CO 11 définit “entité extérieure” et le “transfert de données” comme suit:

“§ 8. Entité extérieure : toute personne physique ou morale exerçant ses activités en dehors de la structure de l’Organisation.”
“§ 22. Transfert : divulgation, diffusion ou toute autre mise à disposition, y compris par l’octroi d’un accès, de données à caractère personnel à un ou plusieurs services ou entités extérieures.”

En jurisprudence, une personne physique est une personne (au sens juridique, c'est-à-dire une personne qui a sa propre personnalité juridique) qui est un être humain individuel, par opposition à une personne morale, qui peut être une organisation privée (c'est-à-dire une entité commerciale ou une organisation non gouvernementale) ou publique (c'est-à-dire un gouvernement).

Les personnes qui ne sont pas membres du personnel mais qui ont un contrat de travailleur temporaire, de consultant ou autre avec le CERN sont des personnes physiques qui excercent leurs activités au sein du CERN, et ne sont donc pas considérées comme des entités extérieures.
En conséquence, elles peuvent traiter des données à caractère personnel au CERN dans le cadre de leur mission et cette activité ne sera pas considérée comme un transfert de données.

Les entreprises sont en général des personnes morales et lorsqu'elles traitent des données à caractère personnel pour le compte du CERN, elles le font souvent dans le cadre d'un contrat de service qui les oblige à envoyer leur personnel sur place.
Dans ce cas, nous ferons la distinction entre le personnel du contractant et son employeur :

Le personnel ne serait pas considéré comme une entité extérieure tant qu'il effectue son travail au sein de la structure du CERN (en étant rattaché à une unité organique, avec un bureau, un numéro de téléphone, une adresse électronique, etc.), qu'il traite des données à caractère personnel au sein des systèmes du CERN et qu'il ne partage pas les données à caractère personnel du CERN avec son employeur ou toute autre entité extérieure.
Leurs employeurs, en revanche, seraient considérés comme des entités externes puisqu'ils ne travaillent pas au sein de la structure du CERN.
Si le personnel du contractant partage des données à caractère personnel du CERN avec son employeur ou toute autre entité extérieure, ou s'il traite des données à caractère personnel en dehors des systèmes du CERN, nous considérerons, dans ce cas, tant le premier que le second comme des entités extérieures.

Pouvons nous partager des données personnelles entre services?

Tout partage de données à caractère personnel, y compris entre services (p.ex. des photos), doit être compatible avec le but initial de la collecte des données.

La base légitime (p.ex. fournir un service) et la finalité (p.ex. donner accès au service) doivent figurer dans l’avis de confidentialité sur ServiceNow, qui détaille les différents aspects du traitement, tels que la raison pour laquelle les données sont collectées, pour combien de temps elles seront conservées, dans quel but et avec qui elles seront partagées.

Il n’est donc pas approprié de partager des données avec un service autre que ceux prévus à l’origine.

Dans le cas où un tel transfert doit être considéré comme nécessaire, l'ODP doit avoir été consulté avant le transfert et il faut pouvoir:

fournir une justification supplémentaire, tel que le consentement de la personne concernée par exemple ou
démontrer que la finalité poursuivie est manifestement conforme au but initial de la collecte des données.

Principes généraux pour le traitement des demandes de transfert ad-hoc de données personnelles soumises par des entités extérieures

Que dois-je faire lorsqu'un autre service veut accéder aux données en ma possession ?

Lorsqu’un autre service vous demande de lui fournir des données, vous devez vous poser les questions suivantes:

Pourquoi ce service veut les données se trouvant en ma possession? Est-ce qu’il existe une finalité claire?
Puis-je fournir ces données sous forme anonymisée pour éviter de transférer des données à caractère personnel, ou tout du moins sous forme pseudonymisée? Cette situation sera fréquente pour les services effectuant un travail statistique ou analytique, mais il se peut que vous devriez alors traiter les données avant de les transmettre.
Puis-je compter sur le destinataire pour être en conformité avec les obligations du CERN en matière du droit au respect à la vie privée?

En tant que Service chargé du transfert, vous avez la responsabilité de vous assurer que la protection de la vie privée est transférée avec les données. À nouveau, s’il n’est pas absolument nécessaire de transférer des informations personnelles, anonymisez d’abord les données.

Données requises par le service de l'audite interne du CERN (IAS)

Lorsque la demande est présentée par le IAS aux fins d'un audit ou d'une enquête sur une fraude, il convient de considérer que le Directeur Général a déjà autorisé l'accès aux données personnelles nécessaires à l'accomplissement de la mission du IAS: à des fins d'audit (voir le point 8 de la charte de l'audit interne du CERN) et à des fins d'enquête sur une fraude (§§ 10 et 31 CO 10). Il existe donc une finalité claire et des bases juridiques pour accéder aux données qui sont nécessaires et proportionnées.

La transparence est assurée par l'avis de confidentialité du l'IAS, qui documente non seulement les finalités des données personnelles traitées, mais aussi la source de collecte, ainsi que par l'avis de confidentialité central du CERN, qui stipule que chaque service responsable peut transférer des données personnelles aux services compétents du CERN à des fins d'audit ou dans le cadre d'enquêtes officielles (par exemple, pour fraude ou harcèlement) ou pour l'établissement, l'exercice ou la défense de droits en justice.

Par conséquent, vous devez transférer les données à caractère personnel pertinentes comme demandé.

Si vous êtes le service de traitement des données demandées et que vous n'avez pas reçu d'instructions spécifiques de la part du responsable du traitement pour transférer les données à l'IAS, vous devez transmettre la demande au responsable du traitement si elle a été soumise dans le cadre d'un audit.
Dans le cas contraire, si vous êtes informé que la demande est soumise dans le cadre d'une enquête sur une fraude, ce qui vous oblige à coopérer pleinement et à maintenir la confidentialité tout au long de l'enquête, vous devez divulguer les données à caractère personnel demandées par l'IAS.
À cet égard, il convient de noter que l'IAS doit vous informer du contexte dans lequel elle soumet la demande de données, sans toutefois mentionner de détails concernant l'enquête spécifique.

N'hésitez pas à contacter l'ODP en cas de questions ou de doutes.

Une de mes collègues va bientôt quitter le CERN. J'aimerais rédiger un discours d'adieu personnel pour rendre hommage à notre excellente collaboration. Puis-je consulter son dossier personnel afin de recueillir des détails sur sa carrière ?

Non, pas sans le consentement de la personne concernée.

L'accès à ce type d'informations et leur partage relèveraient du traitement de données à caractère personnel. Conformément aux règles du CERN en matière de protection des données (OC 11), cela nécessite une base juridique valable. Dans ce cas précis, la seule base juridique appropriée serait le consentement de la collègue.

Par conséquent, sans son accord explicite, le Bureau des archives — en tant que responsable du traitement des dossiers personnels — ne peut vous accorder l'accès à son dossier.

Autres considérations

Même en cas d’intérêt légitime, la consultation d’un dossier personnel complet serait :

Très intrusive pour la vie privée, car il contient une grande quantité de données personnelles (et potentiellement sensibles)
Disproportionnée par rapport à l’objectif de préparation d’un discours d’adieu
Techniquement irréalisable, car l’extraction d’informations pertinentes à partir de dossiers (souvent au format PDF) peut s’avérer difficile

Alternatives suggérées

Vous pouvez atteindre votre objectif par des moyens plus appropriés :

Demandez directement à votre collègue
L'option la plus simple et la plus respectueuse consiste à lui parler et à recueillir les informations dont vous avez besoin.
Demandez-lui l'autorisation de partager des informations spécifiques issues de son dossier personnel
Si elle accepte, elle peut exercer son droit d'accès et obtenir une copie de ses données personnelles via le formulaire en ligne officiel, puis choisir ce qu'elle souhaite partager avec vous
Demandez à d'autres collègues
Vous pouvez recueillir des informations pertinentes en discutant avec des collègues qui ont travaillé en étroite collaboration avec elle.

En résumé

Vous ne pouvez pas consulter le dossier personnel d'un collègue sans son consentement.
Privilégiez plutôt la communication directe, le consentement et des sources moins intrusives.