Outils externes
Il existe de nombreux types de services cloud, partant d’applications que vous pouvez utiliser au stockage en ligne basique, de solutions internes à des solutions externes.
Dans tous les cas, vous devez faire attention à ne pas conserver dans le cloud des données personnelles d’autres personnes sans mesures de protection adéquates. Vous devez donc être très prudent lorsque vous utilisez un service cloud dans le contexte professionnel du CERN. Voici quelques lignes directrices à prendre en considération:
- Savez-vous comment le fournisseur du cloud traite les données que vous y stockez? Avez-vous contrôlé? Est-ce que le fournisseur offre un niveau de protection suffisant?
- Avez-vous informé votre hiérarchie de votre utilisation du service cloud dans le contexte professionnel et a-t-elle approuvé cet usage?
- Est-ce que ce traitement de données à caractère personnel est compatible avec l’avis de confidentialité du service?
De plus amples informations concernant l’usage de Services cloud peuvent être obtenues via le Cloud Licence Office (CLO).
Les conditions standard actuelles pour la protection des données qui font partie des contrats commerciaux du CERN exigent expressément le traitement des données personnelles au nom du CERN exclusivement dans nos États membres.
Par conséquent, l'utilisation de solutions cloud qui traitent des données personnelles aux États-Unis n'est plus conforme, ni par les personnes travaillant au CERN ni par les fournisseurs du CERN.
Ce sujet est vaste et de nombreux problèmes dépendront du cas particulier de chaque service cloud. Voici néanmoins quelques points principaux à prendre en considération:
- Quand vous téléchargez des informations personnelles sur le cloud, y compris lorsque vous les entrez dans un document Google, vous traitez des données à caractère personnel.
- Lorsque quelqu’un lit les données que vous avez entrées, cette personne traite également des données à caractère personnel.
- Avez-vous pris en compte le droit à la vie privée des individus et le contenu des données à caractère personnel que vous êtes en train de télécharger?
- L’objectif est-il spécifique et est-ce la meilleure méthode pour atteindre cet objectif?
- Avez-vous obtenu le consentement approprié des individus ou pouvez-vous justifier le traitement que vous effectuez par une base juridique?
- Comprenez-vous la relation contractuelle que vous avez avec le fournisseur de cloud? Quels droits ont-ils sur le contenu? Quels engagements ont-ils pris pour protéger les données personnelles? Sont-ils suffisants?
- Avez-vous protégé l’accès au contenu de manière adéquate?
Vous êtes responsable du traitement des données à caractère personnel et la règle générale est que si vous pouvez l’éviter, vous devriez!
Si Doodle est un super outil pour organiser des réunions, il existe des mesures de sécurité que vous pouvez (et devriez) prendre afin d’éviter que tous les participants ne voient tous les autres participants. Astuce: Cochez la fonctionnalité « sondage caché » dans les paramètres.
Pour donner un exemple, imaginez que vous souhaitez organiser une réunion pour rassembler toutes les personnes au sein du CERN ayant des enfants et que vous créez accidentellement une liste publique des personnes, contenant leur profil (avoir des enfants) et leur présence à un lieu et une heure donnés. Comme il n’est pas possible de s’assurer que l’URL que vous donnez aux participants va rester protégé, cette liste sera donc accessible et visible par toute personne, qu’elle ait été invitée par vous ou pas.
Créer et publier une liste profilant des individus sans prendre de mesures appropriées pour protéger leur vie privée est une violation du droit au respect à la vie privée.
Faites donc attention et utilisez toutes les mesures de sécurité à votre disposition.
Les termes et conditions de Google que vous devez accepter contiennent un certain nombre d’obligations spécifiques concernant la vie privée. Soyez attentifs que celles-ci ne sont pas optionnelles !
Les plus importantes sont :
« Vous ne transmettrez pas, et n'autoriserez ni n'aiderez toute tierce partie, à transmettre des informations à Google que Google pourrait utiliser ou considérer comme des Informations personnelles susceptibles d'identifier des personnes. »
« Vous devez publier des Règles de confidentialité, expliquant la manière dont Vous utilisez des cookies pour recueillir des données. »
« Vous devez mentionner l'utilisation de Google Analytics et indiquer la manière dont les données sont collectées et traitées. »
« Vous devez mettre en œuvre des efforts commercialement raisonnables pour fournir aux Visiteurs des informations claires et complètes. Vous devez aussi obtenir leur consentement pour accéder et stocker des cookies, et utiliser d'autres informations sur l'appareil sur lequel une telle activité a lieu dans le cadre du Service, dans les zones géographiques où la loi exige l'apport desdites informations et l'obtention dudit consentement. »
« Vous ne devez contourner aucune des fonctionnalités mises en place pour garantir la protection de la vie privée et faisant partie du Service (par exemple, en proposant une possibilité de désactivation). »
Source : https://www.google.com/analytics/terms/fr.html