Outils externes

Il existe de nombreux types de services cloud, partant d’applications que vous pouvez utiliser au stockage en ligne basique, de solutions internes à des solutions externes.
Dans tous les cas, vous devez faire attention à ne pas conserver dans le cloud des données personnelles d’autres personnes sans mesures de protection adéquates. Vous devez donc être très prudent lorsque vous utilisez un service cloud dans le contexte professionnel du CERN. Voici quelques lignes directrices à prendre en considération:
- Savez-vous comment le fournisseur du cloud traite les données que vous y stockez? Avez-vous contrôlé? Est-ce que le fournisseur offre un niveau de protection suffisant?
- Avez-vous informé votre hiérarchie de votre utilisation du service cloud dans le contexte professionnel et a-t-elle approuvé cet usage?
- Est-ce que ce traitement de données à caractère personnel est compatible avec l’avis de confidentialité du service?
De plus amples informations concernant l’usage de Services cloud peuvent être obtenues via le Cloud Licence Office (CLO).
Les affirmations de « conformité au RGPD » faites par les fournisseurs d’outils informatiques doivent être prises avec des pincettes.
Tout d’abord, le terme « conformité au RGPD » ne constitue pas une garantie légale contraignante, et chacun peut l’interpréter à sa guise. En général, ces affirmations ne reposent pas sur un audit formel, sur l’adhésion à un code de conduite officiel ou à une norme certifiée, mais plutôt sur des auto-évaluations faites par l’entreprise. À ce titre, elles doivent être considérées davantage comme de la publicité que comme la preuve d’une réelle conformité juridique.
La conformité au RGPD n’est pas un simple avantage – c’est une obligation légale. Tout fournisseur établi dans l’UE ou traitant les données personnelles de citoyens de l’UE est tenu de respecter le RGPD. Mettre en avant la conformité avec des exigences légales n’est guère convaincant – cela souligne seulement le fait que l’entreprise respecte la loi, ce qui devrait être une évidence.
Pour illustrer cela : imaginez un service de transport en commun faisant la promotion du fait que ses conducteurs possèdent un permis de conduire valide – vous sentiriez-vous vraiment plus rassuré et penseriez-vous que cela rend leur service plus fiable ?
Le fait qu’un outil ou un fournisseur respecte les exigences de protection des données du CERN – telles que celles définies dans la CO 11 – ne dépend pas d’une déclaration de conformité au RGPD. Il faut procéder à une évaluation rigoureuse basée sur des éléments concrets : les finalités prévues du traitement des données, les fonctionnalités de l’outil, les garanties et services du fournisseur, les termes contractuels et si le fournisseur utilise les données personnelles du CERN à ses propres fins.
Enfin, le RGPD ne s’applique pas au CERN. Par conséquent, la « conformité au RGPD » – quelle que soit sa définition – n’est pas pertinente.
En résumé, il ne faut pas se fier à ces affirmations et il convient de faire preuve de diligence raisonnable pour évaluer si l’outil et le fournisseur remplissent les conditions requises pour un traitement de données personnelles conforme à la CO 11.
Les conditions standard actuelles pour la protection des données qui font partie des contrats commerciaux du CERN exigent expressément le traitement des données personnelles au nom du CERN exclusivement dans nos États membres.
Par conséquent, l'utilisation de solutions cloud qui traitent des données personnelles aux États-Unis n'est plus conforme, ni par les personnes travaillant au CERN ni par les fournisseurs du CERN.
Ce sujet est vaste et de nombreux problèmes dépendront du cas particulier de chaque service cloud. Voici néanmoins quelques points principaux à prendre en considération:
- Quand vous téléchargez des informations personnelles sur le cloud, y compris lorsque vous les entrez dans un document Google, vous traitez des données à caractère personnel.
- Lorsque quelqu’un lit les données que vous avez entrées, cette personne traite également des données à caractère personnel.
- Avez-vous pris en compte le droit à la vie privée des individus et le contenu des données à caractère personnel que vous êtes en train de télécharger?
- L’objectif est-il spécifique et est-ce la meilleure méthode pour atteindre cet objectif?
- Avez-vous obtenu le consentement approprié des individus ou pouvez-vous justifier le traitement que vous effectuez par une base juridique?
- Comprenez-vous la relation contractuelle que vous avez avec le fournisseur de cloud? Quels droits ont-ils sur le contenu? Quels engagements ont-ils pris pour protéger les données personnelles? Sont-ils suffisants?
- Avez-vous protégé l’accès au contenu de manière adéquate?
Vous êtes responsable du traitement des données à caractère personnel et la règle générale est que si vous pouvez l’éviter, vous devriez!
Si Doodle est un super outil pour organiser des réunions, il existe des mesures de sécurité que vous pouvez (et devriez) prendre afin d’éviter que tous les participants ne voient tous les autres participants. Astuce: Cochez la fonctionnalité « sondage caché » dans les paramètres.
Pour donner un exemple, imaginez que vous souhaitez organiser une réunion pour rassembler toutes les personnes au sein du CERN ayant des enfants et que vous créez accidentellement une liste publique des personnes, contenant leur profil (avoir des enfants) et leur présence à un lieu et une heure donnés. Comme il n’est pas possible de s’assurer que l’URL que vous donnez aux participants va rester protégé, cette liste sera donc accessible et visible par toute personne, qu’elle ait été invitée par vous ou pas.
Créer et publier une liste profilant des individus sans prendre de mesures appropriées pour protéger leur vie privée est une violation du droit au respect à la vie privée.
Faites donc attention et utilisez toutes les mesures de sécurité à votre disposition.