Si vous êtes un fournisseur du CERN, ou si vous souhaitez le devenir, des informations sur les exigences spécifiques du CERN en matière de traitement des données personnelles peuvent vous intéresser.

Un bref aperçu du cadre juridique du CERN pour la protection des données est disponible dans la section Pour tout le monde de ce site Web.
Vous devriez d'abord lire ces pages pour vous familiariser avec les règles auxquelles le CERN et ses fournisseurs sont soumis.

Dans le cadre de la relation commerciale avec le CERN, vous traiterez certainement des données personnelles:

1. Dans le but de gérer la relation contractuelle avec nous.

   Vous enregistrerez probablement dans vos bases de données les noms de vos contacts au CERN, vous enverrez des e-mails à votre responsable des achats au CERN, des factures aux services financiers du CERN, etc.

   Ce faisant, vous traitez des données personnelles et vous suivrez les règles nationales du pays de votre entreprise (par exemple le RGPD lorsque votre entreprise se trouve dans un pays appartenant à l'UE). Le cadre de protection des données du CERN ne s’applique pas à ces activités.

2. Lorsque le service ou le bien que vous fournissez au CERN implique le traitement de données personnelles pour le compte du CERN (par exemple, vous fournissez une solution cloud au CERN).

   Dans ce contexte, vous agirez en tant que sous-traitant du CERN et devrez respecter des règles spécifiques, qui s'apparentent fortement aux obligations prévues par l'article 28 du RGPD.

   Ces règles seront définies dans un accord écrit conclu entre vous et le CERN, qui précisera quelles données vous traitez, dans quel but, pendant combien de temps, ainsi que les obligations qui vous incombent, à vous et au CERN.
   Concrètement, cela signifie :

   1. Suivez strictement les instructions du CERN
      Vous ne pouvez utiliser les données à caractère personnel que conformément aux instructions du CERN, et non à vos propres fins ou à d’autres fins.

   2. Ne sous-traitez pas sans autorisation
      Vous ne devez pas confier le travail à une autre entreprise (sous-traitant) sans l’accord écrit du CERN. Même si le CERN vous a donné son accord général, vous devez tout de même l’informer avant d’ajouter ou de changer de sous-traitant, afin qu’il puisse s’y opposer si nécessaire.

   3. Restez responsable de vos sous-traitants
      Si vous faites appel à une autre entreprise pour vous aider à traiter les données, celle-ci doit respecter les mêmes règles que vous et vous restez entièrement responsable en cas de non-respect de sa part.

   4. Garantissez la confidentialité
      Toute personne au sein de votre organisation qui traite des données à caractère personnel doit en préserver la confidentialité et être liée par une obligation de confidentialité (contractuelle ou légale).

   5. Protégez les données et signalez les incidents
      Vous devez :

      • Mettre en place des mesures de sécurité appropriées pour protéger les données
      • Informer rapidement le CERN en cas de violation de données
      • Aider le CERN à remplir ses obligations légales dans de tels cas

   6. Aidez le CERN à répondre aux personnes concernées
      Si des personnes (les personnes concernées) exercent leurs droits (par exemple, en demandant à accéder à leurs données ou à les corriger), vous devez aider le CERN à traiter ces demandes.

   7. Respecter le statut juridique particulier du CERN
      Vous devez respecter les privilèges et immunités du CERN, en particulier la protection et l’inviolabilité de ses documents et archives

   8. Être en mesure de prouver votre conformité
      Si le CERN vous le demande, vous devez démontrer que vous respectez vos obligations contractuelles et autoriser les audits ou inspections menés par le CERN ou ses représentants.

   9. Restituer ou supprimer les données une fois la mission terminée
      À l’expiration de votre contrat ou à l’achèvement des travaux, vous devez soit restituer toutes les données à caractère personnel au CERN, soit les supprimer définitivement, selon les instructions du CERN. 

Le Bureau de la protection des données a préparé un questionnaire sur la protection des données à l'attention des fournisseurs potentiels pour évaluer les conditions dans lesquelles ils traitent des données personnelles (voir lien en bas de page).

Vous pourriez être invité à le remplir avant l'établissement d'un contrat. Vos réponses aideront à décider si les exigences du CERN sont satisfaites.

Veuillez noter que la liste ci-dessus n'est pas exhaustive et qu'en fonction du cas particulier, des obligations supplémentaires peuvent être applicables. Les devoirs et droits de vous et du CERN dans le cadre de la protection des données feront partie du contrat.