News Announcement Topic: At CERN

View in

English

Révision de la Circulaire opérationnelle n° 11 : un cadre modernisé pour la protection des données au CERN

|

Par Bureau de la protection des données

À la suite de l’approbation par la Directrice générale, le 17 décembre 2025, de la dernière révision de la Circulaire opérationnelle n° 11 (« Traitement des données à caractère personnel au CERN »), le texte révisé est entré en vigueur le 1er février 2026. Ce texte annule et remplace la Circulaire opérationnelle n° 11 en date de janvier 2019 ainsi que ses deux annexes, entrées en vigueur le 1er juillet 2021. Cette révision, qui marque une étape importante dans la modernisation du cadre interne du CERN en matière de protection des données, s’appuie sur plus de cinq ans d’expérience de l’application et de l’interprétation de la circulaire.

Les modifications ne constituent pas une refonte complète des règles existantes. Il s’agit plutôt d’une révision ciblée, préservant les principes fondamentaux du texte tout en précisant, simplifiant et facilitant son application dans l’ensemble de l’Organisation.

Objectifs de la révision

La circulaire révisée :

  • aligne plus étroitement les règles du CERN sur les bonnes pratiques internationales en matière de protection des données, et, en particulier, sur le Règlement général sur la protection des données (RGPD) de l’Union européenne ;
  • améliore la certitude juridique et réduit les risques juridiques et réputationnels ;
  • simplifie l’application des règles pour les services du CERN tout en maintenant un niveau élevé de protection pour les données à caractère personnel ;
  • assure la neutralité technologique et renforce la viabilité à long terme de différentes activités du CERN.

Principaux éléments de modernisation

Parmi les différents changements apportés, on peut citer dix domaines clés pour lesquels une clarification ou une simplification était particulièrement nécessaire.

Le champ d’application de la circulaire a été précisé, avec l’exclusion des activités de traitement de nature purement privée, ce qui signifie qu’il n’est pas nécessaire pour ces activités de tenir des registres des opérations de traitement. D’autre part, la notion de « traitement régulier », qui pouvait être une source d’incertitude pour les services, a été supprimée.

La tenue d’archives, la recherche scientifique ou historique, et l’établissement de statistiques ne sont plus considérés comme des bases juridiques pour le traitement, mais comme des finalités compatibles, ce qui facilite les traitements ultérieurs.

La décision de procéder ou non à une analyse d'impact relative à la protection des données s’appuie désormais sur une analyse du risque, prenant en compte plusieurs facteurs et bénéficiant des conseils du Bureau de la protection des données. Cette approche permet de donner la priorité aux traitements à risque élevé et réduit le nombre d’analyse d’impact inutiles, ce qui optimise l’utilisation des ressources.

Le principe de protection des données dès la conception impose que les éléments de protection des données soient intégrés dans les systèmes et les processus, ce qui facilite le choix de la solution appropriée et vise à ce que les données à caractère personnel soient protégées par défaut.

Les notifications de violation de la sécurité des données sont maintenant limitées aux cas supposant un risque élevé et inévitable et un effort non disproportionné, ce qui rend le processus plus efficient et proportionné au risque réel.

Les droits relatifs à la prise de décision automatisée se limitent désormais aux cas où une décision produit un effet juridique ou un autre effet notable, ce qui simplifie l’élaboration des registres des opérations de traitement et les activités de réponse aux demandes des personnes concernées.

Les transferts de données en interne n’ont plus besoin d’être approuvés par le Bureau de la protection des données, ce qui simplifie les processus, dans le respect du mandat du Bureau de la protection des données et de son rôle d’organe consultatif indépendant.

Pour les transferts à une entité extérieure, les responsabilités ont été précisées et des obligations inutiles ont été supprimées, ce qui facilite la compréhension et la coopération de la part des fournisseurs.
En même temps, des règles mieux proportionnées pour le transfert de données sensibles permettent de recourir si cela est approprié à des solutions telles que les services en nuage, tout en maintenant l’obligation de rendre des comptes.

Le cadre régissant le traitement par des entités extérieures distingue désormais explicitement le rôle de responsable du traitement de celui de préposé au traitement, les responsabilités dans les deux cas étant clairement définies. Les règles sont ainsi plus étroitement alignées sur le RGPD, ce qui facilite la compréhension pour les fournisseurs ainsi que les relations contractuelles et les partenariats.

Enfin, un nouveau concept (les « doléances ») a été introduit pour les cas où un traitement non conforme affecte directement des personnes, afin de faciliter les processus juridiques et opérationnels, d’améliorer la compréhension des processus par les personnes concernées et de réduire le nombre de réclamations formelles.

Perspectives

Avec cette révision, le CERN confirme son attachement à la protection des données à caractère personnel, au moyen d’un cadre moderne adapté à des technologies en évolution et à des environnements de recherche collaboratifs, tout en maintenant un niveau élevé de protection et en assurant la continuité, la clarté et la proportionnalité de la pratique en la matière.

Prochaines étapes

Le Bureau de la protection des données continuera d’actualiser progressivement les politiques, directives et documents opérationnels au vu des changements apportés par la révision.

Pour faciliter la compréhension et l’application du texte, le Bureau de la protection des données organisera des séances d’information en anglais et en français, afin d’expliquer, de façon pratique et accessible, les principaux changements. La séance d’information en anglais aura lieu le jeudi 19 février à 11 heures ; la séance d’information en français sera annoncée prochainement. Une fiche technique et le support visuel de la présentation seront mis à la disposition de toutes les personnes souhaitant les consulter.

Dans l’intervalle, et à tout moment, les personnes et les services sont encouragés à s’adresser au Bureau de la protection des données pour toute question ou demande de conseil, en écrivant à l’adresse : privacy.protection@cern.ch.

________

À l’occasion de la Journée de la protection des données, le CERN, l’Agence spatiale européenne, le laboratoire EMBL, l’Office européen des brevets et l’ESO ont organisé conjointement, le 26 janvier 2026, une séance d’information sur la souveraineté du cloud. Retrouvez les vidéos en cliquant ici (login CERN requis).

Sur le thème At CERN

Des logements chauffés grâce au LHC

At CERN
News

Visites présidentielles au CERN

At CERN
News

Bâtir une culture du succès

At CERN
Opinion
Mark Thomson

Des idées pour améliorer le CERN ? Faites-nou...

At CERN
News

Le CERN vous souhaite une belle année 2026

At CERN
News

Les moments forts du CERN en 2025

At CERN
News

Tout ce que nous avons accompli ensemble

At CERN
Opinion
Fabiola Gianotti

Des promesses de dons du secteur privé à haut...

At CERN
Press release

Changement de décor pour la salle de réunion ...

At CERN
News

Toutes les actualités