En juin 2017, notre directrice générale, Fabiola Gianotti, déclarait que mettre en place toutes les mesures nécessaires pour protéger les données à caractère personnel était « une nécessité vitale si nous voulons conserver la confiance de tous ceux et celles qui nous communiquent ces informations et prouver aussi que nous appliquons dans tout ce que nous faisons des règles aussi exigeantes que celles que nous appliquons dans la recherche ». La Circulaire opérationnelle n° 11, entrée en vigueur le 1er janvier 2019, décrit les droits et obligations en matière de protection des données au CERN et constitue une étape importante en la matière. Cependant, il reste encore beaucoup à faire pour assurer une protection optimale des données à caractère personnel.
Créé en 2018, le Comité de coordination sur la protection des données (DPCC) est l’entité spécialisée chargée de coordonner la protection des données au CERN. Il œuvre à définir des approches communes concernant la mise en place des droits et obligations relatifs à la protection des données. Chaque département a nommé un représentant, le coordinateur départemental pour la protection des données (voir la liste). Ces représentants départementaux, ensemble avec des représentants du Service juridique, de l'Association du personnel et du Bureau de la protection des données (ODP), constituent le DPCC.
Depuis sa création en 2018, le DPCC a déjà accompli un travail impressionnant. Un inventaire de tous les services du CERN traitant des données à caractère personnel a notamment été mené en 2019. Ce travail a révélé l’existence de 560 services qui traitent ce type de données. Sur la base de ce catalogue, les membres du DPCC ont pu coordonner le développement et la publication d'avis de confidentialité des données à caractère personnel. Ces avis expliquent dans quel but et comment ces données sont traitées et protégées.
Concernant la gestion au quotidien, le DPCC a développé un ensemble de procédures spécifiques pour guider toute personne confrontée au traitement de données personnelles. Nous pouvons citer par exemple la procédure pour l'organisation d'événements, une tâche que beaucoup d'entre nous sont amenés à faire. Par ailleurs, le site web de l'ODP contient des informations détaillées et à jour sur la protection des données ; sa page FAQ en particulier, répond à des questions spécifiques. L'Admin e-guide quant à lui, avec sa nouvelle section consacrée au traitement des données personnelles, liste les procédures s’y rapportant. Ces procédures détaillent la mise en pratique de la circulaire. Les avis de confidentialité des données à caractère personnel peuvent être trouvés sur la page de Service Now.
Le DPCC poursuit son travail pour définir les mesures essentielles à une mise en œuvre efficace de la Circulaire opérationnelle n° 11. Parmi les priorités retenues figurent l'élaboration d'une politique de « protection des données dès la conception » (Privacy by design), l'actualisation du cours en ligne et la création d’un guide sur la conservation des données.
Anne Kerhoas, Rachel Bray