DSV en anglais

La tra­duc­tion en anglais a été réa­li­sée par Hugh Ree­ves et Corin­ne Gil­gen (tou­tes deux Wal­der Wyss). Elle peut être sou­mi­se à une Licence CC BY-ND 4.0 peu­vent être uti­li­sées. Une ver­si­on en tant que PDF se trouve ici. La ver­si­on alle­man­de se trouve ici.

La ver­si­on de la LPD en vigueur jus­qu’à fin août 2023. Les tex­tes ont été con­ver­tis de maniè­re auto­ma­ti­sée – nous vous remer­ci­ons de nous signal­er tou­te erreur.
DSV en français
DSG
déplier | replier

Cha­pit­re 1 Dis­po­si­ti­ons générales

Sec­tion 1 Sécu­ri­té des données

Art. 1 Principes

1 Afin d’assurer une sécu­ri­té adé­qua­te des don­nées, le responsable du trai­te­ment et le sous-trai­tant doi­vent déter­mi­ner le beso­in de pro­tec­tion des don­nées à carac­tère per­son­nel et pré­cis­er les mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les appro­priées au regard du risque.

2 La néces­si­té de pro­té­ger les don­nées à carac­tère per­son­nel est éva­luée en fonc­tion des critères suivants :

a. le type de don­nées traitées ;
b. le but, la natu­re, l’é­ten­due et les cir­con­stances du traitement.

3 Le ris­que pour la per­son­na­li­té ou les droits fon­da­men­taux du sujet des don­nées est éva­lué selon les critères suivants :

a. les cau­ses du risque ;
b. prin­ci­paux dangers ;
c. les mesu­res pri­ses ou envi­sa­gées pour rédui­re le risque ;
d. la pro­ba­bi­li­té et la gra­vi­té d’u­ne vio­la­ti­on de la sécu­ri­té des don­nées mal­gré les mesu­res pri­ses ou envisagées.

4 Les critères sui­vants doi­vent éga­le­ment être pris en comp­te lors de la déter­mi­na­ti­on des mesu­res tech­ni­ques et organisationnelles :

a. l’é­tat de l’art ;
b. les coûts de mise en œuvre.

5 Le beso­in de pro­tec­tion des don­nées à carac­tère per­son­nel, le ris­que et les mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les doi­vent être exami­nés tout au long de la péri­ode de trai­te­ment. Les mesu­res doi­vent être adap­tées si nécessaire.

Art. 2 Objectifs

Le con­trô­leur et le pro­ce­s­seur doi­vent prend­re des mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les pour s’assurer que, con­for­mé­ment à son beso­in de pro­tec­tion, les don­nées sont traitées :

a. acce­s­si­ble uni­quement aux per­son­nes auto­ri­sées (con­fi­den­tia­li­té) ;
b. dis­po­ni­ble lorsque cela est néces­saire (avai­la­bi­li­ty) ;
c. non modi­fi­és par des per­son­nes non auto­ri­sées ou non modi­fi­és de maniè­re non inten­ti­on­nel­le (inté­gri­té) ;
d. trai­tées de maniè­re tra­ça­ble (tra­ça­bi­li­té).

Art. 3 Mesu­res tech­ni­ques et organisationnelles

1 Afin d’assurer la con­fi­den­tia­li­té, le responsable du trai­te­ment et le pro­ce­s­seur doi­vent prend­re des mesu­res appro­priées pour la garantir :

a. l’ac­cès par des per­son­nes auto­ri­sées est limi­té aux don­nées per­son­nel­les dont elles ont beso­in pour accom­plir leurs tâches (con­trô­le d’accès) ;
b. les per­son­nes non auto­ri­sées se voi­ent refu­ser l’ac­cès aux locaux et aux instal­la­ti­ons dans les­quels les don­nées per­son­nel­les sont trai­tées (con­trô­le d’entrée) ;
c. les per­son­nes non auto­ri­sées ne peu­vent pas uti­li­ser les systè­mes de trai­te­ment auto­ma­ti­sé des don­nées au moy­en de dis­po­si­tifs de trans­mis­si­on des don­nées (con­trô­le de l’utilisation).

2 Afin d’assurer la dis­po­ni­bi­li­té et l’in­té­gri­té, le con­trô­leur et le pro­ce­s­seur doi­vent prend­re des mesu­res appro­priées pour le garantir :

a. les per­son­nes non auto­ri­sées ne doi­vent pas lire, copi­er, modi­fier, dépla­cer, sup­p­ri­mer ou détrui­re des sup­ports de don­nées (con­trô­le des sup­ports de données) ;
b. les per­son­nes non auto­ri­sées ne peu­vent pas stocker, lire, modi­fier, sup­p­ri­mer ou détrui­re les don­nées per­son­nel­les en mémoi­re (con­trô­le du stockage) ;
c. lors de la divul­ga­ti­on de don­nées à carac­tère per­son­nel et pen­dant le trans­port des sup­ports de don­nées, les per­son­nes non auto­ri­sées ne peu­vent pas lire, copi­er, modi­fier, sup­p­ri­mer ou détrui­re les don­nées à carac­tère per­son­nel (con­trô­le du transport) ;
d. la dis­po­ni­bi­li­té des don­nées à carac­tère per­son­nel et l’ac­cès à cel­les-ci pui­s­sent être rétab­lis rapi­de­ment en cas d’in­ci­dent phy­si­que ou tech­ni­que (récup­é­ra­ti­on) ;
e. tou­tes les fonc­tions du système de trai­te­ment auto­ma­ti­sé des don­nées sont dis­po­ni­bles (dis­po­ni­bi­li­té), que les dys­fonc­tion­ne­ments sont signa­lés (fia­bi­li­té) et que les don­nées à carac­tère per­son­nel stockées ne peu­vent pas être endom­ma­gées par des dys­fonc­tion­ne­ments du système (inté­gri­té des données) ;
f. les systè­mes d’ex­plo­ita­ti­on et les logi­ciels d’ap­pli­ca­ti­on sont tou­jours main­te­nus à jour et les fail­les cri­ti­ques con­nues sont com­blées (sécu­ri­té du système).

3 Afin d’assurer la tra­ça­bi­li­té, le responsable du trai­te­ment et le pro­ce­s­seur doi­vent prend­re des mesu­res appro­priées pour garan­tir cet­te traçabilité :

a. il est pos­si­ble de véri­fier quel­les don­nées à carac­tère per­son­nel sont sai­sies ou modi­fi­ées dans le système de trai­te­ment auto­ma­ti­sé des don­nées, à quel moment et par quel­le per­son­ne (con­trô­le des entrées) ;
b. il est pos­si­ble de véri­fier à qui les don­nées à carac­tère per­son­nel ont été divul­guées au moy­en de dis­po­si­tifs de trans­mis­si­on de don­nées (con­trô­le de la divulgation) ;
c. les vio­la­ti­ons de la sécu­ri­té des don­nées peu­vent être rapi­de­ment détec­tées (détec­tion) et des mesu­res peu­vent être pri­ses pour atté­nuer ou éli­mi­ner leur impact (éli­mi­na­ti­on).

Art. 4 Records

1 Si des don­nées per­son­nel­les sen­si­bles sont trai­tées auto­ma­ti­quement à gran­de échel­le ou si un pro­fi­la­ge à haut ris­que est effec­tué et que les mesu­res pré­ven­ti­ves ne garan­tis­sent pas la pro­tec­tion des don­nées, le con­trô­leur pri­vé et son pro­ce­s­seur pri­vé doi­vent au moins enre­gi­strer le stocka­ge, l’al­té­ra­ti­on, la lec­tu­re, la divul­ga­ti­on, la révé­la­ti­on et la des­truc­tion des don­nées. Les enre­gi­stre­ments doi­vent être con­ser­vés en par­ti­cu­lier s’il n’est pas pos­si­ble autre­ment d’é­ta­b­lir rétroac­ti­ve­ment si les don­nées ont été trai­tées aux fins pour les­quel­les elles ont été coll­ec­tées ou divulguées.

2 Lors du trai­te­ment auto­ma­ti­sé de don­nées à carac­tère per­son­nel, l’au­to­ri­té fédé­ra­le responsable et son pro­ce­s­seur doi­vent
au moins enre­gi­strer le stocka­ge, l’al­té­ra­ti­on, la lec­tu­re, la divul­ga­ti­on, la révé­la­ti­on ou la des­truc­tion des données.

3 Dans le cas de don­nées per­son­nel­les géné­ra­le­ment acce­s­si­bles au public, le stocka­ge, l’al­té­ra­ti­on, l’effa­ce­ment et la des­truc­tion des don­nées doi­vent au moins être enregistrés.

4 Les enre­gi­stre­ments doi­vent four­nir des infor­ma­ti­ons sur l’i­den­ti­té de la per­son­ne qui a effec­tué le trai­te­ment, la natu­re, la date et l’heu­re du trai­te­ment et, le cas échéant, l’i­den­ti­té du desti­na­tai­re des données.

5 Les enre­gi­stre­ments doi­vent être con­ser­vés pen­dant au moins un an, sépa­ré­ment du système dans lequel les don­nées à carac­tère per­son­nel sont trai­tées. Ils ne doi­vent être acce­s­si­bles qu’aux orga­nes et aux per­son­nes respons­ables du con­trô­le de l’ap­pli­ca­ti­on des règles de pro­tec­tion des don­nées ou de la gesti­on ou du main­ti­en de la con­fi­den­tia­li­té, de l’in­té­gri­té, de la dis­po­ni­bi­li­té et de la tra­ça­bi­li­té des don­nées, et ne peu­vent être uti­li­sés qu’à cet­te fin.

Art. 5 Poli­tique de trai­te­ment pour les per­son­nes privées

1 Le con­trô­leur pri­vé et son pro­ce­s­seur pri­vé doi­vent éla­bo­rer une poli­tique de trai­te­ment pour le trai­te­ment auto­ma­ti­sé s’ils :

a. trai­tent des don­nées per­son­nel­les sen­si­bles à gran­de échel­le ; ou
b. car­ry out high-risk profiling.

2 La poli­tique de trai­te­ment doit notam­ment con­te­nir des infor­ma­ti­ons sur l’or­ga­ni­sa­ti­on inter­ne, la pro­cé­du­re de trai­te­ment et de con­trô­le des don­nées et les mesu­res pri­ses pour assurer la sécu­ri­té des données.

3 Le con­trô­leur pri­vé et son pro­ce­s­seur pri­vé doi­vent régu­liè­re­ment mett­re à jour la poli­tique de trai­te­ment. Si un con­seil­ler en matiè­re de pro­tec­tion des don­nées a été dési­gné, la poli­tique de trai­te­ment doit être mise à la dis­po­si­ti­on de ce conseiller.

Art. 6 Poli­tique de trai­te­ment pour les orga­nes fédéraux

1 L’au­to­ri­té fédé­ra­le responsable et son pro­ce­s­seur doi­vent éla­bo­rer une poli­tique de trai­te­ment pour le trai­te­ment auto­ma­ti­sé s’ils :

a. trai­tent des don­nées per­son­nel­les sensibles ;
b. car­ry out a profiling ;
c. trai­ter les don­nées à carac­tère per­son­nel con­for­mé­ment à l’ar­tic­le 34(2)(c) du FADP ;
d. rend­re les don­nées à carac­tère per­son­nel acce­s­si­bles aux can­tons, aux auto­ri­tés étran­gè­res, aux orga­ni­sa­ti­ons inter­na­tio­na­les ou aux per­son­nes privées ;
e. inter­link data files ; or
f. exploi­ter un système d’in­for­ma­ti­on en liai­son avec d’aut­res orga­nes fédé­raux ou gérer des fichiers de données.

2 La poli­tique de trai­te­ment doit notam­ment con­te­nir des infor­ma­ti­ons sur l’or­ga­ni­sa­ti­on inter­ne, la pro­cé­du­re de trai­te­ment et de con­trô­le des don­nées et les mesu­res pri­ses pour assurer la sécu­ri­té des données.

3 L’au­to­ri­té fédé­ra­le responsable et son pro­ce­s­seur doi­vent régu­liè­re­ment mett­re à jour la poli­tique de trai­te­ment et la mett­re à la dis­po­si­ti­on du con­seil­ler à la pro­tec­tion des données.

Sec­tion 2 Trai­te­ment des don­nées par les processeurs

Art. 7

1 L’au­to­ri­sa­ti­on pré­alable du con­trô­leur per­met­tant au pro­ce­s­seur de trans­fé­rer le trai­te­ment des don­nées à un tiers peut être de natu­re spé­ci­fi­que ou générale.

2 Dans le cas d’u­ne auto­ri­sa­ti­on géné­ra­le, le pro­ce­s­seur doit infor­mer le con­trô­leur de tout chan­ge­ment envi­sa­gé en ce qui con­cer­ne la par­ti­ci­pa­ti­on ou le rem­pla­ce­ment d’aut­res tiers. Le responsable du trai­te­ment peut s’op­po­ser à de tels changements.

Sec­tion 3 Divul­ga­ti­on trans­fron­ta­liè­re des don­nées personnelles

Art. 8 Éva­lua­ti­on de l’a­dé­qua­ti­on du niveau de pro­tec­tion des don­nées d’un État, d’un ter­ri­toire, d’un sec­teur spé­ci­fi­que dans un État ou d’un orga­nis­me international

1 Les États, ter­ri­toires, sec­teurs spé­ci­fi­ques d’un État et orga­nis­mes inter­na­ti­on­aux offrant un niveau adé­quat de pro­tec­tion des don­nées sont énu­mé­rés à l’an­ne­xe 1.

2 L’éva­lua­ti­on de la que­sti­on de savoir si un État, un ter­ri­toire, un sec­teur spé­ci­fi­que au sein d’un État ou un orga­nis­me inter­na­tio­nal garan­tit un niveau adé­quat de pro­tec­tion des don­nées doit se fon­der en par­ti­cu­lier sur les critères suivants :

a. les obli­ga­ti­ons inter­na­tio­na­les de l’É­tat ou de l’or­ga­nis­me inter­na­tio­nal, notam­ment en ce qui concerne

pro­tec­tion des données ;

b. la règ­le de droit et le respect des droits de l’homme ;
c. la légis­la­ti­on appli­ca­ble, notam­ment en matiè­re de pro­tec­tion des don­nées et de sa mise en œuvre

la juris­pru­dence pertinente ;

d. la garan­tie effec­ti­ve des droits des per­son­nes con­cer­nées par les don­nées et de la pro­tec­tion judiciaire ;
e. le fonc­tion­ne­ment effec­tif d’u­ne ou de plu­sieurs auto­ri­tés indé­pen­dan­tes com­pé­ten­tes pour les que­sti­ons de pro­tec­tion des don­nées dans l’É­tat con­cer­né ou aux­quel­les un orga­nis­me inter­na­tio­nal peut répond­re, et qui dis­po­sent de pou­voirs et de com­pé­ten­ces suffisants.

3 Le com­mis­saire fédé­ral à la pro­tec­tion des don­nées et à l’in­for­ma­ti­on (FDPIC) doit être con­sul­té sur chaque éva­lua­ti­on. Les éva­lua­tions d’or­ga­nis­mes inter­na­ti­on­aux ou d’au­to­ri­tés étran­gè­res respons­ables de la pro­tec­tion des don­nées peu­vent être pri­ses en compte.

4 L’a­dé­qua­ti­on du niveau de pro­tec­tion des don­nées doit être rééva­luée périodiquement.

5 Les éva­lua­tions doi­vent être publiées.

6 Si une éva­lua­ti­on visée au para­gra­phe 4 ou d’aut­res infor­ma­ti­ons indi­quent qu’un niveau adé­quat de don­nées
pro­tec­tion n’est plus assu­rée, l’an­ne­xe 1 doit être modi­fi­ée. Cet­te modi­fi­ca­ti­on n’a pas d’ef­fet sur les don­nées
les infor­ma­ti­ons com­mu­ni­quées antérieurement.

Art. 9 Dis­po­si­ti­ons rela­ti­ves à la pro­tec­tion des don­nées et sau­vegar­des spécifiques

1 Les dis­po­si­ti­ons rela­ti­ves à la pro­tec­tion des don­nées d’un cont­rat con­for­me à l’ar­tic­le 16(2)(b) du PADF et les garan­ties spé­ci­fi­ques con­for­mes à l’ar­tic­le 16(2)(c) du PADF doi­vent con­te­nir au moins les aspects suivants :

a. l’ap­pli­ca­ti­on des prin­cipes de léga­li­té, de bon­ne foi, de pro­por­ti­on­na­li­té, de trans­pa­rence, de limi­ta­ti­on des buts et d’exactitude ;
b. les caté­go­ries de don­nées à carac­tère per­son­nel divul­guées ain­si que les sujets des données ;
c. la natu­re et le but de la divul­ga­ti­on des don­nées à carac­tère personnel ;
d. le cas échéant, les noms des États ou des orga­nis­mes inter­na­ti­on­aux aux­quels les don­nées à carac­tère per­son­nel sont com­mu­ni­quées et les exi­gen­ces en matiè­re de communication ;
e. les exi­gen­ces en matiè­re de con­ser­va­ti­on, d’effa­ce­ment et de des­truc­tion des don­nées à carac­tère personnel ;
f. les desti­na­tai­res ou les caté­go­ries de destinataires ;
g. les mesu­res pri­ses pour assurer la sécu­ri­té des données ;
h. l’ob­li­ga­ti­on de signal­er les vio­la­ti­ons de la sécu­ri­té des données ;
i. si les desti­na­tai­res sont des con­trô­leurs : l’ob­li­ga­ti­on d’in­for­mer les per­son­nes con­cer­nées du trai­te­ment des données ;

j. les droits des per­son­nes con­cer­nées par les don­nées, en particulier :

1. droit d’ac­cès et droit à la por­ta­bi­li­té des données,
2. le droit de s’op­po­ser à la divul­ga­ti­on de données,
3. droit de cor­rec­tion, d’effa­ce­ment ou de des­truc­tion des don­nées à carac­tère personnel,
4. le droit de deman­der une pro­tec­tion judi­ciai­re à une auto­ri­té indépendante.

2 Le responsable du trai­te­ment et, dans le cas des dis­po­si­ti­ons d’un cont­rat rela­ti­ves à la pro­tec­tion des don­nées, le pro­ce­s­seur doi­vent prend­re des mesu­res appro­priées pour s’assurer que le desti­na­tai­re respec­te ces dis­po­si­ti­ons ou les garan­ties spécifiques.

3 Si le FDPIC a été infor­mé des dis­po­si­ti­ons rela­ti­ves à la pro­tec­tion des don­nées d’un cont­rat ou des garan­ties spé­ci­fi­ques, l’ob­li­ga­ti­on d’in­for­ma­ti­on est répu­tée satis­fai­te pour tou­tes les aut­res divul­ga­ti­ons que celui-ci :

a. sont sou­mi­ses aux mêmes dis­po­si­ti­ons ou garan­ties en matiè­re de pro­tec­tion des don­nées, à con­di­ti­on que les caté­go­ries de desti­na­tai­res, les fina­li­tés du trai­te­ment et les caté­go­ries de don­nées restent fon­da­men­ta­le­ment inchan­gées ; ou
b. ont lieu au sein de la même per­son­ne mora­le ou socié­té ou ent­re des per­son­nes mora­les ou des socié­tés appar­tenant au même groupe.

Art. 10 Clau­ses stan­dard de pro­tec­tion des données

1 Si le con­trô­leur ou le pro­ce­s­seur divul­gue des don­nées per­son­nel­les à l’étran­ger au moy­en de clau­ses stan­dard de pro­tec­tion des don­nées con­for­mé­ment à l’ar­tic­le 16(2)(d) du PADF, le con­trô­leur ou le pro­ce­s­seur doit prend­re les mesu­res appro­priées pour s’assurer que le desti­na­tai­re s’y conforme.

2 Le FDPIC a publié une liste des clau­ses stan­dard de pro­tec­tion des don­nées qu’il a approu­vées, éta­b­lies ou recon­nues. Il doit com­mu­ni­quer le résul­tat de son examen des clau­ses stan­dard de pro­tec­tion des don­nées qui lui ont été sou­mi­ses dans un délai de 90 jours.

Art. 11 Règles d’entre­pri­se con­traignan­tes en matiè­re de pro­tec­tion des données

1 Les règles d’entre­pri­se con­traignan­tes en matiè­re de pro­tec­tion des don­nées, con­for­mé­ment à l’ar­tic­le 16(2)(e) du FADP, s’ap­pli­quent à tou­tes les ent­re­pri­ses appar­tenant au même groupe.

2 Elles doi­vent con­te­nir au moins les élé­ments men­ti­onnés à l’ar­tic­le 9, para­gra­phe 1, ain­si que les infor­ma­ti­ons suivantes :

a. l’or­ga­ni­sa­ti­on et les coor­don­nées du grou­pe et de ses sociétés ;
b. les mesu­res pri­ses au sein du grou­pe pour assurer la con­for­mi­té avec les règles d’entre­pri­se con­traignan­tes en matiè­re de pro­tec­tion des données.

3 Le FDPIC doit com­mu­ni­quer le résul­tat de son examen des règles d’entre­pri­se con­traignan­tes en matiè­re de pro­tec­tion des don­nées qui lui ont été sou­mi­ses dans un délai de 90 jours.

Art. 12 Codes de con­duite et certifications

1 Les don­nées per­son­nel­les peu­vent être divul­guées à l’étran­ger si un niveau adé­quat de pro­tec­tion des don­nées est assu­ré par un code de con­duite ou une certification.

2 Le code de con­duite doit être sou­mis à l’ap­pro­ba­ti­on pré­alable du FDPIC.

3 Le code de con­duite ou la cer­ti­fi­ca­ti­on doit être lié à une obli­ga­ti­on con­traignan­te et exé­cu­toire de la part du con­trô­leur ou du pro­ce­s­seur dans le pays tiers d’ap­pli­quer les mesu­res qui y sont contenues.

Cha­pit­re 2 Droits du contrôleur

Art. 13 Moda­li­tés de l’ob­li­ga­ti­on d’information

Le responsable du trai­te­ment doit com­mu­ni­quer au sujet des don­nées les infor­ma­ti­ons rela­ti­ves à la coll­ec­te de don­nées à carac­tère per­son­nel sous une for­me pré­cise, trans­pa­ren­te, com­pré­hen­si­ble et aisé­ment accessible.

Art. 14 Réten­ti­on de l’éva­lua­ti­on de l’im­pact sur la pro­tec­tion des données

Le responsable du trai­te­ment doit con­ser­ver l’éva­lua­ti­on de l’im­pact sur la pro­tec­tion des don­nées pen­dant au moins deux ans après la fin de l’ac­ti­vi­té de trai­te­ment des données.

Art. 15 Noti­fi­ca­ti­on des vio­la­ti­ons de la sécu­ri­té des données

1 La noti­fi­ca­ti­on d’u­ne vio­la­ti­on de la sécu­ri­té des don­nées au FDPIC doit con­te­nir les infor­ma­ti­ons suivantes :

a. la natu­re de la vio­la­ti­on de la sécu­ri­té des données ;
b. dans la mesu­re du pos­si­ble, le moment et la durée de la vio­la­ti­on de la sécu­ri­té des données ;
c. dans la mesu­re du pos­si­ble, les caté­go­ries et le nombre appro­xi­ma­tif de don­nées à carac­tère per­son­nel concernées ;
d. dans la mesu­re du pos­si­ble, les caté­go­ries et le nombre appro­xi­ma­tif de sujets de données ;
e. l’im­pact, y com­pris les ris­ques éven­tuels, sur les per­son­nes con­cer­nées par les données ;
f. les mesu­res qui ont été pri­ses ou qui sont envi­sa­gées pour remé­dier au défaut et atté­nuer l’impact,

y com­pris tout risque ;

g. le nom et les coor­don­nées d’u­ne per­son­ne de contact.

2 Si le con­trô­leur n’est pas en mesu­re de four­nir tou­tes les infor­ma­ti­ons en même temps, il doit four­nir les infor­ma­ti­ons man­quan­tes dès que possible.

3 Si le responsable du trai­te­ment est tenu d’in­for­mer les per­son­nes con­cer­nées, il leur com­mu­ni­que, dans un lan­ga­ge simp­le et com­pré­hen­si­ble, au moins les infor­ma­ti­ons visées au para­gra­phe 1, points a) et e) à g).

4 Le responsable du trai­te­ment doit docu­men­ter les vio­la­ti­ons de la sécu­ri­té des don­nées. La docu­men­ta­ti­on doit con­te­nir tous les faits rela­tifs aux inci­dents, à leurs effets et aux mesu­res pri­ses. La docu­men­ta­ti­on doit être con­ser­vée pen­dant au moins deux ans à comp­ter de la date de noti­fi­ca­ti­on visée au para­gra­phe 1.

Cha­pit­re 3 Droits du sujet des données

Sec­tion 1 Droit d’accès

Art. 16 Modalités

1 Tou­te per­son­ne qui deman­de au responsable du trai­te­ment des infor­ma­ti­ons sur le trai­te­ment de don­nées à carac­tère per­son­nel la con­cer­nant doit le fai­re par écrit. Si le responsable du trai­te­ment y con­sent, la deman­de peut éga­le­ment être for­mulée verbalement.

2 Les infor­ma­ti­ons doi­vent être four­nies par écrit ou sous la for­me sous laquel­le les don­nées sont dis­po­ni­bles. Avec l’ac­cord du responsable du trai­te­ment, le sujet des don­nées peut éga­le­ment exami­ner ses don­nées in situ. Les infor­ma­ti­ons peu­vent être four­nies ver­ba­le­ment si le sujet des don­nées y consent.

3 La deman­de d’in­for­ma­ti­ons et la four­ni­tu­re d’in­for­ma­ti­ons peu­vent être effec­tuées par voie électronique.

4 Les infor­ma­ti­ons doi­vent être four­nies au sujet des don­nées sous une for­me compréhensible.

5 Le responsable du trai­te­ment doit prend­re des mesu­res rai­sonn­ables pour iden­ti­fier le sujet des don­nées. Les per­son­nes con­cer­nées sont tenues de coopérer.

Art. 17 Responsabilités

1 Si plu­sieurs con­trô­leurs trai­tent con­join­te­ment des don­nées à carac­tère per­son­nel, le sujet des don­nées peut fai­re valoir son droit d’ac­cès auprès de chaque contrôleur.

2 Si la deman­de d’in­for­ma­ti­on por­te sur des don­nées trai­tées par un pro­ce­s­seur, le pro­ce­s­seur doit aider le responsable du trai­te­ment à four­nir l’in­for­ma­ti­on, à moins que le pro­ce­s­seur ne répon­de à la deman­de pour le comp­te du responsable du traitement.

Art. 18 Limi­tes de temps

1 Les infor­ma­ti­ons doi­vent être four­nies dans un délai de 30 jours à comp­ter de la récep­ti­on de la deman­de d’informations.

2 Si l’in­for­ma­ti­on ne peut être four­nie dans un délai de 30 jours, le con­trô­leur doit en infor­mer le sujet des don­nées et lui indi­quer la péri­ode au cours de laquel­le l’in­for­ma­ti­on sera fournie.

3 Si le responsable du trai­te­ment refu­se, rest­reint ou refu­se de four­nir les infor­ma­ti­ons, il doit en infor­mer le sujet des don­nées dans le même délai.

Art. 19 Excep­ti­ons à l’exemp­ti­on de frais

1 Le responsable du trai­te­ment peut deman­der au sujet des don­nées le pai­ement d’u­ne part appro­priée des frais si la four­ni­tu­re des infor­ma­ti­ons impli­que un effort disproportionné.

2 La part des frais s’é­lè­ve à un maxi­mum de 300 francs suisses.

3 Le responsable du trai­te­ment doit infor­mer le sujet des don­nées du mon­tant de la part avant que l’in­for­ma­ti­on ne soit four­nie. Si le sujet des don­nées ne con­fir­me pas la deman­de d’in­for­ma­ti­on dans un délai de dix jours, il est répu­té avoir renon­cé à cet­te infor­ma­ti­on sans encour­ir de frais. Le délai pré­vu à l’ar­tic­le 18, para­gra­phe 1, com­mence à cour­ir à l’ex­pi­ra­ti­on de la péri­ode de réfle­xi­on de dix jours.

Sec­tion 2 Droit à la por­ta­bi­li­té des données

Art. 20 Scope of claim

1 Les don­nées à carac­tère per­son­nel que la per­son­ne con­cer­née a com­mu­ni­quées au responsable du trai­te­ment sont répu­tées être des don­nées à carac­tère personnel :

a. les don­nées que le sujet des don­nées met sciem­ment et volon­tai­re­ment à la dis­po­si­ti­on du contrôleur ;
b. les don­nées coll­ec­tées par le con­trô­leur sur le sujet des don­nées et sur son com­porte­ment dans le cad­re de l’uti­li­sa­ti­on d’un ser­vice ou d’un appareil.

2 Don­nées per­son­nel­les géné­rées par le responsable du trai­te­ment par le biais de sa pro­pre éva­lua­ti­on des don­nées per­son­nel­les four­nies, ou
ne sont pas con­sidé­rées com­me des don­nées à carac­tère per­son­nel que le sujet des don­nées a com­mu­ni­quées au contrôleur.

Art. 21 Exi­gen­ces tech­ni­ques pour la mise en œuvre

1 Les for­mats élec­tro­ni­ques com­muns sont ceux qui per­met­tent aux don­nées per­son­nel­les d’êt­re trans­fé­rées avec un
effort rai­sonnable et à être uti­li­sées ulté­ri­eu­re­ment par le sujet des don­nées ou par un aut­re contrôleur.

2 Le droit à la por­ta­bi­li­té des don­nées ne crée pas d’ob­li­ga­ti­on pour le con­trô­leur d’ad­op­ter ou de main­te­nir des systè­mes de trai­te­ment des don­nées tech­ni­quement compatibles.

3 Il exi­ste un effort dis­pro­por­ti­onné pour le trans­fert de don­nées à carac­tère per­son­nel vers un aut­re responsable du trai­te­ment si le trans­fert n’est pas tech­ni­quement possible.

Art. 22 Limi­tes de temps, moda­li­tés et responsabilités

Les artic­les 16(1) et (5), et 17 – 19 s’ap­pli­quent muta­tis mut­an­dis au droit à la por­ta­bi­li­té des données.

Cha­pit­re 4 Dis­po­si­ti­ons spé­cia­les rela­ti­ves au trai­te­ment des don­nées par des per­son­nes privées

Art. 23 Con­seil­ler en matiè­re de pro­tec­tion des données

Le con­trô­leur doit four­nir au con­seil­ler à la pro­tec­tion des données :

a. les res­sour­ces nécessaires ;
b. d’ac­cé­der à tou­tes les infor­ma­ti­ons, à tous les docu­ments, à tous les inven­tai­res des acti­vi­tés de trai­te­ment et à tou­tes les don­nées à carac­tère per­son­nel dont le con­seil­ler à la pro­tec­tion des don­nées a beso­in pour s’ac­quit­ter de ses tâches.
c. le droit d’in­for­mer l’or­ga­ne de gesti­on ou d’ad­mi­ni­stra­ti­on le plus éle­vé dans les cas importants.

Art. 24 Exemp­ti­ons de l’ob­li­ga­ti­on de tenir un inven­tai­re des acti­vi­tés de traitement

Les socié­tés et aut­res orga­ni­sa­ti­ons de droit pri­vé qui emploi­ent moins de 250 per­son­nes au 1er jan­vier de l’an­née, ain­si que les per­son­nes phy­si­ques, sont exemp­tées de l’ob­li­ga­ti­on de tenir un inven­tai­re des acti­vi­tés de trai­te­ment, sauf si l’u­ne des con­di­ti­ons sui­van­tes est remplie :

a. Des don­nées per­son­nel­les sen­si­bles sont trai­tées à gran­de échelle.
b. Un pro­fi­la­ge à haut ris­que est effectué.

Cha­pit­re 5 Dis­po­si­ti­ons spé­cia­les rela­ti­ves au trai­te­ment des don­nées par les orga­nis­mes fédéraux

Sec­tion 1 Con­seil­ler en matiè­re de pro­tec­tion des données

Art. 25 Réunion

Chaque auto­ri­té fédé­ra­le dési­gne un con­seil­ler à la pro­tec­tion des don­nées. Plu­sieurs orga­nes fédé­raux peu­vent dési­gner con­join­te­ment un con­seil­ler à la pro­tec­tion des données.

Art. 26 Exi­gen­ces et obligations

1 Le con­seil­ler en matiè­re de pro­tec­tion des don­nées doit satis­fai­re aux exi­gen­ces suivantes :

a. Le con­seil­ler à la pro­tec­tion des don­nées pos­sè­de les con­nais­sances pro­fes­si­on­nel­les nécessaires.
b. Le con­seil­ler à la pro­tec­tion des don­nées exer­ce ses fonc­tions auprès de l’au­to­ri­té fédé­ra­le de maniè­re pro­fes­si­on­nel­le­ment indé­pen­dan­te et sans être lié par des instructions.

2 Le con­seil­ler à la pro­tec­tion des don­nées doit s’ac­quit­ter des tâches suivantes :

a. Le con­seil­ler à la pro­tec­tion des don­nées assi­ste dans l’ap­pli­ca­ti­on de la régle­men­ta­ti­on rela­ti­ve à la pro­tec­tion des don­nées, en par­ti­cu­lier par :

1. con­trô­ler le trai­te­ment des don­nées à carac­tère per­son­nel et recom­man­der des mesu­res cor­rec­ti­ves en cas de vio­la­ti­on des règles de pro­tec­tion des données ;
2. con­seil­ler le con­trô­leur sur la pré­pa­ra­ti­on de l’éva­lua­ti­on de l’im­pact sur la pro­tec­tion des don­nées et sur l’ex­amen de sa mise en œuvre.
b. Le con­seil­ler à la pro­tec­tion des don­nées sert de point de cont­act pour les per­son­nes con­cer­nées par les données.
c. Le con­seil­ler à la pro­tec­tion des don­nées for­me et con­seil­le les mem­bres du per­son­nel de l’or­ga­ne fédé­ral sur les que­sti­ons de pro­tec­tion des données.

Art. 27 Attri­bu­ti­ons de l’au­to­ri­té fédérale

1 L’au­to­ri­té fédé­ra­le a les obli­ga­ti­ons sui­van­tes à l’é­gard du con­seil­ler à la pro­tec­tion des données :

a. L’au­to­ri­té fédé­ra­le doit don­ner au con­seil­ler à la pro­tec­tion des don­nées l’ac­cès à tou­tes les infor­ma­ti­ons, docu­ments, inven­tai­res des acti­vi­tés de trai­te­ment et don­nées à carac­tère per­son­nel dont le con­seil­ler à la pro­tec­tion des don­nées a beso­in pour exer­cer ses fonctions.
b. L’au­to­ri­té fédé­ra­le veil­le à ce que le con­seil­ler à la pro­tec­tion des don­nées soit infor­mé de tou­te vio­la­ti­on de la sécu­ri­té des données.

2 L’au­to­ri­té fédé­ra­le publie sur Inter­net les coor­don­nées du con­seil­ler à la pro­tec­tion des don­nées et les com­mu­ni­que au FDPIC.

Art. 28 Point de cont­act du FDPIC

Le con­seil­ler à la pro­tec­tion des don­nées sert de point de cont­act pour le FDPIC pour les que­sti­ons rela­ti­ves au trai­te­ment des don­nées à carac­tère per­son­nel par l’or­ga­ne fédé­ral concerné.

Sec­tion 2 Droits à l’information

Art. 29 Obli­ga­ti­on d’in­for­ma­ti­on lors de la divul­ga­ti­on de don­nées à carac­tère personnel

L’au­to­ri­té fédé­ra­le responsable doit infor­mer le desti­na­tai­re de l’ac­tua­li­té, de la fia­bi­li­té et de l’ex­haus­ti­vi­té des don­nées à carac­tère per­son­nel qu’el­le divul­gue, pour autant que ces infor­ma­ti­ons ne res­sortent pas des don­nées elles-mêmes ou des circonstances.

Art. 30 Duty of infor­ma­ti­on in the case of syste­ma­tic coll­ec­tion of per­so­nal data

Lorsqu’u­ne auto­ri­té fédé­ra­le coll­ec­te sys­té­ma­ti­quement des don­nées à carac­tère per­son­nel, l’au­to­ri­té fédé­ra­le responsable doit infor­mer en con­sé­quence les sujets de don­nées qui ne sont pas tenus de four­nir des informations.

Sec­tion 3 Noti­fi­ca­ti­on à la FDPIC de pro­jets impli­quant le trai­te­ment auto­ma­ti­sé de don­nées à carac­tère personnel

Art. 31

1 L’au­to­ri­té fédé­ra­le responsable doit noti­fier au FDPIC les acti­vi­tés de trai­te­ment auto­ma­ti­sé pré­vues à
la date de la décis­i­on sur le déve­lo­p­pe­ment du pro­jet ou de l’ap­pro­ba­ti­on du projet.

2 La noti­fi­ca­ti­on doit inclu­re les infor­ma­ti­ons spé­ci­fi­ées à l’ar­tic­le 12(2)(a‑d) du FADP et les infor­ma­ti­ons atten­dues de la part de la per­son­ne con­cer­née.
date de début des acti­vi­tés de traitement.

3 Le FDPIC doit inclu­re cet­te noti­fi­ca­ti­on dans son regist­re des acti­vi­tés de traitement.

4 L’au­to­ri­té com­pé­ten­te doit mett­re à jour la noti­fi­ca­ti­on au moment du pas­sa­ge à la pro­duc­tion.
ou lorsque le pro­jet est interrompu.

Sec­tion 4 Pro­jets pilotes

Art. 32 Indis­pensa­bi­li­té du pro­jet pilote

Un pro­jet pilo­te est indis­pensable si l’u­ne des con­di­ti­ons sui­van­tes est remplie :

a. L’ac­com­plis­se­ment d’u­ne tâche requiert des inno­va­tions tech­ni­ques, dont les effets doi­vent d’a­bord être évalués.
b. L’ac­com­plis­se­ment d’u­ne tâche requiert des mesu­res orga­ni­sa­ti­on­nel­les ou tech­ni­ques importan­tes, dont l’ef­fi­ca­ci­té doit d’a­bord être éva­luée, en par­ti­cu­lier dans le cas d’u­ne coopé­ra­ti­on ent­re les orga­nes fédé­raux et cantonaux.
c. L’ac­com­plis­se­ment d’u­ne tâche requiert que les don­nées à carac­tère per­son­nel soi­ent acce­s­si­bles dans le cad­re d’u­ne pro­cé­du­re de récupération.

Art. 33 Pro­cé­du­re d’au­to­ri­sa­ti­on du pro­jet pilote

1 Avant de con­sul­ter les unités admi­ni­stra­ti­ves inté­res­sées, l’or­ga­ne fédé­ral responsable du pro­jet pilo­te doit com­mu­ni­quer sur la maniè­re dont il entend se con­for­mer aux exi­gen­ces de l’ar­tic­le 35 FADP et invi­ter le FDPIC à for­mu­ler des com­men­tai­res à ce sujet.

2 Le FDPIC doit se pro­non­cer sur la que­sti­on de savoir si les con­di­ti­ons d’au­to­ri­sa­ti­on visées à l’ar­tic­le 35 du FADP sont rem­plies. L’or­ga­nis­me fédé­ral lui four­nit tous les docu­ments néces­saires, et en particulier

a. une descrip­ti­on géné­ra­le du pro­jet pilote ;
b. un rap­port qui prouve que l’ac­com­plis­se­ment des tâches pré­vues par la loi requiert un traitement

con­for­mé­ment à l’ar­tic­le 34(2) du FADP et qu’u­ne pha­se de test est indis­pensable avant qu’u­ne loi for­mel­le n’ent­re en vigueur ;

c. une descrip­ti­on de l’or­ga­ni­sa­ti­on inter­ne ain­si que des pro­cé­du­res de trai­te­ment et de con­trô­le des données ;
d. une descrip­ti­on des mesu­res de sécu­ri­té et de pro­tec­tion des données ;
e. le pro­jet ou l’é­bau­che d’u­ne ordon­nan­ce réglant les détails du traitement ;
f. la pla­ni­fi­ca­ti­on des dif­fé­ren­tes pha­ses du pro­jet pilote.

4 L’or­ga­ne fédé­ral doit infor­mer le FDPIC de tou­te modi­fi­ca­ti­on importan­te con­cer­nant le respect des exi­gen­ces de l’ar­tic­le 35 FADP. Si néces­saire, le FDPIC exprime à nou­veau son point de vue à ce sujet.

5 L’a­vis du FDPIC doit être inclus dans la deman­de au Con­seil fédéral.

6 Le trai­te­ment auto­ma­ti­sé des don­nées est régle­men­té par une ordonnance.

Art. 34 Rap­port d’évaluation

1 L’au­to­ri­té fédé­ra­le com­pé­ten­te sou­met le pro­jet de rap­port d’éva­lua­ti­on au Con­seil fédé­ral pour com­men­tai­re au FDPIC.

2 L’or­ga­ne fédé­ral com­pé­tent doit sou­mett­re le rap­port d’éva­lua­ti­on, avec l’a­vis du FDPIC, au Con­seil fédéral.

Sec­tion 5 Trai­te­ment des don­nées pour la recher­che, la pla­ni­fi­ca­ti­on et les statistiques

Art. 35

Si des don­nées à carac­tère per­son­nel sont trai­tées à des fins qui ne sont pas liées à des per­son­nes spé­ci­fi­ques, notam­ment à des fins de recher­che, de pla­ni­fi­ca­ti­on et de sta­ti­sti­ques, et en même temps à d’aut­res fins, les excep­ti­ons pré­vues à l’ar­tic­le 39(2) du FADP ne s’ap­pli­quent qu’au trai­te­ment à des fins qui ne sont pas liées à des per­son­nes spécifiques.

Cha­pit­re 6 Com­mis­saire fédé­ral à la pro­tec­tion des don­nées et à l’information

Art. 36 Siè­ge et secré­ta­ri­at permanent

1 Les siè­ges soci­aux du FDPIC sont situés à Berne.

2 L’em­ploi des mem­bres du secré­ta­ri­at per­ma­nent du FDPIC est régi par la loi fédé­ra­le sur le per­son­nel. Les sala­riés sont assu­rés auprès de la Caisse fédé­ra­le de retrai­te dans le cad­re du régime de retrai­te fédéral.

Art. 37 Canal de communication

1 Le PRDF com­mu­ni­que avec le Con­seil fédé­ral par l’in­ter­mé­di­ai­re du Chan­ce­lier fédé­ral. Le Chan­ce­lier fédé­ral trans­met au Con­seil fédé­ral tou­tes les pro­po­si­ti­ons, opi­ni­ons et rap­ports du PRDF, sans les modifier.

2 Le FDPIC sou­met des rap­ports à l’As­sem­blée fédé­ra­le via les Ser­vices parlementaires.

Art. 38 Noti­fi­ca­ti­on des décis­i­ons, des lignes direc­tri­ces et des projets

1 Les dépar­te­ments et le Chan­ce­lier fédé­ral infor­ment le FDPIC de leurs décis­i­ons en matiè­re de pro­tec­tion des don­nées ain­si que de leurs direc­ti­ves en la matiè­re, sous une for­me anonyme.

2 Les orga­nes fédé­raux doi­vent sou­mett­re au FDPIC tout pro­jet de légis­la­ti­on rela­tif au trai­te­ment des don­nées per­son­nel­les, à la pro­tec­tion des don­nées ou à l’ac­cès aux docu­ments officiels.

Art. 39 Trai­te­ment des don­nées à carac­tère personnel

Le FDPIC peut trai­ter des don­nées per­son­nel­les, y com­pris des don­nées per­son­nel­les sen­si­bles, en par­ti­cu­lier pour les rai­sons suivantes :

a. pour exer­cer ses acti­vi­tés de surveillance ;
b. pour mener à bien ses acti­vi­tés de conseil ;
c. à coopé­rer avec les auto­ri­tés fédé­ra­les, can­to­na­les et étrangères ;
d. à effec­tuer des tâches dans le cad­re des dis­po­si­ti­ons péna­les pré­vues par le FADP ;
e. de mener des pro­cé­du­res de média­ti­on et de for­mu­ler des recom­man­da­ti­ons con­for­mé­ment à la loi sur la liber­té de l’in­for­ma­ti­on du 17 décembre 2004 ;
f. de pro­cé­der à des éva­lua­tions con­for­mé­ment au FoIA ;
g. à mett­re en œuvre des pro­cé­du­res d’ac­cès aux docu­ments offi­ci­els con­for­mé­ment à la loi FoIA ;
h. à infor­mer le con­trô­le parlementaire ;
i. pour infor­mer le public ;
j. pour mener à bien ses acti­vi­tés de formation.

Art. 40 Autorégulation

Le CLIP éla­bo­re une poli­tique de trai­te­ment pour tou­tes les acti­vi­tés de trai­te­ment auto­ma­ti­sé. L’ar­tic­le 6, para­gra­phe 1, ne s’ap­pli­que pas.

Art. 41 Coopé­ra­ti­on avec le NCSC

1 Le FDPIC peut trans­mett­re la noti­fi­ca­ti­on d’u­ne vio­la­ti­on de la sécu­ri­té des don­nées au Cent­re natio­nal de cyber­sé­cu­ri­té (NCSC) pour ana­ly­se de l’in­ci­dent avec le con­sen­te­ment du con­trô­leur qui est sou­mis à l’ob­li­ga­ti­on de noti­fi­ca­ti­on. La noti­fi­ca­ti­on peut con­te­nir des don­nées à carac­tère personnel.

2 Le FDPIC doit invi­ter le NCSC à pré­sen­ter ses obser­va­tions avant d’or­don­ner à l’or­ga­ne fédé­ral de prend­re les mesu­res pré­vues à l’ar­tic­le 8 du FADP.

Art. 42 Regist­re des acti­vi­tés de trai­te­ment des orga­nes fédéraux

1 Le regist­re des acti­vi­tés de trai­te­ment des orga­nes fédé­raux con­ti­ent les infor­ma­ti­ons four­nies par les orga­nes fédé­raux con­for­mé­ment à l’ar­tic­le 12(2) du FADP et à l’ar­tic­le 31(2) de la pré­sen­te ordonnance.

2 Le regist­re est publié sur l’in­ter­net. Les inscrip­ti­ons au regist­re con­cer­nant des acti­vi­tés de trai­te­ment auto­ma­ti­sé pré­vues con­for­mé­ment à l’ar­tic­le 31 ne sont pas publiées.

Art. 43 Codes de conduite

Si un code de con­duite est sou­mis au FDPIC, celui-ci doit indi­quer, selon son avis, si le code de con­duite est con­for­me aux exi­gen­ces de l’ar­tic­le 22(5)(a) et (b) du FADP.

Art. 44 Frais

1 Les frais fac­tu­rés par le FDPIC sont basés sur le temps passé.

2 Un tarif horai­re de 150 à 250 francs sui­s­ses est appli­qué, en fonc­tion de la fonc­tion du per­son­nel exé­cutant la tâche.

3 Dans le cas de ser­vices d’u­ne ampleur, d’u­ne dif­fi­cul­té ou d’u­ne urgence excep­ti­on­nel­les, des sur­ta­xes allant jus­qu’à 50 % des rede­van­ces visées au para­gra­phe 2 peu­vent être prélevées.

4 Si le ser­vice four­ni par le FDPIC peut être uti­li­sé ulté­ri­eu­re­ment à des fins com­mer­cia­les par la per­son­ne qui est
obli­gée de payer les frais, des surchar­ges pou­vant att­eind­re 100 % des frais visés au para­gra­phe 2 peu­vent être prélevées.

5 A tous les aut­res égards, l’or­don­nan­ce géné­ra­le sur les taxes du 8 sep­tembre 2004 s’applique.

Cha­pit­re 7 Pro­vi­si­ons finales

Art. 45 Répé­ti­ti­on et modi­fi­ca­ti­ons d’aut­res législations

Le rap­pel et les modi­fi­ca­ti­ons d’aut­res légis­la­ti­ons figu­rent à l’an­ne­xe 2.

Art. 46 Dis­po­si­ti­ons transitoires

1 Pour les acti­vi­tés de trai­te­ment de don­nées qui ne relè­vent pas du champ d’ap­pli­ca­ti­on de la direc­ti­ve (UE) 2016/680, l’ar­tic­le 4(2) s’ap­pli­que au plus tard trois ans après l’en­trée en vigueur de la pré­sen­te ordon­nan­ce ou au plus tard à la fin du cycle de vie du système. Dans l’in­ter­val­le, ces acti­vi­tés de trai­te­ment sont sou­mi­ses à l’ar­tic­le 4, para­gra­phe 1.

2 L’ar­tic­le 8, para­gra­phe 5, ne s’ap­pli­que pas aux éva­lua­tions effec­tuées avant l’en­trée en vigueur de la pré­sen­te ordonnance.

3 L’ar­tic­le 31 ne s’ap­pli­que pas aux acti­vi­tés de trai­te­ment auto­ma­ti­sé pré­vues pour les­quel­les, à la date d’en­trée en vigueur de la pré­sen­te ordon­nan­ce, le pro­jet a déjà été approu­vé ou la décis­i­on rela­ti­ve au déve­lo­p­pe­ment du pro­jet a déjà été prise.

Art. 47 Entrée en vigueur

La pré­sen­te ordon­nan­ce ent­re en vigueur le 1er sep­tembre 2023.

Anne­xe 1

(Artic­le 8(1))

États, ter­ri­toires, sec­teurs spé­ci­fi­ques dans un État et

les orga­nis­mes inter­na­ti­on­aux ayant un niveau de pro­tec­tion des don­nées adéquat

1. l’Al­le­ma­gne*
2. Andor­re *
3. Argen­ti­ne *
4. Austria*
5. le belgium*
6. Bul­ga­ria *
7. Cana­da *

Un niveau adé­quat de pro­tec­tion des don­nées est assu­ré lorsque la loi fédé­ra­le cana­di­en­ne sur la pro­tec­tion des rens­eig­ne­ments per­son­nels et les docu­ments élec­tro­ni­ques du 13 avril 2000 (Per­so­nal Infor­ma­ti­on Pro­tec­tion and Elec­tro­nic Docu­ments Act) s’ap­pli­que dans la sphè­re pri­vée ou lorsqu’u­ne loi pro­vin­cia­le cana­di­en­ne lar­ge­ment équi­va­len­te à la loi fédé­ra­le s’ap­pli­que. La loi fédé­ra­le s’ap­pli­que aux don­nées à carac­tère per­son­nel qui sont coll­ec­tées, trai­tées ou divul­guées dans le cad­re d’ac­ti­vi­tés com­mer­cia­les, que ce soit par des orga­ni­sa­ti­ons tel­les que des asso­cia­ti­ons, des par­ten­ari­ats, des indi­vi­dus et des syn­di­cats ou des enti­tés régle­men­tées par le gou­ver­ne­ment fédé­ral tel­les que des instal­la­ti­ons, des usi­nes, des ent­re­pri­ses ou des acti­vi­tés com­mer­cia­les qui relè­vent de la com­pé­tence légis­la­ti­ve du Par­le­ment cana­di­en. Les pro­vin­ces du Qué­bec, de la Colom­bie-Bri­tan­ni­que et de l’Al­ber­ta ont adop­té une légis­la­ti­on lar­ge­ment équi­va­len­te à la légis­la­ti­on fédé­ra­le. Les pro­vin­ces de l’On­ta­rio, du Nou­veau-Bruns­wick, de Terre-Neuve-et-Labra­dor et de la Nou­vel­le-Écos­se ont adop­té une légis­la­ti­on lar­ge­ment équi­va­len­te à la légis­la­ti­on fédé­ra­le en ce qui con­cer­ne les don­nées rela­ti­ves à la san­té. Dans tou­tes les pro­vin­ces cana­di­en­nes, la loi fédé­ra­le s’ap­pli­que à tou­tes les don­nées à carac­tère per­son­nel coll­ec­tées, trai­tées ou divul­guées par des enti­tés régle­men­tées par le gou­ver­ne­ment fédé­ral, y com­pris les don­nées des employés de ces enti­tés. La loi fédé­ra­le s’ap­pli­que éga­le­ment aux don­nées à carac­tère per­son­nel trans­fé­rées vers une aut­re pro­vin­ce ou un aut­re pays dans le cad­re d’ac­ti­vi­tés commerciales.

8. Chyp­re *
9. Croa­tia *
10. Den­mark*
11. Spain*
12. Esto­nia*
13. Fin­land*
14. France*
15. Gibral­tar *
16. Greece*
17. Guer­ne­sey *
18. Hun­ga­ry*
19. île de Man *
20. îles Faroe *
21. Ire­land *
22. Islan­de*
23. Israël *
24. Ita­ly*
25. jer­sey *
26. Lat­via*
27 Liech­ten­stein*
28. Lithua­nia*
29 Luxem­bourg*
30e Mal­te*
31 Mona­co *
32. Nor­way*
33. Nou­vel­le-Zélan­de *
34. Net­her­lands*
35. Pol­and*
36. Por­tu­gal*
37e Répu­bli­que tchèque*
38. Roma­nia *
39. Royau­me-Uni
40. Slo­va­kia*
41. Slove­nia*
42. Swe­den*
43. Uru­gu­ay *

L’éva­lua­ti­on de l’a­dé­qua­ti­on de la pro­tec­tion des don­nées inclut la divul­ga­ti­on des don­nées à carac­tère per­son­nel con­for­mé­ment à la direc­ti­ve (UE) 2016/680.

L’éva­lua­ti­on de l’a­dé­qua­ti­on de la pro­tec­tion des don­nées inclut la divul­ga­ti­on des don­nées per­son­nel­les con­for­mé­ment à une décis­i­on de mise en œuvre de la Com­mis­si­on euro­pé­en­ne déter­mi­nant l’a­dé­qua­ti­on de la pro­tec­tion des don­nées en ver­tu de la direc­ti­ve (UE) 2016/680.

L’éva­lua­ti­on de l’a­dé­qua­ti­on de la pro­tec­tion des don­nées n’in­clut pas la divul­ga­ti­on de don­nées à carac­tère per­son­nel dans le cad­re de la coopé­ra­ti­on pré­vue par la direc­ti­ve (UE) 2016/680.

Tous droits réservés