Règlement sur la protection des données (DSV)
Les articles sont accompagnés du texte correspondant du Rapport explicatif sans indication des numéros de page et des explications générales du rapport.
| replier
Rapport explicatif
Les garde-fous pour garantir la sécurité des données sont déjà normalisés dans la loi. Selon l’article 8, 1er alinéa, nLPD, le responsable du traitement et le sous-traitant sont tenus de garantir, par des mesures techniques et organisationnelles appropriées, une sécurité des données adaptée aux risques. Selon l’alinéa 2, ces mesures doivent permettre d’éviter toute violation de la sécurité des données. L’al. 3 charge le Conseil fédéral de préciser par voie d’ordonnance les exigences minimales en matière de sécurité des données.
Avec les dispositions sur la sécurité des données, le Conseil fédéral remplit le mandat légal selon l’article 8, alinéa 3 nLPD. La norme pénale de l’article 61, lettre c, nLPD se rattache en outre à ces exigences minimales. Le degré de sécurité qui doit être respecté pour que la norme pénale ne soit pas enfreinte est déterminé par les principes et les critères du présent paragraphe. Selon l’article 61, lettre c, nLPD, la punissabilité n’existe qu’en cas d’infraction intentionnelle. Cela suppose que le responsable ne respecte pas, sciemment et volontairement, les exigences minimales en matière de sécurité des données. Ainsi, par exemple, serait punissable celui qui omettrait d’installer un logiciel antivirus tout en sachant (ou du moins en acceptant) qu’il prendrait ainsi des mesures insuffisantes pour respecter les exigences minimales en matière de sécurité des données.
Étant donné que la loi suit déjà l’approche d’une sécurité des données basée sur les risques et qu’il n’est pas possible de définir des exigences minimales de portée générale pour tous les secteurs, l’art. a renoncé à un régime rigide d’exigences minimales. L’approche de l’art. repose plutôt sur le fait qu’il est en premier lieu de la responsabilité du responsable de déterminer et de prendre les mesures nécessaires dans chaque cas particulier. Celles-ci doivent être déterminées au cas par cas et en fonction du risque respectif. Ainsi, dans un hôpital, où des données personnelles sensibles sont régulièrement traitées, les exigences sont généralement plus élevées que pour le traitement de données de clients ou de fournisseurs dans une boulangerie ou une boucherie. L’art. contient donc notamment les lignes directrices pour la détermination des mesures à prendre (art. 1, 2 et 3 art.). Cela permet de garantir la flexibilité nécessaire compte tenu de la diversité des cas de figure possibles et d’éviter une surréglementation, notamment pour les entreprises dont le traitement des données est minime et présente peu de risques.
Contrairement au RGPD, le droit suisse ne connaît pas d’obligation générale de rendre compte (“accountability”). Toutefois, le droit suisse contient déjà dans le droit en vigueur des mesures permettant de satisfaire à l’obligation de rendre compte ou à l’obligation d’être “accountability” : la journalisation (art. 4) et le règlement de traitement (art. 5, 6). Ces deux mesures sont reprises dans l’art. Elles sont déterminantes pour que le droit suisse puisse garantir un niveau de protection adéquat par rapport au droit de l’UE. En outre, la directive (UE) 2016/680 exige la journalisation. Ces deux mesures constituent des exigences minimales en matière de sécurité des données au sens de l’article 8, alinéa 3 nLPD. Le Conseil fédéral suit ici aussi une approche basée sur les risques : plus le risque pour les droits de la personnalité et les droits fondamentaux de l’individu est élevé, plus les exigences sont élevées.
Selon le droit en vigueur, les exigences minimales en matière de sécurité des données sont régies par les articles 8 à 12 et 20 à 21 de l’OLPD. Le Conseil fédéral a décidé de s’en tenir au standard en vigueur en matière de sécurité des données. Les exigences matérielles sont donc en principe reprises telles quelles. Des adaptations ne seront apportées que si cela semble indiqué en raison de la numérisation ou du progrès technique, des prescriptions de la loi révisée ou de la directive (UE) 2016/680 déterminante pour la Suisse, notamment ses articles 25 et 29. En outre, le Conseil fédéral s’est également inspiré du règlement (UE) 2016/679 pour que les entreprises suisses actives dans l’UE et qui garantissent une sécurité des données conforme au RGPD puissent également partir du principe qu’elles remplissent les exigences minimales en Suisse.
D’un point de vue systématique, la sécurité des données est désormais normée dans une section spécialement prévue à cet effet. Dans l’OLPD actuelle, la sécurité des données est réglée séparément pour les personnes privées et les organes fédéraux ; pour des raisons de clarté et de lisibilité, les dispositions sont désormais réunies. Lorsque des dispositions différentes s’appliquent aux particuliers et aux organes fédéraux, elles sont réglées dans des articles ou des paragraphes distincts.
2 Le besoin de protection des données personnelles est évalué selon les critères suivants :
3 Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué selon les critères suivants :
4 Lors de la définition des mesures techniques et organisationnelles, les critères suivants sont en outre pris en compte :
Rapport explicatif
L’art. 1 Art. règle les principes qui doivent être respectés lors de la détermination des mesures. Il reprend pour l’essentiel le concept réglementaire de l’art. 8, al. 2 et 3, OLPD, tout en réglant certains aspects de manière plus précise. L’art. 8, al. 1, OLPD a par contre été supprimé, car les objectifs visant à garantir la sécurité des données relèvent désormais du niveau de la loi. L’art. 8, al. 2, nLPD stipule notamment que les mesures de sécurité des données doivent permettre d’éviter les violations de la sécurité des données. Selon l’article 5, lettre h, nLPD, il y a violation de la sécurité des données lorsque des données personnelles sont accidentellement ou illicitement perdues, effacées, détruites ou modifiées ou qu’elles sont divulguées ou rendues accessibles à des personnes non autorisées. On peut en déduire les objectifs traditionnels de protection informatique que sont la confidentialité, l’intégrité, la disponibilité et la traçabilité.
Conformément à l’article 8, 1er alinéa, nLPD, le responsable du traitement et le sous-traitant doivent garantir une sécurité des données adaptée au risque. L’article 1, art. reprend cet objectif de protection dans un nouvel alinéa 1. En outre, différents critères sont fixés pour évaluer le besoin de protection (al. 2) ainsi que pour évaluer le risque pour la personnalité ou les droits fondamentaux de la personne concernée (al. 3). L’al. 4 précise que d’autres critères peuvent être pris en compte lors de la définition des mesures techniques et organisationnelles nécessaires pour garantir une sécurité adéquate des données (al. 4). La liste des critères s’inspire du droit en vigueur.
L’art. 1, al. 2, art. reprend le contenu de l’art. 8, al. 2, let. a et b, OLPD et le complète afin de réglementer l’analyse des besoins de protection. Le besoin de protection est évalué sur la base du type de données traitées ainsi que de la finalité, du type, de l’étendue et des circonstances du traitement des données. Il s’agit notamment du niveau de protection à assurer au vu du risque pour la personnalité et les droits fondamentaux des personnes concernées. Plus le besoin de protection est élevé, plus les exigences relatives aux mesures sont strictes. Lors de l’évaluation du besoin de protection, les critères suivants devraient être pris en compte :
Le type de données traitées (let. a) : il est par exemple déterminant de savoir si des données personnelles sensibles (art. 5 let. c nLPD) sont traitées.
la finalité, le type, l’étendue et les circonstances du traitement des données (let. b) : la finalité se rapporte au but du traitement et, en particulier, à l’examen de la question de savoir si le but du traitement entraîne un risque accru pour les droits de la personnalité et les droits fondamentaux ; en ce qui concerne le type de traitement, il est intéressant de savoir comment les données sont traitées. Le besoin de protection peut par exemple être plus élevé en cas de décision entièrement automatisée (utilisation d’une intelligence artificielle) ; l’ampleur du traitement est notamment liée au nombre de personnes concernées par le traitement (par exemple lorsque de grandes quantités de données sont traitées ou que de vastes zones publiques sont systématiquement surveillées). En cas d’utilisation d’un nuage informatique, le besoin de protection peut être plus élevé que lorsque les données sont stockées sur un serveur interne sans possibilité d’accès externe. La let. b a été complétée par l’expression “circonstances” du traitement des données, conformément à l’art. 22, al. 2, nLPD. Il s’agit d’aspects qui peuvent revêtir une importance particulière dans un cas d’espèce, car ils ont des répercussions sur les autres critères. Il est ainsi possible d’inclure des critères qui n’entreraient pas dans la définition des critères déjà mentionnés.
L’art. 1, al. 3, art. 8, al. 2, let. c, OLPD est repris et précisé. Cette disposition introduit l’évaluation du risque d’atteinte à la personnalité ou aux droits fondamentaux de la personne concernée. Comme dans l’alinéa précédent, un certain nombre de critères sont définis. L’alinéa est reformulé afin qu’il apparaisse clairement que les causes du risque (let. a), les principaux dangers (let. b), les mesures prises ou prévues pour réduire le risque (let. c) ainsi que la probabilité et la gravité d’une violation de la sécurité des données (let. d) sont déterminants. Il s’agit ici d’une évaluation selon un système en cascade : le résultat de l’évaluation selon un critère est déterminant pour la suite de l’évaluation du risque. Vous trouverez ici des explications plus détaillées sur les différents points :
Les causes du risque (let. a) : il doit être possible de déterminer quelles personnes (par exemple un responsable informatique, un utilisateur, un concurrent) ou quels événements (par exemple un incendie, un virus informatique) pourraient être à l’origine du risque.
les principaux dangers (let. b) : ce critère permet d’identifier les menaces susceptibles d’entraîner des violations de la sécurité des données (données perdues, endommagées, modifiées, utilisées de manière inappropriée ou frauduleuse, etc.)
Les mesures prises ou adoptées pour réduire le risque (let. c) : les différentes mesures techniques et organisationnelles qui peuvent être prévues ou adoptées pour réduire le risque sont précisées à l’article 3 Art.
la probabilité et la gravité d’une violation de la sécurité des données malgré les mesures prises ou prévues (let. d) : il faut déterminer les conséquences potentielles pour les personnes concernées, par exemple si des personnes accèdent illégalement à des données (et les divulguent), les modifient (ce qui conduit à des informations erronées sur la personne concernée) ou les effacent (ce qui risque de leur faire perdre des données nécessaires ; on peut penser ici par exemple à un dossier de patient dans lequel certaines données ont été détruites, ce qui empêche un traitement médical approprié). Le principe est le suivant : plus la probabilité d’une violation de la sécurité des données est élevée et plus les conséquences pour les personnes concernées sont importantes, plus les exigences en matière de mesures sont élevées. Il convient de préciser ici que toute violation de la sécurité des données au sens de l’article 5, lettre h nLPD ne constitue pas forcément une violation des exigences minimales au sens de l’article 8, alinéa 3 nLPD et donc une violation du devoir de diligence au sens de l’article 61, lettre c nLPD. Une sécurité absolue ne peut et ne doit pas être exigée. On peut notamment imaginer que le responsable a pris toutes les mesures appropriées, mais qu’une violation de la sécurité des données se produit malgré tout, notamment parce que le risque résiduel s’est réalisé. Celui-ci ne peut pas être imputé au responsable. Il convient plutôt d’examiner, dans le cadre des exigences minimales, si le responsable et le sous-traitant ont pris les mesures appropriées pour garantir la sécurité des données, compte tenu de la situation concrète, et ce indépendamment du fait qu’une violation de la sécurité des données se produise ou non.
Sur le modèle de l’art. 8, al. 2, let. d, OLPD, l’art. 1, al. 4, Art. introduit encore d’autres critères qui peuvent être pris en compte lors de la détermination des mesures techniques et organisationnelles visant à garantir une sécurité appropriée des données. Le terme “détermination” englobe l’ ”évaluation” et la “décision” (la version française utilise le terme “détermination”). Les critères sont les suivants : l’état de la technique (let. a) et les coûts de mise en œuvre (let. b). Ces critères n’indiquent qu’indirectement si des mesures doivent être prises et si les mesures à prendre sont appropriées.
Etat de la technique (let. a) : les mesures doivent être déterminées et, le cas échéant, adaptées en tenant compte de l’état de la technique (connaissances techniques et scientifiques). L’état de la technique signifie la prise en compte de l’état actuel. Il suffit donc de prendre des mesures qui sont déjà disponibles et qui ont fait leurs preuves en conséquence. En revanche, il n’est pas possible d’exiger l’utilisation de toutes nouvelles techniques inexplorées ou encore en cours de développement.
Coûts de mise en œuvre (let. b) : le terme “coûts” doit être compris au sens large. Il ne se limite pas aux coûts financiers, mais comprend également les ressources en personnel et en temps nécessaires. Cette terminologie correspond à celle du droit européen (directive [UE] 2016/680 et RGPD). Comme il ressort du “Commentaire de l’Office fédéral de la justice concernant l’ordonnance d’exécution du 14 juin 1993 (état au 1er janvier 2008) relative à la loi fédérale sur la protection des données (OLPD, RS 235.11)” (ch. 6.1.1), les coûts de mise en œuvre sont également un critère d’évaluation de l’adéquation des mesures selon le droit en vigueur. Il convient toutefois de se baser en premier lieu sur les mesures techniques et organisationnelles nécessaires au regard des critères énoncés aux lettres a à c. Les responsables du traitement et les sous-traitants ne peuvent notamment pas se dispenser de l’obligation d’assurer une sécurité adéquate des données au motif que cela entraînerait des coûts excessifs ; ils doivent en tout cas être en mesure d’assurer une sécurité adéquate des données. On ne peut pas non plus argumenter qu’en l’absence de concept lors du développement, les coûts d’implémentation pour mettre en œuvre la sécurité des données après la mise en service s’avèrent trop élevés. Pour les applications patrimoniales (anciennes applications), il faut plutôt inclure le temps prévu jusqu’au remplacement (cycle de vie). Le critère des coûts peut toutefois signifier qu’en présence de plusieurs mesures disponibles pour garantir un niveau de protection des données toujours adéquat, la variante la moins coûteuse peut être privilégiée.
Différentes mesures peuvent être envisagées pour garantir la sécurité des données. Trois mesures sont mentionnées ici à titre d’exemple :
l’anonymisation, la pseudonymisation et le cryptage des données personnelles : L’anonymisation contribue notamment à réduire les éventuelles conséquences négatives pour les personnes concernées, qui pourraient par exemple résulter d’une divulgation non autorisée de données personnelles. En cas d’anonymisation, la LPD ne s’applique pas, conformément à son champ d’application.
Procédures d’identification, d’évaluation des risques et de vérification de l’adéquation des mesures prises : A partir d’un certain niveau de risque, il sera souvent utile, voire nécessaire, de mettre en place des procédures et des processus standardisés qui permettent non seulement de vérifier régulièrement les risques et l’adéquation des mesures prises, mais aussi de les apprécier et de les évaluer. De telles mesures sont particulièrement importantes pour les systèmes automatisés. Elles contribuent à garantir durablement la sécurité des données et à en faciliter la preuve.
la formation et le conseil des personnes chargées de la mise en œuvre : Cette mesure est importante du point de vue du Conseil fédéral, car la mise en œuvre et l’efficacité de la sécurité des données dépendent aussi en particulier de l’application des mesures définies par les personnes impliquées. Ainsi, un manque de formation et de conseil peut conduire à une violation de la sécurité des données. Par exemple, les collaborateurs et collaboratrices devraient être informés du risque d’ouverture de logiciels malveillants.
En fin de compte, les circonstances du cas d’espèce restent bien entendu déterminantes pour la détermination des mesures.
Conformément à l’article 1, paragraphe 5, les mesures doivent être réexaminées en permanence et adaptées le cas échéant, comme le prévoit le droit en vigueur. Il convient notamment de vérifier si les mesures sont toujours adaptées au risque et efficaces. Au lieu de “périodiquement”, le réexamen doit désormais se faire “sur toute la durée du traitement”. Le besoin de vérification dépend notamment du niveau de risque pour les droits de la personnalité et les droits fondamentaux des personnes concernées : plus il est élevé, plus les mesures doivent être vérifiées régulièrement. La nouvelle formulation va dans le sens d’un contrôle permanent. Elle laisse toutefois une grande marge d’appréciation au responsable et à la personne chargée du traitement des commandes. Un réexamen peut en outre s’imposer en cas de violation de la sécurité des données ou d’adaptation du traitement des données personnelles. L’article 1, paragraphe 5, précise en outre que non seulement les mesures techniques et organisationnelles doivent être vérifiées pendant toute la durée du traitement, c’est-à-dire pendant tout le “cycle de vie” des données personnelles, mais aussi les besoins de protection et les risques. L’examen du besoin de protection et des risques permet également de vérifier (indirectement) si les mesures techniques et organisationnelles sont appropriées.
Le responsable du traitement et le sous-traitant doivent prendre des mesures techniques et organisationnelles pour que les données traitées soient conformes à leur besoin de protection :
Rapport explicatif
L’art. 2 Art. complète l’art. 1 nLPD en ce qui concerne le but de la loi et concrétise les objectifs visant à garantir une sécurité appropriée des données, qui sont désormais fixés à l’art. 8, al. 2, nLPD. Selon cette disposition, les mesures doivent permettre d’éviter une violation de la sécurité des données. La sécurité absolue est un idéal inatteignable. L’approche basée sur les risques doit permettre d’identifier les risques (art. 1 art.) afin que les mesures soient adaptées aux objectifs et choisies en conséquence. Le responsable du traitement et le sous-traitant doivent déterminer les objectifs et l’étendue de la protection.
La doctrine et la pratique retiennent généralement quatre objectifs de protection, connus en français sous l’acronyme (C.A.I.D.) : la confidentialité (confidentialité), l’authenticité (authentification), l’intégrité (intégrité) et la disponibilité (disponibilité) des données. En s’inspirant de l’art. 32 RGPD et en vue d’une harmonisation avec la loi fédérale sur la sécurité de l’information au sein de la Confédération , qui doit entrer en vigueur prochainement, l’art. 2 doit régler la confidentialité (let. a), la disponibilité (let. b), l’intégrité (let. c) et la traçabilité (let. d).
La confidentialité (let. a) : les données personnelles ne doivent être accessibles qu’aux personnes autorisées. Le cercle des personnes autorisées est déterminé par le contexte du domaine d’activité ainsi que par le contenu et l’importance des données. Il peut être très large ou extrêmement restreint. Par confidentialité, il faut également entendre l’authentification, les méthodes qui y sont liées ainsi que les systèmes de gestion et de restriction d’accès pour garantir la sécurité des données. Enfin, la confidentialité du système et des données doit être garantie.
La disponibilité (let. b) : conformément à cette finalité, le responsable veille à ce que les données puissent être consultées à tout moment. Cette exigence est d’autant plus élevée lorsque les informations doivent être disponibles en permanence pour l’exécution de tâches essentielles, voire légales.
L’intégrité (let. c) : cet objectif garantit l’exactitude des données. Il est particulièrement important lorsque les données sont destinées au public ou doivent être réutilisées. Par intégrité, on entend l’authenticité, l’imputabilité et la non-répudiation des données. Ces termes sont également utilisés dans la pratique ou dans la doctrine à la place de l’intégrité.
La traçabilité (let. d) : sur la base de cet objectif, il est possible d’identifier des accès non autorisés, voire des abus. En outre, la cause d’un incident peut être déterminée. Le responsable veille à l’enregistrement des événements et des traces de données et s’assure que celles-ci ne peuvent pas être modifiées. La traçabilité du traitement peut être importante pour la procédure (preuve) et facilite les contrôles et la surveillance. Dans la pratique, il est également question d’imputabilité et de non-répudiation des données en relation avec les mécanismes de traçabilité.
Sur la base de ces objectifs, des procédures doivent être développées afin de contrôler, d’analyser et d’évaluer régulièrement l’efficacité des mesures prises (art. 1, al. 5, et art. 3, art.).
1 Afin de garantir la confidentialité, le responsable du traitement et le sous-traitant doivent prendre des mesures appropriées pour que :
2 Afin de garantir la disponibilité et l’intégrité, le responsable du traitement et le sous-traitant doivent prendre des mesures appropriées pour que :
3 Afin de garantir la traçabilité, le responsable du traitement et le sous-traitant doivent prendre des mesures appropriées pour que :
Rapport explicatif
L’article 8, 1er alinéa, nLPD exige qu’une sécurité appropriée des données personnelles soit garantie. Compte tenu des résultats de la consultation, l’article 3 prévoit que des mesures organisationnelles et techniques doivent être prises pour atteindre les objectifs de l’article 2. En application du principe de proportionnalité, il convient de déterminer à partir de là les mesures organisationnelles et techniques à prendre au cas par cas. Les responsables et les personnes chargées du traitement des commandes doivent donc examiner quelles mesures appropriées leur permettront d’atteindre les objectifs de protection. Il est tout à fait concevable que chaque objectif de protection ne soit pas pertinent dans tous les cas. Si un objectif de protection n’est pas pertinent dans un cas donné, le responsable et le sous-traitant doivent être en mesure de justifier pourquoi il l’est. La “pertinence” des mesures dépend des circonstances. L’article présente de manière didactique au responsable du traitement et au sous-traitant une série de mesures qui leur permettent d’atteindre les objectifs visés à l’article 2. Une mesure peut d’ailleurs contribuer à la réalisation de différents objectifs.
Cet article est en grande partie une reprise de l’article 9 OLPD : La réglementation figure désormais sous le titre “Mesures techniques et organisationnelles”. Avec l’art. 3, la Suisse met également en œuvre les exigences de l’art. 29 de la directive (UE) 2016/680.
Selon l’article 1, paragraphe 3, point c), art. 1, le responsable du traitement est tenu de prendre des mesures techniques et organisationnelles pour réduire le risque. Dans le texte de l’ordonnance, il est fait référence à des personnes “autorisées” pour plusieurs mesures techniques et organisationnelles. Cela ne suppose pas nécessairement l’intervention directe d’une personne. En effet, cette notion peut également englober les cas où des données personnelles sont traitées dans des applications ou dans un système d’information automatisé.
L’art. 3, al. 1, art. concrétise l’art. 2, al. 1, let. a, art. et mentionne les mesures de confidentialité ; c’est-à-dire les mesures qui doivent garantir le contrôle de l’accès (let. a), le contrôle de l’accès (let. b) ainsi que le contrôle des utilisateurs (let. c).
En premier lieu, la let. a fixe une nouvelle norme pour le contrôle de l’accès. L’objectif de protection a été repris de l’art. 9, al. 1, let. g, OLPD. Il s’agit principalement de déterminer les autorisations d’accès qui règlent le type et l’étendue de l’accès. Ce faisant, il faut veiller à ce que les personnes autorisées n’aient accès qu’aux données personnelles pour lesquelles elles sont habilitées. Les mesures à prendre sont d’ordre organisationnel et technique.
La let. b réglemente le contrôle d’accès prévu à l’art. 9, al. 1, let. a, OLPD. Selon cette disposition, les personnes non autorisées doivent se voir interdire l’accès aux locaux et aux installations dans lesquels des données personnelles sont traitées. L’objectif de protection contient désormais aussi le terme “installations”. Cela doit notamment signifier que l’accès aux installations de traitement mobiles doit également être interdit. Cette notion est très large et englobe tous les appareils de traitement de données personnelles, des serveurs fixes aux ordinateurs, en passant par les téléphones portables ou les tablettes. En raison des progrès techniques, le terme “installation” peut se référer aussi bien à des installations de nature physique que virtuelle. Les mesures possibles sont par exemple des systèmes d’alarme et des armoires de serveurs verrouillables.
La let. c contient le contrôle des utilisateurs réglé à l’art. 9, al. 1, let. f, OLPD. Celui-ci vise à empêcher l’utilisation de systèmes de traitement automatisé de données au moyen d’installations de transmission de données par des personnes non autorisées. Les mesures veillent à ce que les données ne puissent pas être utilisées ou transmises sans autorisation. Les mesures possibles sont par exemple le contrôle régulier des autorisations (par exemple le blocage des autorisations en raison d’un changement de personnel ou d’une nouvelle attribution de tâches) et l’utilisation de logiciels contre les virus ou les logiciels espions, ou encore la sensibilisation du personnel aux méthodes d’hameçonnage.
En ce qui concerne la disponibilité et l’intégrité, l’article 3, paragraphe 2, art. reprend les objectifs de l’article 2, paragraphe 1, lettres b et c, art. Les mesures prises à cet égard doivent garantir le contrôle des supports de données (let. a), du stockage (let. b), du transport (let. c) ainsi que de la récupération (let. d). Les mesures doivent être appropriées pour garantir la disponibilité, la fiabilité et l’intégrité (let. e). Enfin, la sécurité du système doit être maintenue à jour (let. f).
La let. a règle le contrôle des supports de données, qui est actuellement réglementé à l’art. 9, al. 1, let. b, OLPD. Il s’agit d’empêcher les personnes non autorisées de lire, copier, modifier, déplacer, effacer ou détruire des supports de données. Il s’agit notamment d’empêcher que des données personnelles puissent être transférées de manière incontrôlée sur des supports de données (p. ex. disques durs, clés USB). Par support de données, il faut entendre non seulement les supports physiques, mais aussi les services de cloud computing par exemple. Les mesures possibles sont par exemple le cryptage et la destruction en bonne et due forme des supports de données. La lettre correspond à l’exigence de l’article 29, paragraphe 2, point b), de la directive (UE) 2016/680.
La let. b correspond à l’art. 9, al. 1, let. e, OLPD et régit le contrôle de la mémoire. Selon cette mesure, les personnes non autorisées ne doivent pas enregistrer, consulter, modifier, effacer ou détruire des données personnelles dans la mémoire. Il faut empêcher les personnes non autorisées d’accéder au contenu de la mémoire de données, de le consulter, de le modifier ou de l’effacer. Les mesures possibles sont par exemple la définition de droits d’accès différenciés pour les données, les applications et les systèmes d’exploitation et la journalisation des accès aux applications. Cette lettre correspond à l’exigence de l’article 29, paragraphe 2, point c), de la directive (UE) 2016/680.
La let. c régit le contrôle du transport, qui est actuellement réglé à l’art. 9, al. 1, let. c, OLPD. Selon cette disposition, lors de la communication de données personnelles et du transport de supports de données, il faut empêcher que les données puissent être lues, copiées, modifiées, effacées ou détruites de manière non autorisée. Le responsable et le sous-traitant doivent veiller à ce que le destinataire désigné reçoive les données dans leur forme originale et qu’aucun tiers ne puisse intercepter les données sans autorisation. Les données personnelles sensibles, en particulier, posent des exigences accrues en matière de mesures. Le cryptage des données ou des supports de données entre par exemple en ligne de compte.
La let. d porte sur la possibilité de rétablir la disponibilité des données personnelles et l’accès à celles-ci après un incident physique ou technique. Elle a été ajoutée au catalogue sur le modèle de l’article 32, paragraphe 1, point c), du règlement (UE) 2016/679 et correspond à l’exigence de l’article 29, paragraphe 2, point i), de la directive (UE) 2016/680. L’élaboration et l’application d’un concept de sauvegarde constituent une mesure possible.
La let. e dispose que toutes les fonctions du système de traitement automatisé des données doivent être disponibles (disponibilité), que les dysfonctionnements éventuels doivent être signalés (fiabilité) et que les données personnelles enregistrées ne doivent pas être endommagées par un dysfonctionnement du système (intégrité des données). Il a été ajouté au catalogue sur le modèle de l’article 32, paragraphe 1, point b), du règlement (UE) 2016/679 et correspond à l’exigence de l’article 29, paragraphe 2, point j), de la directive (UE) 2016/680. Il s’agit ici notamment de garantir durablement la stabilité ou la résistance des systèmes utilisés. La notification des dysfonctionnements doit être effectuée par le système lui-même, de sorte que le responsable du traitement ou le sous-traitant soit automatiquement averti de l’existence d’un dysfonctionnement. Le signalement d’un dysfonctionnement ne signifie pas automatiquement que les fonctions sont fiables ; au contraire, le dysfonctionnement doit être corrigé.
La lettre f concerne la garantie de la sécurité des systèmes d’exploitation et des logiciels d’application utilisés pour le traitement des données personnelles. Comme le traitement de données personnelles repose sur des systèmes et diverses applications fonctionnant sur ces systèmes, il est nécessaire de les maintenir à jour en matière de sécurité et de combler rapidement les lacunes critiques. La let. f complète ainsi les dispositions des let. d et e, dans le but de garantir une sécurité globale. Il n’est pas exigé que chaque mise à jour du système et de l’application soit installée immédiatement, mais qu’un processus de mise à jour soit en place (ce que l’on appelle la gestion des vulnérabilités et des correctifs). La mise à jour de sécurité correspondante peut être mise en œuvre de manière échelonnée dans le temps, en tenant compte des niveaux de criticité (élevé, moyen, faible). Jusqu’à ce que les vulnérabilités soient corrigées, des mesures doivent toutefois être prises pour que la sécurité des données reste tout de même garantie. Contrairement à l’art. 3, al. 3, let. c, la let. f ne porte pas sur des mesures réactives, mais sur l’élimination proactive de points faibles pour lesquels aucune violation de la sécurité des données n’a été constatée jusqu’à présent dans le système.
L’al. 3 mentionne les mesures de traçabilité (art. 2, al. 1, let. d, art.), c’est-à-dire les mesures visant à garantir le contrôle de la saisie (let. a) et de la communication (let. b), ainsi que les mesures de détection et d’élimination (let. c).
La let. a règle désormais le contrôle de la saisie. Celle-ci exige – conformément à l’art. 9, al. 2, let. h, OLPD – qu’il soit possible de vérifier a posteriori quelles données personnelles ont été introduites ou modifiées dans le système de traitement automatisé des données, à quel moment et par quelle personne. L’objectif de protection a été adapté de manière à exprimer explicitement que la modification de données personnelles doit également pouvoir être vérifiée a posteriori. La journalisation est une mesure envisageable.
La let. b concerne le contrôle de la communication. Elle a été reprise de l’art. 9, al. 1, let. d, OLPD et légèrement adaptée dans sa formulation. Selon la nouvelle let. b, il est possible de vérifier à qui des données personnelles ont été communiquées à l’aide de dispositifs de transmission de données. Les mesures doivent notamment permettre d’identifier les destinataires des données. A cet égard, il peut suffire que l’institution soit connue en tant que telle, sans que la personne physique doive être identifiable dans tous les cas. Si nécessaire, il doit être possible de déterminer, par exemple à l’aide de procès-verbaux, par quels moyens quelles données personnelles ont été communiquées et à qui.
La let. c exige que le responsable du traitement et le sous-traitant puissent rapidement identifier les violations de la sécurité des données au sens de l’art. 5, let. h, nLPD et prendre des mesures pour en atténuer ou en supprimer les conséquences. Contrairement à l’al. 2, let. e, il s’agit ici en particulier de mesures réactives prises par le responsable du traitement et le sous-traitant.
L’art. 9, al. 2, OLPD a été supprimé, car le Conseil fédéral estime qu’il n’est plus nécessaire. Les motifs de refus, de limitation ou de report d’une demande d’accès sont fixés au niveau de la loi (cf. art. 26 nLPD). Ainsi, les responsables du traitement et les sous-traitants sont déjà tenus, en vertu de la nLPD, de veiller à ce que les personnes concernées puissent exercer effectivement leurs droits, et ce indépendamment des technologies concrètement utilisées pour traiter les données personnelles.
Rapport explicatif
La journalisation est régie par l’article 10 OLPD, qui s’applique également aux organes fédéraux en raison du renvoi figurant à l’article 20, 1er alinéa, 1ère phrase, OLPD. L’art. 4 reprend cette réglementation sous une forme modifiée. La journalisation constitue une mesure au sens de l’art. 3, al. 1. Il est ainsi tenu compte du fait que le droit suisse, contrairement au RGPD, ne prévoit pas d’ ”obligation de rendre compte” générale. En outre, la journalisation est également recommandée par certaines autorités européennes de protection des données. En outre, la journalisation est un moyen classique et préventif de garantir la cybersécurité.
L’objectif de la journalisation est de rendre les traitements de données personnelles vérifiables a posteriori, de sorte qu’il soit possible de constater après coup si des données ont été perdues, effacées, détruites, modifiées ou divulguées. Il s’agit en outre de garantir la conformité à la finalité et une sécurité des données appropriée. La journalisation peut ainsi fournir des indications sur la conformité du traitement des données personnelles. En outre, la journalisation peut également servir à détecter et à élucider des violations de la sécurité des données. En revanche, la journalisation n’a pas pour but de surveiller les utilisateurs qui traitent des données personnelles. La journalisation est un processus automatisé. De nos jours, il n’existe pratiquement pas de système d’information ou de traitement automatisé des données qui ne consigne pas le traitement des données.
L’article 4, paragraphe 1, art. exige la journalisation pour le responsable privé et son sous-traitant privé en cas de traitement automatisé à grande échelle de données sensibles ou de profilage à haut risque, lorsque les mesures préventives ne permettent pas de garantir la protection des données et que, sans cette mesure, il n’est pas possible de déterminer a posteriori si les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées. Les processus d’enregistrement, de modification, de lecture, de communication, d’effacement et de destruction des données doivent au moins être consignés. Le processus de “lecture” doit être compris comme un accès sans “modification” ; il suffit donc de consigner les accès aux données personnelles et les modifications de ces données. La journalisation de la “lecture” est ainsi satisfaite. Le membre de phrase “les mesures préventives ne peuvent pas garantir la protection des données” a été repris du droit en vigueur. Dans la pratique, elle n’a qu’une importance secondaire, car les mesures préventives ne garantissent que rarement la protection des données.
Selon l’al. 2, l’organe fédéral responsable et son sous-traitant enregistrent au moins l’enregistrement, la modification, la lecture, la communication, l’effacement et la destruction des données lors du traitement automatisé de données personnelles. Il s’agit des mêmes opérations de traitement que celles qui doivent être journalisées par le responsable privé, mais pour les organes fédéraux, la journalisation doit être effectuée dans un plus grand nombre de cas (pour chaque traitement automatisé). Il est ainsi tenu compte des exigences de l’article 25 de la directive (UE) 2016/680 applicables dans le cadre de la coopération Schengen en matière pénale. Comme indiqué ci-dessus, en ce qui concerne la “lecture”, il suffit de consigner les accès aux données personnelles et les modifications de ces données. Pour la mise en œuvre de l’obligation de journalisation, une période transitoire de trois ans est prévue à l’article 46, paragraphe 1, pour les traitements de données qui ne relèvent pas du champ d’application de la directive (UE) 2016/680.
L’alinéa 3 stipule désormais que, pour les données personnelles qui sont accessibles au public en général, il faut au moins consigner l’enregistrement, la modification, l’effacement et la destruction des données. Cela signifie par exemple que la consultation du calendrier national, qui est accessible au public en général, ne doit pas obligatoirement être consignée.
La réglementation a été complétée par un nouvel alinéa 4, où le contenu de la journalisation est concrétisé. Ainsi, la journalisation doit renseigner sur l’identité de la personne qui a effectué le traitement, la nature, la date et l’heure du traitement et, le cas échéant, l’identité du destinataire des données.
L’al. 5 reprend l’art. 10, al. 2, OLPD sous une forme légèrement modifiée. Les fichiers journaux doivent être conservés pendant au moins un an, séparément du système dans lequel les données personnelles sont traitées. Cela ne signifie toutefois pas que les fichiers journaux peuvent être conservés pendant une durée disproportionnée. La durée de conservation doit être proportionnelle à l’objectif d’une sécurité adéquate des données. Pour le reste, les prescriptions de droit spécial restent en tout cas réservées pour les organes fédéraux. Ainsi, l’ordonnance du 22 février 2012 sur le traitement des données personnelles résultant de l’utilisation de l’infrastructure électronique de la Confédération prévoit notamment à l’art. 4, al. 1, let. b, que les données relatives à l’utilisation de l’infrastructure électronique peuvent être conservées pendant deux ans au maximum. La conservation séparée du système est nécessaire, sans quoi le protocole lui-même pourrait être manipulé ou crypté en cas de cyberattaque. Les journaux ne sont accessibles qu’aux organes ou aux personnes chargés de vérifier l’application des règles de protection des données ou de préserver ou de rétablir la confidentialité, l’intégrité, la disponibilité et la traçabilité des données, et ne peuvent être utilisés qu’à cette fin. Avec ce dernier ajout, le texte de l’ordonnance indique désormais que les protocoles doivent également être accessibles aux responsables de la sécurité, afin qu’ils puissent rétablir la confidentialité, l’intégrité, la disponibilité et la traçabilité des données. Le terme “conservation” vise en outre à garantir que les administrateurs système aient également accès aux journaux générés dans le système s’ils soupçonnent une faille de sécurité. Ces données ne peuvent donc pas être utilisées à des fins de surveillance des utilisateurs, notamment de leur activité professionnelle. L’utilisation à des fins prévues par une loi spéciale, comme par exemple une éventuelle utilisation dans le cadre d’une procédure pénale, reste bien entendu réservée.
La troisième phrase de l’art. 10, al. 1, OLPD a été supprimée. Il serait contraire au système si le PFPDT pouvait émettre des recommandations dans le domaine de la sécurité des données qui, selon l’art. 61, let. c, est soumis à la punissabilité. En outre, conformément à sa compétence générale de décision, le PFPDT peut de toute façon ordonner une journalisation dans le cadre d’une enquête selon l’art. 51 nLPD.
1 Le responsable privé et son sous-traitant privé doivent établir un règlement pour les traitements automatisés lorsqu’ils :
Rapport explicatif
Devait établir un règlement de traitement le “maître d’un fichier automatisé soumis à déclaration” selon l’art. 11a, al. 3, LPD, qui n’était pas exempté de l’obligation de déclarer ses fichiers en vertu de l’art. 11a, al. 5, let. b à d, LPD (art. 11, al. 1, OLPD). Comme l’obligation de déclarer les responsables privés (art. 11a LPD) n’existe plus dans la nLPD, l’art. 11 OLPD ne peut pas être repris tel quel. Conformément au principe de responsabilité ou “accountability” prévu par le RGPD, le responsable doit pouvoir démontrer le respect des principes du traitement des données (art. 5, al. 2 RGPD). Le droit suisse ne connaît pas d’obligation générale de rendre compte ou “accountability”, mais l’obligation d’établir un règlement de traitement remplit le même objectif.
L’obligation d’établir un règlement de traitement incombe au responsable et à son sous-traitant. Les personnes privées travaillant sur mandat d’organes fédéraux tombent sous le coup de l’article 6. Si, exceptionnellement, un organe fédéral devait agir en tant que personne travaillant sur mandat d’un responsable privé, il ne tomberait pas sous le coup de l’article 5, qui ne couvre que les personnes privées travaillant sur mandat, mais sous le coup de l’article 6, plus sévère. Cela se justifie par la position et la responsabilité particulières qui découlent de la nature juridique de l’organe fédéral. Les règlements de traitement doivent être établis séparément.
Conformément à l’approche basée sur les risques de la prescription de la sécurité des données, un règlement de traitement doit être établi chaque fois qu’il existe un risque élevé. Ainsi, les responsables privés doivent établir un règlement de traitement pour les traitements automatisés lorsqu’ils traitent des données personnelles sensibles à grande échelle (let. a) ou lorsqu’ils effectuent un profilage à haut risque (let. b). La let. a correspond à la prescription de l’art. 22, al. 2, let. a, nLPD et se réfère au traitement à grande échelle de données personnelles sensibles. Sont ainsi exclus les cas où les personnes sensibles ne sont traitées que de manière isolée. De nombreuses entreprises, notamment les PME “traditionnelles”, ne procèdent pas à de tels traitements. Elles ne sont donc pas concernées par cette disposition.
L’alinéa 2 contient une liste des contenus qui doivent au moins être indiqués dans le règlement de traitement. Les contenus ont été repris et complétés sous une forme légèrement adaptée de l’article 11, 1er alinéa, et de l’article 21, 2e alinéa, OLPD. Comme jusqu’à présent, le règlement de traitement doit être conçu comme une documentation ou un manuel et devrait également servir au responsable.
Comme jusqu’à présent, le responsable privé et le responsable du traitement doivent décrire l’organisation interne dans le règlement de traitement. La description de l’architecture et du fonctionnement des systèmes en fait également partie.
L’alinéa 2 stipule que les procédures de traitement des données, c’est-à-dire notamment les procédures d’enregistrement, de rectification, de communication, de conservation, d’archivage, de pseudonymisation, d’anonymisation, d’effacement ou de destruction des données, doivent figurer dans le règlement de traitement. Les mesures de minimisation des données en font également partie. Le principe de minimisation des données est un principe central de la protection des données et, comme on peut le lire dans le message LPD du 15 septembre 2017 , il découle implicitement du principe de proportionnalité énoncé à l’art. 6, al. 2, nLPD. Il doit notamment préciser quelles procédures de traitement des données sont mises en œuvre et comment elles se déroulent. Le règlement doit également contenir la procédure d’exercice du droit d’accès et du droit de remise ou de transfert des données. Les procédures de contrôle doivent permettre d’établir les droits d’accès, la nature et l’étendue de l’accès. Enfin, il est essentiel que le règlement de traitement comprenne également les mesures techniques et organisationnelles visant à garantir une sécurité adéquate des données. Il convient par exemple d’indiquer les mesures qui permettent de tenir compte des objectifs de protection visés à l’article 2. Les indications devraient également renseigner sur la configuration des moyens informatiques, puisqu’il s’agit d’une mesure technique. L’ancien art. 21, al. 2, let. h, OLPD, qui mentionne encore expressément la configuration des moyens informatiques, n’a donc pas été repris. A cet égard, il suffit que les principales configurations de base des moyens informatiques soient expliquées dans le règlement de traitement. Il n’est toutefois pas nécessaire de les détailler dans les moindres détails techniques.
L’al. 3 est une reprise de l’art. 11, al. 2, OLPD. Par rapport au droit en vigueur, on a renoncé à ajouter que le règlement de traitement doit être mis à la disposition du conseiller ou de la conseillère sous une forme compréhensible pour lui ou elle. Comme le conseiller participe lui-même à l’élaboration du règlement, celui-ci est en règle générale compréhensible pour lui. L’obligation de mettre également le règlement de traitement à la disposition du mandataire sur demande a été supprimée. Comme pour le registre des activités de traitement, le PFPDT peut toutefois le demander dans le cadre d’une enquête (art. 50, al. 1, let. a, nLPD).
1 L’organe fédéral responsable et son mandataire établissent un règlement de traitement pour les traitements automatisés lorsqu’ils :
Rapport explicatif
L’article 6 correspond, avec quelques modifications, à l’article 21 OLPD.
L’obligation d’établir un règlement de traitement incombe à l’organe fédéral responsable ainsi qu’à son responsable du traitement sur mandat. Comme mentionné ci-dessus, l’article 6 concerne aussi bien les personnes privées chargées du traitement des commandes que les organes fédéraux qui agissent exceptionnellement en tant que personnes chargées du traitement des commandes. Les règlements de traitement doivent être établis séparément.
Dans la phrase introductive de l’al. 1, le terme de “fichiers” figurant à l’art. 21, al. 1, phrase introductive, OLPD est remplacé par celui de “traitements”, car il n’est plus utilisé dans la nLPD. Cette disposition prévoit désormais que les organes fédéraux responsables établissent un règlement de traitement dans les cas visés à l’al. 1, let. a à f. Le règlement de traitement doit être approuvé par le Conseil fédéral.
La nLPD supprime la notion de “profil de la personnalité” et introduit la notion de “profilage”. En conséquence, il convient de modifier l’art. 21, al. 1, let. a, OLPD et de prévoir à l’art. 6, al. 1, art. que l’organe fédéral responsable et son sous-traitant doivent établir un règlement de traitement s’ils traitent des données personnelles sensibles (let. a), s’ils effectuent un profilage conformément à l’art. 5, let. f, nLPD (let. b) ou s’ils traitent des données conformément à l’art. 34, al. 2, let. c, nLPD (let. c). Le cas visé à la let. a correspond à l’ancien droit selon la LPD. Les let. b et c sont nouvelles. Elles remplacent l’art. 21, al. 1, let. a, OLPD, qui oblige l’organe fédéral responsable à établir un règlement de traitement pour tous les fichiers automatisés qui contiennent des profils de la personnalité.
L’art. 6, al. 1, let. d, OLPD ne subit que quelques modifications rédactionnelles par rapport à l’art. 21, al. 1, let. c, OLPD.
A l’art. 6, al. 1, let. e, le terme “fichiers” utilisé dans l’art. 21, al. 1, let. d, OLPD correspondant est remplacé par “fichiers de données”.
En vertu de l’art. 6, al. 1, let. f, art. 2, un règlement de traitement doit également être établi lorsque l’organe fédéral responsable exploite un système d’information ou gère des fichiers de données en collaboration avec d’autres organes fédéraux. Cette disposition remplace l’art. 21, al. 1, let. b, OLPD, selon lequel une telle obligation existe lorsqu’un fichier automatisé est utilisé par plusieurs organes fédéraux.
L’alinéa 2 correspond au contenu du règlement de traitement pour les particuliers selon l’article 5, alinéa 2, art. Il convient donc de renvoyer ici aux explications données plus haut.
L’al. 3 a été repris, sous une forme légèrement adaptée, de l’art. 21, al. 3, OLPD. Comme à l’art. 5, al. 3, art. , la mise à disposition sous une forme compréhensible a été supprimée à cet endroit. Le terme “organes de contrôle” a été remplacé par “conseiller à la protection des données”. On a renoncé à mentionner le PFPDT pour les raisons évoquées plus haut en relation avec l’art. 5, al. 3, art.
Rapport explicatif
L’article 7 Art. règle le type d’autorisation préalable par laquelle un responsable du traitement peut autoriser un sous-traitant à transférer le traitement des données à un tiers. Cette disposition s’inspire de l’art. 22, al. 2, de la directive (UE) 2016/680 ou de l’art. 28, al. 2, RGPD. Pour des raisons de sécurité juridique, elle fixe expressément ce que le Conseil fédéral a déjà expliqué dans le message relatif à la révision totale de la loi sur la protection des données concernant l’autorisation du traitement en sous-traitance (cf. FF 2017 6941, 7032). L’autorisation préalable du responsable peut être de nature spécifique ou générale (art. 7, al. 1, art.). Dans le cas d’une autorisation générale, le sous-traitant doit informer le responsable de tout changement envisagé concernant l’intervention ou le remplacement d’un autre sous-traitant. Le responsable du traitement peut s’opposer à cette modification (art. 7, par. 2, art.).
Rapport explicatif
Conformément à la systématique de la loi, les dispositions relatives à la communication de données personnelles à l’étranger ont été placées dans les dispositions générales du chapitre 1. Plusieurs notions en rapport avec la communication de données à l’étranger doivent être précisées. Dans l’art., cela se fait dans cinq articles différents : Un premier article concrétise les critères que le Conseil fédéral doit prendre en compte pour déterminer si un Etat, un territoire, un secteur spécifique dans un Etat ou une organisation internationale assure une protection adéquate des données ; un deuxième article expose ce que doivent régler les clauses de protection des données dans un contrat et les garanties spécifiques pour assurer une protection adéquate des données ; un troisième article traite des clauses standard de protection des données ; un quatrième article se concentre sur les règles de protection des données contraignantes internes aux entreprises ; en raison de la compétence attribuée au Conseil fédéral par l’art. 16, al. 3, nLPD, d’autres garanties appropriées sont prévues dans une dernière disposition.
2 Pour déterminer si un État, un territoire, un secteur spécifique dans un État ou une institution internationale assure une protection adéquate des données, les critères suivants sont notamment pris en compte :
Rapport explicatif
Si certains critères sont remplis, le Conseil fédéral peut estimer qu’un État ou un territoire, un secteur spécifique d’un État ou un organe international assure une protection adéquate. Conformément à l’art. 7, al. 1, let. d, de l’ordonnance du 17 novembre 1999 sur l’organisation du Département fédéral de justice et police (Org DFJP), la tâche consistant à assurer une protection adéquate des données d’un État, d’un territoire, d’un secteur spécifique dans un État ou d’un organe international relève de la compétence de l’Office fédéral de la justice.
Conformément à l’article 8, paragraphe 1, du RGPD, les États, territoires, secteurs spécifiques dans un État et organes internationaux dont la protection des données a été jugée adéquate sont énumérés dans l’annexe du règlement. Comme l’explique le message, il s’agit d’une “liste positive”. Si un État n’y figure pas, cela ne signifie pas nécessairement qu’il n’a pas de législation en matière de protection des données garantissant une protection adéquate des données ; il est plutôt envisageable que l’État n’ait pas (encore) été évalué par le Conseil fédéral. Seuls les États figurant sur la liste de l’annexe peuvent donc être considérés comme des États garantissant une protection adéquate des données. Cette approche diffère quelque peu de celle du PFPDT. En effet, jusqu’à présent, le PFPDT indiquait pour chaque État s’il assurait une protection adéquate, une protection adéquate sous certaines conditions ou une protection insuffisante. Il convient également de souligner que la liste du PFPDT n’est pas contraignante et ne lie notamment pas les tribunaux en cas de litige. Avant d’examiner en détail les facteurs dont le Conseil fédéral doit tenir compte dans son évaluation, il convient de préciser ce que l’on entend par “territoire” ou par “secteur spécifique dans un État”. Le terme “territoire” fait référence aux cas où le pays n’est pas soumis à une législation unique. Il s’agit notamment du cas des États fédéraux, à savoir lorsque la législation de l’État central n’assure pas une protection adéquate, tandis qu’un État fédéral dispose d’une législation adéquate en matière de protection des données, mais qui ne s’applique que sur son propre territoire. En ce qui concerne la notion de “secteur spécifique dans un État”, on peut par exemple citer la liste du PFPDT qui, sous le Canada, tient compte du fait que, sur la base d’une loi spécifique sur la protection des données pour le secteur privé, un niveau de protection adéquat ne peut être reconnu que pour ce secteur. Jusqu’en juillet 2020, cela s’appliquait également aux États-Unis en raison du Privacy Shield CH-US, qui n’autorisait le libre transfert de données qu’aux entreprises qui s’étaient engagées à respecter les principes contraignants du Privacy Shield. Il convient de mentionner d’autres secteurs spécifiques tels que le secteur financier ou des assurances ou le traitement des données par des sous-traitants. La notion d’institution internationale a été précisée dans le message relatif à la loi sur la protection des données. Elle se réfère à “toutes les institutions internationales, qu’il s’agisse d’organisations ou de tribunaux” (FF 2017 6941, 7038) .
Pour décider si un État, un territoire, un secteur spécifique au sein d’un État ou un organe international assure une protection adéquate des données, il convient de prendre en compte, entre autres, les critères suivants (article 8, paragraphe 2, du RGPD) :
Les obligations internationales de l’Etat concerné ou de l’organe international, en particulier dans le domaine de la protection des données (al. 2, let. a) : il s’agit notamment de la convention STE 108 révisée. Les accords dans le domaine de la protection des données ne sont toutefois pas les seuls à être importants, raison pour laquelle l’expression “notamment” est utilisée (voir également le commentaire relatif à la let. c). Par exemple, les accords régissant l’échange d’informations peuvent également jouer un rôle.
l’État de droit et le respect des droits de l’homme (al. 2, let. b) : La lettre b utilise le terme “droits de l’homme” afin d’employer la même terminologie que celle utilisée dans la CEDH et le Pacte II de l’ONU. Le Conseil fédéral dispose de la marge d’appréciation nécessaire pour déterminer si un État garantit une protection adéquate des données, même s’il ne respecte pas pleinement les droits de l’homme reconnus au niveau international. Il est important à cet égard que la protection contre les ingérences disproportionnées dans la vie privée soit garantie, même si l’État ne respecte pas par exemple en tous points les exigences de la CEDH.
La législation en vigueur, notamment en matière de protection des données, ainsi que sa mise en œuvre et la jurisprudence pertinente (al. 2, let. c) : en raison de l’expression “notamment”, la législation sectorielle est également visée. Celles-ci contiennent souvent des règles (directes et/ou indirectes) relatives à la protection des données. C’est le cas, par exemple, des États qui n’ont pas de loi-cadre sur la protection des données, mais uniquement un code civil. Dans certains cas, ces États ont des lois sectorielles qui contiennent des dispositions relatives à la protection des données. Il est important que les lois applicables soient appliquées. Par conséquent, l’accent est mis sur la législation générale et spécifique pertinente de l’État, y compris celle relative à la sécurité publique, à la défense, à la sécurité nationale, au droit pénal et à l’accès des autorités aux données personnelles.
la garantie effective des droits des personnes concernées et de la protection juridique (al. 2, let. d) : il ne s’agit pas seulement de vérifier que les droits des personnes concernées sont contenus dans des bases légales, mais aussi de s’assurer que ces droits sont effectivement mis en œuvre.
le fonctionnement effectif d’une ou de plusieurs autorités indépendantes chargées de la protection des données dans l’État concerné ou placées sous l’autorité d’un organe international et disposant de pouvoirs et de compétences suffisants. En ce sens, les exigences minimales de la Convention STE 108 révisée doivent être remplies (al. 2, let. e).
Le troisième alinéa stipule que le PFPDT est consulté pour toute évaluation du caractère adéquat. Son avis n’est pas contraignant pour le Conseil fédéral, mais il doit être pris en compte, notamment dans le cadre de la consultation des offices. Le PFPDT peut en outre publier son avis. Le Conseil fédéral peut également tenir compte d’une évaluation du niveau de protection effectuée par une autorité étrangère compétente en matière de protection des données (et appartenant à un Etat offrant un niveau de protection adéquat) ou par un organe international. Un organe international au sens du présent paragraphe peut être, entre autres, le comité des parties institué par la convention STE 108 révisée. Les évaluations effectuées par la Commission européenne peuvent également servir de source d’information.
Le quatrième paragraphe prévoit que le niveau de protection dans l’État ou l’institution concerné est réévalué périodiquement.
Suite aux différents avis exprimés dans le cadre de la procédure de consultation, un nouvel alinéa 5 prévoit que les évaluations effectuées par l’Office fédéral de la justice soient publiées. La notion d’évaluation comprend aussi bien l’évaluation que la réévaluation d’États, de territoires, de secteurs spécifiques dans un État ou d’organes internationaux qui figurent déjà sur la liste et qui font l’objet d’une nouvelle évaluation. Une nouvelle disposition transitoire (art. 46, al. 2) précise que les évaluations effectuées avant l’entrée en vigueur de la DSV ne sont pas publiées.
Le règlement introduit la mise en balance des intérêts, qui permet d’agir en urgence lorsqu’il peut être conclu que le caractère adéquat n’est plus garanti. Le paragraphe 6 prévoit que l’annexe 1 est modifiée s’il est établi que la protection des données ne peut plus être assurée dans un État, un territoire, un secteur spécifique d’un État ou une institution internationale. Dans le cas des États-Unis, par exemple, l’arrêt “Schrems II” de la CJUE de juillet 2020 a amené le PFPDT à reconsidérer son appréciation et à modifier sa liste. Si des informations laissent supposer qu’un Etat concerné n’assure plus une protection adéquate des données (par exemple en raison d’une crise étatique), le Conseil fédéral peut modifier d’urgence la liste sans avoir procédé à un examen formel et complet. En effet, selon l’article 7, alinéa 3 de la LPubl, les publications urgentes sont possibles. Cela ne vaut toutefois que pour une radiation de la liste. En cas d’ajout à la liste, il faut suivre la procédure d’évaluation (al. 1 et 2). La modification n’a aucune incidence sur les communications de données déjà effectuées.
1 Les clauses de protection des données dans un contrat au sens de l’art. 16, al. 2, let. b, LPD et les garanties spécifiques au sens de l’art. 16, al. 2, let. c, LPD doivent contenir au moins les points suivants :
j. les droits de la personne concernée, notamment :
3 Si le PFPDT a été informé des clauses de protection des données dans un contrat ou des garanties spécifiques, l’obligation d’information est considérée comme remplie pour toutes les communications ultérieures qui :
Rapport explicatif
Selon l’art. 16, al. 2, nLPD, des données personnelles peuvent être communiquées à un Etat qui ne figure pas à l’annexe 1 de l’ordonnance – c’est-à-dire sans que le Conseil fédéral ait reconnu le caractère adéquat de la protection des données – si une protection des données appropriée est garantie. Dans le secteur privé, celle-ci peut être assurée par une clause de protection des données figurant dans un contrat conclu entre le responsable du traitement ou le sous-traitant et son cocontractant (art. 16, al. 2, let. b, nLPD), dans le secteur public par des garanties spécifiques élaborées par l’organe fédéral compétent (art. 16, al. 2, let. c, nLPD).
Contrairement aux autres instruments mentionnés à l’al. 2 de l’art. 16 nLPD, les responsables du traitement et les sous-traitants ne doivent pas faire approuver ces garanties par le PFPDT, mais seulement les lui communiquer avant la communication de données à l’étranger. Il existe un certain risque que les responsables du traitement et les sous-traitants évaluent différemment le niveau de protection que ces garanties sont censées atteindre, et cela vaut aussi bien pour le secteur privé que pour le secteur public.
Le Conseil fédéral estime donc qu’il convient de fixer certaines normes de protection des données et précise à l’article 9, paragraphe 1, art. ce que ces clauses de protection des données ou ces garanties spécifiques doivent au moins régler.
Il s’agit des points suivants :
L’application des principes de légalité, de bonne foi, de proportionnalité, de transparence, de finalité et d’exactitude (let. a).
Les catégories de données personnelles communiquées et les personnes concernées (let. b).
la nature et le but de la communication des données personnelles (let. c).
Le cas échéant, le nom des États ou des organes internationaux vers lesquels ou au profit desquels les données personnelles sont communiquées, ainsi que les exigences en matière de communication (let. d) : l’expression “le cas échéant” offre la possibilité de s’adapter aux circonstances d’un traité. Dans certains contrats très limités, cette lettre n’entre pas en ligne de compte. Par exemple, si aucune donnée n’est communiquée à un organe international dans le cadre du contrat, une telle mention serait évidemment superflue.
Les exigences relatives à la conservation, à l’effacement et à la destruction des données personnelles (let. e).
les destinataires ou les catégories de destinataires (let. f) : Les catégories de destinataires peuvent être utiles, même si elles sont indiquées sous une forme générique, lorsque cela est nécessaire (par exemple : représentants et représentantes, personnes chargées du traitement des commandes, coresponsables, médecins traitants, communes, organisations partenaires externes, etc.)
Les mesures visant à garantir la sécurité des données (let. g).
L’obligation de notifier les violations de la sécurité des données (let. h).
Si les destinataires sont des responsables : l’obligation d’informer les personnes concernées du traitement (let. i) : Le destinataire en tant que sous-traitant peut ne pas être responsable et satisfaire à cette obligation.
les droits de la personne concernée (let. j), en particulier : le droit d’accès et le droit à la remise ou à la transmission des données (ch. 1), le droit de s’opposer à la communication des données (ch. 2), le droit de rectifier, d’effacer ou de détruire ses données (ch. 3) et le droit de demander une protection juridique à une autorité indépendante (autorité de protection des données ou tribunal) (ch. 4).
Tous ces points correspondent aux bases de la nLPD. L’al. 2 précise en outre qu’en cas de communication de données personnelles à l’étranger, le responsable du traitement doit prendre des mesures appropriées pour s’assurer que le destinataire respecte les clauses de protection des données figurant dans un contrat ou les garanties spécifiques ; le sous-traitant doit également s’en assurer en cas de clauses de protection des données figurant dans un contrat (le traitement sur mandat ne s’applique pas aux garanties spécifiques). Ainsi, cet alinéa (qui reprend en substance l’art. 6, al. 2 et 4 OLPD) permet de s’assurer que le destinataire des données communiquées respecte le cadre de protection des données en vigueur en Suisse.
Un troisième alinéa reprend l’article 6, 2e alinéa, OLPD, relatif au devoir d’information du responsable. Il n’est adapté que sur le plan rédactionnel (par exemple, le terme “maître du fichier” est remplacé dans la version française), en supprimant la deuxième partie de la phrase de l’art. 6, al. 2, let. b, OLPD. De toute façon, une communication à l’étranger n’est autorisée que si les clauses de protection des données ou les garanties assurent une protection appropriée, en répondant notamment aux exigences de l’article 9, 1er alinéa, art. Il n’est donc pas nécessaire de le mentionner une nouvelle fois à l’art. 9, al. 3, let. b, art.
Rapport explicatif
Comme pour la communication de données à l’étranger, qui se fonde sur des clauses de protection des données dans un contrat et sur des garanties spécifiques, la communication de données au moyen de clauses standard de protection des données (art. 16, al. 2, let. d, nLPD) doit respecter les dispositions suisses de protection des données. Ainsi, l’article 10, 1er alinéa, art., qui correspond en principe à l’article 6, 4e alinéa, OLPD, précise que le responsable du traitement ou le sous-traitant doit prendre des mesures appropriées pour s’assurer que le destinataire respecte effectivement les clauses standard. Dans le commentaire de l’Office fédéral de la justice relatif à l’OLPD, ce devoir de diligence est précisé comme suit : “L’adéquation des mesures exigées est fonction des circonstances du cas concret et de l’état de la technique. S’il s’agit de données personnelles sensibles ou de profils de la personnalité, les exigences sont plus élevées que s’il s’agit de simples données personnelles”. Le terme “profils de personnalité” n’est certes plus utilisé dans la nLPD, mais l’explication reste pertinente pour comprendre que les mesures doivent être adaptées aux circonstances concrètes. Il s’agit là d’un devoir de diligence et le responsable ou le sous-traitant doit veiller à ce que les mesures soient prises et contrôler leur mise en œuvre.
L’al. 2 concerne l’approbation par le PFPDT des clauses standard de protection des données élaborées par une personne privée ou un organe fédéral. Le PFPDT émet un avis et publie sur son site internet une liste des clauses standard de protection des données qu’il a approuvées, délivrées ou reconnues. Les clauses standard doivent être conformes aux exigences suisses en matière de protection des données et pouvoir être interprétées conformément à la législation suisse en la matière. Le PFPDT “communique le résultat de l’examen des clauses standard de protection des données qui lui sont soumises dans un délai de 90 jours”.
2 Elles comprennent au moins les éléments visés à l’article 9, paragraphe 1, ainsi que les informations suivantes :
Rapport explicatif
Des règles contraignantes internes à l’entreprise en matière de protection des données s’appliquent à toutes les entreprises appartenant au même groupe et doivent être respectées par celles-ci. Ces règles doivent non seulement comprendre les points mentionnés à l’art. 9, al. 1, art. 2, mais aussi des informations sur l’organisation et les coordonnées du groupe et de chacune de ses entités (al. 2, let. a), ainsi que des informations sur les mesures prises au sein du groupe pour garantir le respect des règles internes à l’entreprise (al. 2, let. b).
Ces prescriptions internes à l’entreprise doivent en outre être soumises au PFPDT conformément à l’art. 16, al. 2, let. e, nLPD.
L’article 11 Art. comprend un nouvel alinéa 3 selon lequel le PFPDT “communique dans un délai de 90 jours le résultat de l’examen des règles contraignantes de protection des données internes à l’entreprise qui lui ont été soumises”.
Rapport explicatif
Conformément à l’art. 16, al. 3, nLPD, le Conseil fédéral peut prévoir d’autres garanties appropriées permettant la communication de données à l’étranger. Ainsi, une protection des données appropriée peut également être assurée par un code de conduite ou une certification (al. 1).
Cette nouvelle mesure incite les entreprises à mettre en place un tel code ou à faire certifier leurs systèmes, produits ou services. Comme pour les clauses standard de protection des données et les règles internes contraignantes des entreprises, il est stipulé, pour des raisons de cohérence, que les codes de conduite doivent être approuvés par le PFPDT (al. 2). En effet, ces instruments doivent être examinés quant à leur adéquation. Pour son examen, le PFPDT peut s’inspirer des critères de l’art. 9, al. 1, art. L’approbation des codes de conduite par le PFPDT n’est pas en contradiction avec l’art. 11 nLPD, qui prévoit de manière générale que le PFPDT donne son avis sur les codes de conduite qui lui sont soumis, mais ne les approuve pas. Dans le cas concret où un responsable s’appuie sur son code de conduite pour communiquer des données à l’étranger, il est indiqué, comme pour les clauses standard de protection des données et les règles internes contraignantes de l’entreprise, que le PFPDT approuve cet instrument. Selon l’ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données, seules les certifications étrangères doivent être reconnues par le PFPDT. Cette disposition est maintenue dans l’ordonnance totalement révisée. Cela ne signifie toutefois pas que la certification ne doit pas répondre aux exigences de l’ordonnance sur les certifications en matière de protection des données.
En outre, le responsable ou le sous-traitant qui se trouve dans un pays tiers doit prendre l’engagement contraignant et exécutoire d’appliquer les mesures contenues dans le code de conduite ou dans la certification (al. 3).
Abrogation des articles 5 et 7 OLPD
Les articles 5 et 7 OLPD ne sont pas repris. La première disposition a été insérée dans la nLPD (art. 18). La seconde, qui attribuait au PFPDT la compétence d’établir une liste des Etats offrant un niveau de protection adéquat des données, est obsolète puisque c’est désormais le Conseil fédéral qui a cette compétence (art. 16, al. 1, nLPD).
Le responsable doit communiquer à la personne concernée les informations relatives à la collecte de données personnelles sous une forme précise, transparente, compréhensible et aisément accessible.
Rapport explicatif
L’obligation d’information du responsable est inscrite à l’article 19 nLPD. Les exceptions et les limitations sont définies à l’article 20 nLPD. L’article 19, paragraphe 1, nLPD prévoit que la personne concernée doit être informée de manière “adéquate”. Cela signifie que l’information doit être communiquée, dans la mesure du possible, sous une forme précise, transparente, compréhensible et facilement accessible.
En d’autres termes, lors du choix de la forme d’information, le responsable doit veiller à ce que la personne concernée obtienne toujours les informations les plus importantes au premier niveau de communication lors de la collecte de ses données personnelles. Si la communication se fait par exemple via un site internet, une bonne pratique peut consister à ce que toutes les informations essentielles soient disponibles en un coup d’œil, par exemple sous la forme d’un aperçu structuré. Pour obtenir des informations supplémentaires, la personne concernée peut ensuite cliquer sur les informations affichées en premier lieu, ce qui ouvre une fenêtre contenant des informations plus détaillées. Il convient toutefois de noter que la communication via un site web n’est pas toujours suffisante : La personne concernée doit savoir qu’elle peut trouver les informations sur un site web spécifique. Dans le cas d’une conversation téléphonique, les informations peuvent également être communiquées oralement et éventuellement complétées par un lien vers un site web. Dans le cas d’informations enregistrées, la personne concernée doit avoir la possibilité d’écouter des informations plus détaillées. Dans le cas où la personne est filmée par un système de vidéosurveillance ou un drone, elle doit en être informée, par exemple par un panneau ou dans le cadre d’une campagne d’information.
Conformément à l’art. 19, al. 1, nLPD, l’art. 13 s’adresse uniquement au responsable du traitement et non au sous-traitant. Il convient toutefois de préciser ici que l’information du responsable doit également contenir des indications sur les destinataires ou les catégories de destinataires, conformément à l’art. 19, al. 2, let. c, nLPD. Selon les explications du message relatif à la loi sur la protection des données, le sous-traitant fait également partie des destinataires au sens de l’art. 19, al. 2, let. c, nLPD (FF 2017 6941, 7051). Lors de la collecte de données personnelles, le responsable doit donc également informer la personne concernée du fait que les données seront communiquées à un sous-traitant.
Le responsable du traitement doit conserver l’analyse d’impact relative à la protection des données pendant au moins deux ans après la fin du traitement des données.
Rapport explicatif
La norme concrétise la durée de conservation de l’analyse d’impact relative à la protection des données au sens de l’article 22 nLPD. Celle-ci doit être conservée pendant au moins 2 ans. La raison pour laquelle l’analyse d’impact relative à la protection des données doit être conservée au-delà du traitement des données est qu’elle constitue un instrument central de la protection des données. Elle peut notamment être importante lors de la clarification de violations de la sécurité des données ou de l’évaluation de la punissabilité d’un comportement. Ainsi, l’analyse d’impact relative à la protection des données renseigne sur la manière dont les risques pour la personnalité ou les droits fondamentaux ont été évalués et sur les mesures qui ont été prises. Pour les organes fédéraux qui ne peuvent en principe traiter des données qu’en se fondant sur des bases légales, il peut arriver, en raison de la permanence de certaines bases légales, qu’une analyse d’impact relative à la protection des données doive être conservée sur une très longue période.<
Dans le cas des organes fédéraux, il faudra en outre régler la manière dont l’analyse d’impact sur la protection des données doit être coordonnée dans le temps avec la procédure législative visant à créer les bases légales pour le traitement des données. Il est prévu que les organes fédéraux doivent joindre l’analyse d’impact sur la protection des données à leurs projets d’actes législatifs et qu’ils doivent consigner les résultats de l’analyse d’impact sur la protection des données dans le message du Conseil fédéral. Mais comme la réglementation n’a qu’un caractère d’instruction au sein de l’administration fédérale, elle ne doit pas être réglée au niveau d’une ordonnance. Il est prévu de mettre en œuvre la réglementation dans les directives relatives aux affaires du Conseil fédéral (“classeur rouge”) et dans le guide du message.
Pour la mise en œuvre de l’analyse d’impact relative à la protection des données, le PFPDT peut faire usage de sa compétence pour élaborer des instruments de travail sous forme de recommandations de bonnes pratiques à l’intention des responsables de traitement au sens de l’art. 58, al. 1, let. g, nLPD. Il dispose à cet égard d’une certaine marge d’appréciation.
1 La notification d’une violation de la sécurité des données au PFPDT doit contenir les informations suivantes :
Rapport explicatif
L’art. 24, al. 2, nLPD contient les exigences minimales auxquelles doit répondre la notification au PFPDT par le responsable d’une violation de la sécurité des données : il s’agit notamment du type de violation, de ses conséquences et des mesures prises ou prévues. Le contenu de cette notification au PFPDT est défini à l’art. 15, al. 1, art. (anciennement art. 19, al. 1, P‑LPD) précise encore davantage. Il convient de noter que, conformément à l’art. 24, al. 1, nLPD, la notification au PFPDT est limitée aux violations de la sécurité des données qui entraînent vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Seules les violations devant être notifiées doivent l’être.
L’alinéa 1 contient le catalogue d’informations suivant : Outre le type de violation de la sécurité des données déjà mentionné dans la loi (let. a), il est également prévu que, dans la mesure du possible, le moment et la durée de la violation de la sécurité des données doivent également être communiqués (let. b). Dans la mesure du possible, les catégories et le nombre approximatif de données personnelles concernées par la violation de la sécurité des données (let. c) doivent également être communiquées, de même que les catégories et le nombre approximatif de personnes concernées (let. d). Ces informations sont d’une importance fondamentale pour pouvoir évaluer l’ampleur de la violation. Il est notamment nécessaire de savoir quelles catégories de données personnelles sont concernées par la violation (p. ex. adresses, informations sur les cartes de crédit, données relatives à la santé), afin que les explications sur les conséquences, les risques et les mesures soient compréhensibles. Dans le cadre de la notification des conséquences et des risques pour les personnes concernées (let. e) et des mesures prises par le responsable du traitement (let. f), ce dernier doit, lors de l’information de la personne concernée, préciser entre autres quelles catégories de données personnelles sont concernées par la violation dans son cas. Cela permet à la personne concernée de prendre elle-même des mesures concrètes (p. ex. changement immédiat du mot de passe si des données de connexion ont été dérobées ou blocage de la carte de crédit). Enfin, le responsable doit communiquer le nom et les coordonnées d’une personne de contact (let. g), qui servira de point de contact pour la communication avec le PFPDT ainsi qu’avec les personnes concernées.
L’al. 2 permet au responsable de mettre les informations à la disposition du PFPDT par étapes, au cas où il ne serait pas possible de fournir simultanément toutes les informations visées à l’al. 1 dès la découverte de la violation de la sécurité des données. Comme le responsable est tenu d’envoyer la communication “dans les meilleurs délais” conformément à l’art. 24, al. 1, nLPD, le problème se posera régulièrement dans la pratique, en particulier pour les informations visées à l’al. 1, let. b à d, qui ne sont souvent pas encore disponibles immédiatement après la découverte de la violation de la sécurité des données. C’est pourquoi le responsable a la possibilité, dans un premier temps, de ne fournir que les informations de base dont il a connaissance lors de la découverte de la violation. En ce qui concerne la notification ultérieure, le responsable est tenu – comme le prévoit l’article 24, 1er alinéa, nLPD – de communiquer les informations restantes “dans les meilleurs délais”. Dès que les informations manquantes sont disponibles, le responsable doit les mettre à la disposition du PFPDT par une communication ultérieure. Si les données doivent encore être obtenues, il doit s’en occuper sans délai.
L’al. 3 précise les informations qui doivent être fournies à la personne concernée si une information doit lui être transmise conformément à l’art. 24, al. 4, nLPD. En outre, cette information doit être communiquée dans un langage aussi simple et compréhensible que possible – par rapport à la communication au préposé -, car on ne peut pas partir du principe qu’une personne concernée moyenne est familiarisée avec le jargon de cette matière à caractère technique. Le contenu de la communication au PFPDT est un peu plus large que celui de l’information aux personnes concernées, car le premier doit pouvoir se faire une idée de l’ampleur d’une violation de la sécurité des données.
L’al. 4 prévoit que les faits liés à la violation de la sécurité des données signalée, ses conséquences et les mesures prises doivent être documentés. Les documents doivent être conservés pendant au moins deux ans à compter de la date de notification de la violation de la sécurité des données.
En ce qui concerne la mise en œuvre pratique de l’obligation de notification prévue à l’article 24 nLPD, il convient de noter que, sur la base des expériences faites par des autorités de surveillance étrangères lors de la mise en œuvre de l’obligation de notification de conception similaire prévue à l’article 33 du règlement (UE) 2016/679, on peut s’attendre à un grand nombre de notifications annuelles. Ainsi, l’échange avec l’Office bavarois de surveillance de la protection des données, dont les chiffres peuvent être à peu près projetés sur la Suisse, a révélé qu’environ 6000 notifications pourraient être reçues chaque année. Afin d’offrir aux responsables une possibilité de notification structurée et de traiter la masse des notifications de la manière la plus efficace possible, le PFPDT travaille actuellement au développement d’une interface de notification basée sur le web, probablement sous la forme d’un formulaire interactif. Dans le cadre de ce projet, le PFPDT examine également actuellement la possibilité de créer un portail d’annonce commun avec d’autres organes fédéraux qui prévoient des obligations ou des possibilités d’annonce similaires dans le domaine de la sécurité des données (p. ex. pour l’annonce dans le cas d’infrastructures critiques). Un tel portail de notification permettrait de réduire la charge de travail pour le responsable si celui-ci doit effectuer des notifications auprès de plusieurs services fédéraux.
Rapport explicatif
Le chapitre sur les droits de la personne concernée ne comprenait dans la P‑LPD que le droit d’accès et ses restrictions. Le Parlement a ajouté un droit à la restitution et à la transmission des données. En conséquence, le règlement précise ces deux types de droits de la personne concernée dans des sections distinctes.
La section 1 traite du droit d’accès. Après concertation avec le Département fédéral des affaires étrangères et le Département fédéral de la défense, de la protection de la population et des sports, le contenu de l’art. 14 OLPD n’a pas été repris dans l’art. C’est pourquoi le droit d’accès est désormais réglé pour les deux secteurs, privé et public, dans le même chapitre. Celui-ci suit la systématique de la nLPD et se rattache aux dispositions relatives aux obligations du responsable.
Les différents aspects du droit d’accès sont désormais répartis dans plusieurs articles. Un premier article se concentre sur les modalités du droit d’accès, notamment la forme de la communication des informations. Un deuxième article règle le droit d’accès lorsque plusieurs responsables traitent conjointement des données personnelles ou lorsque des données sont traitées par un sous-traitant. Un troisième article fixe les délais et un quatrième article règle les exceptions à la gratuité du droit d’accès.
La section 2 traite du droit à l’édition ou à la transmission de données. Elle comprend les articles suivants : L’article 20 Art. traite de l’étendue du droit, l’article 21 Art. des exigences techniques de mise en œuvre et l’article 22 Art. (anciennement art. 24 P‑ODSG) précise, sous Délai, modalités et compétence, dans quelle mesure les dispositions relatives au droit d’accès s’appliquent au droit à la remise ou à la transmission de données.
Rapport explicatif
Cette disposition concrétise les modalités du droit d’accès prévues à l’article 25 nLPD. Elle reprend en partie l’art. 8, al. 5, LPD ainsi que l’art. 1, al. 1 à 3, OLPD.
Alinéa 1
L’article 16 Art. (anciennement art. 20 P‑ODSG) se concentre, à l’alinéa 1, sur la forme de la demande d’accès. “Par écrit” au sens de l’art. 16, al. 1, art. comprend toute forme permettant d’apporter la preuve par un texte. Il ne s’agit en revanche pas de la forme écrite dite simple au sens des articles 13 à 15 du code des obligations. Celle-ci requiert une signature manuscrite ou une signature électronique qualifiée associée à un horodatage qualifié, conformément à la loi fédérale du 18 mars 2016 sur la signature électronique. L’art. 16, al. 1, art. exige en revanche uniquement la présence d’un texte écrit. L’art. 16, al. 1, art. reprend pour l’essentiel le contenu de l’art. 1, al. 1, OLPD, selon lequel la personne doit “en règle générale demander son droit d’accès sous forme écrite”. Le commentaire de l’OLPD de l’Office fédéral de la justice précise déjà que dans certains cas et sous réserve de l’accord du maître du fichier (désormais le responsable), la forme orale est suffisante. Pour plus de clarté, l’article 16 a été reformulé en conséquence. En outre, l’art. 1, al. 1, OLPD a été adapté sur le plan rédactionnel.
Alinéa 2
Par rapport au droit en vigueur, l’art. 16, al. 2, art. (anciennement art. 20, al. 2, P‑LPD) stipule désormais explicitement que les renseignements peuvent être fournis non seulement sous forme écrite, mais aussi sous la forme sous laquelle les données sont disponibles. En règle générale, il s’agit de données personnelles sous forme écrite. En revanche, si les données existent par exemple sous forme d’images ou d’enregistrements sonores, la personne concernée reçoit les données sous cette forme. Comme indiqué ci-dessus, le terme “écrit” doit être compris, dans le présent contexte, comme exigeant la présence d’un texte écrit.
Comme le prévoit l’article 1er , 3e alinéa, OLPD, les données personnelles peuvent également être consultées sur place, notamment lorsqu’elles sont réparties dans différents dossiers ou qu’elles sont particulièrement volumineuses ou encore lorsque les renseignements demandés nécessitent des explications. Contrairement à l’article 1er , 3e alinéa, OLPD, le passage selon lequel la consultation sur place a lieu sur proposition du responsable a été supprimé. Pour la consultation sur place, il est toujours nécessaire que le responsable et la personne concernée soient d’accord. En revanche, la proposition de la personne concernée n’est pas déterminante pour la consultation sur place. En cas de consultation sur place, la personne concernée doit néanmoins avoir la possibilité de demander une photocopie de certaines pièces de son dossier. Comme le Tribunal fédéral l’a constaté dans l’ATF 119 III 141, la remise de documents écrits (y compris électroniques) peut être extrêmement importante pour la personne concernée. La communication orale d’informations, par exemple par téléphone, est également possible si la personne concernée a donné son consentement. Une information sous forme résumée (“agrégée”) n’est pas autorisée.
al. 3
L’al. 3 reprend l’art. 1, al. 2, OLPD sous une forme adaptée. Il règle notamment la forme de la transmission de la demande de renseignements et de la communication des renseignements. Ainsi, la demande de renseignements et la communication de renseignements peuvent également être effectuées par voie électronique. La personne concernée peut par exemple envoyer sa demande par courrier électronique ou via une plateforme en ligne d’une entreprise (par exemple les comptes clients répandus). Conformément aux règles générales, il incombe à l’expéditeur de prouver que son message a atteint le destinataire. La transmission électronique étant également autorisée sans base légale, l’alinéa 3 est une disposition déclaratoire.
al. 4
Si les données personnelles sont fournies sous une forme technique, par exemple dans un format de fichier non habituel, qui n’est pas lisible et/ou compréhensible pour la personne concernée, le responsable doit être en mesure de lui fournir des explications complémentaires, par exemple oralement.
al. 5
Le responsable doit prendre des mesures raisonnables pour garantir l’identification de la personne concernée. Celle-ci doit donc coopérer à son identification. Pour pouvoir garantir l’identification de la personne concernée, le responsable du traitement doit disposer des informations nécessaires de la part de la personne concernée. Dans le cas d’une information orale, le responsable s’assure, question par question (par exemple en indiquant le numéro AVS), qu’il fournit l’information à la bonne personne. Article 16, paragraphe 5 Art. (anciennement art. 20, al. 4, P‑ODP) remplace l’exigence prévue à l’art. 1, al. 1, OLPD, selon laquelle la personne concernée doit justifier de son identité.
Autres aspects
L’al. 4 de l’art. 1 OLPD, qui concerne le délai pour la communication des renseignements, est transformé en un article indépendant (voir art. 18 art., anciennement art. 22 P‑OLPD ci-dessous). Il en va de même pour l’art. 1, al. 5 et 6, OLPD (voir art. 17 art., anciennement art. 21 P‑OLPD ci-dessous).
Rapport explicatif
Un article séparé a été prévu pour préciser la compétence dans les cas où plusieurs responsables traitent conjointement des données personnelles.
Alinéa 1
L’al. 1 reprend l’al. 5 de l’art. 1 OLPD sous une forme adaptée. D’un point de vue terminologique, la notion de “maître du fichier” a été remplacée par celle de “responsable”. L’exception à la possibilité d’exercer le droit d’accès auprès de chaque responsable a été supprimée. Ainsi, la personne concernée peut désormais toujours faire valoir son droit d’accès auprès de tout responsable. Contrairement à l’article 1er , 5e alinéa, OLPD, l’article 17, 1er alinéa, art. n’oblige plus les responsables à transmettre les demandes ; ils doivent au contraire fournir des renseignements dans tous les cas. L’alinéa correspond à l’art. 21, al. 2, de la directive (UE) 2016/680 et à l’art. 26, al. 3, RGPD.
Alinéa 2
L’al. 2 reprend l’art. 1, al. 6, OLPD sous une forme adaptée. La notion de “sous-traitant” introduite dans la nLPD (art. 5, let. k, nLPD) est reprise et le terme de “maître du fichier” est remplacé par celui de “responsable”. Conformément à l’art. 25, al. 4, nLPD, le responsable reste tenu de fournir des renseignements même s’il fait traiter les données personnelles par un sous-traitant. Le sous-traitant n’est donc pas tenu par la loi de répondre lui-même aux demandes de renseignements. C’est pourquoi, à la différence de l’OLPD, l’art. 17, al. 2, prévoit désormais que le sous-traitant assiste le responsable du traitement dans sa réponse, pour autant qu’il ne réponde pas à la demande sur mandat du responsable du traitement. Cela signifie que le responsable du traitement doit fournir les données au responsable si ce dernier ne les possède pas lui-même.
Rapport explicatif
L’art. 18 Art. (anciennement art. 22 P‑ODSG) reprend, sans modification substantielle, le quatrième alinéa de l’art. 1 OLPD. Il précise l’al. 7 ajouté par le Parlement à l’art. 25 nLPD, qui fixe au niveau de la loi le délai de 30 jours prévu jusqu’ici dans l’ordonnance. La précision selon laquelle la décision relative à la limitation du droit d’accès doit être motivée a été supprimée, cette disposition ayant déjà été reprise à l’art. 26, al. 4, nLPD. En outre, le terme “requérant” est remplacé par “personne concernée” afin que la terminologie soit conforme à la nLPD.
En substance, cette disposition signifie que le responsable doit fournir à la personne concernée les informations demandées dans un délai de 30 jours ou l’informer dans ce délai qu’il refuse, limite ou diffère l’accès aux informations. Dans le domaine public, la communication de renseignements ainsi que le refus, la limitation ou l’ajournement des renseignements constituent une décision au sens de l’article 5 PA . L’alinéa 2 ne s’applique que si le responsable n’est pas en mesure de fournir les renseignements dans les 30 jours suivant la réception de la demande (et non dans le cas où il limite le droit d’accès au sens de l’article 26 nLPD) : Dans ce cas, le responsable doit communiquer à temps, c’est-à-dire sans retard injustifié, le délai dans lequel les renseignements seront fournis.
Rapport explicatif
Le titre de la disposition est modifié sur le plan rédactionnel par rapport à l’art. 2 OLPD.
Alinéa 1
L’article 2, 1er alinéa, lettre a, OLPD, qui concerne les demandes d’accès quérulentes, est abrogé. De tels cas sont désormais réglés dans la nLPD, qui prévoit à l’art. 26, al. 1, let. c, que le responsable peut refuser, restreindre ou différer l’accès si la demande de renseignements est manifestement quérulente.
L’art. 2, al. 1, let. b, et al. 2, OLPD est repris sous une forme légèrement adaptée. L’expression “à titre exceptionnel” est supprimée, car il est déjà question d’ ”exception” dans le titre de l’article ; le terme “requérant” (nouvel al. 3) est remplacé par “personne concernée” pour des raisons de concordance terminologique avec la nLPD. L’expression “charge de travail particulièrement importante” est remplacée par “charge de travail disproportionnée” afin que la formulation corresponde aux modifications apportées par le Conseil national à l’art. 25, al. 6, nLPD. Par exemple, le fait que le responsable doive donner accès à de nombreuses données personnelles ne constitue pas une charge de travail disproportionnée si son intérêt est précisément de collecter le plus de données possible. Il en va de même si la charge de travail est importante parce que le responsable n’est pas organisé de manière suffisamment structurée (non-respect du principe “privacy by design” ; en effet, selon ce principe, les responsables ou les personnes chargées du traitement des données doivent disposer d’un système permettant un accès aisé aux données traitées).
Alinéa 2
Le montant de 300 francs reste inchangé. Selon l’indice des prix à la consommation, ce montant n’a que très peu évolué depuis son introduction dans l’ordonnance. De plus, il ne doit pas avoir d’effet dissuasif sur la personne concernée.
al. 3
Le responsable doit informer la personne concernée du montant de la participation avant de fournir les informations. Si le demandeur ne confirme pas la demande dans les dix jours, celle-ci est considérée comme retirée sans frais. Le délai prévu à l’art. 18, al. 1, art. (anciennement art. 22, al. 1, P‑LPD) commence à courir à l’expiration du délai de réflexion de dix jours.
Rapport explicatif
Ces articles précisent les différentes exigences applicables au droit à la restitution ou à la transmission des données, tel qu’il est introduit à l’article 28 nLPD. Compte tenu du fait que l’objectif du législateur était de créer un régime similaire à celui du droit européen, les règles applicables au droit à la portabilité des données de l’article 20 du RGPD sont prises en compte.
Le droit à la restitution ou à la transmission des données confère aux personnes concernées le droit, sous certaines conditions, de demander au responsable du traitement de leur restituer les données personnelles qu’elles ont mises à sa disposition sous une forme réutilisable.
Les données personnelles demandées peuvent être utilisées à différentes fins : par exemple pour un usage strictement personnel (par exemple pour enregistrer les données sur un espace de stockage personnel), pour les transmettre à un autre fournisseur de services en ligne ou pour changer de plateforme.
D’autre part, le droit d’exiger le transfert de leurs données personnelles confère aux personnes concernées le droit de demander au responsable du traitement de transférer directement ces données personnelles à un autre responsable du traitement (par exemple, pour permettre à un nouveau fournisseur de services en ligne d’étendre ces données personnelles ou de proposer de nouveaux services à la personne concernée, ou pour conserver son propre “historique” en cas de changement de fournisseur), à condition que cela ne nécessite pas un effort disproportionné.
Le droit à la remise ou à la transmission de données est à distinguer du droit d’accès prévu à l’article 25 nLPD. Le droit d’accès permet à la personne concernée d’exiger du responsable du traitement qu’il lui indique quelles données personnelles il traite à son sujet. Cela permet à la personne concernée d’exiger la rectification ou la suppression de ses données personnelles en cas de traitement illicite de celles-ci.
En revanche, le nouveau droit à la remise ou à la transmission de données vise à renforcer le contrôle des personnes concernées sur leurs données personnelles ainsi que sur leur utilisation ultérieure. Il lui permet ainsi de disposer elle-même des données personnelles remises ou transmises, de les réutiliser ou de les transmettre à d’autres responsables. En outre, ce nouveau droit permet aux personnes concernées de passer plus facilement d’une offre à l’autre, ce qui favorise en outre la concurrence et l’innovation.
Pour les responsables, ce nouveau droit fonde l’obligation de mettre à disposition les données personnelles demandées sous forme agrégée dans un délai raisonnable et de permettre leur intégration dans un nouveau système sans effort disproportionné. Pour ce faire, ils doivent utiliser des formats de fichiers courants et mettre en œuvre des systèmes de gestion des données courants et standardisés afin que les données restent réutilisables.
Tant lors de la remise des données personnelles demandées que lors de leur transfert, les responsables doivent tenir compte des principes de la protection des données ainsi que de leurs obligations en matière de protection des données.
1 Sont considérées comme des données personnelles que la personne concernée a communiquées au responsable du traitement :
Rapport explicatif
Alinéa 1
Cette disposition précise quelles données personnelles relèvent du droit à la remise ou à la transmission des données. Le droit porte sur les données personnelles qui concernent la personne concernée et qui sont traitées de manière automatisée et sur la base d’un consentement ou en relation avec un contrat (art. 28, al. 1, nLPD).
En premier lieu, les données personnelles qui sont conservées sur papier sont exclues du droit.
Le droit ne s’applique pas non plus aux responsables qui traitent des données personnelles dans l’accomplissement d’une tâche publique ou dans l’intérêt public. Cela correspond à la réglementation de l’article 20, paragraphe 3, RGPD ainsi qu’à l’objectif principalement économique du droit à la remise ou à la transmission de données. Les organes fédéraux qui traitent des données personnelles dans le cadre de leurs tâches légales et sur la base d’une base légale ne sont donc en principe pas concernés par le droit à la remise ou à la transmission de données. Toutefois, si des organes fédéraux traitent des données personnelles, par exemple dans le cadre d’une concurrence avec des particuliers, il est envisageable que ces données personnelles soient couvertes par le droit. Dans tous les cas, il appartient au responsable de vérifier à quelles données personnelles qu’il traite le droit pourrait s’appliquer et lesquelles en sont exclues.
En outre, les données personnelles anonymisées ou celles qui ne concernent pas la personne concernée ne sont pas couvertes par le droit. En revanche, les données personnelles pseudonymisées qui peuvent être clairement mises en relation avec la personne concernée sont couvertes par l’art. 20, al. 1, let. a, LPD. Dans la pratique, il est probable que, dans de nombreux cas, des informations comprenant les données personnelles de plusieurs personnes soient également concernées, comme par exemple l’historique du compte d’un client ou des données relatives à des conversations téléphoniques ou à des messages contenant des informations sur des tiers. Dans le cadre d’une demande de remise ou de transfert de données personnelles, ces enregistrements devraient également être mis à la disposition du requérant ou de la requérante. Les données personnelles de tiers ne doivent toutefois pas être traitées à des fins qui porteraient atteinte à leurs droits et libertés. Ce serait le cas si le nouveau responsable utilisait les données personnelles transmises par des tiers à ses propres fins, par exemple pour leur proposer ses propres services. En revanche, il n’y aurait pas d’atteinte si, lors d’un transfert d’informations sur un nouveau compte bancaire à l’initiative du titulaire du compte, l’adresse de contact figurant dans l’historique de son compte bancaire continuait à être utilisée dans le même but, c’est-à-dire comme adresse de contact et pour son usage personnel.
En outre, l’art. 20, al. 1, ne concerne que les données personnelles que la personne concernée met activement à la disposition d’un responsable du traitement. Selon la let. a, cela concerne d’une part les données personnelles qu’elle fournit directement et consciemment au responsable, comme par exemple ses coordonnées via un formulaire en ligne ou en cliquant sur “J’aime”. Selon la lettre b, le droit englobe d’autre part les données personnelles que la personne concernée génère indirectement, c’est-à-dire par ses activités lors de l’utilisation d’un service ou d’un appareil (sciemment ou non) et qui sont observées par le responsable (données dites d’utilisation ou données “observées”, comme par exemple les requêtes de recherche, les journaux d’activités, l’historique de l’utilisation d’un site web).
Le fait que ces données personnelles soient incluses dans le droit à la remise et à la transmission correspond à la réglementation européenne ainsi qu’au sens et au but de la norme de l’article 28 nLPD, selon laquelle la personne concernée doit pouvoir demander la remise et la réutilisation des données personnelles qu’elle a mises à la disposition d’un responsable.
Alinéa 2
L’al. 2 décrit les données personnelles qui ne doivent pas être considérées comme des données personnelles communiquées par la personne concernée au sens de l’art. 28, al. 1, nLPD. Cette disposition précise ainsi le champ d’application du droit à la remise ou à la transmission des données. Ne sont donc pas concernées par ce droit les données personnelles qu’un responsable déduit lui-même par déduction des données personnelles mises à disposition ou observées par la personne concernée au sens de l’art. 20, al. 1, let. a et b, ou qu’il génère par ses propres analyses de ces données personnelles. On pense par exemple à l’évaluation de l’état de santé d’un utilisateur, à des profils d’utilisateurs ou de risques, à des analyses de risques de crédit, etc. Contrairement aux données personnelles mises à disposition, les prestations et les investissements du responsable se rapportent ici à l’analyse et à l’évaluation des données mises à disposition et non à la collecte et au traitement des données personnelles.
L’exclusion de ces données personnelles du droit à la remise ou à la transmission des données correspond à la réglementation du droit européen. L’objectif de ce droit étant de permettre à la personne concernée de réutiliser ses données personnelles, il semble justifié de prévoir une exception pour les données personnelles qu’un responsable génère en exploitant et en utilisant ses propres ressources (prestations propres, investissement personnel, algorithmes et procédés d’analyse internes à l’entreprise). Contrairement aux données personnelles “mises à disposition” par la personne concernée conformément à l’alinéa 1, l’intérêt du responsable à protéger ses propres prestations et son propre investissement est plus important pour ces données personnelles générées par le responsable. Ces données personnelles n’entrent donc pas dans le champ d’application du droit à la remise ou à la transmission des données.
Dans le cadre du droit d’accès selon l’article 25 nLPD et les dispositions du règlement y afférent (art. 16 – 19 art.), la personne concernée a toutefois la possibilité d’obtenir du responsable des informations sur ces données personnelles, leur but de traitement, leur durée de conservation ainsi que, en présence de décisions individuelles automatisées, sur la logique sur laquelle repose cette décision.
Il est important de noter que la disposition de l’article 20, alinéa 2, ne doit pas être comprise comme une restriction du droit à la remise ou à la transmission de données introduit à l’article 28 nLPD, mais qu’elle sert à interpréter la disposition légale en précisant le champ d’application du droit.
Au contraire, en raison du renvoi de l’article 29, 1er alinéa, nLPD à l’article 26, 1er et 2e alinéas, nLPD, les motifs prévus pour la limitation du droit d’accès s’appliquent par analogie également au refus, à la limitation ou à l’ajournement de la remise ou du transfert des données personnelles, par exemple pour protéger des intérêts prépondérants du responsable (par exemple en cas de secrets d’affaires ou de propriété intellectuelle) ou pour protéger des intérêts prépondérants de tiers. Cela ne doit toutefois pas conduire à refuser toute transmission d’informations à la personne concernée. Il convient plutôt de déterminer au cas par cas, dans le cadre d’un examen de la proportionnalité et d’une pesée des intérêts, si des données personnelles doivent être remises à la personne concernée ou transférées à un autre responsable, et si oui, lesquelles.
Si le responsable refuse ou limite la remise ou la transmission de données personnelles, ou s’il en diffère l’exécution, il est tenu de motiver sa décision vis-à-vis de la personne concernée, conformément à l’article 29, 2e alinéa, nLPD.
Rapport explicatif
Alinéa 1
Cette disposition précise ce qui doit être considéré comme un format électronique courant au sens de l’art. 28, al. 1, nLPD. Il s’agit notamment des formats qui permettent aux données personnelles d’être transmises et réutilisées par la personne concernée ou par un autre responsable avec un effort proportionné.
Dans la mesure où les données personnelles ne sont pas disponibles dans un format lisible par tous (notamment dans le cas de formats propriétaires ou peu utilisés), le responsable doit les convertir dans un format électronique courant. Les formats de données doivent permettre à la personne concernée de télécharger ses données dans un format standard lisible par ordinateur, directement depuis son compte ou son espace personnel. Il convient donc de choisir des formats de données adaptés à la nature des données concernées. Il convient de privilégier les formats ouverts et interopérables, tels que XML et JSON pour les solutions plus complètes, ainsi que CSV, ODT, ODS, etc. qui, dans de nombreux cas, conviennent à l’édition et à la transmission de données, car ils peuvent être repris par d’autres responsables sans problème de compatibilité notable. Les données fournies dans un format difficile à traiter (par exemple une image ou un PDF) ou dans un format propriétaire dont l’utilisation nécessite l’acquisition d’un logiciel ou d’une licence payante ne constituent a priori pas un format approprié.
En outre, le contenu des informations transmises doit être décrit avec précision à l’aide de métadonnées appropriées et compréhensibles, afin qu’elles puissent être reprises de manière pertinente dans un nouveau système. Les personnes concernées et les responsables qui reprennent les données dans le cadre d’un transfert de données doivent comprendre de quel type de données il s’agit. Ces métadonnées doivent être suffisamment complètes pour permettre l’utilisation et la réutilisation des données sans divulguer de secrets commerciaux.
Alinéa 2
Conformément au droit européen, cette disposition précise que le droit de la personne concernée de demander au responsable du traitement de lui fournir des données personnelles la concernant ou de les faire transférer par celui-ci à un autre responsable du traitement ne crée pas pour le responsable du traitement l’obligation d’adopter ou de conserver des systèmes de traitement des données techniquement compatibles.
Bien qu’il soit en principe possible d’introduire des normes pour les formats de données, le format le plus approprié devrait varier en fonction de la branche et du secteur. Il semble donc suffisant de prévoir l’utilisation de formats courants, sans spécifier ces formats de manière plus détaillée ou même exhaustive. D’un point de vue technique, il est nécessaire que les responsables créent les conditions permettant l’échange de données personnelles. En outre, les données personnelles échangées doivent pouvoir être utilisées par la personne concernée ou par le nouveau responsable. Pour ce faire, les responsables doivent mettre à disposition les données personnelles dans des formats interopérables et les décrire à l’aide de métadonnées appropriées de manière compréhensible pour la personne concernée et le nouveau responsable afin de permettre leur réutilisation.
al. 3
L’al. 3 précise quand, au sens de l’art. 28, al. 3, nLPD, un transfert exige un effort disproportionné et quand le responsable n’est pas tenu de transférer des données personnelles à un autre responsable à la demande de la personne concernée. Là encore, conformément au droit européen, il faut partir du principe qu’un transfert nécessite un effort proportionné lorsque celui-ci est techniquement possible et faisable.
Le responsable du traitement est donc tenu de transmettre les données personnelles directement à un autre responsable du traitement, à la demande de la personne concernée et dans un format interopérable. Même si l’autre responsable ne prend pas en charge ce format, une transmission directe des données peut également avoir lieu si la communication entre deux systèmes est possible de manière sécurisée et si le système destinataire est techniquement en mesure de recevoir les données entrantes. Il convient de vérifier au cas par cas si une transmission est techniquement réalisable. Il serait également envisageable que le responsable mette à disposition une interface de programme d’application (API) sécurisée afin de permettre à l’autre responsable de récupérer automatiquement les données personnelles. Toutefois, si la transmission directe des données n’est pas possible en raison d’obstacles techniques, le responsable doit informer la personne concernée de ces obstacles (art. 29, al. 2, nLPD).
Le responsable du traitement ne doit toutefois pas entraver de manière injustifiée la communication des données personnelles en prévoyant des obstacles techniques qui ralentissent ou empêchent l’accès aux données, leur transmission ou leur réutilisation par la personne concernée ou par un autre responsable du traitement. Ce serait le cas, par exemple, si l’interopérabilité des données n’est pas assurée ou si l’accès à un format de données, à une interface de programmation ou au format fourni n’est pas proposé, si des retards excessifs se produisent ou si la consultation de l’ensemble des données est trop compliquée, si les données sont délibérément dissimulées ou si des exigences de normalisation ou d’accréditation sectorielles spécifiques ou non justifiées sont imposées.
Les articles 16, paragraphes 1 et 5, et 17 à 19 s’appliquent par analogie au droit d’obtenir ou de transmettre des données.
Rapport explicatif
En ce qui concerne les modalités du droit à la remise ou à la transmission des données, diverses dispositions relatives au droit d’accès sont applicables par analogie. Cela concerne la forme sous laquelle la personne concernée peut demander la remise ou la transmission de ses données personnelles (art. 16, al. 1, art., anciennement art. 20, al. 1, P‑ODP), ainsi que les mesures appropriées qui doivent être prises pour garantir l’identification de la personne concernée (art. 16, al. 5, art., anciennement art. 20, al. 4, P‑ODP).
Les dispositions réglant les compétences en cas de demandes de renseignements émanant de plusieurs responsables (art. 17, al. 1, art., anciennement art. 21, al. 1, P‑ODP) ou en cas de traitement des données par un sous-traitant (art. 17, al. 2, art., anciennement art. 21, al. 2, P‑ODP) sont également applicables par analogie. Il convient de noter que les données personnelles traitées par des sous-traitants sont également soumises au droit à la remise ou à la transmission des données. Dans ce cas, il incombe au responsable de mettre en place les solutions techniques et organisationnelles permettant de faire valoir ce droit. Le sous-traitant doit aider le responsable du traitement à remplir ses obligations en ce qui concerne le droit à la restitution ou à la transmission des données (art. 17, al. 2, art., anciennement art. 21, al. 2, P‑LPD).
Enfin, les dispositions relatives aux délais (art. 18 art., anciennement art. 22 P‑LPD) et aux exceptions à la gratuité (art. 19 art., anciennement art. 23 P‑LPD) en cas de demande de renseignements s’appliquent par analogie au droit de remise ou de transmission de données.
Le responsable doit informer le conseiller à la protection des données :
Rapport explicatif
L’art. 10, al. 2, nLPD règle de manière non exhaustive deux domaines d’activité du conseiller à la protection des données d’un responsable privé : Il forme et conseille le responsable privé sur les questions de protection des données (let. a) et participe à l’exécution des prescriptions de protection des données (let. b). Comme ces domaines d’activité découlent suffisamment concrètement de la loi, ils ne seront pas à l’avenir définis une nouvelle fois dans l’ordonnance, contrairement au projet mis en consultation.
Lettres a et b
Le contenu de ces dispositions correspond à celui de l’art. 12b, al. 2, let. b et c, OLPD.
L’énumération des documents auxquels le conseiller à la protection des données doit avoir accès a été adaptée à la terminologie de la nLPD. L’accès n’est pas illimité, mais il ne doit être accordé qu’aux documents dont le conseiller à la protection des données a effectivement besoin pour accomplir sa tâche. Ainsi, l’accès aux données personnelles ne doit être accordé que si celles-ci sont nécessaires à l’accomplissement de la tâche. Si le conseiller à la protection des données vérifie par exemple de manière générale les prescriptions internes en matière de protection des données ou les processus de traitement des données, il n’aura en règle générale pas besoin de consulter des données personnelles.
En revanche, l’art. 12b, al. 2, let. a, OLPD n’est pas repris, car l’exigence qu’il mentionne est désormais prévue dans la loi (art. 10, al. 3, let. a, nLPD).
Lettre c
Le responsable doit accorder au conseiller à la protection des données le droit d’informer l’organe supérieur de direction ou d’administration dans les cas importants. Il s’agit ici de la direction suprême du responsable privé, c’est-à-dire de l’organe qui porte également la responsabilité du respect des prescriptions en matière de protection des données. La disposition établit un droit d’escalade pour le conseiller à la protection des données. Cela est nécessaire pour que le conseiller à la protection des données, lors de contrôles internes à l’entreprise du respect des règles de protection des données, ne doive pas seulement se fier aux documents dont il dispose, mais puisse également imposer l’obtention d’informations et de documents supplémentaires. En outre, cela garantit que le conseiller à la protection des données puisse, en cas de situations complexes et de violations particulièrement graves, faire rapport aux organes supérieurs du responsable ou du sous-traitant et obtenir une décision.
Abrogation de l’article 12a OLPD
Cette disposition est abrogée, car son contenu est désormais inscrit dans la loi (art. 10, al. 3, let. b et c nLPD).
Les entreprises et autres organisations de droit privé qui emploient moins de 250 personnes au 1er janvier d’une année donnée, ainsi que les personnes physiques, sont exemptées de l’obligation de tenir un registre des activités de traitement, sauf si l’une des conditions suivantes est remplie :
Rapport explicatif
En vertu de l’article 12 nLPD, les responsables du traitement et les sous-traitants doivent tenir chacun un registre de leurs activités de traitement. Ce registre doit contenir un certain nombre d’informations minimales. Pour le registre du responsable, il s’agit de : l’identité du responsable, le but du traitement, une description des catégories de personnes concernées et des catégories de données personnelles traitées, les catégories de destinataires, si possible la durée de conservation des données personnelles ou les critères de détermination de cette durée ainsi qu’une description générale des mesures prises pour assurer la sécurité des données conformément à l’art. 8 nLPD et, si les données sont communiquées à l’étranger, l’indication de l’Etat ainsi que les garanties prévues à l’art. 16, al. 2 nLPD (art. 12, al. 2 nLPD).
Pour certaines PME, la tenue d’un tel registre peut représenter une charge administrative disproportionnée par rapport aux risques potentiels que le traitement des données peut entraîner pour la personnalité des personnes concernées. Comme le Conseil fédéral doit prévoir des exceptions pour les entreprises, y compris les entreprises individuelles, en vertu de l’art. 12, al. 5, nLPD, il est par conséquent habilité à appliquer ces exceptions aux personnes physiques et aux autres entités juridiques telles que les associations et les fondations. Cela semble approprié, car la tenue du registre pourrait représenter pour elles, tout comme pour les PME, une charge de travail disproportionnée.
L’article 24 art. (anciennement art. 26 P‑LPD) concrétise ainsi l’art. 12, al. 5, nLPD en déterminant à qui s’appliquent ces exceptions et dans quels cas les risques d’atteinte à la personnalité au sens de cette disposition sont faibles (cf. message, FF 2017 7037). Il prévoit que les entreprises et autres organisations de droit privé employant moins de 250 personnes au 1er janvier d’une année (indépendamment du taux d’occupation) ainsi que les personnes physiques sont exemptées de l’obligation de tenir un registre des activités de traitement. Toutefois, cela ne vaut que si des données personnelles sensibles ne sont pas traitées à grande échelle (let. a) et si aucun profilage à haut risque n’est effectué (let. b). L’exigence de l’art. 24, let. a, correspond à l’art. 22, al. 2, let. a, nLPD. En d’autres termes, seules les PME qui effectuent certains traitements de données à haut risque sont tenues de tenir un registre des activités de traitement. L’énumération des traitements de données à haut risque est exhaustive dans cette disposition. En ce qui concerne l’exigence de la let. a, nous renvoyons aux explications relatives à l’exigence de même nature de l’art. 5, al. 1, let. a, OLPD. (anciennement art. 4, al. 1, let. a, P‑ODSG) concernant l’obligation pour les personnes privées d’établir un règlement de traitement.
Sont notamment considérés comme des traitements de données sensibles à grande échelle les traitements de données qui concernent de grandes quantités de données ou un grand nombre de personnes.
Les PME qui traitent des données au sens de l’article 24, points a) et b), de la loi sur la protection des données ne sont tenues de tenir un registre des activités de traitement que pour ces traitements de données, et non pour d’autres. Bien entendu, les PME exemptées de cette obligation ne sont pas empêchées de tenir volontairement un registre des activités de traitement. C’est justement lorsqu’un responsable traite régulièrement des données personnelles qu’il s’agit d’un instrument utile et simple pour garder une vue d’ensemble des activités de traitement, ce qui peut également faciliter le respect d’autres obligations par le responsable, comme l’obligation d’information.
Rapport explicatif
Les articles 25 – 28 art. (anciennement art. 25 – 30 P‑OLPD) remplacent l’art. 23 OLPD, qui traite du conseiller à la protection des données des organes fédéraux.
Chaque organe fédéral nomme un conseiller à la protection des données. Plusieurs organes fédéraux peuvent nommer ensemble un conseiller à la protection des données.
Rapport explicatif
L’art. 25 art. met en œuvre l’art. 10, al. 4, nLPD et l’art. 32 de la directive (UE) 2016/680. La réglementation selon laquelle plusieurs organes fédéraux peuvent désigner ensemble un conseiller à la protection des données doit permettre en particulier aux petits organes fédéraux ou aux départements disposant d’une structure organisationnelle centralisée d’exploiter des synergies utiles et permettant d’économiser des ressources. En revanche, on peut par exemple attendre des grands offices fédéraux qu’ils disposent à eux seuls d’un conseiller à la protection des données. Bien entendu, les organes fédéraux sont également libres de désigner plusieurs conseillers.
1 Le conseiller à la protection des données doit répondre aux exigences suivantes :
2 Il ou elle doit s’acquitter des tâches suivantes :
a. Elle ou il participe à l’application des règles de protection des données, notamment en
Rapport explicatif
Alinéa 1
L’article 26, 1er alinéa, art. reprend à la lettre a l’exigence de l’article 12a, 2e alinéa, dernière partie de la phrase, OLPD. A la let. b, il est désormais prévu – comme c’est le cas actuellement à l’art. 12b, al. 2, let. a, OLPD et par analogie avec la réglementation applicable aux responsables privés à l’art. 10, al. 3, let. a, nLPD – de manière contraignante pour tous les organes fédéraux (jusqu’à présent, seuls les organes fédéraux qui souhaitaient se libérer de l’obligation de déclarer leurs fichiers devaient remplir les exigences des art. 12a et 12b OLPD, voir art. 23, al. 2, OLPD) que le conseiller à la protection des données exerce sa fonction de manière professionnellement indépendante et sans être soumis à des instructions. Le rôle du conseiller à la protection des données est ainsi renforcé et institutionnalisé au sein des organes fédéraux, qui sont habituellement hiérarchisés, afin qu’il puisse accomplir ses tâches de manière efficace. Certes, le rôle du conseiller à la protection des données n’est que consultatif et de soutien, et le potentiel de conflit avec les organes responsables et supérieurs doit donc être considéré comme réduit. Il faut néanmoins garantir que le conseiller à la protection des données puisse formuler librement ses recommandations – même si, par nature, elles sont parfois désagréables – sans avoir à craindre de préjudices. L’indépendance implique également que le conseiller à la protection des données puisse s’adresser à la direction suprême de l’organe fédéral dans les cas importants, comme le prévoit explicitement l’art. 23, let. c, de la loi sur la protection des données pour les particuliers. L’indépendance du conseiller à la protection des données doit être garantie avant tout par des mesures organisationnelles : Il convient notamment d’éviter que l’activité de conseiller à la protection des données puisse avoir des répercussions négatives sur l’entretien d’évaluation.
Alinéa 2
Les tâches du conseiller à la protection des données de l’organe fédéral à l’al. 2 ont été harmonisées sur le plan terminologique avec la disposition applicable aux responsables privés (art. 10, al. 3, nLPD). L’al. 2, let. a, stipule que le conseiller à la protection des données participe à l’application des dispositions relatives à la protection des données, comme le prévoit déjà l’art. 10, al. 2, let. b, nLPD. Cela implique notamment que, selon le chiffre 1, il vérifie le traitement des données personnelles et recommande des mesures correctives si une violation des prescriptions de protection des données est constatée ; et que, selon le chiffre 2, il conseille le responsable lors de l’élaboration de l’analyse d’impact relative à la protection des données et vérifie son exécution. La participation du conseiller à la protection des données peut contribuer à décharger le PFPDT. L’exigence du chiffre 2 correspond à l’article 7, point c), de la directive (UE) 2016/680. Le conseiller à la protection des données doit être considéré comme un organe de conseil et d’assistance et non comme un organe de surveillance. En ce qui concerne la vérification des traitements et la recommandation de mesures correctives, il convient donc de souligner qu’il ne s’agit pas d’introduire une obligation de vérification active ou de prescrire des contrôles systématiques de tous les traitements de données. Il suffit plutôt qu’il soit actif si, par exemple, les services responsables lui demandent de vérifier un traitement de données ou si des informations lui parviennent selon lesquelles les prescriptions en matière de protection des données ont été violées. Bien entendu, le conseiller à la protection des données peut également procéder à des contrôles proactifs. En outre, le conseiller à la protection des données sert, conformément à l’alinéa 2, lettre b, de point de contact pour les personnes concernées, par exemple dans le cas d’une demande de renseignements selon l’article 25 nLPD.
1 L’organe fédéral a les obligations suivantes envers le conseiller à la protection des données :
Rapport explicatif
L’art. 27, al. 1, let. a, art. (anciennement art. 29, al. 1, P‑LPD) est identique à la réglementation concernant les responsables privés à l’art. 22, let. b, art. (anciennement art. 25, al. 2, let. b, P‑ODSG). On peut donc se référer ici par analogie aux explications qui y sont données. Si des bases légales spéciales s’opposent à l’accès du conseiller à la protection des données à certaines informations, notamment à des données personnelles, celles-ci priment conformément au principe général de la lex specialis. Le cas échéant, les données personnelles doivent être caviardées si le conseiller à la protection des données a besoin d’accéder à des informations contenant des données personnelles pour l’accomplissement de ses tâches. Conformément à l’art. 27, al. 1, let. b, art. LPD, l’organe fédéral est désormais tenu de veiller à ce que le conseiller soit informé des violations de la sécurité des données. Cette obligation peut par exemple être garantie par le fait que l’organe fédéral oblige ses collaborateurs, par le biais de directives, à informer le conseiller en cas de violation de la sécurité des données. Cette obligation ne concerne pas seulement les violations qui doivent être annoncées au PFPDT sur la base de l’article 24 nLPD, mais s’applique à toute violation de la sécurité des données. Le conseiller à la protection des données conseille le responsable pour savoir si la violation est soumise à une obligation de notification au sens de l’article 24 nLPD. La notification en soi relève toutefois de la responsabilité du responsable : C’est lui qui décide si et quelles violations doivent être notifiées au PFPDT.
L’al. 2 a été ajouté et prévoit une règle analogue à celle de l’art. 10, al. 3, let. d, nLPD pour les responsables privés. Cette disposition vise à faciliter l’exercice des droits des personnes concernées en leur permettant d’identifier directement au moins un interlocuteur spécialisé. Il n’est pas nécessaire de publier le nom du conseiller à la protection des données. Il suffit d’indiquer l’adresse électronique du service compétent. Les coordonnées du conseiller à la protection des données doivent également être communiquées au PFPDT.
Le conseiller à la protection des données sert de point de contact au PFPDT pour les questions liées au traitement de données personnelles par l’organe fédéral concerné.
Rapport explicatif
L’art. 28 Art. (anciennement art. 30 P‑ODSG) reprend, sous une forme précisée, le sens de l’art. 23, al. 3, OLPD. La formulation a toutefois été adaptée, car elle a été mal interprétée comme une limitation des contacts. Les organes fédéraux doivent rester libres de communiquer avec le PFPDT par l’intermédiaire d’autres services et pas seulement par l’intermédiaire du conseiller à la protection des données. Il ne s’agit pas de considérer ce dernier comme une personne de liaison pour le PFPDT, mais comme un point de contact, car il dispose des connaissances techniques et internes nécessaires pour les questions liées au traitement de données personnelles par son propre organe fédéral.
L’organe fédéral informe le destinataire de l’actualité, de la fiabilité et de l’exhaustivité des données personnelles qu’il a communiquées, dans la mesure où ces informations ne ressortent pas des données elles-mêmes ou des circonstances.
Rapport explicatif
Cette disposition correspond aux articles 12 et 26 OLPD et concerne la fiabilité des données personnelles communiquées. Outre l’ ”actualité” et la “fiabilité” des données personnelles, l’art. 29, al. 2, LPD (art. 15 LPD) mentionne également la “sécurité” des données. (anciennement art. 15 P‑ODSG) mentionne désormais l’ ”exhaustivité”. Pour garantir la qualité des données, celles-ci doivent être actuelles, fiables et complètes (c’est-à-dire qu’elles ne doivent être ni partielles ni lacunaires). La disposition est ainsi adaptée à l’article 7, paragraphe 2, de la directive (UE) 2016/680. Elle complète l’article 6, paragraphe 5 nLPD.
Si la personne concernée n’est pas tenue de fournir des informations, l’organe fédéral responsable l’en informe en cas de collecte systématique de données personnelles.
Rapport explicatif
Cette réglementation correspond à l’actuel article 24 OLPD : si la personne concernée n’est pas tenue de fournir des renseignements, l’organe fédéral responsable doit l’informer du caractère facultatif de la communication de ces renseignements. Conformément à la réglementation de l’art. 24 OLPD, cette obligation s’applique également uniquement à la collecte systématique de données personnelles. Elle concerne en particulier le domaine de la statistique et de la recherche.
Rapport explicatif
L’art. 31, al. 1, art. 2, prévoit que l’organe fédéral responsable doit annoncer au PFPDT les activités de traitement automatisé prévues au moment de la validation du projet ou de la décision de développement. Par rapport à l’annonce subsidiaire au PFPDT selon l’art. 20, al. 2, OLPD, qui vise à examiner le contenu des projets, la présente annonce sert au contraire au PFPDT à avoir une simple vue d’ensemble des projets prévus dans lesquels des données personnelles seront traitées de manière automatisée. En premier lieu, cette annonce doit permettre au PFPDT d’avoir une vue d’ensemble des projets prévus et d’optimiser ainsi la planification de ses ressources dans le domaine des activités de conseil et d’accompagnement de projets législatifs. En second lieu, cette annonce sert bien entendu aussi à la protection de la personnalité.
Etant donné que les projets se trouvent encore à un stade précoce au moment de la notification, le contenu de la notification visée à l’al. 2 se limite à un sous-ensemble des informations requises par l’art. 12, al. 2, nLPD, à savoir les let. a à d. Comme pour la notification des listes des activités de traitement déjà existantes selon l’art. 12 nLPD, le PFPDT inscrit les notifications des activités de traitement prévues dans le registre des activités de traitement selon l’art. 56 nLPD. Les informations relatives à la déclaration des activités de traitement prévues ne sont toutefois pas publiées (voir art. 42, al. 2, art.). L’organe fédéral responsable met à jour l’inscription conformément à l’al. 4 lorsque le projet est achevé avec succès, c’est-à-dire lors du passage à l’exploitation productive (ou transforme l’inscription en une déclaration selon l’art. 12, al. 4, nLPD), ou lors de l’arrêt du projet (c’est-à-dire de la suppression de l’inscription). La déclaration n’est donc “visible” pour le PFPDT qu’au moment de la validation du projet ou de la décision de le développer.
Un essai pilote est indispensable si l’une des conditions suivantes est remplie :
Rapport explicatif
En vertu de l’art. 35, al. 1, nLPD, le Conseil fédéral peut autoriser, avant l’entrée en vigueur d’une loi au sens formel, le traitement automatisé de données personnelles sensibles ou d’autres traitements de données au sens de l’art. 34, al. 2, let. b et c, nLPD, si certaines conditions cumulatives sont remplies. L’une de ces conditions est qu’une phase de test avant l’entrée en vigueur est indispensable pour la mise en œuvre pratique du traitement des données, notamment pour des raisons techniques. Afin de réduire la densité réglementaire de l’art. 35 nLPD, le Conseil fédéral a déplacé ces précisions de l’art. 17a, al. 2, LPD vers l’ordonnance.
L’article 32 Art. détermine les cas dans lesquels une phase de test doit être considérée comme indispensable. Il reprend l’article 17a, alinéa 2 LPD avec quelques modifications rédactionnelles. Ainsi, la notion de “nouveautés techniques” doit être comprise comme jusqu’à présent : Il s’agit d’une part de l’utilisation de nouvelles technologies, mais aussi de l’utilisation de technologies déjà connues dans un nouvel environnement ou lors de la mise en œuvre de nouvelles solutions. L’application SwissCovid peut servir d’exemple : Elle se base certes sur des technologies déjà connues, comme Bluetooth, mais qui n’ont encore jamais été utilisées dans une solution comparable. Seule la lettre c est adaptée : Désormais, tous les procédés d’appel sont concernés par le libellé et non plus seulement ceux qui créent un accès pour les autorités cantonales. Cette formulation restrictive avait des raisons historiques, mais sur le fond, ce n’est pas le cercle des destinataires de la procédure d’appel qui peut être déterminant, mais l’aspect technique qui est au premier plan pour admettre l’indispensabilité (cf. art. 35, al. 1, let. c, nLPD).
Au moins une des conditions mentionnées aux points a à c doit être remplie, ce qui signifie notamment qu’un essai pilote ne doit pas être utilisé uniquement pour des raisons de temps.
2 Le PFPDT se prononce sur la question de savoir si les conditions d’autorisation prévues à l’art. 35 LPD sont remplies. L’organe fédéral met à sa disposition tous les documents nécessaires à cet effet, en particulier
Rapport explicatif
Cette disposition reprend, avec quelques adaptations rédactionnelles, l’article 27 OLPD. Les renvois sont adaptés à la nLPD lorsque cela est nécessaire. Un nouvel al. 6 a été ajouté, dans lequel il est précisé – comme c’est le cas actuellement à l’art. 17a, al. 3, LPD – que le traitement automatisé des données est réglé dans une ordonnance. La transparence des essais pilotes est ainsi garantie.
Rapport explicatif
Cette disposition reprend l’article 27a OLPD.
En vertu de l’art. 34, l’organe fédéral compétent soumet le projet de rapport d’évaluation au PFPDT pour avis. S’il l’estime nécessaire, l’organe fédéral compétent adapte le rapport d’évaluation.
Lorsque des données personnelles sont traitées à des fins ne se rapportant pas à des personnes, notamment à des fins de recherche, de planification et de statistiques, et en même temps dans un autre but, les exceptions prévues à l’art. 39, al. 2, LPD ne s’appliquent qu’au traitement effectué à des fins ne se rapportant pas à des personnes.
Rapport explicatif
Afin de garantir que l’application des exceptions prévues à l’art. 39, al. 2, nLPD ne dépasse pas le cadre légal, l’ordonnance précise que, dans le cas d’un traitement de données à des fins ne se rapportant pas à des personnes (par ex. pour la recherche, la planification ou la statistique) qui sert en même temps une autre finalité, ces exceptions ne sont applicables qu’au traitement effectué pour les finalités mentionnées à l’art. 39 nLPD.
Rapport explicatif
Cette disposition correspond en principe à l’article 30 OLPD.
L’art. 36, al. 1, art. (anciennement art. 37, al. 1, P‑LPD) reste matériellement inchangé. Il est toutefois renoncé ici à la mention actuelle du secrétariat, car il résulte déjà du changement de terminologie de “préposé” à “PFPDT” qu’il s’agit de l’autorité dans son ensemble et qu’elle comprend donc également le secrétariat.
L’art. 36, al. 2, art. (anciennement art. 37, al. 1, P‑ODP) règle les rapports de travail du secrétariat permanent du PFPDT. Le contenu de cette disposition correspond à l’actuel art. 30, al. 2, OLPD. Par rapport au droit en vigueur, elle contient toutefois des adaptations (terminologiques) et un complément. Le préposé et le secrétariat permanent du PFPDT constituent, même après la révision totale de la LPD, une unité administrative décentralisée sans personnalité juridique, rattachée administrativement à la Chancellerie fédérale (art. 43, al. 4, 2e phrase, nLPD, art. 2, al. 1, let. e, [LPers] , art. 2, al. 3, de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration [LOGA] et art. 8, al. 1, let. b, en relation avec l’art. 2, al. 2, let. b, de la loi fédérale sur la protection des données [LPrD]). en relation avec l’annexe 1, let. A, ch. 2.1.1 de l’ordonnance du 25 novembre 1998 sur l’organisation du gouvernement et de l’administration [OLOGA]). Comme jusqu’à présent, l’art. 43, al. 5, 2e phrase, nLPD prévoit que le préposé engage lui-même son personnel et dispose dans ce cadre de certaines compétences. Ainsi, par exemple, les contrats de travail du personnel du PFPDT sont signés par le préposé. Toutefois, le préposé n’est toujours pas considéré par le secrétariat du PFPDT comme un employeur au sens de la LPers en matière de personnel ou de prévoyance. Selon l’art. 3, al. 1, let. a, LPers, l’employeur est le Conseil fédéral. Les rapports de travail des employés du secrétariat permanent du PFPDT restent donc régis par la législation sur le personnel de la Confédération, conformément à l’art. 36, al. 2, 1re phrase, de l’ordonnance sur le personnel de la Confédération. Par conséquent, l’ordonnance du 3 juillet 2001 sur le personnel de la Confédération (OPers), l’ordonnance du DFF du 6 décembre 2001 concernant l’ordonnance sur le personnel de la Confédération (O‑OPers) et l’ordonnance du 22 novembre 2017 concernant la protection des données personnelles du personnel de la Confédération (OPDP) restent applicables. L’actuel art. 30, al. 2, OLPD ne subit à cet égard qu’une adaptation terminologique (“employés du secrétariat permanent du PFPDT” au lieu de “secrétariat du préposé” et “législation sur le personnel de la Confédération” au lieu de “loi sur le personnel de la Confédération […] ainsi que […] ses dispositions d’exécution”). En outre, la deuxième phrase de l’art. 36, al. 2, précise que les employés du secrétariat permanent du PFPDT sont assurés auprès de la Caisse fédérale de pensions dans le cadre de la Caisse de prévoyance de la Confédération. Cet ajout n’apporte aucune modification matérielle, mais se contente de fixer expressément la réglementation en matière de prévoyance qui existait déjà pour le secrétariat permanent du PFPDT (cf. art. 32a, al. 1, et art. 32d, al. 1, LPers). Le personnel reste donc assuré conformément aux dispositions du règlement de prévoyance du 15 juin 2007 pour les employés et les bénéficiaires de rentes de la caisse de prévoyance de la Confédération (RPEC).
En ce qui concerne les rapports de travail du secrétariat permanent du PFPDT, le statu quo est donc maintenu pour l’instant. Cela se justifie notamment par le fait que le rattachement administratif à la Chancellerie fédérale permet au PFPDT de concentrer ses ressources sur le fonctionnement opérationnel. La collaboration entre la Chancellerie fédérale et le PFPDT est organisée de manière à garantir l’indépendance du PFPDT. La question se pose néanmoins de savoir si le préposé doit disposer de compétences d’employeur en matière de droit du personnel et de droit de la prévoyance à l’égard des employés du secrétariat permanent. Cette question devra être clarifiée à la prochaine occasion au niveau de la loi formelle. L’examen coordonné et l’adaptation des bases légales spéciales relatives aux données des personnes morales, qui doivent avoir lieu dans les cinq ans suivant l’entrée en vigueur de la nLPD (cf. art. 71 nLPD), pourraient en être l’occasion.
En revanche, les dispositions d’exécution relatives aux rapports de travail du préposé ne doivent pas être édictées par le Conseil fédéral, mais par l’Assemblée fédérale. En effet, les rapports de travail du préposé sont désormais fondés sur son élection par l’Assemblée fédérale (art. 43, al. 1, nLPD). Dans le cadre de l’initiative parlementaire 21.443, la CIP‑N a adopté le 27 janvier 2022 un projet d’ordonnance de l’Assemblée fédérale qui contient les dispositions d’exécution relatives aux rapports de travail du préposé. En outre, certaines modifications de la nLPD sont prévues dans ce contexte. Le Parlement a adopté les projets lors du vote final du 17 juin 2022.
L’art. 30, al. 3, OLPD n’a pas été conservé, car le PFPDT gère désormais un budget autonome, qui est réglé de manière exhaustive à l’art. 45 nLPD et à l’art. 142, al. 2 et 3, de la loi du 13 décembre 2002 sur le Parlement (nLParl).
Rapport explicatif
L’art. 37 Art. constitue en grande partie une reprise de l’art. 31, al. 1 et 1bis OLPD. L’art. 31, al. 2, n’a pas été repris dans l’art. car il découle de toute façon de l’indépendance et du fait que le PFPDT n’est pas lié par des instructions que le PFPDT peut communiquer directement avec d’autres unités administratives. La suppression n’entraîne donc aucune modification du droit matériel. Par rapport à l’art. 31 OLPD, le premier alinéa a été modifié. La nouvelle formulation vise à préciser que le PFPDT peut également entrer en contact avec le Conseil fédéral pour des questions qui ne figurent pas à l’ordre du jour d’une séance du Conseil fédéral, par exemple en lui transmettant des prises de position. Cela mis à part, le contenu de l’al. 1 reste inchangé, car le chancelier de la Confédération doit transmettre toutes les communications au Conseil fédéral et n’a aucune marge de manœuvre à cet égard. Cela vaut également pour la procédure de co-rapport. Seule la formulation de l’al. 2 a été légèrement adaptée ; le contenu de droit matériel correspond toutefois à l’art. 31, al. 1bis , OLPD.
Rapport explicatif
Cette disposition correspond à l’art. 32, al. 1, OLPD, à l’exception d’adaptations terminologiques et systématiques.
Alinéa 2 : Le PFPDT doit être impliqué le plus tôt possible. Il doit être consulté au plus tard dans le cadre de la consultation des offices.
Le PFPDT peut traiter des données personnelles, y compris des données personnelles sensibles, notamment dans les buts suivants :
Rapport explicatif
Selon le droit en vigueur, l’art. 32, al. 2, OLPD précise les finalités pour lesquelles le PFPDT exploite un système d’information et de documentation. Le nouvel art. 57h LOGA, introduit dans le cadre de la révision totale de la LPD, stipule toutefois de manière générale que les unités de l’administration fédérale utilisent des systèmes électroniques de gestion des affaires pour gérer leurs documents. A l’avenir, il ne sera donc pas nécessaire de mentionner l’utilisation du système de gestion des affaires dans l’art.
En revanche, les finalités pour lesquelles le PFPDT traite des données personnelles sont désormais réglées de manière plus détaillée (al. 1). Il peut traiter des données personnelles, y compris des données sensibles, notamment pour exercer ses activités de surveillance (let. a), pour exercer ses activités de conseil (let. b), pour collaborer avec les autorités fédérales, cantonales et étrangères (let. c), pour accomplir des tâches dans le cadre des dispositions pénales de la LPD (let. d) et pour établir des recommandations (let. e). d), pour mener des procédures de médiation et émettre des recommandations conformément à la loi fédérale du 17 décembre 2004 sur le principe de la transparence dans l’administration (LTrans) (let. e), pour mener des évaluations conformément à la LTrans (let. f), pour mener des procédures d’accès à des documents officiels conformément à la LTrans (let. g), pour informer la surveillance parlementaire (let. h), pour informer le public (let. i) et pour exercer ses activités de formation (let. j).
Le PFPDT établit un règlement de traitement pour tous les traitements automatisés ; l’article 6, paragraphe 1, n’est pas applicable.
Rapport explicatif
L’article 48 nLPD prévoit que le PFPDT doit s’assurer, par des mesures appropriées, que les prescriptions en matière de protection des données sont exécutées conformément au droit au sein de son autorité. Le message relatif à la loi sur la protection des données précise que le Conseil fédéral est chargé de concrétiser dans l’ordonnance les mesures que le PFPDT doit prendre (FF 2017 6941, 7089).
Selon l’art. 40, al. 1, let. a, on attend du PFPDT qu’il établisse un règlement de traitement pour tous les traitements automatisés qu’il effectue, et pas seulement dans les cas mentionnés à l’art. 6, al. 1, let. a, comme par exemple le traitement de données personnelles sensibles ou le profilage. Même si cela n’est pas expressément précisé (contrairement à ce qui était encore le cas à l’art. 41, al. 2, P‑LPDT), le PFPDT doit, à l’instar des autres organes fédéraux tenus d’établir un règlement de traitement (cf. art. 6, art.), prévoir des processus internes garantissant que ses traitements de données sont effectués conformément au règlement de traitement et vérifier le respect de ce règlement.
Rapport explicatif
Afin que le PFPDT puisse analyser une violation de la sécurité des données qui lui a été signalée par le responsable du traitement sur la base de l’art. 24 nLPD et de l’art. 15, al. 1, NCSP, le PFPDT a décidé d’établir une liste de contrôle. (anciennement art. 19 P‑LPD), de faire appel aux spécialistes techniques du NCSC, l’art. 41, al. 1, let. a, LPD prévoit que le NCSC peut faire appel à des spécialistes techniques. (anciennement art. 42 P‑ODSG) prévoit que le PFPDT peut transmettre au NCSC les informations relatives à la notification d’une violation de la sécurité des données. La transmission peut contenir toutes les données prévues à l’art. 15, al. 1, art. 2, mais doit en même temps se limiter aux données nécessaires au NCSC pour l’analyse de l’incident. La communication du PFPDT au NCSC peut également contenir des données personnelles. La condition est que le responsable qui est tenu de communiquer au PFPDT ait donné son accord préalable à la transmission. En outre, la transmission ne doit pas avoir pour effet de contourner l’art. 24, al. 6, nLPD, selon lequel la communication ne peut être utilisée dans le cadre d’une procédure pénale qu’avec l’accord de la personne soumise à l’obligation de communiquer. L’art. 41, al. 1, let. a, ne permet pas au PFPDT de transmettre systématiquement les communications au NCSC. Au contraire, le PFPDT ne peut faire usage de cette possibilité que dans des cas particuliers, lorsque les connaissances techniques du NCSC sont nécessaires pour élucider un incident. La disposition doit être transférée au niveau de la loi à la prochaine occasion. C’est pourquoi un nouvel art. 24, al. 5bis nLPD est prévu dans l’annexe de l’avant-projet de modification de la loi sur la sécurité de l’information du 18 décembre 2020 (LSI), que le Conseil fédéral a mis en consultation le 12 janvier 2022. Celui-ci doit également régler la communication par le PFPDT au NCSC de données personnelles sensibles concernant des poursuites ou des sanctions administratives ou pénales du responsable soumis à l’obligation de déclarer. Si et dès que le nouvel art. 24, al. 5bis nLPD entrera en vigueur, l’art. 41, al. 1 Art. pourra à nouveau être abrogé.
L’art. 41, al. 2, let. a, précise que le PFPDT et le NCSC se coordonnent dans les domaines d’activité qui se recoupent. Cette norme correspond en principe à l’art. 20, al. 3, 2e phrase, OLPD. Le PFPDT est tenu d’inviter le NCSC à prendre position avant d’ordonner à l’organe fédéral de prendre les mesures prévues à l’art. 8 nLPD. La base légale pour une telle injonction est l’art. 51, al. 3, let. b, nLPD. L’objectif est notamment d’éviter que le PFPDT et le NCSC n’imposent des directives différentes aux organes fédéraux dans le même domaine. L’indépendance du PFPDT reste toutefois garantie, puisqu’il est uniquement tenu de demander l’avis, et non de le prendre en compte.
Rapport explicatif
En vertu de l’art. 12, al. 4, nLPD, les organes fédéraux doivent communiquer leurs listes d’activités de traitement au PFPDT. L’article 56 nLPD exige de ce dernier qu’il tienne un registre des activités de traitement des organes fédéraux et qu’il le publie.
L’art. 42, al. 1, nLPDT précise ce que doit contenir le registre du PFPDT, à savoir les indications que les organes fédéraux doivent fournir conformément à l’art. 12, al. 2, nLPDT. En outre, le registre contient également les indications relatives aux activités de traitement automatisé prévues par les organes fédéraux conformément à l’art. 31, al. 2, art.
Le deuxième alinéa précise que le registre du PFPDT doit être publié sur Internet. Les inscriptions au registre concernant les activités de traitement automatisé prévues par les organes fédéraux conformément à l’art. 31, al. 1, ne sont pas publiées, car elles ne peuvent pas encore être considérées comme définitives au moment de leur inscription ou peuvent encore faire l’objet de modifications.
Lorsqu’un code de conduite est soumis au PFPDT, celui-ci indique dans son avis si le code de conduite remplit les conditions fixées à l’art. 22, al. 5, let. a et b, LPD.
Rapport explicatif
En vertu de l’art. 22, al. 5, nLPD, le responsable privé peut renoncer à l’établissement d’une analyse d’impact relative à la protection des données s’il est certifié conformément à l’art. 13 nLPD ou s’il respecte un code de conduite au sens de l’art. 11 nLPD, qui remplit certaines conditions. Lorsqu’un code de conduite est soumis au PFPDT, celui-ci indique dans son avis s’il estime que les conditions sont remplies pour renoncer à l’établissement d’une analyse d’impact relative à la protection des données. Cette disposition précise qu’un responsable de traitement qui souhaite renoncer à une analyse d’impact relative à la protection des données doit soumettre son code de conduite au PFPDT et que ce dernier doit avoir la possibilité d’évaluer le code. Il ne s’agit pas d’une approbation, mais si, contrairement à l’avis du PFPDT, un responsable souhaite faire usage de l’exception prévue à l’art. 22, al. 5, let. a à c, le PFPDT peut ordonner, sur la base de l’art. 51, al. 3, let. d, nLPD, que le responsable procède à une analyse d’impact relative à la protection des données.
Rapport explicatif
En vertu de l’art. 59, al. 1, nLPD, le PFPDT doit percevoir des émoluments pour certaines prestations qu’il fournit à des personnes privées. Il s’agit notamment de la prise de position sur un code de conduite (let. a), de l’approbation de clauses standard de protection des données et de prescriptions internes contraignantes en matière de protection des données dans les entreprises (let. b), de l’examen de l’analyse d’impact relative à la protection des données (let. c), des mesures préventives et des mesures prévues à l’art. 51 nLPD (let. d) ainsi que des conseils en matière de protection des données (let. e).
L’article 59, alinéa 2 nLPD charge le Conseil fédéral de fixer le montant des émoluments.
L’article 44, 1er alinéa, art. (anciennement art. 44, al. 1, P‑ODSG) fixe le principe selon lequel les émoluments sont calculés en fonction du temps consacré. Selon l’alinéa 2, un tarif horaire de 150 à 250 francs s’applique selon la fonction du personnel exécutant. Le montant se base sur le tarif horaire du personnel de la fonction requise pour pouvoir fournir la prestation. Le PFPDT calcule donc les émoluments sur la base des heures effectuées par le personnel exécutant. Toute personne ayant contribué à la fourniture de la prestation doit être prise en compte. Selon l’al. 3, le PFPDT a la possibilité de percevoir des suppléments allant jusqu’à 50 % de l’émolument prévu à l’al. 2 en cas de prestation d’une ampleur, d’une difficulté ou d’une urgence exceptionnelles. Cette règle précise la prescription générale de l’art. 5, al. 3, de l’ordonnance générale sur les émoluments du 8 septembre 2004 (OGEmol). Si la prestation du PFPDT peut être réutilisée à des fins commerciales par la personne assujettie à l’émolument, le PFPDT peut, conformément à l’al. 4, percevoir des suppléments allant jusqu’à 100 % de l’émolument prévu à l’al. 2. Par exemple, si le PFPDT évalue un outil qui peut être revendu par le requérant en tant qu’application conforme aux exigences de la protection des données, le PFPDT doit avoir la possibilité de majorer l’émolument de sorte qu’il corresponde approximativement au salaire horaire d’un avocat spécialisé. L’élément déterminant est de savoir si le service est susceptible d’être réutilisé à des fins commerciales, indépendamment du fait que cela se produise effectivement. La réglementation prévue à l’al. 4 concerne en particulier le cas du conseil au sens de l’art. 59, al. 1, let. e, nLPD. Néanmoins, il est également envisageable que le PFPDT évalue des clauses standard de protection des données ou des codes de conduite qui peuvent être réutilisés à des fins commerciales, par exemple parce qu’ils peuvent servir de prototype pour d’autres clauses standard de protection des données ou d’autres codes de conduite. Le paragraphe 5 déclare par ailleurs l’AllgGebV applicable. Pour sa part, l’AllgGebV règle notamment les principes de la perception des émoluments, les exceptions à l’obligation de payer des émoluments ainsi que la procédure de recouvrement.
L’abrogation et la modification d’autres actes législatifs sont réglées à l’annexe 2.
Rapport explicatif
Comme les dispositions relatives à l’abrogation et à la modification d’autres actes législatifs représentent ensemble plus d’une page imprimée, elles sont présentées dans une annexe. L’abrogation et la modification d’autres actes législatifs sont commentées au chiffre 7.
Rapport explicatif
L’article 4, paragraphe 2, oblige les organes fédéraux responsables et leurs sous-traitants à journaliser le traitement automatisé des données personnelles. Pour les traitements de données relevant du champ d’application de la directive (UE) 2016/680, l’obligation de journalisation s’applique depuis l’entrée en vigueur de la loi sur la protection des données Schengen en vertu de l’art. 25 de ladite directive. Différents organes fédéraux ont signalé un surcroît de travail dans le cadre de la mise en œuvre de l’article 4, paragraphe 2, de la loi sur la protection des données. Pour tenir compte de ce surcroît de travail, l’article 46, paragraphe 1, prévoit une période transitoire de trois ans à compter de l’entrée en vigueur du règlement ou, au plus tard, à la fin du cycle de vie du système, pour les traitements de données restants. Pendant cette période, l’article 4, paragraphe 1, du règlement s’applique à ces traitements de données.
L’article 8, paragraphe 5, art. introduit l’obligation de publier les évaluations. L’article 46, paragraphe 2, stipule que les évaluations effectuées avant l’entrée en vigueur du règlement ne sont pas publiées.
Selon l’art. 31, les organes fédéraux doivent désormais annoncer au PFPDT les activités de traitement automatisé qu’ils prévoient d’effectuer, et ce au moment de la validation du projet ou de la décision de développement du projet. L’al. 3 prévoit donc, à titre transitoire, que l’art. 31, al. 1, ne s’applique pas aux activités de traitement automatisé planifiées pour lesquelles la validation du projet ou la décision de développement du projet a déjà été prise au moment de l’entrée en vigueur de l’ordonnance.
Le présent règlement entre en vigueur le 1er septembre 2023.
19.
44 États-Unis*** – Pour les données personnelles traitées par des organisations certifiées conformément aux principes du cadre de protection des données entre la Suisse et les États-Unis9 , un niveau de protection adéquat est réputé assuré sur la base des garanties prévues par le règlement d’application 14086 du 7 octobre 2022, la règle sur le tribunal d’examen de la protection des données du procureur général des États-Unis du 7 octobre 2022 et la règle sur le tribunal d’examen de la protection des données du procureur général des États-Unis du 7 octobre 2022. octobre 2022 et de la directive 126 de la communauté du renseignement (procédure de mise en œuvre pour le mécanisme de recours en matière de renseignement selon le règlement d’application 14086), établie par le bureau de la directrice du renseignement national le 6 décembre 2022, et en raison de la désignation de la Suisse le 7 juin 2024 en tant qu’État bénéficiant du mécanisme de recours à deux niveaux, y compris l’accès au tribunal chargé de l’examen de la protection des données.
L’évaluation du caractère adéquat de la protection des données inclut la communication de données personnelles conformément à la directive (UE) 2016/680.
* L’évaluation du caractère adéquat de la protection des données inclut la communication de données personnelles conformément à une décision d’exécution de la Commission européenne établissant le caractère adéquat de la protection des données conformément à la directive (UE) 2016/680.
** L’évaluation du caractère adéquat de la protection des données n’inclut pas la communication de données personnelles dans le cadre de la coopération prévue par la directive (UE) 2016/680.
Rapport explicatif
En vertu de l’art. 16, al. 1, nLPD, le Conseil fédéral est compétent en la matière et a pour tâche d’évaluer quel Etat (ou quel territoire ou secteur spécifique d’un Etat) et quel organe international garantissent un niveau de protection adéquat pour la communication de données personnelles à l’étranger.
Une liste des États est publiée en annexe du règlement. L’objectif de cette liste est de créer un espace unique en matière de protection des données. La liste sera régulièrement révisée afin de tenir compte, d’une part, des pratiques d’autres États et, d’autre part, des développements au niveau international, notamment des ratifications de la Convention STE 108 révisée. Par conséquent, la liste n’est pas définitive et pourrait encore être modifiée avant l’entrée en vigueur du règlement.
L’évaluation du caractère adéquat de la protection des données n’inclut la divulgation de données à des fins répressives que si cela est indiqué dans l’annexe. Ainsi, un astérisque signifie que l’évaluation du caractère adéquat de la protection des données inclut la divulgation de données personnelles conformément à la directive (UE) 2016/680, tandis que deux astérisques signifient que la divulgation de données personnelles conformément à une décision d’exécution de la Commission européenne constatant le caractère adéquat de la protection des données conformément à la directive (UE) 2016/680 est incluse (c’est actuellement le cas pour le Royaume-Uni). Enfin, trois astérisques signifient que l’évaluation du caractère adéquat de la protection des données n’inclut pas la communication de données personnelles dans le cadre de la coopération prévue par la directive (UE) 2016/680.
18) États, territoires, secteurs spécifiques d’un État et organes internationaux disposant d’un niveau de protection des données adéquat