Texte de l’ancienne OLPD, en vigueur jusqu’à fin août 2023. Les textes ont été convertis de manière automatisée – nous vous remercions de nous signaler toute erreur.
1 Les critères suivants permettent de déterminer si les mesures techniques ou organisationnelles visant à garantir la sécurité des données sont proportionnées au risque :
a. l’objectif, la nature, l’étendue et les circonstances du traitement des données ;
b. la probabilité d’occurrence d’une violation de la sécurité des données et ses conséquences potentielles pour les personnes concernées ;
c. l’état de la technique ;
d. les coûts de mise en œuvre.
2 Les mesures doivent être réexaminées à intervalles appropriés pendant toute la durée du traitement.
Art. 2 Objectifs de protection
Dans la mesure où elles sont appropriées, les mesures visant à garantir la sécurité des données doivent atteindre les objectifs de protection suivants :
a. Contrôle d’accès : l’accès des personnes autorisées est limité aux données personnelles dont elles ont besoin pour accomplir leur tâche.
b. Contrôle d’accès : l’accès aux installations et aux équipements dans lesquels des données personnelles sont traitées est interdit aux personnes non autorisées.
c. Contrôle des supports de données : la lecture, la copie, la modification, le déplacement ou la suppression de supports de données sont rendus impossibles aux personnes non autorisées.
d. Contrôle de la mémoire : l’introduction non autorisée dans la mémoire des données ainsi que la consultation, la modification ou l’effacement non autorisés de données personnelles enregistrées sont empêchés.
e. Contrôle des utilisateurs : l’utilisation de systèmes de traitement automatisé de données au moyen d’équipements de transmission de données par des personnes non autorisées est empêchée.
f. Contrôle du transport : lors de la communication de données personnelles et du transport de supports de données, il faut empêcher que les données puissent être lues, copiées, modifiées ou effacées de manière non autorisée.
g. Contrôle de la saisie : dans les systèmes automatisés, il est possible de vérifier quelles données personnelles ont été saisies ou modifiées, à quel moment et par quelle personne.
h. Contrôle de la communication : il est possible de vérifier à qui des données personnelles ont été communiquées à l’aide de dispositifs de transmission de données.
i. Restauration : la disponibilité des données personnelles et l’accès à celles-ci peuvent être rapidement rétablis en cas d’incident physique ou technique.
j. Il est garanti que toutes les fonctions du système sont disponibles (disponibilité), que les dysfonctionnements qui surviennent sont signalés (fiabilité) et que les données personnelles enregistrées ne peuvent pas être endommagées par un dysfonctionnement du système (intégrité des données).
k. Détection : les violations de la sécurité des données peuvent être rapidement détectées et des mesures peuvent être prises pour en atténuer ou en éliminer les conséquences.
Art. 3 Établissement du procès-verbal
1 Si l’analyse d’impact relative à la protection des données révèle que le traitement automatisé de données personnelles présente encore un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées malgré les mesures prévues par le responsable du traitement, le responsable privé et son sous-traitant enregistrent au moins les opérations suivantes : l’enregistrement, la modification, la lecture, la communication, l’effacement ou la destruction.
2 Lors du traitement automatisé de données personnelles, les organes fédéraux et leurs mandataires enregistrent au moins les opérations suivantes : l’enregistrement, la modification, la lecture, la communication, l’effacement ou la destruction.
3 Le procès-verbal indique la nature du traitement, l’identité de la personne qui a effectué le traitement, l’identité du destinataire et le moment où le traitement a eu lieu.
4 Les fichiers journaux doivent être conservés pendant deux ans, séparément du système dans lequel les données personnelles sont traitées. Ils ne sont accessibles qu’aux organes ou aux personnes chargés de la surveillance des règles de protection des données ou du rétablissement de la confidentialité, de l’intégrité, de la disponibilité et de la traçabilité des données, et ne peuvent être utilisés qu’à cette fin.
Art. 4 Règlement de traitement des personnes privées
1 Le responsable et ses sous-traitants doivent établir un règlement pour les traitements automatisés lorsqu’ils :
a. traitent des données personnelles sensibles à grande échelle ; ou
b. effectuer un profilage à haut risque.
2 Le règlement doit contenir au moins les indications suivantes
a. au but du traitement ;
b. sur les catégories de personnes concernées et les catégories de données personnelles traitées ;
c. à la durée de conservation des données personnelles ou aux critères de détermination de cette durée ;
d. sur l’organisation interne ;
e. sur l’origine des données personnelles et sur la manière dont elles ont été collectées ;
f. sur les mesures techniques et organisationnelles visant à garantir la sécurité des données ;
g. sur les droits d’accès ainsi que sur le type et l’étendue des accès ;
h. aux mesures prises pour minimiser les données ;
i. sur les procédures de traitement des données, notamment les procédures d’enregistrement, de rectification, de communication, de conservation, d’archivage, de pseudonymisation, d’anonymisation et d’effacement ou de destruction ;
j. sur la procédure à suivre pour exercer le droit d’accès et le droit d’obtenir ou de transmettre des données.
3 La personne privée doit actualiser régulièrement le règlement et le mettre à la disposition du conseiller à la protection des données sous une forme compréhensible pour ce dernier.
Art. 5 Règlement de traitement des organes fédéraux
1 L’organe fédéral responsable et ses sous-traitants établissent un règlement de traitement pour les traitements automatisés lorsqu’ils :
a. traitent des données personnelles sensibles ;
b. procéder à un profilage ;
c. effectuent des traitements de données au sens de l’article 34, alinéa 2, lettre c LPD ;
d. Les cantons, les autorités étrangères, les organisations internationales ou les personnes privées auront accès à des données personnelles ;
e. relier des bases de données entre elles ; ou
f. exploiter un système d’information ou gérer des bases de données en collaboration avec d’autres organes fédéraux.
2 Le règlement doit contenir au moins les indications visées à l’art. 4, al. 2.
3 L’organe fédéral responsable doit actualiser régulièrement le règlement et le mettre à la disposition du conseiller à la protection des données sous une forme compréhensible pour ce dernier, ainsi que du Préposé fédéral à la protection des données et à la transparence (PFPDT) sur demande.
Section 2 Traitement par les sous-traitants
Art. 6 Modalités
1 Le responsable qui confie le traitement de données personnelles à un sous-traitant reste responsable de la protection des données. Il doit s’assurer que les données sont traitées conformément au contrat ou à la loi.
2 Si le sous-traitant n’est pas soumis à la LPD, le responsable doit s’assurer que d’autres dispositions légales garantissent une protection des données équivalente. Dans le cas contraire, il doit l’assurer par voie contractuelle.
3 Si le responsable est un organe fédéral, le sous-traitant peut confier le traitement des données à un tiers si l’organe fédéral l’a autorisé par écrit.
Art. 7 Information au conseiller à la protection des données de l’organe fédéral
L’organe fédéral informe immédiatement le conseiller à la protection des données de la conclusion d’un contrat avec un sous-traitant ou de l’autorisation de transférer le traitement des données à un tiers. Il informe également le conseiller à la protection des données en cas de problèmes de respect des dispositions légales ou contractuelles en matière de protection des données.
Section 3 Communication de données personnelles à l’étranger
Art. 8 Évaluation du caractère adéquat de la protection des données d’un État étranger ou d’un organe international
1 Lorsque des données personnelles sont communiquées à l’étranger, les critères suivants doivent notamment être pris en compte pour déterminer si un État, un territoire, un ou plusieurs secteurs spécifiques dans un État ou un organe international assure une protection adéquate des données :
a. les obligations internationales de l’État ou de l’institution internationale en matière de protection des données ;
b. le respect des droits de l’homme ;
c. la législation en vigueur en matière de protection des données ainsi que sa mise en œuvre et la jurisprudence pertinente ;
d. la garantie effective des droits des personnes concernées et de la protection juridique ;
e. le fonctionnement effectif d’une ou de plusieurs autorités indépendantes chargées de la protection des données dans l’État concerné ou placées sous l’autorité d’un organe international et dotées de pouvoirs et de compétences suffisants.
2 Lors de l’évaluation, les appréciations d’organes internationaux ou d’autorités étrangères compétentes en matière de protection des données peuvent être prises en compte.
3 L’adéquation de la protection des données de l’État, du territoire, des secteurs spécifiques dans un État ou de l’institution internationale concernés est réévaluée périodiquement.
4 S’il ressort d’une évaluation selon l’al. 3 ou des informations disponibles qu’un Etat, un territoire, un ou plusieurs secteurs spécifiques dans un Etat ou un organe international n’assure plus une protection adéquate des données, la décision est modifiée, suspendue ou annulée conformément à l’art. 16, al. 1, LPD. Cette nouvelle décision n’a aucun effet sur les communications de données déjà effectuées.
5 Les États, territoires, secteurs spécifiques dans un État et organes internationaux disposant d’une protection adéquate des données sont énumérés à l’annexe 1.
6 Le PFPDT est consulté avant toute décision relative à l’adéquation de la protection des données.
Art. 9 Clauses de protection des données et garanties spécifiques
1 Les clauses de protection des données figurant dans un contrat au sens de l’art. 16, al. 2, let. b, LPD et les garanties spécifiques au sens de l’art. 16, al. 2, let. c, LPD doivent régler au moins les points suivants :
a. l’application des principes de légalité, de bonne foi, de proportionnalité, de finalité et d’exactitude ;
b. les catégories de données personnelles communiquées ainsi que les personnes concernées ;
c. la nature et le but de la communication des données personnelles ;
d. les noms des États vers lesquels les données personnelles sont communiquées ;
e. les noms des organes internationaux auxquels les données personnelles sont communiquées ;
f. les exigences en matière de conservation, d’effacement et de destruction des données personnelles ;
g. les destinataires autorisés à traiter les données ;
h. les mesures prises pour garantir la sécurité des données ;
i. les exigences relatives à la communication de données personnelles à un autre Etat étranger ou à un autre organe international ;
j. l’obligation pour le destinataire d’informer les personnes concernées du traitement ;
k. les droits de la personne concernée, à savoir :
1 . le droit d’accès,
2 . le droit d’opposition,
3 . le droit de rectification, d’effacement ou de destruction de leurs données,
4 . le droit de demander une protection juridique à une autorité indépendante.
2 Le responsable doit prendre des mesures appropriées pour s’assurer que le destinataire respecte les clauses de protection des données figurant dans un contrat ou les garanties spécifiques.
3 Si le PFPDT a été informé des clauses de protection des données dans un contrat ou des garanties spécifiques, l’obligation d’information est considérée comme remplie pour toute communication ultérieure qui :
a. sont effectuées sous les mêmes clauses de protection des données ou garanties, pour autant que les catégories de destinataires, la finalité du traitement et les catégories de données restent pour l’essentiel inchangées ; ou
b. avoir lieu au sein de la même personne morale ou société, ou entre des entreprises appartenant au même groupe, dans la mesure où les clauses de protection des données ou les garanties continuent d’assurer une protection appropriée des données.
Art. 10 Clauses standard de protection des données
1 Si le responsable communique des données personnelles à l’étranger au moyen de clauses standard de protection des données selon l’art. 16, al. 2, let. d, LPD, il prend des mesures appropriées pour s’assurer que le destinataire les respecte.
2 Le PFPDT publie une liste des clauses standard de protection des données qu’il a approuvées, délivrées ou reconnues.
Art. 11 Règles internes à l’entreprise contraignantes en matière de protection des données
1 Les prescriptions internes contraignantes en matière de protection des données au sens de l’art. 16, al. 2, let. e, LPD s’appliquent à toutes les entreprises qui font partie du même groupe.
2 Elles comprennent au moins les éléments visés à l’article 9, paragraphe 1, ainsi que les informations suivantes :
a. l’organisation et les coordonnées du groupe et de ses entreprises ;
b. les mesures prises au sein du groupe pour garantir le respect des dispositions contraignantes internes à l’entreprise en matière de protection des données.
Art. 12 Codes de conduite et certifications
1 Les données personnelles peuvent être communiquées à l’étranger si un code de conduite ou une certification garantissent une protection des données appropriée.
2 Le code de conduite contient au moins les indications visées à l’art. 9, al. 1, et doit être préalablement approuvé par le PFPDT.
3 Le code de conduite ou la certification doit être assorti(e) d’un engagement contraignant et exécutoire du responsable du traitement ou du sous-traitant dans l’État tiers à appliquer les mesures qu’il contient.
Chapitre 2 Obligations du responsable du traitement et du sous-traitant
Art. 13 Modalités de l’obligation d’information
1 Le responsable du traitement et le sous-traitant communiquent les informations relatives à la collecte des données personnelles sous une forme précise, compréhensible et aisément accessible.
2 S’il communique les informations en combinaison avec des pictogrammes qui sont présentés de manière électronique, ceux-ci doivent être lisibles par une machine.
Art. 14 Devoir d’information des organes fédéraux lors de la collecte systématique de données personnelles
Si la personne concernée n’est pas tenue de fournir des renseignements, l’organe fédéral responsable lui indique, en cas de collecte systématique de données personnelles, notamment au moyen d’un questionnaire, que la communication des renseignements est facultative.
Art. 15 Information lors de la communication de données personnelles
Le responsable du traitement et le sous-traitant informent le destinataire de l’actualité, de la fiabilité et de l’exhaustivité des données personnelles qu’ils lui ont communiquées, dans la mesure où ces informations ne ressortent pas des données elles-mêmes ou des circonstances.
Art. 16 Information sur la rectification, l’effacement ou la destruction ainsi que sur la limitation du traitement des données personnelles
Le responsable informe sans délai les destinataires auxquels il a communiqué des données personnelles de la rectification, de l’effacement ou de la destruction ainsi que de la limitation du traitement de données personnelles, à moins que cette notification ne soit impossible ou n’entraîne des efforts disproportionnés.
Si une personne concernée par une décision individuelle automatisée demande à pouvoir exprimer son point de vue ou à ce qu’une personne physique réexamine la décision, elle ne doit pas être désavantagée pour autant.
Art. 18 Forme et conservation de l’analyse d’impact relative à la protection des données
Le responsable doit consigner par écrit l’analyse d’impact relative à la protection des données. Elle doit être conservée pendant deux ans après la fin du traitement des données.
Art. 19 Notification des violations de la sécurité des données
1 Le responsable annonce au PFPDT toute violation de la sécurité des données :
a. la nature de la blessure ;
b. dans la mesure du possible, la date et la durée ;
c. dans la mesure du possible, les catégories et le nombre approximatif de données personnelles concernées ;
d. dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ;
e. les conséquences, y compris les risques éventuels, pour les personnes concernées ;
f. quelles mesures ont été prises ou sont prévues pour remédier à la déficience ou en atténuer les conséquences ;
g. le nom et les coordonnées d’une personne de contact.
2 Si, lors de la découverte de la violation de la sécurité des données, le responsable n’est pas en mesure de fournir au PFPDT toutes les informations visées à l’al. 1 en même temps, il peut fournir ces informations progressivement, sans retard supplémentaire injustifié.
3 Le responsable communique aux personnes concernées, dans un langage simple et compréhensible, au moins les informations visées au paragraphe 1, points a), e), f) et g).
4 Si le responsable est un organe fédéral, la notification au PFPDT se fait par l’intermédiaire du conseiller à la protection des données.
5 Le responsable doit documenter les violations. La documentation doit contenir tous les faits en rapport avec les incidents, leurs conséquences et les mesures prises. Elle doit être conservée pendant au moins trois ans à compter de la date de la notification visée au paragraphe 1.
Chapitre 3 Droits de la personne concernée
Section 1 Droit d’accès
Art. 20 Modalités
1 La demande de renseignements est formulée par écrit. Si le responsable est d’accord, la demande peut également être faite oralement.
2 En règle générale, l’information est fournie par écrit. En accord avec le responsable du traitement ou sur proposition de celui-ci, la personne concernée peut également consulter ses données sur place. L’information peut également être fournie oralement si la personne concernée y a consenti.
3 Les renseignements doivent être compréhensibles pour la personne concernée.
4 Le responsable du traitement doit prendre les mesures appropriées pour garantir l’identification de la personne concernée et pour protéger les données personnelles de la personne concernée contre l’accès de tiers non autorisés lors de la communication des informations. La personne concernée doit coopérer à son identification.
5 Le responsable doit documenter les raisons d’un refus, d’une limitation ou d’un report de l’accès. La documentation doit être conservée pendant au moins trois ans.
Art. 21 Compétence
1 Si plusieurs personnes sont responsables du traitement de données personnelles, la personne concernée peut faire valoir son droit d’accès auprès de chaque responsable du traitement.
2 Si un responsable n’est pas compétent pour traiter la demande, il la transmet au responsable compétent.
3 Si la demande concerne des données traitées par un sous-traitant, le responsable du traitement transmet la demande au sous-traitant, à moins qu’il ne soit lui-même en mesure de fournir des informations.
Art. 22 Délai
1 L’information est fournie dans un délai de 30 jours à compter de la réception de la demande. Si le responsable refuse, limite ou reporte l’accès, il doit le faire savoir dans le même délai.
2 Si l’information ne peut être fournie dans un délai de 30 jours, le responsable doit en informer la personne concernée et lui indiquer le délai dans lequel l’information sera fournie.
Art. 23 Exceptions à la gratuité
1 Une participation équitable aux frais peut être exigée lorsque la communication de renseignements entraîne un travail disproportionné.
2 La participation s’élève à 300 francs au maximum.
3 La personne concernée doit être informée du montant de la participation avant la communication des informations et peut retirer sa demande dans un délai de dix jours.
Section 2 Droit à l’édition ou à la transmission de données
Art. 24
Les articles 20, paragraphes 1, 4 et 5, ainsi que 21, 22 et 23 s’appliquent par analogie au droit d’édition et de transmission de données et à leurs restrictions.
Chapitre 4 Dispositions particulières relatives au traitement des données par des personnes privées
Art. 25 Conseiller à la protection des données
1 Le conseiller à la protection des données d’un responsable privé doit assumer les tâches suivantes :
a. Il ou elle contrôle le traitement des données personnelles ainsi que ses conditions et recommande des mesures correctives s’il ou elle constate que les prescriptions en matière de protection des données ont été violées.
b. Il ou elle participe à l’élaboration de l’analyse d’impact relative à la protection des données et la vérifie, en tout cas lorsque le responsable privé souhaite renoncer à la consultation du PFPDT au sens de l’art. 23 al. 4 LPD.
2 Le responsable privé doit informer le conseiller à la protection des données :
a. mettre à disposition les ressources nécessaires ;
b. donner accès à tous les renseignements, documents, registres des activités de traitement et données personnelles dont elle ou il a besoin pour accomplir ses tâches.
Art. 26 Dérogation à l’obligation de tenir un registre des activités de traitement
Les entreprises et autres organisations de droit privé qui emploient moins de 250 personnes au début d’une année, ainsi que les personnes physiques, sont exemptées de l’obligation de tenir un registre des activités de traitement, sauf si l’une des conditions suivantes est remplie :
a. Un grand nombre de données personnelles sensibles sont traitées.
b. Un profilage à haut risque est effectué.
Chapitre 5 Dispositions particulières relatives au traitement des données par les organes fédéraux
Section 1 Conseiller à la protection des données
Art. 27 Nomination
Chaque organe fédéral nomme un conseiller à la protection des données. Plusieurs organes fédéraux peuvent nommer ensemble un conseiller à la protection des données.
Art. 28 Exigences et tâches
1 Le conseiller à la protection des données doit satisfaire aux exigences suivantes :
a. Il ou elle dispose des connaissances techniques nécessaires.
b. Il ou elle exerce sa fonction vis-à-vis de l’organe fédéral de manière professionnellement indépendante et sans recevoir d’instructions.
2 Il ou elle doit s’acquitter des tâches suivantes :
a. Il ou elle contrôle le traitement des données personnelles ainsi que ses conditions et recommande des mesures correctives s’il ou elle constate que les prescriptions en matière de protection des données ont été violées.
b. Il ou elle participe à l’élaboration de l’analyse d’impact relative à la protection des données et la vérifie.
c. Il ou elle signale au PFPDT les violations de la sécurité des données.
d. Il ou elle sert de point de contact pour les personnes concernées.
f. Il ou elle forme et conseille l’organe fédéral ainsi que ses collaborateurs et collaboratrices sur les questions de protection des données.
Art. 29 Obligations de l’organe fédéral
1 L’organe fédéral donne au conseiller à la protection des données accès à tous les renseignements, documents, listes des activités de traitement et données personnelles dont il a besoin pour accomplir ses tâches.
2 Il publie sur Internet les coordonnées du conseiller à la protection des données et les communique au PFPDT.
Art. 30 Point de contact du PFPDT
Le conseiller à la protection des données sert de point de contact au PFPDT pour les questions liées au traitement de données personnelles par l’organe fédéral concerné.
Section 2 Projets de traitement automatisé de données personnelles par des organes fédéraux
Art. 31 Information au conseiller à la protection des données
L’organe fédéral responsable informe le conseiller à la protection des données à temps, lors de la planification d’un projet de traitement automatisé de données personnelles ainsi qu’en cas d’adaptations après la fin du projet, afin que les exigences de la protection des données soient immédiatement prises en compte.
Art. 32 Communication au PFPDT
1 L’organe fédéral responsable annonce au PFPDT les activités de traitement automatisé prévues au moment de la validation du projet ou de la décision de développement du projet. Le PFPDT inscrit cette annonce dans le registre des activités de traitement.
2 La déclaration doit contenir les informations visées à l’art. 12, al. 2, let. a à d, LPD, ainsi que la date probable du début des activités de traitement.
3 L’organe fédéral responsable met à jour la déclaration lors du passage à l’exploitation productive ou lors de l’arrêt du projet.
Section 3 Essais pilotes
Art. 33 Caractère indispensable de la phase de test
Une phase de test en tant qu’expérience pilote est indispensable si l’une des conditions suivantes est remplie :
a. L’accomplissement d’une tâche nécessite des innovations techniques dont l’impact doit d’abord être évalué.
b. L’accomplissement d’une tâche nécessite des mesures organisationnelles ou techniques importantes, dont l’efficacité doit d’abord être vérifiée, notamment en ce qui concerne la collaboration entre les organes de la Confédération et des cantons.
c. L’accomplissement des tâches exige que les données personnelles soient rendues accessibles au moyen d’une procédure d’appel.
Art. 34 Autorisation
1 Avant de consulter les unités administratives intéressées, l’organe fédéral responsable du projet pilote expose à l’intention du PFPDT la manière dont le respect des exigences visées à l’art. 35 LPD sera assuré et l’invite à prendre position.
2 Le PFPDT se prononce sur la question de savoir si les conditions d’autorisation visées à l’art. 35 LPD sont remplies. L’organe fédéral compétent met à sa disposition tous les documents nécessaires à cet effet, en particulier
a. une description générale du projet pilote ;
b. un rapport démontrant que l’accomplissement des tâches prévues par la loi nécessite le traitement au sens de l’article 34, 2e alinéa, LPD et qu’une phase de test avant l’entrée en vigueur de la loi est indispensable au sens formel (article 35, 1er alinéa, lettre c, LPD) ;
c. une description de l’organisation interne et des procédures de traitement et de contrôle des données ;
d. une description des mesures de sécurité et de protection des données ;
e. le projet d’ordonnance réglant les détails du traitement ou le concept d’ordonnance
f. les informations concernant la planification des différentes phases de l’expérience pilote.
3 Le PFPDT peut demander d’autres documents et procéder à des investigations supplémentaires.
4 L’organe fédéral compétent informe le PFPDT de toute modification importante concernant le respect des exigences de l’article 35 LPD. Si nécessaire, le PFPDT prend à nouveau position.
5 L’avis du PFPDT doit être joint à la demande adressée au Conseil fédéral.
6 Les modalités du traitement automatisé des données sont régies par une ordonnance.
Art. 35 Rapport d’évaluation
L’organe fédéral compétent soumet au PFPDT, pour avis, le projet de rapport d’évaluation destiné au Conseil fédéral. L’avis du PFPDT est porté à la connaissance du Conseil fédéral.
Section 4 Traitement des données à des fins ne se rapportant pas à des personnes
Art. 36
Si des données personnelles sont traitées à des fins ne se rapportant pas à des personnes, notamment la recherche, la planification et la statistique, et en même temps à une autre fin, les exceptions prévues à l’art. 39, al. 2, LPD ne s’appliquent qu’au traitement effectué à des fins ne se rapportant pas à des personnes.
Chapitre 6 Préposé fédéral à la protection des données et à la transparence
Art. 37 Siège et secrétariat permanent
1 Le siège du PFPDT se trouve à Berne.
2 La législation sur le personnel de la Confédération s’applique aux rapports de travail des employés du secrétariat permanent du PFPDT. Les employés du secrétariat permanent du PFPDT sont assurés contre les conséquences économiques de la vieillesse, de l’invalidité et du décès auprès de la Caisse fédérale de pensions PUBLICA, dans le cadre de la caisse de prévoyance de la Confédération.
Art. 38 Voie de communication
1 Le PFPDT communique avec le Conseil fédéral par l’intermédiaire du chancelier ou de la chancelière de la Confédération. Celui-ci transmet les propositions, avis et rapports au Conseil fédéral sans les modifier.
2 Il soumet des rapports à l’Assemblée fédérale par l’intermédiaire des Services du Parlement.
Art. 39 Communication de directives et de décisions
1 Les départements et la Chancellerie fédérale communiquent au PFPDT leurs directives en matière de protection des données ainsi que leurs décisions sous une forme anonyme.
2 Les organes fédéraux soumettent au PFPDT tous les projets législatifs qui concernent le traitement de données personnelles, la protection des données et l’accès aux documents officiels.
Art. 40 Traitement des données personnelles
Le PFPDT traite des données personnelles, y compris des données personnelles sensibles, notamment dans les buts suivants :
a. pour exercer ses activités de surveillance ;
b. pour enquêter sur les violations des règles de protection des données ;
c. pour former et conseiller les organes fédéraux et les personnes privées ;
d. à la collaboration avec les autorités fédérales, cantonales et étrangères ;
e. pour la mise en œuvre de procédures de médiation et d’évaluation conformément à la loi fédérale du 17 décembre 2004 2 sur le principe de la transparence dans l’administration (LTrans) ;
f. pour répondre aux questions des citoyens.
Art. 41 Autocontrôle
1 Le PFPDT établit un règlement de traitement pour tous les traitements automatisés. L’article 5, paragraphe 1, n’est pas applicable.
2 Il prévoit des processus internes qui garantissent que les traitements sont effectués conformément au règlement de traitement. Il vérifie chaque année que le règlement de traitement est respecté.
Art. 42 Coopération avec le Centre national de cybersécurité (NCSC)
1 Le PFPDT peut transmettre les informations relatives à la notification d’une violation de la sécurité des données au NCSC afin d’analyser l’incident. Le PFPDT doit obtenir au préalable l’accord du responsable de la notification.
2 Il invite le NCSC à prendre position avant d’ordonner à un organe fédéral une mesure au sens de l’art. 51, al. 3, let. b, LPD concernant la sécurité des données.
Art. 43 Registre des activités de traitement des organes fédéraux
1 Le registre des activités de traitement des organes fédéraux contient les informations fournies par les organes fédéraux et leurs sous-traitants conformément à l’art. 12, al. 2 et 3, LPD et à l’art. 32, al. 2, de la présente ordonnance.
2 Il est publié sur l’internet. Ne sont pas publiées les inscriptions au registre relatives aux activités de traitement automatisé envisagées visées à l’article 32.
Art. 44 Codes de conduite
Lorsqu’un code de conduite est soumis au PFPDT, celui-ci indique dans son avis si le code de conduite remplit les conditions fixées à l’art. 22, al. 5, let. a et b, LPD.
Art. 45 Emoluments
1 Les émoluments facturés par le PFPDT sont calculés en fonction du temps consacré.
2 Un tarif horaire de 150 à 350 francs est appliqué. Celui-ci dépend de la complexité de l’affaire et de la fonction de la personne chargée de la traiter.
3 Pour le reste, l’ordonnance générale sur les émoluments du 8 septembre 2004 3 est applicable.
Chapitre 7 Dispositions finales
Art. 46 Abrogation et modification d’autres actes législatifs
L’abrogation et la modification d’autres actes législatifs sont réglées à l’annexe 2.
Art. 47 Disposition transitoire concernant la notification au PFPDT des activités de traitement automatisé prévues
L’article 32 ne s’applique pas aux activités de traitement automatisé planifiées pour lesquelles la validation du projet ou la décision de développement du projet a déjà été prise au moment de l’entrée en vigueur.
Art. 48 Entrée en vigueur
Le présent règlement entre en vigueur le …
Annexe 1 (article 8, paragraphe 5) États, territoires, secteurs spécifiques dans un État et organes internationaux disposant d’un niveau de protection des données adéquat […]Annexe 2 (article 46) Abrogation et modification d’autres actes législatifs […]