La présente loi vise à protéger les droits fondamentaux des personnes dont les données personnelles font l'objet d'un traitement.

Elle s'applique aux Eglises reconnues à moins qu'elles aient adopté des dispositions en matière de protection des données garantissant un niveau de protection adéquat et qu'elles aient institué leur propre autorité de surveillance.

La présente loi s'applique à tous les traitements de données personnelles accomplis par un organe public au sens de l'article 2.

1. traitement: toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, l'enregistrement, la conservation, l'exploitation, la modification, la communication, l'interconnexion, l'externalisation, l'effacement, l'archivage ou la destruction;
2. procédure d'appel: le mode de communication automatisé des données par lequel les destinataires, en vertu d'une autorisation du responsable du traitement, décident de leur propre chef, sans contrôle préalable, du moment et de l'étendue de la communication;
3. profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne;
4. externalisation: une forme qualifiée de sous-traitance impliquant l'utilisation de ressources informatiques accessibles à distance, via un réseau de communication, pour stocker, traiter et partager des données (informatique en nuage);
5. responsable du traitement: l'organe public qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles;
6. sous-traitant: la personne privée ou l'organe public qui traite des données personnelles pour le compte du responsable du traitement;
7. registre des activités de traitement: répertoire en ligne inventoriant les activités de traitement réalisées par les organes publics;
8. violation de la sécurité des données personnelles: toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces données.

L'organe public n'est en droit de traiter des données personnelles que si une disposition légale le prévoit ou si l'accomplissement d'une tâche légale l'exige.

Les activités de profilage et les traitements de données personnelles, dont les finalités ou les modalités présentent un risque élevé pour les droits fondamentaux des personnes concernées, ne peuvent avoir lieu que si une loi au sens formel le prévoit expressément.

Exceptionnellement, une base légale n'est pas exigée pour traiter des données personnelles, y compris sensibles, lorsque le traitement est nécessaire pour sauvegarder les intérêts essentiels de la personne concernée ou d'un tiers.

En dehors des cas prévus à l'article 5, la personne concernée peut, dans un cas d'espèce, consentir au traitement de ses données personnelles.

La personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée sur les finalités du traitement. Le consentement doit être exprès lorsqu'il porte sur un traitement de données sensibles ou sur des activités de profilage. Toutefois, le consentement est présumé lorsque la personne a elle-même rendu ses données librement accessibles.

Tout traitement de données qui ne repose pas sur l'un des fondements prévus à l'article 5 doit s'accompagner d'une mention visible et facilement compréhensible de son caractère facultatif.

Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être en mesure de démontrer l'existence d'un tel consentement.

Le consentement peut être révoqué en tout temps et sans motif. La mise en œuvre effective du retrait du consentement peut toutefois requérir un délai raisonnable pour des raisons techniques.

Les données personnelles ne peuvent être collectées que pour un usage déterminé et reconnaissable. Elles ne peuvent être traitées ultérieurement que dans ce but ou dans un but qui, selon les règles de la bonne foi, est compatible avec lui.

Sont réservés les cas dans lesquels la personne concernée a consenti à un changement de finalité.

Les données et les modes de traitement doivent être nécessaires, appropriés et non excessifs par rapport au but du traitement.

L'organe public qui traite des données personnelles veille à leur exactitude. Il prend toute mesure appropriée permettant de rectifier, d'effacer ou de détruire les données inexactes ou incomplètes au regard de la finalité de leur traitement.

Les données personnelles qui ne sont plus nécessaires au regard des finalités du traitement sont détruites ou anonymisées. Sont réservées les dispositions en matière d'archivage.

Moyennant des mesures de protection appropriées, des données peuvent être conservées pour des durées plus longues dans la mesure où, conformément à l'article 26, elles servent exclusivement à des fins ne se rapportant pas à la personne.

L'organe public qui traite des données sensibles, exerce des activités de profilage ou traite des données pour des finalités ou selon des modalités présentant un risque accru d'atteinte aux droits fondamentaux doit prendre toutes les dispositions nécessaires pour diminuer les risques.

Le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles.

Si les données personnelles sont collectées auprès d'un autre organe ou de tiers, le responsable du traitement communique à la personne concernée, dans les meilleurs délais mais au plus tard lors de leur première utilisation, les informations mentionnées à l'alinéa 1, ainsi que le type de données collectées.

Il peut en outre être dérogé au devoir d'informer aux mêmes conditions et pour les mêmes motifs que ceux indiqués à l'article 29 al. 1.

Des données personnelles ne peuvent être communiquées, transmises, diffusées ou rendues accessibles de manière systématique que si une disposition légale le prévoit.

Dans le cas prévu à l'alinéa 2 let. c, la personne concernée sera préalablement invitée à se prononcer à moins que cela ne s'avère impossible ou ne nécessite des efforts disproportionnés.

L'accès à des données personnelles au moyen d'une procédure d'appel, notamment un accès en ligne, ne peut être accordé que si une disposition légale le prévoit.

Les données personnelles d'une personne physique peuvent être communiquées vers un Etat étranger ou vers un organisme international dans la mesure où il existe une décision du Conseil fédéral attestant que l'Etat ou l'organisme international destinataire des données garantit un niveau de protection adéquat.

Avant la communication des données personnelles à l'étranger, le ou la préposé-e à la transparence et à la protection des données (ci-après: le ou la préposé-e) est informé-e à temps des garanties prévues à l'alinéa 2 let. a. Sur demande, il ou elle peut en tout temps obtenir des informations visant à vérifier qu'une communication de données à l'étranger répond aux exigences formulées aux lettres b à e.

Ne sont pas considérées comme faisant l'objet d'une communication à l'étranger les données qui sont simplement publiées au moyen d'un site Internet ouvert au public.

La communication des données personnelles qui sont inscrites au contrôle des habitants et dans le Référentiel cantonal est régie par les lois y relatives.

La communication de données personnelles au public est régie par la législation sur l'information et l'accès aux documents.

Le traitement de données personnelles, y compris de données sensibles, peut être externalisé aux conditions posées par la présente loi.

Les lieux de traitement doivent être situés en tout temps sur le territoire suisse ou sur le territoire d'un Etat garantissant un niveau de protection des données adéquat.

Lorsque l'externalisation implique une délégation de tâches à des tiers au sens de l'article 54 Cst.[1], les exigences particulières prévues par cette disposition sont applicables.

Une fois par législature, le Conseil d'Etat présente un état des lieux sur l'externalisation du traitement des données dans le cadre de son plan directeur de la digitalisation.

1. il ne confie pas au sous-traitant des traitements qu'il ne serait pas en droit d'effectuer lui-même;
2. il veille à ce que les données concernées par une externalisation puissent être récupérés en temps utile, notamment dans le but de changer de sous-traitant, de procéder à leur réinternalisation ou de les verser aux archives historiques;
3. il rend le sous-traitant attentif à ses obligations en matière de confidentialité, notamment au regard du secret de fonction et/ou du secret professionnel.

Au sein de l'administration cantonale, la responsabilité de la mise en œuvre et du suivi des règles en matière d'externalisation est assumée conjointement par l'organe compétent à raison de la matière et par le service en charge de l'informatique[2]. Sont réservés les cas dans lesquels l'organe compétent à raison de la matière gère de manière autonome tout ou partie de ses systèmes informatiques.

Lorsque l'externalisation concerne plusieurs organes différents au sein d'une même collectivité publique, un organe principalement responsable est désigné. L'alinéa 2 s'applique pour le surplus.

L'intégrité, l'authenticité, la disponibilité et la confidentialité des données personnelles externalisées ainsi que la pérennité de leur conservation et de leur exploitation doivent être garanties par des mesures organisationnelles et techniques appropriées et adaptées à l'évolution des technologies disponibles.

La définition des mesures de sécurité tient compte des risques que le traitement des données en question présente pour les droits fondamentaux des personnes concernées.

Lorsque l'externalisation concerne des données indispensables au fonctionnement de l'administration, la continuité des activités externalisées doit, en cas d'incident, être garantie par un dispositif adéquat.

Le traitement de données personnelles sensibles et le traitement de données qui font l'objet d'une obligation légale ou contractuelle de garder le secret peuvent être externalisés si la confidentialité à l'égard du sous-traitant est assurée de manière que ce dernier ne puisse avoir accès à leur contenu.

Lorsque le sous-traitant doit impérativement avoir accès aux données pour des raisons techniques, le contrat d'externalisation fixe les exigences particulières nécessaires, en particulier l'engagement du sous-traitant de n'accéder au contenu des données qu'avec le consentement exprès de l'organe public qui procède à l'externalisation et l'obligation de tenir un journal des accès.

Lors de l'externalisation de données soumises à une obligation légale de garder le secret, le responsable du traitement s'assure que le sous-traitant ait le statut d'auxiliaire du détenteur du secret.

Le dossier du projet pilote et le rapport d'évaluation doivent contenir chacun au minimum une partie consacrée au traitement des données personnelles ainsi qu'à leur protection.

L'Autorité de surveillance peut prendre position sur le contenu du dossier du projet pilote et du rapport d'évaluation. Sa prise de position est communiquée au Conseil d'Etat.

Les données personnelles sont soumises à la législation sur l'archivage; leur valeur archivistique est déterminée en collaboration avec les organes en charge des archives historiques.

Les données personnelles dont la conservation ne poursuit plus aucune finalité et qui n'ont pas de valeur archivistique sont effacées ou détruites dès que possible par des moyens appropriés qui assurent leur élimination sécurisée.

Les supports de données sont détruits au moment de leur recyclage ou de leur remplacement lorsqu'il existe un risque que des données sensibles ayant été effacées puissent être consultées par des personnes non autorisées.

Les règles en matière de vidéosurveillance sont énoncées dans la législation y relative.

Les articles 5 al. 2 et 3, 7 et 14 al. 1 ne sont pas applicables.

Les personnes privées qui reçoivent des données personnelles de la part d'un organe public en vue d'un traitement à des fins ne se rapportant pas à la personne s'engagent par écrit à prendre toutes les précautions nécessaires pour protéger la personnalité des personnes concernées.

Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.

L'organe public qui fait traiter des données par un sous-traitant demeure tenu de communiquer les données et de fournir les renseignements demandés.

Nul ne peut renoncer par avance à son droit d'accès.

La personne qui fait valoir son droit d'accès doit justifier de son identité.

Les renseignements sont, en règle générale, fournis par écrit sur un support physique ou de façon électronique. En accord avec le responsable du traitement, la personne concernée peut également consulter ses données sur place.

La procédure est gratuite. Le Conseil d'Etat peut prévoir des exceptions.

La communication des données versées aux archives historiques peut également être refusée, restreinte ou différée lorsque le traitement de la demande est incompatible avec une gestion administrative rationnelle et que la personne concernée ne fait pas valoir un intérêt digne de protection à son exécution.

Le responsable du traitement doit indiquer pour quel motif il refuse, restreint ou diffère la communication des renseignements.

Un intérêt à la consultation des données est établi en présence d'un lien de parenté proche, d'un mariage ou d'une communauté de vie analogue au mariage avec la personne décédée.

Pour l'accès aux données soumises au secret professionnel, l'article 321 du code pénal suisse[6] est réservé.

La personne concernée peut s'opposer par avance à ce que le responsable du traitement communique des données personnelles déterminées.

Dans les situations visées à l'alinéa 2 let. c, la personne concernée sera préalablement entendue dans la mesure du possible. Le responsable du traitement statue sur la communication au moyen d'une décision.

Les articles 11 et 27 al. 1 let. c et al. 2 de la loi du 9 septembre 2009 sur l'information et l'accès aux documents (LInf)[7] sont réservés.

Pour autant que les conditions de l'alinéa 1 soient remplies et que cela n'exige pas des efforts disproportionnés, la personne concernée peut en outre demander au responsable du traitement qu'il transmette les données personnelles la concernant à un autre responsable du traitement.

Le responsable du traitement remet ou transmet gratuitement les données personnelles. La législation spéciale est réservée.

Les données personnelles contenues dans des fonds d'archive ou des fonds ouverts au public ne peuvent être ni rectifiées ni détruites. La personne concernée ou toute personne qui dispose d'un intérêt digne de protection peut cependant demander que l'institution limite l'accès aux données litigieuses et/ou insère au dossier l'inscription d'une mention appropriée.

Le code de procédure et de juridiction administrative[8] est applicable aux décisions prises en application de la présente section. Ces décisions sont sujettes à recours.

A moins que la personne concernée ne s'y oppose, l'organe qui a rendu une décision au sens de l'alinéa 1 la communique à l'Autorité de surveillance.

L'Autorité de surveillance a qualité pour recourir contre la décision.

La personne qui subit un préjudice en raison d'une violation des dispositions de la présente loi peut faire valoir des prétentions en dommages-intérêts et en réparation du tort moral conformément à la loi sur la responsabilité civile des collectivités publiques et de leurs agents[9].

Elle peut demander que le ou la juge ordonne la publication ou la communication à des tiers de tout ou partie de son jugement.

Tout organe public qui traite des données personnelles est responsable de la protection des données.

Lorsque plusieurs organes publics traitent conjointement des données, la répartition de leurs obligations relatives à la protection des données est réglée dans la déclaration prévue à l'article 38, à moins qu'elle ne résulte expressément d'une disposition légale.

La répartition des responsabilités établie conformément à l'alinéa 2 n'est pas opposable à la personne concernée.

L'organe public qui fait traiter des données personnelles par un sous-traitant demeure responsable des obligations prévues par la législation en matière de protection des données.

Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.

Le sous-traitant peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.

A moins que la loi ou une convention entre organes n'en dispose autrement, les règles en matière de sous-traitance ne s'appliquent pas entre organes appartenant à une même collectivité. L'article 36 al. 2 est applicable.

L'Autorité de surveillance tient un registre public des activités de traitement accomplies par les organes soumis à la présente loi.

Chaque responsable du traitement déclare à l'Autorité de surveillance les activités de traitement qu'il accomplit et leurs modifications successives.

En cas de traitements conjoints de données, le responsable du traitement qui remplit la déclaration du traitement adresse une copie de cette dernière aux autres responsables du traitement.

Sur préavis de l'Autorité de surveillance, le Conseil d'Etat peut prévoir des exceptions à l'obligation de déclarer pour d'autres catégories de traitements qui ne présentent manifestement pas de risques pour les droits des personnes concernées.

Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles appropriées afin que le traitement respecte la présente loi, en particulier les principes énoncés à la section 2.1. Il le fait dès la conception du traitement.

Les mesures mises en place sont harmonisées avec celles visant à assurer la sécurité des informations de l'administration en général, ainsi qu'avec les mesures de sécurité informatique.

Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement est limité au minimum requis par la finalité poursuivie.

Les mesures mises en place et le choix des réglages sont documentés.

Lorsqu'un nouveau traitement de données est susceptible d'engendrer un risque élevé pour les droits fondamentaux de la personne concernée, le responsable du traitement procède préalablement à une analyse d'impact relative à la protection des données personnelles.

L'analyse d'impact contient une description du traitement envisagé, une évaluation des risques du point de vue technique et juridique ainsi qu'une description des mesures prévues pour protéger les droits fondamentaux des personnes concernées.

Le responsable du traitement consulte l'Autorité de surveillance lorsque le résultat de l'analyse d'impact confirme l'existence d'un risque élevé pour les droits fondamentaux des personnes concernées nécessitant de prendre des mesures de précaution particulières.

L'Autorité de surveillance communique ses éventuelles objections et recommandations concernant le traitement envisagé dans un délai de deux mois. Exceptionnellement, ce délai peut être prolongé d'un mois, lorsqu'il s'agit d'un traitement de données complexe.

Le responsable du traitement informe l'Autorité de surveillance de la suite donnée au plus tard au moment de débuter le traitement ayant fait l'objet de l'analyse d'impact.

Lorsqu'il constate une violation de la sécurité des données personnelles, le responsable du traitement prend immédiatement les mesures appropriées afin de mettre fin à la violation et d'en minimiser les effets.

Il consigne dans un document interne la nature de la violation, le type de données concernées et les catégories de personnes touchées, les conséquences probables pour ces dernières et les mesures prises pour y remédier.

Le responsable du traitement annonce dans les plus brefs délais au ou à la préposé-e les cas de violation de la sécurité des données personnelles entraînant vraisemblablement un risque élevé pour les droits fondamentaux de la personne concernée.

Le responsable du traitement fait en sorte que le sous-traitant lui annonce sans tarder toute violation de la sécurité des données personnelles survenue chez lui.

Lorsque cette mesure s'impose pour des motifs de transparence et/ou pour permettre à la personne concernée de prendre les mesures utiles à la sauvegarde de ses intérêts, le responsable du traitement informe cette dernière de la survenance d'une violation de la sécurité des données.

Lorsque la violation de la sécurité des données touche un grand nombre de personnes, l'information peut avoir lieu sous la forme d'une communication publique. Le responsable du traitement veille dans ce cas à fournir une information aussi complète que possible.

Une annonce de la violation de la sécurité des données peut également avoir lieu sur requête du ou de la préposé-e lorsqu'il ou elle estime que les conditions d'une telle annonce sont réunies.

Chaque Direction désigne au minimum un correspondant ou une correspondante à la protection des données. Cette fonction peut être cumulée avec d'autres fonctions, notamment dans le domaine de la sécurité de l'information.

Le correspondant ou la correspondante à la protection des données exerce ses fonctions de manière autonome. Les responsables du traitement lui communiquent d'office ou sur demande toutes les informations utiles à l'accomplissement de ses tâches.

Les correspondants et les correspondantes à la protection des données forment entre eux un réseau de compétence. Le Conseil d'Etat règle l'organisation et le fonctionnement du réseau.

Le Conseil d'Etat peut étendre l'obligation de désigner un correspondant ou une correspondante à la protection des données à d'autres entités de l'administration cantonale que les Directions.

La surveillance de la protection des données à l'échelle du canton et des communes est assurée par l'Autorité cantonale de la transparence, de la protection des données et de la médiation (en abrégé: l'Autorité de surveillance).

L'Autorité de surveillance comprend la Commission cantonale de la transparence, de la protection des données et de la médiation (ci-après: la Commission), le ou la préposé-e à la transparence et à la protection des données (en abrégé: le ou la préposé-e) et le médiateur ou la médiatrice cantonal-e.

Elle exerce les tâches qui lui incombent en vertu de la présente loi par l'intermédiaire de la Commission et du ou de la préposé-e.

Les tâches qu'elle exerce dans les domaines du droit d'accès aux documents et de la médiation administrative sont régies par les législations y relatives.

L'Autorité de surveillance est indépendante dans l'exercice de ses fonctions.

Elle est rattachée administrativement à la Direction dont elle relève. Elle a son propre secrétariat et dispose des ressources nécessaires à l'accomplissement effectif de ses fonctions et à l'exercice de ses pouvoirs.

L'Autorité dispose d'une enveloppe budgétaire dont le montant est déterminé chaque année à l'occasion de l'adoption du budget de l'Etat. Elle adresse auparavant sa propre proposition de budget au Conseil d'Etat. Cette proposition est traitée conformément à l'article 61 al. 1 let. a de la loi du 16 octobre 2001 sur l'organisation du Conseil d'Etat et de l'administration[10].

Les membres de l'Autorité de même que ses collaborateurs et collaboratrices sont soumis au secret de fonction et à l'obligation de discrétion.

Au moment de leur entrée en fonction et lors de chaque changement de situation, les membres de l'Autorité signalent les liens particuliers qui les rattachent à des intérêts privés ou publics. L'article 14 al. 1 let. b et al. 2 et 3 LInf[11] s'appliquent par analogie.

Les articles 21 à 25 du code de procédure et de juridiction administrative du 23 mai 1991[12] sont applicables à la récusation des membres de l'Autorité.

La Commission cantonale de la transparence, de la protection des données et de la médiation est formée d'un président ou d'une présidente et de six membres, élus par le Grand Conseil à la suite d'une proposition du Conseil d'Etat.

Le président ou la présidente et les membres doivent posséder, dans leur ensemble, les connaissances nécessaires à l'accomplissement des tâches de la Commission; celle-ci comprend, en particulier, un ou une juriste, un ou une professionnel-le de la santé, un ou une spécialiste en informatique et en sécurité des données et un ou une professionnel-le des médias.

Le secrétariat de la Commission est assuré par le ou la préposé‑e; pour les dossiers en lien avec les activités de médiation, le secrétariat peut être assuré par le médiateur ou la médiatrice cantonal‑e.

En cas de besoin, la Commission peut consulter des experts ou des expertes et inviter des tierces personnes à assister à tout ou partie de ses séances et, le cas échéant, à s'y exprimer avec voix consultative.

Pour le surplus, la Commission règle son organisation et son fonctionnement.

La Commission adresse chaque année au Grand Conseil, par l'intermédiaire du Conseil d'Etat, un rapport sur son activité ainsi que sur celle du ou de la préposé-e et du médiateur ou de la médiatrice cantonal‑e. Dans la mesure où l'intérêt général le justifie, elle peut informer le public de ses constatations.

Le ou la préposé-e à la transparence et à la protection des données est nommé-e pour une période individuelle de 5 ans par le Conseil d'Etat. Cet engagement est reconductible.

Durant toute la durée de son engagement, le ou la préposé-e ne peut exercer aucune activité susceptible de porter atteinte à l'indépendance de sa fonction ou qui serait d'une autre manière incompatible avec les tâches de l'Autorité de surveillance. L'exercice d'une charge publique accessoire ou d'une activité lucrative accessoire est soumis à autorisation de la Commission.

Au moment de son engagement et durant toute la durée de ses rapports de service, le ou la préposé-e doit posséder les qualifications et/ou l'expérience nécessaires à l'exercice de ses fonctions.

Pour autant que la présente loi ou son ordonnance d'exécution n'en dispose pas autrement, les rapports de fonction du ou de la préposé-e sont régis par la législation sur le personnel de l'Etat. Son évaluation annuelle au sens de cette législation est réalisée par la Commission.

La période de fonction du ou de la préposé-e est reconduite tacitement. Toutefois, le Conseil d'Etat peut, au plus tard six mois avant l'échéance de la période de fonction, rendre une décision de non-reconduction. Il demande à cet effet le préavis de la Commission. Cette décision doit être fondée sur de justes motifs.

Moyennant un préavis de trois mois, le ou la préposé-e peut demander au Conseil d'Etat de mettre fin à la période de fonction pour la fin d'un mois.

La décision de relever le ou la préposé-e de ses fonctions conformément à l'alinéa 3 let. b est de la compétence du Conseil d'Etat. Cette décision peut être prise à l'initiative du Conseil d'Etat ou de la Commission. Dans tous les cas, le Conseil d'Etat sollicite le préavis de la Commission.

En cas d'empêchement durable du ou de la préposé-e, le Conseil d'Etat désigne une personne ad interim. La procédure de désignation est menée conjointement par la Commission et la Direction à laquelle l'Autorité est rattachée.

En cas d'empêchement ponctuel, il ou elle est remplacé‑e par une personne désignée à cet effet par la Commission.

L'Autorité de surveillance s'assure, par des mesures de contrôle appropriées portant notamment sur la sécurité des données personnelles, du respect et de la bonne application des dispositions cantonales de protection des données en son sein.

Le ou la préposé-e est habilité-e à effectuer d'office ou sur plainte un contrôle auprès d'un responsable du traitement ou d'un sous-traitant afin de vérifier qu'il respecte les dispositions de protection des données.

Il ou elle peut notamment demander des renseignements, exiger la production de documents, procéder à des inspections et se faire présenter des traitements de données.

Le secret de fonction et les autres obligations de confidentialité ne peuvent pas lui être opposés. Le secret professionnel demeure toutefois réservé.

Lorsque le ou la préposé-e procède à un contrôle sur la base d'une plainte de la personne concernée, il ou elle informe cette dernière des suites données à sa plainte et du résultat d'une éventuelle enquête. La personne concernée n'a pas qualité de partie à la procédure.

En cas de violation ou de risque de violation des prescriptions sur la protection des données, le ou la préposé-e peut adresser une recommandation à l'organe public concerné l'invitant à prendre, dans un délai déterminé, les mesures nécessaires pour remédier à la situation.

Lorsque l'organe concerné est une unité subordonnée, la recommandation est directement adressée à l'organe hiérarchiquement supérieur.

L'organe destinataire de la recommandation adopte, dans le délai imparti par le ou la préposé-e, une détermination sur la suite qu'il entend donner à la recommandation et la communique au ou à la préposé-e. L'absence de détermination est considérée comme un rejet de la recommandation.

En cas de rejet, total ou partiel, de la recommandation, le ou la préposé-e peut transmettre l'affaire à la Commission pour qu'elle rende une décision.

Lorsque, durant la procédure, l'organe public a pris les mesures nécessaires au rétablissement d'une situation conforme aux prescriptions de protection des données, le ou la préposé-e met un terme à la procédure et renonce à émettre une recommandation.

La Commission statue dans les affaires que le ou la préposé-e lui transmet conformément à l'article 57 al. 4.

Lorsqu'un organe soumis à la présente loi ne respecte pas des dispositions de protection des données, la Commission peut ordonner la suspension, la modification ou la cessation de tout ou partie du traitement ainsi que l'effacement ou la destruction de tout ou partie des données personnelles.

En cas de menace grave imminente ou de violation de la protection des données susceptible de causer une atteinte grave aux droits d'une ou plusieurs personnes concernées, la Commission peut ordonner, d'office ou sur demande du ou de la préposé-e, des mesures provisionnelles urgentes pour limiter ou suspendre le traitement des données litigieux jusqu'à ce qu'elle se soit prononcée sur le fond.

Le ou la préposé-e participe avec voix consultative à la procédure devant la Commission. Il ou elle peut être chargé-e de l'instruction de l'affaire.

Lorsque, durant la procédure, l'organe public concerné a pris les mesures nécessaires au rétablissement d'une situation conforme aux prescriptions de protection des données, la Commission peut classer l'affaire ou se limiter à prononcer un avertissement

La procédure est régie par le code de procédure et de juridiction administrative[13]. Sous réserve de l'article 58 al. 3, l'organe concerné bénéficie, en particulier, du droit d'être entendu.

L'organe public visé par une décision de la Commission a qualité pour recourir contre celle-ci.

Dans l'exercice de ses fonctions, l'Autorité de surveillance peut coopérer avec les autorités cantonales, fédérales et étrangères chargées de la protection des données.

Avant de transmettre à une autre autorité chargée de la protection des données des informations susceptibles de contenir des secrets professionnels, de fabrication ou d'affaires, l'Autorité informe les personnes détentrices de ces secrets et les invite à prendre position, à moins que cela ne s'avère impossible ou ne nécessite des efforts disproportionnés.

Pour les traitements déjà en cours au moment de l'entrée en vigueur de la présente loi, les responsables de traitements disposent d'un délai de deux ans pour se mettre en conformité avec les nouvelles exigences prescrites. Les articles 43 et 44 sont directement applicables.

Pour autant que les finalités du traitement restent inchangées et que de nouvelles données ne soient pas collectées justifiant la réalisation d'une analyse d'impact, les articles 41 et 42 ne sont pas applicables aux traitements qui ont débuté avant l'entrée en vigueur de la présente loi.

Les traitements achevés au moment de l'entrée en vigueur de la présente loi sont régis par l'ancien droit, sauf en ce qui concerne les droits de la personne concernée (section 3).

Les articles 12, 13, 40, 41 et 42 sont applicables aux activités de traitement régis par la directive (UE) 2016/680[14] dès l'entrée en vigueur de la présente loi.

Les Directions disposent d'un délai de deux ans à compter de l'entrée en vigueur de la présente loi pour adapter la législation dont elles sont en charge aux exigences de l'article 5.

Au moment de l'entrée en vigueur de la loi, l'autorité d'engagement adapte le contrat de travail de la personne en poste aux exigences de la nouvelle loi conformément à la législation sur le personnel.

En cas de refus de la proposition visant à transformer le contrat de travail, la situation est réglée conformément aux dispositions en matière de suppression de poste au sens de la législation sur le personnel.