Lexipedia

152.043

Ordonnance portant introduction de la directive (UE) 2016/680 relative à la protection des données à caractère personnel

(OiDPD)

du 04.07.2018 (état au 01.09.2023)

Préambule

Le Conseil-exécutif du canton de Berne,

vu l’article 88, alinéa 3 de la Constitution cantonale[1],

arrête:

Art. 1 Objet et champ d’application

La présente ordonnance règle la mise en œuvre de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil[2].

Elle s’applique aux autorités compétentes pour traiter des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces (art. 1, al. 1 de la directive (UE) 2016/680).

Art. 2 Profilage

Le profilage se définit comme l’évaluation de certaines caractéristiques d’une personne sur la base d’un traitement automatisé de ses données personnelles pour analyser ou prédire notamment le rendement de son travail, sa situation économique, sa santé, son comportement, ses préférences, sa localisation ou ses déplacements.

Il est admissible pour autant que les conditions prévues à l’article 5 de la loi du 19 février 1986 sur la protection des données (LCPD)[3] soient respectées.

S’il porte gravement atteinte aux droits fondamentaux de la personne concernée, il n’est autorisé qu’aux conditions de l’article 6 LCPD.

Le champ d’application des articles 10 à 14a LCPD relatifs à la communication de données personnelles s’étend également aux résultats d’un profilage dès lors qu’ils contiennent des données personnelles.

Art. 3 Preuve du respect des dispositions sur la protection des données

L’autorité responsable doit être en mesure de démontrer qu’elle applique correctement les dispositions sur la protection des données de l’article 4, alinéas 1 à 3 de la directive (UE) 2016/680.

Art. 4 Devoir d’informer lors de la collecte de données personnelles 1. Principe

L’autorité responsable informe la personne concernée de toute collecte de données la concernant, même si celle-ci est effectuée auprès d’un tiers.

L’information porte en particulier sur

  1. l’autorité responsable et ses coordonnées,
  2. les données ou catégories de données traitées,
  3. la base légale et le but du traitement,
  4. les destinataires ou les catégories de destinataires lorsque les données sont communiquées à des tiers et
  5. les droits de la personne concernée.

L’information est transmise

  1. au moyen d’une publication librement accessible dans le registre des fichiers, conformément à l’article 18 LCPD,
  2. sur le site Internet de l’autorité responsable ou
  3. directement à la personne concernée.

Art. 5 2. Exceptions

Il peut être renoncé à l’information lorsque

  1. la personne concernée dispose déjà des informations citées à l’article 4, alinéa 2;
  2. le traitement des données personnelles est expressément prévu par la loi ou
  3. le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés.

La communication des informations peut au demeurant être restreinte aux mêmes conditions que celles régissant l’accès d’une personne à ses propres données.

Art. 6 Communication aux destinataires des données personnelles

L’autorité responsable informe les autorités ou personnes privées auxquelles elle a communiqué les données personnelles (art. 10 à 14a LCPD) de toute rectification ou destruction entreprise en application de l’article 23 ou 24 LCPD.

Il peut être renoncé à la communication lorsqu’elle s’avère impossible ou qu’elle nécessite des efforts disproportionnés.

Art. 7 Traitement sur mandat (art. 16 LCPD)

Quiconque traite des données personnelles sur mandat d’une autorité au sens de l’article 16 LCPD (mandataire) ne peut pas transmettre le mandat à un tiers sans le consentement écrit préalable de l’autorité.

Art. 8 Notification des violations de la protection des données 1. à l’autorité de surveillance

En cas de violation de la protection des données, l’autorité responsable la notifie sans délai à l’autorité de surveillance compétente en matière de protection des données (autorité de surveillance), soit si possible dans un délai de 72 heures au plus tard. La notification décrit la nature de la violation et ses conséquences, de même que les mesures prises et prévues pour remédier à la violation et en atténuer les effets.

Est qualifié de violation tout traitement des données personnelles portant atteinte à leur sécurité à tel point qu’elles sont définitivement détruites ou perdues, altérées ou divulguées de manière accidentelle ou illicite ou qu’il permet un accès non autorisé à ces données.

La violation de la protection des données n’est pas soumise à l’obligation d’informer lorsqu’elle ne présente probablement pas de risque pour les droits fondamentaux de la personne concernée.

Art. 9 2. aux personnes concernées

L’autorité responsable informe les personnes concernées lorsque les circonstances l’exigent ou que l’autorité de surveillance l’impose. Il convient d’informer les personnes concernées en particulier lorsqu'elles peuvent ainsi prendre les dispositions nécessaires pour prévenir un dommage.

Il peut être renoncé à la communication

  1. lorsque l’autorité responsable a adopté les mesures de protection techniques et organisationnelles appropriées pour éviter que l’événement ne porte concrètement atteinte à la personne concernée;
  2. lorsque les mesures prises ultérieurement garantissent que le risque élevé pour les droits fondamentaux des personnes concernées n’est selon toute probabilité plus susceptible de se matérialiser ou
  3. lorsqu’elle nécessite des efforts disproportionnés, auquel cas la communication prend la forme d’une publication.

Il est en outre possible de limiter entièrement ou partiellement la communication aux personnes concernées ou de la retarder en présence d’intérêts privés ou publics prépondérants au maintien du secret.

Art. 10 3. en cas de traitement sur mandat (art. 16 LCPD)

Quiconque traite des données personnelles sur mandat d’une autorité informe immédiatement cette dernière de toute violation de la protection des données. L’article 8, alinéa 1, 2e phrase et alinéa 2 s’applique par analogie.

Art. 11 Représentation en justice (art. 26 LCPD)

Ont qualité pour représenter en justice les organisations d’utilité publique qui, en vertu de leurs statuts, s’occupent des impératifs de la protection des données.

Art. 12 Dénonciations à l’autorité de surveillance (art. 34, al. 1, lit. d LCPD)

L’autorité de surveillance informe les personnes concernées sur le résultat ou l’avancée de l’examen relatif à la dénonciation dans un délai maximal de trois mois après sa réception.

Art. 13 Entrée en vigueur et durée de validité

La présente ordonnance entre en vigueur le 1er septembre 2018. Sa validité est limitée au 31 août 2026. *

Egress

Berne, le 4 juillet 2018

Au nom du Conseil-exécutif,

le président: Neuhaus

le chancelier: Auer

18-055

Tableau des modifications par date de décision

Décision Entrée en vigueur Elément Modification Référence ROB
04.07.2018 01.09.2018 Texte législatif première version 18-055
23.08.2023 01.09.2023 Art. 13 al. 1 modifié 23-045

Tableau des modifications par disposition

Elément Décision Entrée en vigueur Modification Référence ROB
Texte législatif 04.07.2018 01.09.2018 première version 18-055
Art. 13 al. 1 23.08.2023 01.09.2023 modifié 23-045