Ordonnance sur les certifications en matière de protection des données (OCPD)

Les organismes qui effectuent des certifications au sens de l’art. 13 LPD (organismes de certification) doivent être accrédités. Leur accréditation est régie par l’ordonnance du 17 juin 1996 sur l’accréditation et la désignation (OAccD) ² , sauf disposition contraire de la présente ordonnance.

Une accréditation distincte est requise pour les certifications portant sur:

1. l’organisation et les procédures (systèmes de gestion) en lien avec le traitement des données;
2. les produits, notamment les systèmes et programmes de traitement des données et les produits matériels, ainsi que les services et les processus en lien avec le traitement des données.

Les organismes de certification doivent disposer d’une organisation et d’une procédure de certification (programme de certification) déterminées.

Les exigences minimales concernant la qualification du personnel qui exécute des certifications sont réglées en annexe. Les organismes de certification doivent prouver qu’ils disposent de personnel qualifié selon ces critères.

Le Service d’accréditation suisse (SAS) associe le Préposé fédéral à la protection des données et à la transparence (PFPDT) à la procédure d’accréditation et au contrôle ainsi qu’à la suspension et à la révocation de l’accréditation.

Les organismes de certification étrangers qui veulent exercer des activités sur le territoire suisse doivent prouver qu’ils disposent d’une qualification équivalente, qu’ils remplissent les exigences fixées à l’art. 1, al. 3 et 4, et qu’ils connaissent suffisamment la législation suisse sur la protection des données.

Le PFPDT reconnaît un organisme de certification étranger après avoir consulté le SAS.

Il peut accorder la reconnaissance pour une durée limitée et la subordonner à des charges.

Il annule la reconnaissance si les conditions ou les charges ne sont plus remplies.

Peuvent faire l’objet d’une certification:

1. les systèmes de gestion;
2. les produits, les services et les processus.

La certification des systèmes de gestion peut porter sur l’ensemble du système, sur certaines parties de l’organisation ou sur certaines procédures déterminées.

La certification des produits, des services et des processus peut porter sur:

1. les produits servant principalement au traitement de données personnelles ou générant, lors de leur utilisation, des données personnelles;
2. les services ou les processus servant principalement au traitement de données personnelles ou générant des données personnelles.

Le programme de certification doit au moins régler:

1. les critères d’évaluation ainsi que les exigences en découlant que doivent respecter les objets à certifier;
2. les modalités du déroulement de la procédure, notamment les mesures à prendre si des irrégularités sont constatées.

Lors de l’élaboration du programme de certification, il doit être tenu compte des points suivants:

1. les données personnelles à traiter;
2. les infrastructures électroniques utilisées pour le traitement des données personnelles;
3. les mesures organisationnelles liées au traitement des données personnelles.

Les critères d’évaluation doivent respecter tous les principes de l’art. 6 LPD.

Le programme de certification doit respecter les normes applicables selon l’annexe 2 de l’OAccD ³ , ainsi que d’autres normes techniques applicables.

L’évaluation du système de gestion porte notamment sur:

1. la politique en matière de protection des données;
2. la documentation concernant les objectifs, les risques et les mesures visant à garantir la protection et la sécurité des données;
3. les dispositions techniques et organisationnelles nécessaires à la mise en œuvre des objectifs et des mesures fixés, notamment pour remédier aux manquements.

Le PFPDT émet des directives sur les exigences minimales qu’un système de gestion doit remplir. Il tient compte des critères internationaux relatifs à l’installation, à l’exploitation, à la surveillance et à l’amélioration de tels systèmes et en particulier des normes techniques suivantes⁴:

1. SN EN ISO 9001, systèmes de management de la qualité, exigences;
2. SN EN ISO/IEC 27001, technologies de l’information, techniques de sécurité, système de management de la sécurité de l’information, exigences;
3. SN EN ISO/IEC 27701, techniques de sécurité, extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée, exigences et lignes directrices.

L’évaluation des produits, des services et des processus permet notamment de garantir:

1. la confidentialité, l’intégrité, la disponibilité et la traçabilité des données personnelles traitées;
2. la prévention de tout traitement de données personnelles inutile au vu des finalités du produit, du service ou du processus;
3. la transparence du traitement des données personnelles;
4. les mesures techniques permettant à l’utilisateur de respecter d’autres principes et obligations en matière de protection de données, notamment les droits des personnes concernées.

Le PFPDT émet des directives fixant d’autres critères en matière de protection des données dont il doit être tenu compte lors de l’évaluation.

L’organisme de certification certifie le système de gestion, le produit, le service ou le processus si les exigences prévues par le droit de la protection des données et les conditions prévues par la présente ordonnance, par les directives émises par le PFPDT ou par toute autre norme équivalente sont respectées. L’octroi de la certification peut être assorti de charges.

La durée de validité de la certification est de trois ans. Chaque année, l’organisme de certification vérifie que les conditions de la certification sont remplies.

Après avoir consulté le SAS, le PFPDT reconnaît les certifications étrangères, pour autant que le respect des exigences de la législation suisse soit garanti.

Le responsable du traitement privé ne peut renoncer à établir une analyse d’impact relative à la protection des données personnelles, conformément à l’art. 22, al. 5 LPD, que si la certification inclut le traitement pour lequel il y aurait lieu de procéder à l’analyse d’impact.

L’organisme de certification peut suspendre ou révoquer une certification, notamment lorsque, dans le cadre de la vérification, il constate des manquements graves. Il y a manquement grave notamment:

1. si les conditions essentielles de la certification ne sont plus remplies, ou
2. si une certification est utilisée de manière trompeuse ou abusive.

Tout litige concernant la suspension ou la révocation est soumis aux dispositions de droit civil applicables au rapport contractuel liant l’organisme de certification au fournisseur de systèmes ou de logiciels de traitement de données personnelles, au responsable du traitement ou au sous-traitant au bénéfice d’une certification.

Le PFPDT informe l’organisme de certification s’il constate des manquements graves de la part d’un fournisseur de systèmes ou de logiciels de traitement de données personnelles, d’un responsable du traitement ou d’un sous-traitant au bénéfice d’une certification.

L’organisme de certification invite immédiatement le fournisseur de systèmes ou de logiciels de traitement de données personnelles, le responsable du traitement ou le sous-traitant au bénéfice d’une certification à remédier, dans un délai de 30 jours après avoir été informé par le PFPDT, aux manquements constatés.

S’il n’est pas remédié aux manquements dans les 30 jours, l’organisme de certification suspend la certification. Il révoque la certification s’il n’existe aucune perspective d’obtenir ou de rétablir une situation conforme à la loi dans un délai convenable.

S’il n’est pas remédié aux manquements dans le délai prévu à l’al. 2 et si l’organisme de certification ne suspend ni ne révoque la certification, le PFPDT prend une mesure au sens de l’art. 51, al. 1 LPD. Il peut notamment ordonner la suspension ou la révocation de la certification. S’il donne cet ordre à l’organisme de certification, il en informe le SAS.

L’ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données ⁵ est abrogée.

La présente ordonnance entre en vigueur le 1 ^er septembre 2023.