Lexipedia

AS 2007 4993

Ordonnance relative à la loi fédérale sur la protection des données

Ordonnance relative à la loi fédérale sur la protection des données (OLPD)

Modification du 28 septembre 2007

Le Conseil fédéral suisse arrête:

I L’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des don- nées1 est modifiée comme suit:

Préambule vu les art. 6, al. 3, 7, al. 2, 8, 11a, al. 6, 16, al. 2, 17a et 36, al. 1, 4 et 6, de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)2, vu l’art. 46a de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration fédérale (LOGA)3,

Remplacement d’un terme Ne concerne que le texte italien.

Art. 1, al. 2 et 6

2 La demande d’accès et la communication des renseignements demandés peuvent

être faites par voie électronique, pour autant que le maître du fichier le prévoie expressément et qu’il prenne des mesures adéquates afin: a. d’assurer l’identification de la personne concernée, et b. de protéger les données de la personne concernée de tout accès de tiers non autorisés lors de la communication des renseignements. 6 Si le traitement des données faisant l’objet d’une demande d’accès est effectué par un tiers pour le compte du maître de fichier et que ce dernier n’est pas en mesure de fournir le renseignement demandé, il transmet la demande au tiers pour qu’il y donne suite.

2007-1825 4993

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

Art. 3, al. 1, 1re phrase et al. 2, 2e phrase 1 Les fichiers (art. 11a, al. 3, LPD) sont déclarés au Préposé fédéral à la protection des données et à la transparence (préposé) avant d’être opérationnels. …

2 … Abrogée

Art. 4 Exceptions à l’obligation de déclarer 1 Ne sont pas soumis à déclaration les fichiers couverts par l’art. 11a, al. 5, let. a et c à f, LPD, ainsi que les fichiers suivants (art. 11a, al. 5, let. b, LPD): a. les fichiers de fournisseurs ou de clients, dans la mesure où ils ne contien- nent pas de données sensibles ni de profils de la personnalité; b. les fichiers dont les données sont traitées uniquement à des fins ne se rappor- tant pas aux personnes concernées, notamment dans le cadre de la recherche, de la planification ou de la statistique; c. les fichiers qui sont archivés et dont les données ne sont conservées qu’à des fins historiques ou scientifiques; d. les fichiers contenant exclusivement des données qui ont été publiées ou qui ont été rendues accessibles au public par la personne concernée sans que cette dernière se soit formellement opposée au traitement; e. les fichiers dont les données sont traitées uniquement aux fins de réaliser les exigences prévues à l’art. 10; f. les pièces comptables; g. les fichiers auxiliaires concernant la gestion du personnel du maître du fichier dans la mesure où ils ne contiennent pas de données sensibles ni de profils de la personnalité. 2 Le maître du fichier prend les mesures nécessaires afin de pouvoir communiquer, sur demande, au préposé ou aux personnes concernées les informations relatives aux fichiers qui ne sont pas soumis à déclaration (art. 3, al. 1).

Art. 5 Publication sous forme électronique La publication de données personnelles au moyen de services d’information et de communication automatisés afin d’informer le public n’est pas assimilée à une communication à l’étranger.

Art. 6 Devoir d’information 1 Le maître du fichier informe le préposé, avant la communication à l’étranger, des garanties et des règles de protection des données visées à l’art. 6, al. 2, let. a et g, LPD. S’il n’est pas en mesure d’informer préalablement le préposé, l’information a lieu immédiatement après la communication. 2 Une fois les garanties et les règles de protection des données annoncées au prépo- sé, le devoir d’information du maître du fichier est réputé également rempli pour toutes les communications:

4994

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

a. qui se basent sur les mêmes garanties, pour autant que les catégories de des- tinataires, les finalités du traitement et les catégories de données communi- quées soient similaires, ou b. qui sont effectuées au sein d’une même personne morale ou société ou entre des personnes morales ou sociétés réunies sous une direction unique, aussi longtemps que les règles de protection des données fournies permettent de garantir une protection adéquate.

3 Le devoir d’information est également réputé rempli lorsque des données sont

communiquées au moyen de contrats-modèles ou de clauses standards établis ou reconnus par le préposé et que le maître du fichier informe le préposé qu’il recourt à ces contrats-modèles ou à ces clauses standards. Le préposé publie une liste des contrats-modèles ou des clauses standards établis ou reconnus par lui. 4 Le maître du fichier prend les mesures adéquates pour s’assurer que le destinataire respecte les garanties et les règles de protection des données concernées. 5 Le préposé examine les garanties et les règles de protection des données qui lui sont annoncées (art. 31, al. 1, let. e, LPD) et communique le résultat de son examen au maître du fichier dans un délai de 30 jours à compter de la date de leur annonce.

Art. 7 Liste des Etats disposant d’une législation assurant un niveau de protection adéquat Le préposé publie une liste des Etats qui disposent d’une législation assurant un niveau de protection adéquat.

Art. 8, al. 1, 1re phrase et al. 4 1 La personne privée qui traite des données personnelles ou qui met à disposition un réseau télématique assure la confidentialité, la disponibilité et l’intégrité des données afin de garantir de manière appropriée la protection des données. …

4 Abrogé

Art. 10, al. 1 1 Le maître du fichier journalise les traitements automatisés de données sensibles ou de profils de la personnalité lorsque les mesures préventives ne suffisent pas à garan- tir la protection des données. Une journalisation est notamment nécessaire, lorsque, sans cette mesure, il ne serait pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées. Le préposé peut recommander la journalisation pour d’autres trai- tements.

4995

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

Art. 11 Règlement de traitement 1 Le maître d’un fichier automatisé soumis à déclaration (art. 11a, al. 3, LPD) qui n’en est pas exempté en vertu de l’art. 11a, al. 5, let. b à d, LPD élabore un règle- ment de traitement décrivant en particulier l’organisation interne et les procédures de traitement et de contrôle des données, et comprenant les documents relatifs à la planification, à l’élaboration et à la gestion du fichier et des moyens informatiques. 2 Le maître du fichier met régulièrement à jour le règlement de traitement. Il le met, sur demande, à la disposition du préposé ou du conseiller à la protection des données au sens de l’art. 11a, al. 5, let. e, LPD sous une forme qui lui est intelligible.

Titre précédant le chapitre 2 Section 5 Conseiller à la protection des données

Art. 12a Désignation du conseiller à la protection des données et communication au préposé 1 Lorsque le maître du fichier entend être délié de son devoir de déclaration en vertu de l’art. 11a, al. 5, let. e, LPD, il est tenu: a. de désigner un conseiller à la protection des données qui remplit les condi- tions de l’al. 2 et de l’art. 12b, et b. d’en informer le préposé.

2 Le maître du fichier peut désigner un collaborateur ou un tiers en qualité de

conseiller à la protection des données. Celui-ci ne doit pas exercer d’activités incompatibles avec ses tâches de conseiller à la protection des données et doit avoir les connaissances professionnelles nécessaires.

Art. 12b Tâches et statut du conseiller à la protection des données

1 Le conseiller à la protection des données a notamment pour tâches:

a. de contrôler les traitements de données personnelles et de proposer des mesures s’il apparaît que des prescriptions sur la protection des données ont été violées; b. de dresser l’inventaire des fichiers gérés par le maître du fichier mentionné à l’art. 11a, al. 3, LPD et de le tenir à la disposition du préposé ou des person- nes concernées qui en font la demande.

2 Le conseiller à la protection des données:

a. exerce sa fonction de manière indépendante et sans recevoir d’instructions de la part du maître du fichier; b. dispose des ressources nécessaires à l’accomplissement de sa tâche; c. a accès aux fichiers, aux traitements et aux informations nécessaires à l’accomplissement de sa tâche.

4996

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

Art. 14, al. 2

2 L’ordonnance du 10 décembre 2004 sur les contrôles militaires4 s’applique aux

demandes de renseignements relatives aux contrôles militaires à l’étranger.

Art. 16, titre et al. 1, let. h, et al. 2 Déclaration

1 … La déclaration contient les informations suivantes:

h. abrogée

2 Chaque organe fédéral responsable tient ces informations à jour.

Art. 17 Abrogé

Art. 18 Exceptions à l’obligation de déclarer 1 Ne sont pas soumis à déclaration les fichiers suivants, dans la mesure où ils sont utilisés exclusivement à des fins administratives internes: a. les fichiers usuels d’enregistrement de la correspondance; b. les fichiers de fournisseurs ou de clients, dans la mesure où ils ne contien- nent pas de données sensibles ni de profils de la personnalité; c. les fichiers d’adresses servant uniquement à l’envoi de correspondance, dans la mesure où ils ne contiennent pas de données sensibles ni de profils de la personnalité; d. les listes destinées au paiement des indemnités; e. les pièces comptables; f. les fichiers auxiliaires concernant la gestion du personnel de la Confédé- ration, dans la mesure où ils ne contiennent pas de données sensibles ni de profils de la personnalité; g. les fichiers des bibliothèques (catalogues, listes de prêts et d’utilisateurs).

2 Ne sont pas non plus soumis à déclaration:

a. les fichiers déposés aux Archives fédérales; b. les fichiers rendus accessibles au public sous forme d’annuaires; c. les fichiers dont les données sont traitées uniquement à des fins ne se rappor- tant pas aux personnes concernées, notamment dans le cadre de la recherche, de la planification ou de la statistique. 3 L’organe fédéral responsable prend les mesures nécessaires afin de pouvoir com- muniquer, sur demande, au préposé ou aux personnes concernées les informations relatives aux fichiers qui ne sont pas soumis à déclaration (art. 16, al. 1).

4 RS 511.22

4997

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

Art. 19 Lorsqu’un organe fédéral communique des données à l’étranger et qu’il se fonde sur l’art. 6, al. 2, let. a, LPD, l’art. 5 s’applique.

Art. 20, al. 2 et 4 2 Ils annoncent, dès le début, au conseiller à la protection des données au sens de l’art. 11a, al. 5, let. e, LPD ou, à défaut, au préposé tout projet de traitement automa- tisé de données personnelles, afin que les exigences de la protection des données soient immédiatement prises en considération. L’annonce au préposé a lieu par l’intermédiaire de l’USIC lorsqu’un projet doit également être annoncé à cette unité.

4 Au demeurant, les instructions édictées par les organes fédéraux en vertu de

l’ordonnance du 26 septembre 2003 sur l’informatique dans l’administration fédé- rale (OIAF)5 sont applicables.

Art. 22, al. 1 Abrogé

Art. 23

1 La Chancellerie fédérale et chaque département désignent respectivement et au

minimum un conseiller à la protection des données. Ce conseiller a pour tâches de: a. conseiller les organes responsables et les utilisateurs; b. promouvoir l’information et la formation des collaborateurs; c. concourir à l’application des prescriptions relatives à la protection des don- nées.

2 Si les organes fédéraux entendent être déliés de leur devoir de déclarer leurs

fichiers conformément à l’art. 11a, al. 5, let. e, LPD, les art. 12a et 12b sont appli- cables. 3 Ils communiquent avec le préposé par l’intermédiaire de leur conseiller à la protec- tion des données.

Art. 27 Procédure d’autorisation d’essais pilotes 1 Avant de consulter les unités administratives concernées, l’organe fédéral respon- sable de l’essai pilote communique au préposé de quelle manière il est prévu d’assurer que les exigences de l’art. 17a LPD sont remplies et l’invite à prendre position. 2 Le préposé prend position sur le respect des exigences de l’art. 17a, al. 1 et 2, LPD. A cet effet, l’organe fédéral responsable lui remet tous les documents nécessaires et en particulier:

5 RS 172.010.58

4998

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

a. un descriptif général de l’essai pilote; b. un rapport démontrant que l’accomplissement des tâches légales nécessite le traitement de données sensibles ou de profils de la personnalité et rend indispensable une phase d’essai avant l’entrée en vigueur de la loi au sens formel (art. 17a, al. 1, let. c, LPD); c. un descriptif de l’organisation interne et des processus de traitement et de contrôle des données (art. 21); d. un descriptif des mesures de sécurité et de protection des données; e. un projet d’ordonnance réglant les modalités de traitement ou les grandes lignes de cet acte législatif; f. les informations concernant la planification des différentes phases de l’essai pilote. 3 Le préposé peut exiger d’autres documents et procéder à des vérifications complé- mentaires. 4 L’organe fédéral responsable informe le préposé de toute modification essentielle portant sur le respect des conditions de l’art. 17a LPD. Le cas échéant, le préposé prend à nouveau position. 5 La prise de position du préposé est annexée à la proposition adressée au Conseil fédéral.

Art. 27a Rapport d’évaluation de l’essai pilote L’organe fédéral responsable soumet pour avis au préposé le projet de rapport d’évaluation à l’intention du Conseil fédéral (art. 17a, al. 4, LPD). La prise de posi- tion du préposé est portée à la connaissance du Conseil fédéral.

Art. 28 Registre des fichiers 1 Le registre des fichiers géré par le préposé contient les informations énoncées aux art. 3 et 16. 2 Le registre est accessible en ligne au public. Sur demande, le préposé communique gratuitement des extraits du registre. 3 Le préposé tient une liste des maîtres de fichiers qui sont déliés de leur devoir de déclarer leurs fichiers en vertu de l’art. 11a, al. 5, let. e et f, LPD. Cette liste est accessible en ligne au public. 4 Si le maître du fichier ne déclare pas son fichier ou le fait de manière incomplète, le préposé l’invite à s’acquitter de son obligation dans un délai déterminé. A l’expiration du délai et sur la base des informations dont il dispose, le préposé peut procéder d’office à l’enregistrement du fichier ou recommander la cessation du traitement des données.

Art. 29 Abrogé

4999

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

Art. 30, al. 2 et 3 2 Les rapports de travail du secrétariat du préposé sont régis par la loi du 24 mars

2000 sur le personnel de la Confédération6 et ses dispositions d’exécution.

3 Le budget du préposé figure dans une rubrique spécifique du budget de la Chancel- lerie fédérale.

Art. 31, al. 1, 1re phrase 1 Le préposé communique avec le Conseil fédéral par l’intermédiaire du chancelier de la Confédération. …

Art. 32, al. 1, 1re phrase, et al. 2

1 Les organes fédéraux communiquent au préposé tous leurs projets législatifs

concernant le traitement de données personnelles, la protection des données et l’accès aux documents officiels. … 2 Le préposé doit avoir à sa disposition la documentation nécessaire à son activité. Il gère un système d’information autonome pour la documentation, l’enregistrement, la gestion, l’indexation et le contrôle de la correspondance et des dossiers, ainsi que pour la publication en ligne d’informations d’intérêt général et du registre des fichiers.

Art. 33, al. 1

1 Les avis (art. 28 LPD) du préposé sont soumis à émolument. L’ordonnance géné-

rale du 8 septembre 2004 sur les émoluments7 est applicable.

II La présente modification entre en vigueur le 1er janvier 2008.

28 septembre 2007 Au nom du Conseil fédéral suisse: La présidente de la Confédération, Micheline Calmy-Rey La chancelière de la Confédération, Annemarie Huber-Hotz

6 RS 172.220.1 7 RS 172.041.1

5000

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

Cette page est vierge pour permettre d'assurer une concordance dans la pagination des trois éditions du RO.

5001

Ordonnance relative à la loi fédérale sur la protection des données RO 2007

5002

Ordonnance relative à la loi fédérale sur la protection des données | Lexipedia | Lexipedia