Lexipedia

AS 2022 568

Ordonnance sur la protection des données (OPDo)

Préambule

Le Conseil fédéral suisse,

vu les art. 8, al. 3, 10, al. 4, 12, al. 5, 16, al. 3, 25, al. 6, 28, al. 3, 33, 59, al. 2 et 3 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)1,

arrête:

Chapitre 1 Dispositions générales

Section 1 Sécurité des données

Art. 1 Principes

Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.

Le besoin de protection des données personnelles est évalué en fonction des critères suivants:

  • a. le type de données traitées;

  • b. la finalité, la nature, l’étendue et les circonstances du traitement.

Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des critères suivants:

  • a. les causes du risque;

  • b. les principales menaces;

  • c. les mesures prises ou prévues pour réduire le risque;

  • d. la probabilité et la gravité d’une violation de la sécurité des données, malgré les mesures prises ou prévues.

Lors de la détermination des mesures techniques et organisationnelles, les critères suivants sont de plus pris en compte:

  • a. l’état des connaissances;

  • b. les coûts de mise en œuvre.

Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées.

Art. 2 Objectifs

En fonction du besoin de protection, le responsable du traitement et le sous-traitant prennent des mesures techniques et organisationnelles pour que les données traitées:

  • a. ne soient accessibles qu’aux personnes autorisées (confidentialité);

  • b. soient disponibles en cas de besoin (disponibilité);

  • c. ne puissent être modifiées sans droit ou par mégarde (intégrité);

  • d. soient traitées de manière à être traçables (traçabilité).

Art. 3 Mesures techniques et organisationnelles

Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:

  • a. les personnes autorisées n’aient accès qu’aux données personnelles dont elles ont besoin pour accomplir leurs tâches (contrôle de l’accès aux données);

  • b. seules les personnes autorisées puissent accéder aux locaux et aux installations utilisés pour le traitement de données (contrôle de l’accès aux locaux et aux installations);

  • c. les personnes non autorisées ne puissent pas utiliser les systèmes de traitement automatisé de données personnelles à l’aide d’installations de transmission (contrôle d’utilisation).

Pour assurer la disponibilité et l’intégrité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:

  • a. les personnes non autorisées ne puissent pas lire, copier, modifier, déplacer, effacer ou détruire des supports de données (contrôle des supports de données);

  • b. les personnes non autorisées ne puissent pas enregistrer, lire, modifier, effacer ou détruire des données personnelles dans la mémoire (contrôle de la mémoire);

  • c. les personnes non autorisées ne puissent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de leur communication ou lors du transport de supports de données (contrôle du transport);

  • d. la disponibilité des données personnelles et l’accès à celles-ci puissent être rapidement restaurés en cas d’incident physique ou technique (restauration);

  • e. toutes les fonctions du système de traitement automatisé de données personnelles soient disponibles (disponibilité), que les dysfonctionnements soient signalés (fiabilité) et que les données personnelles stockées ne puissent pas être endommagées en cas de dysfonctionnements du système (intégrité des données);

  • f. les systèmes d’exploitation et les logiciels d’application soient toujours maintenus à jour en matière de sécurité et que les failles critiques connues soient corrigées (sécurité du système).

Pour assurer la traçabilité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:

  • a. il soit possible de vérifier quelles données personnelles sont saisies ou modifiées dans le système de traitement automatisé de données, par quelle personne et à quel moment (contrôle de la saisie);

  • b. il soit possible de vérifier à qui sont communiquées les données personnelles à l’aide d’installations de transmission (contrôle de la communication);

  • c. les violations de la sécurité des données puissent être rapidement détectées (détection) et que des mesures puissent être prises pour atténuer ou éliminer les conséquences (réparation).

Art. 4 Journalisation

Lors de traitements automatisés de données sensibles à grande échelle ou de profilage à risque élevé et lorsque les mesures préventives ne suffisent pas à garantir la protection des données, le responsable du traitement privé et son sous-traitant privé journalisent au moins l’enregistrement, la modification, la lecture, la communication, l’effacement et la destruction des données. La journalisation est notamment nécessaire lorsque, sans cette mesure, il n’est pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées.

Lors du traitement automatisé de données personnelles, l’organe fédéral responsable et son sous-traitant journalisent au moins l’enregistrement, la modification, la lecture, la communication, l’effacement et la destruction des données.

Pour les données personnelles généralement accessibles au public, l’enregistrement, la modification, l’effacement et la destruction des données doivent au moins être journalisés.

La journalisation doit fournir des informations sur l’identité de la personne qui a effectué le traitement, la nature, la date et l’heure du traitement et, cas échéant, l’identité du destinataire des données.

Les procès-verbaux de journalisation sont conservés durant au moins un an, séparément du système dans lequel les données personnelles sont traitées. Ils sont accessibles uniquement aux organes et aux personnes chargés de vérifier l’application des dispositions relatives à la protection des données personnelles ou de préserver ou restaurer la confidentialité, l’intégrité, la disponibilité et la traçabilité des données, et ne peuvent être utilisés qu’à cette fin.

Art. 5 Règlement de traitement des personnes privées

Le responsable du traitement privé et son sous-traitant privé établissent un règlement pour les traitements automatisés en cas:

  • a. de traitement de données sensibles à grande échelle, ou

  • b. de profilage à risque élevé.

Le règlement comprend en particulier des informations sur l’organisation interne, sur les procédures de traitement et de contrôle des données, ainsi que sur les mesures visant à garantir la sécurité des données.

Le responsable du traitement privé et son sous-traitant privé actualisent régulièrement le règlement. S’ils ont nommé un conseiller à la protection des données, ils mettent le règlement à sa disposition.

Art. 6 Règlement de traitement des organes fédéraux

L’organe fédéral responsable et son sous-traitant établissent un règlement pour les traitements automatisés en cas:

  • a. de traitement de données sensibles;

  • b. de profilage;

  • c. de traitement de données personnelles au sens de l’art. 34, al. 2, let. c, LPD;

  • d. d’accès aux données personnelles accordé aux cantons, aux autorités étrangères, aux organisations internationales ou aux personnes privées;

  • e. d’ensembles de données interconnectés, ou

  • f. d’exploitation d’un système d’information ou de gestion d’ensembles de données conjointement avec d’autres organes fédéraux.

Le règlement comprend en particulier des informations sur l’organisation interne, sur les procédures de traitement et de contrôle des données, ainsi que sur les mesures visant à garantir la sécurité des données.

L’organe fédéral responsable et son sous-traitant actualisent régulièrement le règlement et le mettent à la disposition du conseiller à la protection des données.

Section 2 Sous-traitance

Art. 7

L’autorisation préalable du responsable du traitement permettant au sous-traitant de confier le traitement des données à un tiers peut être de nature spécifique ou générale.

En cas d’autorisation générale, le sous-traitant informe le responsable du traitement lorsqu’il envisage de recourir à d’autres tiers ou de les remplacer. Le responsable du traitement peut s’opposer à cette modification.

Section 3 Communication de données personnelles à l’étranger

Art. 8 Évaluation du niveau de protection adéquat des données d’un État, d’un territoire, d’un secteur déterminé dans un État, ou d’un organisme international

Les États, les territoires, les secteurs déterminés dans un État, et les organismes internationaux avec un niveau de protection adéquat sont mentionnés à l’annexe 1.

Pour évaluer si un État, un territoire, un secteur déterminé dans un État, ou un organisme international garantit un niveau de protection adéquat, les critères suivants sont en particulier pris en compte:

  • a. les engagements internationaux de l’État ou de l’organisme international, notamment en matière de protection des données;

  • b. l’état de droit et le respect des droits de l’homme;

  • c. la législation applicable, notamment en matière de protection des données, de même que sa mise en œuvre et la jurisprudence y relative;

  • d. la garantie effective des droits des personnes concernées et des voies de droit;

  • e. le fonctionnement effectif d’une ou de plusieurs autorités indépendantes chargées de la protection des données dans l’État concerné, ou auxquelles un organisme international est soumis, et disposant de pouvoirs et de compétences suffisants.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est consulté lors de chaque évaluation. Les appréciations effectuées par des organismes internationaux ou des autorités étrangères chargées de la protection des données peuvent être prises en compte.

L’adéquation du niveau de protection est réévaluée périodiquement.

Les évaluations doivent être publiées.

Lorsque l’évaluation visée à l’al. 4 ou que d’autres informations indiquent que le niveau de protection adéquat n’est plus garanti, l’annexe 1 est modifiée sans effet sur les communications de données déjà effectuées.

Art. 9 Clauses de protection des données d’un contrat et garanties spécifiques

Les clauses de protection des données d’un contrat au sens de l’art. 16, al. 2, let. b, LPD et les garanties spécifiques au sens de l’art. 16, al. 2, let. c, LPD comprennent au moins les points suivants:

  • a. l’application des principes de licéité, de bonne foi, de proportionnalité, de transparence, de finalité et d’exactitude;

  • b. les catégories de données communiquées et de personnes concernées;

  • c. le type et la finalité de la communication des données personnelles;

  • d. le cas échéant, le nom des États ou des organismes internationaux auxquels sont destinées les données personnelles, et les conditions applicables à la communication;

  • e. les conditions applicables à la conservation, à l’effacement et à la destruction des données personnelles;

  • f. les destinataires ou les catégories de destinataires;

  • g. les mesures visant à garantir la sécurité des données;

  • h. l’obligation d’annoncer les violations de la sécurité des données;

  • i. l’obligation pour le destinataire, lorsqu’il est responsable du traitement, d’informer les personnes concernées par le traitement des données;

  • j. les droits de la personne concernée, en particulier:

    1. le droit d’accès et le droit à la remise ou à la transmission des données personnelles,

    2. le droit de s’opposer à la communication des données,

    3. le droit de demander la rectification, l’effacement ou la destruction des données,

    4. le droit de saisir en justice une autorité indépendante.

Le responsable du traitement ou, dans le cas de clauses de protection des données d’un contrat, le sous-traitant prend les mesures adéquates pour s’assurer que le destinataire respecte ces clauses ou les garanties spécifiques.

Une fois les clauses de protection des données d’un contrat ou les garanties spécifiques annoncées au PFPDT, le devoir d’information du responsable du traitement est réputé également rempli pour toutes les communications:

  • a. qui se fondent sur les mêmes clauses ou garanties, pour autant que les catégories de destinataires, les finalités du traitement et les catégories de données communiquées soient similaires, ou

  • b. qui sont effectuées au sein d’une même personne morale ou société ou entre des entreprises appartenant au même groupe.

Art. 10 Clauses types de protection des données

Lorsque le responsable du traitement ou le sous-traitant communique des données personnelles à l’étranger au moyen de clauses types de protection des données au sens de l’art. 16, al. 2, let. d, LPD, il prend les mesures adéquates pour s’assurer que le destinataire les respecte.

Le PFPDT publie une liste des clauses types de protection des données qu’il a approuvées, établies ou reconnues. Il communique le résultat de l’examen sur les clauses types qui lui sont soumises dans un délai de 90 jours.

Art. 11 Règles d’entreprise contraignantes

Les règles d’entreprise contraignantes au sens de l’art. 16, al. 2, let. e, LPD s’appliquent à toutes les entreprises appartenant au même groupe.

Elles portent au moins sur les points mentionnés à l’art. 9, al. 1, ainsi que sur les points suivants:

  • a. la structure et les coordonnées du groupe d’entreprises et de chacune de ses entités;

  • b. les mesures mises en place au sein des groupes d’entreprises pour garantir le respect des règles d’entreprise contraignantes.

Le PFPDT communique le résultat de l’examen sur les règles d’entreprise contraignantes qui lui sont soumises dans un délai de 90 jours.

Art. 12 Codes de conduite et certifications

Des données personnelles peuvent être communiquées à l’étranger à condition qu’un code de conduite ou qu’une certification garantisse un niveau de protection approprié.

Le code de conduite est préalablement soumis au PFPDT pour approbation.

Le code de conduite ou la certification doit être assorti d’un engagement contraignant et exécutoire par lequel le responsable du traitement ou le sous-traitant dans l’État tiers garantit qu’il applique les mesures contenues dans ces instruments.

Chapitre 2 Obligations du responsable du traitement

Art. 13 Modalités du devoir d’informer

Le responsable du traitement communique aux personnes concernées les informations sur la collecte de données personnelles de manière concise, transparente, compréhensible et facilement accessible.

Art. 14 Conservation de l’analyse d’impact relative à la protection des données personnelles

Le responsable du traitement conserve l’analyse d’impact relative à la protection des données personnelles pendant au moins deux ans après la fin du traitement des données.

Art. 15 Annonce des violations de la sécurité des données

L’annonce au PFPDT d’une violation de la sécurité des données comprend les informations suivantes:

  • a. la nature de la violation;

  • b. dans la mesure du possible, le moment et la durée;

  • c. dans la mesure du possible, les catégories et le nombre approximatif de données personnelles concernées;

  • d. dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées;

  • e. les conséquences, y compris les risques éventuels, pour les personnes concernées;

  • f. les mesures prises ou prévues pour remédier à cette défaillance et atténuer les conséquences, y compris les risques éventuels;

  • g. le nom et les coordonnées d’une personne de contact.

Si le responsable du traitement n’est pas en mesure d’annoncer simultanément toutes les informations, il fournit les informations manquantes dans les meilleurs délais.

Si le responsable du traitement est tenu d’informer la personne concernée, il lui communique, dans un langage simple et compréhensible, au moins les informations visées à l’al. 1, let. a et e à g.

Le responsable du traitement documente les violations. La documentation contient les faits relatifs aux incidents, à leurs effets et aux mesures prises. Elle est conservée pendant au moins deux ans à compter de la date d’annonce au sens de l’al. 1.

Chapitre 3 Droits de la personne concernée

Section 1 Droit d’accès

Art. 16 Modalités

Toute personne qui demande au responsable du traitement si des données personnelles la concernant sont traitées doit le faire par écrit. La demande peut être faite oralement moyennant l’accord du responsable du traitement.

Les renseignements sont communiqués par écrit ou sous la forme dans laquelle les données se présentent. D’entente avec le responsable du traitement, la personne concernée peut consulter ses données sur place. Si elle y consent, les renseignements peuvent lui être fournis oralement.

La demande de renseignement et la communication des renseignements peuvent être effectuées par voie électronique.

Les renseignements sont communiqués sous une forme compréhensible pour la personne concernée.

Le responsable du traitement prend des mesures adéquates pour identifier la personne concernée. Celle-ci est tenue de coopérer.

Art. 17 Responsabilité

Lorsque plusieurs responsables traitent en commun des données personnelles, la personne concernée peut exercer son droit d’accès auprès de chacun d’eux.

Si la demande de renseignement porte sur des données traitées par un sous-traitant, celui-ci aide le responsable du traitement à fournir les renseignements pour autant qu’il ne réponde pas lui-même à la demande pour le compte du responsable du traitement.

Art. 18 Délais

Les renseignements sont fournis dans les 30 jours suivant la réception de la demande.

Si les renseignements ne peuvent être donnés dans les 30 jours, le responsable du traitement en informe la personne concernée en lui indiquant le délai dans lequel les renseignements seront fournis.

Si le responsable du traitement refuse, restreint ou diffère le droit d’accès, il le communique dans le même délai.

Art. 19 Exception à la gratuité

Si la communication des renseignements occasionne des efforts disproportionnés, le responsable du traitement peut exiger que la personne concernée participe aux coûts de manière adéquate.

Le montant de la participation s’élève à 300 francs au maximum.

Le responsable du traitement informe la personne concernée du montant avant de lui communiquer les renseignements. Si la personne concernée ne confirme pas sa demande dans les 10 jours, celle-ci est considérée comme retirée sans occasionner de frais. Le délai prévu à l’art. 18, al. 1, commence à courir à l’expiration du délai de réflexion de 10 jours.

Section 2 Droit à la remise ou à la transmission des données personnelles

Art. 20 Étendue du droit

Sont considérées comme des données personnelles que la personne concernée a communiquées au responsable du traitement:

  • a. les données qu’elle a mises à sa disposition délibérément et en connaissance de cause;

  • b. les données que le responsable du traitement a collectées au sujet de la personne concernée et qui concernent son comportement dans le cadre de l’utilisation d’un service ou d’un appareil.

Ne sont pas considérées comme des données personnelles que la personne concernée a communiquées au responsable du traitement, les données personnelles que celui-ci a générées en évaluant les données personnelles mises à disposition ou observées.

Art. 21 Exigences techniques de mise en œuvre

Les formats électroniques couramment utilisés sont les formats qui permettent, moyennant un effort proportionné, de transmettre les données personnelles en vue de leur réutilisation par la personne concernée ou par un autre responsable du traitement.

Le droit à la remise ou à la transmission des données personnelles ne crée pas d’obligation pour le responsable du traitement d’adopter ou de conserver des systèmes de traitement de données techniquement compatibles.

L’effort est disproportionné lorsque la transmission de données personnelles à un autre responsable du traitement n’est pas possible pour des raisons techniques.

Art. 22 Délais, modalités et responsabilité

Les art. 16, al. 1 et 5, et 17 à 19 s’appliquent par analogie à la remise ou à la transmission des données personnelles.

Chapitre 4 Dispositions particulières pour le traitement de données personnelles par des personnes privées

Art. 23 Conseiller à la protection des données

Le responsable du traitement:

  • a. met les ressources nécessaires à la disposition du conseiller à la protection des données;

  • b. donne accès au conseiller à la protection des données à tous les renseignements, les documents, les registres des activités de traitement et à toutes les données personnelles dont il a besoin pour l’accomplissement de ses tâches;

  • c. donne au conseiller à la protection des données le droit d’informer l’organe supérieur de direction ou d’administration dans les cas importants.

Art. 24 Exception à l’obligation de tenir un registre des activités de traitement

Les entreprises et autres organismes de droit privé employant moins de 250 collaborateurs au 1 janvier d’une année, ainsi que les personnes physiques, sont déliés de leur obligation de tenir un registre des activités de traitement, à moins que l’une des conditions suivantes soit remplie:

  • a. le traitement porte sur des données sensibles à grande échelle;

  • b. le traitement constitue un profilage à risque élevé.

Chapitre 5 Dispositions particulières pour le traitement de données personnelles par des organes fédéraux

Section 1 Conseiller à la protection des données

Art. 25 Désignation

Tout organe fédéral désigne un conseiller à la protection des données. Plusieurs organes fédéraux peuvent désigner ensemble un conseiller.

Art. 26 Exigences et tâches

Le conseiller à la protection des données remplit les conditions suivantes:

  • a. il dispose des connaissances professionnelles nécessaires;

  • b. il exerce sa fonction de manière indépendante par rapport à l’organe fédéral et sans recevoir d’instruction de celui-ci.

Il accomplit les tâches suivantes:

  • a. participer à l’application des dispositions relatives à la protection des données, en particulier:

    1. en contrôlant le traitement de données personnelles et en proposant des mesures correctives lorsqu’une violation des dispositions relatives à la protection des données est constatée,

    2. en conseillant le responsable du traitement lors de l’établissement de l’analyse d’impact relative à la protection des données et en vérifiant son exécution;

  • b. servir d’interlocuteur pour les personnes concernées;

  • c. former et conseiller les collaborateurs de l’organe fédéral en matière de protection des données.

Art. 27 Devoirs de l’organe fédéral

L’organe fédéral:

  • a. donne accès au conseiller à la protection des données à tous les renseignements, les documents, les registres des activités de traitement et à toutes les données personnelles dont il a besoin pour l’accomplissement de ses tâches;

  • b. veille à ce que le conseiller à la protection des données soit informé de toute violation de la sécurité des données.

Il publie les coordonnées du conseiller à la protection des données en ligne et les communique au PFPDT.

Art. 28 Interlocuteur du PFPDT

Le conseiller à la protection des données personnelles est l’interlocuteur du PFPDT pour les questions relatives au traitement des données par l’organe fédéral concerné.

Section 2 Devoir d’informer

Art. 29 Devoir d’informer lors de la communication des données personnelles

L’organe fédéral indique au destinataire l’actualité, la fiabilité et l’exhaustivité des données personnelles qu’il communique, dans la mesure où ces informations ne ressortent pas des données elles-mêmes ou des circonstances.

Art. 30 Devoir d’informer lors de la collecte systématique des données personnelles

Si la personne concernée n’est pas tenue de fournir des renseignements, l’organe fédéral qui collecte systématiquement des données personnelles doit l’en informer.

Section 3 Annonce au PFPDT des projets pour le traitement automatisé des données personnelles

Art. 31

L’organe fédéral responsable annonce au PFPDT les activités prévues de traitement automatisé au moment de l’approbation du projet ou de la décision de le développer.

L’annonce contient les indications prévues à l’art. 12, al. 2, let. a à d, LPD, ainsi que la date prévue pour le début des activités de traitement.

Le PFPDT enregistre cette annonce dans le registre des activités de traitement.

L’organe fédéral responsable actualise cette annonce lors du passage à la phase de production ou lorsque le projet est abandonné.

Section 4 Essais pilotes

Art. 32 Caractère indispensable de l’essai pilote

Un essai pilote est indispensable si l’une des conditions suivantes est remplie:

  • a. l’accomplissement des tâches nécessite l’introduction d’innovations techniques dont les effets doivent être évalués;

  • b. l’accomplissement des tâches nécessite la prise de mesures organisationnelles ou techniques importantes dont l’efficacité doit être examinée, notamment dans le cadre d’une collaboration entre les organes fédéraux et les cantons;

  • c. l’accomplissement des tâches nécessite de rendre accessibles en ligne les données personnelles.

Art. 33 Procédure d’autorisation de l’essai pilote

Avant de consulter les unités administratives concernées, l’organe fédéral responsable de l’essai pilote communique au PFPDT de quelle manière il est prévu d’assurer que les conditions de l’art. 35 LPD soient remplies et l’invite à prendre position.

Le PFPDT prend position sur le respect des conditions de l’art. 35 LPD. À cet effet, l’organe fédéral lui remet tous les documents nécessaires et en particulier:

  • a. un descriptif général de l’essai pilote;

  • b. un rapport démontrant que l’accomplissement des tâches légales nécessite un traitement selon l’art. 34, al. 2, LPD et rend indispensable une phase d’essai avant l’entrée en vigueur de la loi au sens formel;

  • c. un descriptif de l’organisation interne et des processus de traitement et de contrôle des données;

  • d. un descriptif des mesures de sécurité et de protection des données;

  • e. un projet d’ordonnance réglant les modalités de traitement ou les grandes lignes de cet acte législatif;

  • f. la planification des différentes phases de l’essai pilote.

Le PFPDT peut exiger d’autres documents et procéder à des vérifications complémentaires.

L’organe fédéral informe le PFPDT de toute modification essentielle portant sur le respect des conditions de l’art. 35 LPD. Si nécessaire, le PFPDT prend à nouveau position.

La prise de position du PFPDT est annexée à la proposition adressée au Conseil fédéral.

Le traitement automatisé est réglé par voie d’ordonnance.

Art. 34 Rapport d’évaluation

L’organe fédéral responsable soumet le projet de rapport d’évaluation à l’intention du Conseil fédéral au PFPDT pour prise de position.

Il soumet le rapport d’évaluation accompagné de la prise de position du PFPDT au Conseil fédéral.

Section 5 Traitement des données à des fins ne se rapportant pas à des personnes

Art. 35

Lorsque des données personnelles sont traitées à des fins ne se rapportant pas à des personnes, en particulier à des fins de recherche, de planification ou de statistique, et que le traitement sert également une autre finalité, les dérogations prévues à l’art. 39, al. 2, LPD ne s’appliquent qu’au seul traitement effectué à des fins ne se rapportant pas à des personnes.

Chapitre 6 Préposé fédéral à la protection des données et à la transparence

Art. 36 Siège et secrétariat permanent

Le siège du PFPDT est à Berne.

Les rapports de travail du personnel du secrétariat permanent du PFPDT sont régis par la législation sur le personnel de la Confédération. Le personnel est assuré auprès de la Caisse de prévoyance de la Confédération.

Art. 37 Voie de communication

Le PFPDT communique avec le Conseil fédéral par l’intermédiaire du chancelier de la Confédération. Celui-ci transmet les propositions, les prises de positions et les rapports au Conseil fédéral sans les modifier.

Le PFPDT transmet les rapports destinés à l’Assemblée fédérale par l’intermédiaire des Services du Parlement.

Art. 38 Communication des décisions, des directives et des projets

En matière de protection des données, les départements et la Chancellerie fédérale communiquent au PFPDT leurs décisions sous forme anonyme, ainsi que leurs directives.

Les organes fédéraux soumettent au PFPDT tous leurs projets législatifs concernant le traitement de données personnelles, la protection des données et l’accès aux documents officiels.

Art. 39 Traitement des données

Le PFPDT peut traiter les données personnelles, y compris les données sensibles, notamment aux fins suivantes:

  • a. exercer ses activités de surveillance;

  • b. exercer ses activités de conseil;

  • c. collaborer avec les autorités cantonales, fédérales et étrangères;

  • d. exécuter des tâches dans le cadre des dispositions pénales au sens de la LPD;

  • e. mettre en œuvre des procédures de conciliation et émettre des recommandations au sens de la loi du 17 décembre 2004 sur la transparence (LTrans)2;

  • f. mettre en œuvre des évaluations au sens de la LTrans;

  • g. mettre en œuvre des procédures de demande d’accès au sens de la LTrans;

  • h. informer la surveillance parlementaire;

  • i. informer le public;

  • j. exercer ses activités de formation.

Art. 40 Autocontrôle

Le PFPDT établit un règlement pour tous les traitements automatisés; l’art. 6, al. 1, ne s’applique pas.

Art. 41 Collaboration avec le NCSC

Le PFPDT peut, avec l’accord du responsable du traitement tenu d’annoncer, transmettre l’annonce d’une violation de la sécurité des données au Centre national pour la cybersécurité (NCSC) pour que celui-ci analyse l’incident. La communication peut contenir des données personnelles.

Le PFPDT invite le NCSC à se prononcer avant d’ordonner à l’organe fédéral de prendre les mesures visées à l’art. 8 LPD.

Art. 42 Registre des activités de traitement des organes fédéraux

Le registre des activités de traitement des organes fédéraux contient les informations fournies par les organes fédéraux conformément aux art. 12, al. 2, LPD et 31, al. 2, de la présente ordonnance.

Il est publié en ligne. Les inscriptions au registre concernant les activités de traitement automatisé prévues, au sens de l’art. 31, ne sont pas publiées.

Art. 43 Codes de conduite

Si un code de conduite est soumis au PFPDT, celui-ci indique dans sa prise de position si le code de conduite remplit les conditions de l’art. 22, al. 5, let. a et b, LPD.

Art. 44 Émolument

L’émolument perçu par le PFPDT se calcule en fonction du temps consacré.

Le tarif horaire varie entre 150 et 250 francs, selon la fonction exercée par la personne concernée.

Pour les prestations d’une ampleur extraordinaire, présentant des difficultés particulières ou ayant un caractère urgent, des suppléments pouvant atteindre 50 % de l’émolument prévu à l’al. 2 peuvent être perçus.

Si la prestation du PFPDT peut être réutilisée à des fins commerciales par la personne assujettie à l’émolument, des suppléments pouvant atteindre 100 % de l’émolument prévu à l’al. 2 peuvent être perçus.

L’ordonnance générale du 8 septembre 2004 sur les émoluments3 s’applique pour le reste.

Chapitre 7 Dispositions finales

Art. 45 Abrogation et modification d’autres actes

L’abrogation et la modification d’autres actes sont réglées à l’annexe 2.

Art. 46 Dispositions transitoires

Pour les traitements qui ne sont pas soumis à la directive (UE) 2016/6804, l’art. 4, al. 2, s’applique au plus tard après trois ans à compter de l’entrée en vigueur de la présente ordonnance ou au plus tard à la fin du cycle de vie du système. Dans l’intervalle, ces traitements sont régis par l’art. 4, al. 1.

L’art. 8, al. 5, ne s’applique pas aux évaluations effectuées avant l’entrée en vigueur de la présente ordonnance.

L’art. 31 ne s’applique pas aux activités de traitement automatisé prévues pour lesquelles l’approbation du projet ou la décision de le développer a déjà été prise au moment de l’entrée en vigueur de la présente ordonnance.

Art. 47 Entrée en vigueur

La présente ordonnance entre en vigueur le 1 septembre 2023.

31 août 2022

Au nom du Conseil fédéral suisse:

Le président de la Confédération, Ignazio Cassis
Le chancelier de la Confédération, Walter Thurnherr

(art. 8, al. 1)

États, territoires, secteurs déterminés dans un État et organismes internationaux dans lesquels un niveau de protection adéquat des données est garanti

1

Allemagne*

2

Andorre***

3

Argentine***

4

Autriche*

5

Belgique*

6

Bulgarie***

7

Canada***

Un niveau de protection adéquat est réputé garanti lorsque la loi fédérale canadienne du 13 avril 2000 sur la protection des renseignements personnels et les documents électroniques 5 ou lorsqu’une loi essentiellement similaire adoptée par une province canadienne s’applique dans le domaine privé. La loi fédérale s’applique aux renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales, que celles-ci relèvent d’organisations telles que des associations, des sociétés de personnes, des personnes individuelles ou des organisations syndicales ou d’entreprises fédérales telles que des installations, des ouvrages, des entreprises ou des secteurs d’activité qui relèvent de la compétence législative du Parlement canadien. Les provinces du Québec, de la Colombie-Britannique et de l’Alberta ont adopté des lois essentiellement similaires à la loi fédérale; l’Ontario, le Nouveau-Brunswick, Terre-Neuve-et-Labrador et la Nouvelle-Écosse ont adopté des lois essentiellement similaires à la loi fédérale dans le domaine des renseignements sur la santé. Dans toutes les provinces du Canada, la loi fédérale s’applique à tous les renseignements personnels recueillis, utilisés ou communiqués par les entreprises fédérales, y compris les renseignements personnels au sujet des employés de celles-ci. La loi fédérale s’applique également aux renseignements personnels qui circulent d’une province ou d’un pays à l’autre dans le cadre d’activités commerciales.

8

Chypre***

9

Croatie***

10

Danemark*

11

Espagne*

12

Estonie*

13

Finlande*

14

France*

15

Gibraltar***

16

Grèce*

17

Guernesey***

18

Hongrie*

19

Île de Man***

20

Îles Féroé***

21

Irlande***

22

Islande*

23

Israël***

24

Italie*

25

Jersey***

26

Lettonie*

27

Liechtenstein*

28

Lituanie*

29

Luxembourg*

30

Malte*

31

Monaco***

32

Norvège*

33

Nouvelle-Zélande***

34

Pays-Bas*

35

Pologne*

36

Portugal*

37

Tchéquie*

38

Roumanie***

39

Royaume-Uni**

40

Slovaquie*

41

Slovénie*

42

Suède*

43

Uruguay***

  • * L’évaluation du niveau de protection adéquat inclut les transferts de données selon la Directive (UE) 2016/6806.

  • ** L’évaluation du niveau de protection adéquat inclut les transferts de données en vertu d’une décision d’exécution de la Commission européenne constatant le caractère adéquat du niveau de protection des données selon la Directive (UE) 2016/680.

  • *** L’évaluation du niveau de protection adéquat n’inclut pas les transferts de données dans le cadre de la coopération prévue par la Directive (UE) 2016/680.

(art. 45)

Abrogation et modification d’autres actes

I

L’ordonnance du 14 juin 1993 relative à loi fédérale sur la protection des données7 est abrogée.

II

Les actes mentionnés ci-après sont modifiés comme suit:

1. Ordonnance du 4 mars 2011 sur les contrôles de sécurité relatifs aux personnes8

Art. 12, al. 1, let. e, et 2, let. a, ch. 2

1 Le Service spécialisé CSP DDPS procède à un contrôle de sécurité élargi avec audition pour les personnes:

  • e. abrogée

2 Le Service spécialisé CSP ChF procède à un contrôle de sécurité élargi avec audition pour les personnes:

  • a. nommées par le Conseil fédéral, à l’exception:

    1. abrogé

Art. 21, al. 2

2 La personne concernée peut, en tout temps, consulter les documents produits lors du contrôle, sous réserve de l’art. 26 de la loi fédérale du 25 septembre 2020 sur la protection des données9, et des art. 27 et 28 de la loi fédérale du 20 décembre 1968 sur la procédure administrative10.

Annexe 1, ch. 2.1, 2e ligne

Unité administrative

Fonctions

...

Toutes les fonctions au sein du Préposé fédéral à la protection des données et à la transparence (PFPDT) à l’exception de celles du chef du PFPDT.

...

2. Ordonnance du 4 décembre 2009 sur les mesures de police administrative de l’Office fédéral de la police et sur le système d’information HOOGAN11

Art. 9, al. 1, let. a, ch. 3, et al. 4, let. b

1 Les autorités ci-après ont accès à HOOGAN exclusivement aux fins suivantes:

  • a. les services de fedpol suivants:

    1. le conseiller à la protection des données de fedpol: pour le traitement des demandes de renseignement et d’effacement liées à HOOGAN;

4 Disposent d’un accès partiel:

  • b. le conseiller à la protection des données de fedpol;

Art. 13, al. 1, let. a

1 Pour garantir la sécurité des données, sont applicables:

  • a. les art. 1 à 4 et 6 de l’ordonnance du 31 août 2022 sur la protection des données12;

3. Ordonnance du 16 août 2017 sur les systèmes d’information et les systèmes de stockage de données du Service de renseignement de la Confédération13

Art. 13, al. 1, let. a

1 Pour assurer la sécurité des données s’appliquent:

  • a. les art. 1 à 4 et 6 de l’ordonnance du 31 août 2022 sur la protection des données14;

Art. 17, al. 3

3 IASA SRC peut contenir des données personnelles, sensibles ou non, y compris des données personnelles qui permettent d’évaluer la menace qu’une personne représente.

Art. 23, al. 3

3 IASA-EXTR SRC peut contenir des données personnelles, sensibles ou non, y compris des données personnelles qui permettent d’évaluer la menace qu’une personne représente.

Art. 30, al. 3

3 L’INDEX SRC peut contenir des données personnelles, sensibles ou non, y compris des données personnelles qui permettent d’évaluer la menace qu’une personne représente.

Art. 38, al. 1

1 Les collaborateurs du SRC en charge des dossiers versés dans GEVER vérifient chaque année, tenant compte de la situation actuelle, si les données des dossiers sont encore nécessaires au traitement et au contrôle des affaires ainsi qu’à l’efficacité des processus de travail du SRC.

Art. 44, al. 1

1 Les collaborateurs du SRC en charge du classement et du traitement des données dans le système PES vérifient chaque année, en tenant compte de la situation actuelle, si les données du système PES sont encore nécessaires à l’accomplissement des tâches visées à l’art. 6 LRens. Les données visées à l’al. 4 sont exclues de ce contrôle.

Art. 59, al. 1

1 Les collaborateurs du SRC en charge du classement des données dans le système SICO vérifient chaque année, en tenant compte de la situation actuelle, si les données du système SICO servant à diriger les moyens de l’exploration, à assurer le contrôle de gestion et à établir des rapports sont encore nécessaires.

Art. 67, al. 2

2 Ils peuvent contenir des données personnelles, sensibles ou non, y compris des données personnelles qui permettent d’évaluer la menace qu’une personne représente.

4. Ordonnance du 24 octobre 2007 relative à l’admission, au séjour et à l’exercice d’une activité lucrative15

Art. 89a Communication de données personnelles à un État qui n’est lié à aucun des accords d’association à Schengen

Il y a protection appropriée de la personne concernée au sens de l’art. 111d, al. 3, LEI lorsque des garanties appropriées respectent les exigences des art. 9 à 12 de l’ordonnance du 31 août 2022 sur la protection des données16.

5. Ordonnance du 10 novembre 2021 sur le système d’entrée et de sortie17

Art. 18, al. 1

1 Le droit d’accès est soumis aux dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données18.

Art. 20, al. 2, let. a

2 S’agissant des autorités fédérales, la sécurité des données est régie en outre par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données19;

6. Ordonnance 3 du 11 août 1999 sur l’asile20

Art. 1b, al. 2, 1re phrase

2 Elle ne comprend pas de donnée sensible. ...

Art. 6a Communication de données personnelles à un État non lié par un des accords d’association à Dublin

(art. 102c, al. 3 et 4, LAsi)

Il y a protection appropriée de la personne concernée au sens de l’art. 102c, al. 3, LAsi lorsque des garanties appropriées respectent les exigences des art. 9 à 12 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)21.

Art. 12, let. a

La sécurité des données est régie par:

  • a. l’OPDo22;

7. Ordonnance VIS du 18 décembre 201323

Art. 31, al. 1

1 Si une personne fait valoir son droit d’accès aux données saisies dans ORBIS ou dans le C-VIS, elle doit présenter une demande au SEM dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)24. L’exercice d’autres droits par la personne concernée est régi par l’art. 41 de la loi fédérale du 25 septembre 2020 sur la protection des données25.

Art. 32, al. 1, phrase introductive, let. a et c

1 Lors de la collecte des données personnelles du demandeur, y compris les données biométriques, celui-ci est informé par écrit:

  • a. de l’identité et des coordonnées du responsable du traitement;

  • c. des destinataires ou des catégories de destinataires auxquels les données personnelles sont communiquées;

Art. 34, let. a

La sécurité des données est régie par:

  • a. l’OPDo26;

8. Ordonnance SYMIC du 12 avril 200627

Art. 13, al. 1, phrase introductive et 4

1 Le SEM peut, dans un cas particulier ou périodiquement, communiquer, sous forme de banques de données ou de listes, les données personnelles traitées dans le SYMIC aux autorités ou aux organisations ci-après pour qu’elles puissent accomplir leurs tâches légales:

4 Les données visées à l’art. 5, al. 2, let. a, sont communiquées de manière continue sous forme de banques de données au registre IDE de l’OFS.

Art. 14, al. 2

Abrogé

Art. 17, al. 1, let. a

1 La sécurité des données est régie par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données (OPDo)28;

Art. 19, al. 1 et 2

1 Les droits des personnes concernées, notamment le droit d’accès, le droit d’être informé sur la collecte de données personnelles et le droit de rectifier et de détruire les données, sont régis par les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)29, et de la loi fédérale du 20 décembre 1968 sur la procédure administrative30 et par les art. 111e à 111g LEI31.

2 Si une personne concernée veut faire valoir des droits, elle doit présenter une demande au SEM dans la forme prévue à l’art. 16 OPDo32.

9. Ordonnance du 20 septembre 2002 sur les documents d’identité33

Art. 40, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

Art. 42, al. 1 et 3

1 Toute personne peut demander à l’office, dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données34, si des données la concernant sont traitées.

3 L’art. 26 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)35 s’applique au refus, à la restriction et au report de la communication des renseignements.

Art. 43 Autres droits des intéressés

L’art. 41 LPD s’applique aux autres droits des intéressés.

10. Ordonnance du 14 novembre 2012 sur l’établissement de documents de voyage pour étrangers36

Art. 30, al. 1, 3 et 5

1 Tout étranger peut demander au SEM, dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données37, si des données le concernant sont traitées dans le système ISR.

3 Le refus, la restriction et le report de la communication des renseignements sont régis par l’art. 26 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)38.

5 Les autres droits des intéressés sont régis par l’art. 41 LPD.

11. Ordonnance du 2 novembre 2016 concernant la loi fédérale relative à la convention internationale pour la protection de toutes les personnes contre les disparitions forcées39

Art. 10, al. 2

2 L’archivage des données est régi par l’art. 38 de la loi fédérale du 25 septembre 2020 sur la protection des données40 et par les dispositions de la loi fédérale du 26 juin 1998 sur l’archivage41.

12. Ordonnance du 8 septembre 1999 sur l’archivage42

Art. 12, al. 3, 1re phrase

3 Les instruments de recherche qui, en tant que tels, contiennent des données personnelles sensibles ne peuvent être publiés qu’après l’expiration du délai de protection. ...

Art. 14, al. 1

1 Les archives classées selon des noms de personnes et contenant des données personnelles sensibles sont soumises au délai de protection prolongé, fixé à 50 ans d’après l’art. 11 de la loi. Ce délai peut être raccourci dans un cas particulier en vertu des art. 11 et 13 de la loi, ou prolongé conformément à l’art. 12, al. 2, de la loi.

Art. 26, al. 2

Abrogé

13. Ordonnance du 24 mai 2006 sur la transparence43

Art. 12, al. 1, 2, 1re et 2e phrases, et al. 3

1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) examine si la façon dont la demande d’accès a été traitée est conforme à la loi et appropriée.

2 Ne concerne que les textes allemand et italien

3 Ne concerne que les textes allemand et italien

Art. 12a, al. 1, phrase introductive, et 2

1 Une demande en médiation nécessite un surcroît important de travail pour le PFPDT, notamment:

2 Lorsqu’une demande en médiation nécessite un surcroît important de travail pour le PFPDT, celui-ci peut prolonger d’une durée raisonnable le délai pour mener à terme la médiation ou établir la recommandation.

Art. 12b, al. 1, phrase introductive, let. b et c, et 4

1 Dès qu’il est saisi de la demande en médiation, le PFPDT en informe l’autorité et lui impartit un délai:

  • b. ne concerne que le texte allemand

  • c. ne concerne que le texte allemand

4 Lorsque les parties refusent de prêter le concours nécessaire à l’aboutissement d’un accord ou qu’elles retardent abusivement la médiation, le PFPDT peut constater qu’elle n’a pas abouti.

Art. 13, al. 1, 3, et 4

1 Dans sa recommandation, le PFPDT rend les parties à la procédure de médiation notamment attentives au droit de demander que l’autorité rende une décision selon l’art. 15 LTrans et au délai dans lequel cette demande doit être présentée.

3 Il publie ses recommandations; ce faisant, il prend les mesures appropriées pour garantir la protection des données des personnes physiques et morales parties à la procédure de médiation.

4 Lorsque la protection visée à l’al. 3 ne peut pas être garantie, le PFPDT renonce à publier sa recommandation.

Art. 13a Information du PFPDT par l’autorité

(art. 15 et 16 LTrans)

Les unités de l’administration fédérale centrale communiquent au PFPDT leur décision et, le cas échéant, celles des autorités de recours.

Art. 21, phrase introductive

Chaque année, les autorités communiquent au PFPDT les informations suivantes:

14. Ordonnance du 25 novembre 1998 sur l’organisation du gouvernement et de l’administration44

Art. 27i

Tout service administratif appelé à communiquer des données personnelles à l’organe chargé de l’enquête doit s’assurer de lui-même que les exigences fixées dans la loi fédérale du 25 septembre 2020 sur la protection des données sont remplies.

15. Ordonnance GEVER du 3 avril 201945

Préambule

vu l’art. 57hter de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)46,

Art. 2, al. 3

3 Par système de gestion des affaires, on entend un système informatique visant à assurer le bon déroulement des processus opérationnels et de gérer des documents, correspondance y comprise, au sens de l’art. 57h LOGA.

16. Ordonnance du 22 février 2012 sur le traitement des données personnelles liées à l’utilisation de l’infrastructure électronique de la Confédération47

Titre

Ordonnance
sur le traitement des données personnelles et des données
des personnes morales lors de l’utilisation
de l’infrastructure électronique de la Confédération

(OTUIC)

Art. 1, let. a et b

Au sens de la présente ordonnance, on entend par:

  • a. données administrées: les données personnelles et les données des personnes morales qui sont enregistrées lors de l’utilisation de l’infrastructure électronique de la Confédération et qui sont régulièrement utilisées, analysées ou effacées volontairement;

  • b. données non administrées: les données personnelles et les données des personnes morales qui sont enregistrées lors de l’utilisation de l’infrastructure électronique de la Confédération mais qui ne sont pas ou qui ne sont pas régulièrement utilisées, analysées ou effacées volontairement;

Art. 10, al. 3

3 Une copie du mandat doit être remise au conseiller à la protection des données de l’organe fédéral qui a donné le mandat d’analyse.

Art. 14 Droit des utilisateurs à une analyse

Les utilisateurs de l’infrastructure électronique de la Confédération n’ont aucun droit à une analyse de leurs données au sens de la présente ordonnance.

17. Ordonnance du 25 novembre 2020 sur la transformation numérique et l’informatique48

Art. 26, al. 2

2 Aucune donnée sensible ne peut être gérée dans le GDR.

18. Ordonnance du 19 octobre 2016 sur les systèmes de gestion des données d’identification et les services d’annuaires de la Confédération49

Art. 11, al. 2

Abrogé

Art. 13, al. 4

4 Les données peuvent être transmises de manière automatisée à d’autres systèmes d’information internes à l’administration fédérale, dans lesquels elles sont reprises et harmonisées, à condition que le système concerné:

  • a. dispose d’une base légale et soit soumis à un règlement de traitement au sens de l’art. 6 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)50, et

  • b. ait été annoncé au Préposé fédéral à la protection des données et à la transparence conformément à l’art. 12, al. 4, de loi fédérale du 25 septembre 2020 sur la protection des données51.

Art. 17, al. 2

2 Ne concerne que les textes allemand et italien

Art. 18, al. 1, 2e phrase

1 ... En particulier, chaque organe responsable d’un système au sens de la présente ordonnance établit un règlement de traitement conformément à l’art. 6 OPDo52.

Art. 25, al. 2

2 Les données des procès-verbaux de journalisation sont conservées séparément du système dans lequel les données personnelles sont traitées et sont détruites au plus tard après deux ans. Elles ne sont pas archivées.

Art. 26, al. 2

2 Ne concerne que les textes allemand et italien

19. Ordonnance du 20 juin 2018 sur le traitement des données dans le système de gestion des mandats du Service linguistique DFAE53

Préambule

vu l’art. 57hter de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)54,

Art. 13, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an au maximum, séparément du système dans lequel les données personnelles sont traitées.

20. Ordonnance du 4 mai 2016 sur les émoluments de fedpol55

Art. 1, al. 1, let. d

1 L’Office fédéral de la police (fedpol) perçoit des émoluments pour les décisions et les prestations suivantes:

  • d. les décisions et les prestations fondées sur l’art. 19, al. 1, de l’ordonnance du 31 août 2022 sur la protection des données56;

21. Ordonnance du 12 février 2020 sur les marchés publics57

Art. 24, al. 2, 2e phrase

2 ... Si le soumissionnaire ou ses sous-traitants sont étrangers, le service de révision interne compétent ou le CDF peuvent demander à l’organe étranger compétent de procéder à la vérification du prix, à condition qu’un niveau de protection adéquat au sens de la loi fédérale du 25 septembre 2020 sur la protection des données58 soit assuré.

22. Ordonnance du 29 octobre 2008 sur l’organisation de la Chancellerie fédérale59

Art. 5a, al. 3, let. c

3 La Conférence des secrétaires généraux décide, sur proposition de la Chancellerie fédérale, combien de personnes ont accès en ligne à la banque de données EXE-BRC:

  • c. au sein du Préposé fédéral à la protection des données et à la transparence (PFPDT);

Art. 10, al. 1

1 Le PFPDT est rattaché administrativement à la Chancellerie fédérale.

23. Ordonnance SIVIP du 18 novembre 201560

Art. 11, al. 1, let. a

1 La sécurité des données et la sécurité informatique sont régies par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données61;

24. Ordonnance du 25 novembre 1998 concernant l’État-major «Prise d’otage et chantage»62

Art. 14, titre, al. 1 et 2, 1re phrase

Banque de données

1 Les nom, prénom, adresse, numéro de téléphone, profession, connaissances spécifiques et fonction au sein de l’état-major des membres de l’EMPOC et des tierces personnes susceptibles d’être mobilisées sont rassemblées dans une banque de données. Ces données servent à effectuer les prises de contact nécessaires en vue d’un engagement de l’EMPOC et à procéder au versement des indemnités.

2 Le DFJP est responsable de la banque de données. ...

25. Ordonnance du 22 novembre 2017 concernant la protection des données personnelles du personnel de la Confédération63

Art. 2 Information des employés

Les employés sont informés avant la mise en service ou la modification d’un système d’information ou d’une banque de données.

Art. 9, al. 1

Le dossier de candidature peut contenir des données personnelles sensibles, en particulier dans le curriculum vitae.

Art. 16, al. 2

Les procès-verbaux de journalisation sont conservés pendant un an par l’OFPER, séparément du système dans lequel les données personnelles sont traitées.

Art. 28, al. 2

Les procès-verbaux de journalisation sont conservés pendant un an par l’OFPER, séparément du système dans lequel les données personnelles sont traitées.

Art. 34, al. 1, let. b

Les données, y compris les données sensibles, contenues dans l’IGDP peuvent être communiquées à d’autres systèmes d’information:

  • b. si le système d’information a été annoncé au Préposé fédéral à la protection des données et à la transparence conformément à l’art. 12, al. 4, de la loi fédérale du 25 septembre 2020 sur la protection des données64.

Art. 37, al. 2

Les procès-verbaux de journalisation sont conservés pendant un an par l’OFPER, séparément du système dans lequel les données personnelles sont traitées.

Art. 44, al. 2

Les procès-verbaux de journalisation sont conservés pendant un an par l’OFPER, séparément du système dans lequel les données personnelles sont traitées.

Art. 51, al. 2

Les procès-verbaux de journalisation sont conservés pendant un an par l’OFPER, séparément du système dans lequel les données personnelles sont traitées.

Art. 57, al. 2

Les procès-verbaux de journalisation sont conservés pendant un an par l’OFPER, séparément du système dans lequel les données personnelles sont traitées.

Art. 65, al. 2

Les procès-verbaux de journalisation sont conservés pendant un an par l’OFPER, séparément du système dans lequel les données personnelles sont traitées.

26. Ordonnance Web-DFAE du 5 novembre 201465

Préambule

vu l’art. 57hter de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)66,
vu l’art. 27, al. 2, let. c, de la loi du 24 mars 2000 sur le personnel de la Confédération (LPers)67,

Art. 12, al. 1, let. a

1 La sécurité des données et la sécurité informatique sont régies par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données68;

Art. 13, al. 2

2 Les procès-verbaux de journalisation sont conservés durant un an, séparément du système dans lequel les données personnelles sont traitées.

27. Ordonnance du 28 avril 2004 sur l’état civil69

Art. 83, al. 2 à 4

2 L’OFEC invite le Préposé fédéral à la protection des données et à la transparence (PFPDT) à prendre position avant de prendre toute mesure concernant des questions de protection et de sécurité des données.

3 Il consulte le Centre national pour la cybersécurité.

4 Dans le cadre de sa surveillance, le PFPDT assure la coordination avec l’OFEC et, en cas de besoin, avec les autorités cantonales de protection des données.

28. Ordonnance du 18 novembre 1992 sur la mensuration officielle70

Art. 40, al. 5

5 En collaboration avec les organes cantonaux chargés de la surveillance de la mensuration officielle, elle est habilitée, dans les limites de sa tâche, à traiter des données concernant les différents travaux de mensuration et les adjudicataires mandatés à cet effet.

29. Ordonnance du 17 octobre 2007 sur le registre du commerce71

Art. 12c, al. 2

2 L’OFRC peut édicter des dispositions relatives au déroulement et à l’automatisation de la communication électronique, notamment en ce qui concerne les formulaires, les formats de banques de données, les structures de données, les processus et les procédures alternatives de transmission.

30. Ordonnance Ordipro du 22 mars 201972

Art. 15, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

31. Ordonnance du 17 août 2016 sur le système d’information E-VERA73

Art. 9, titre, et al. 1, phrase introductive

Destruction des données

1 Les données relatives à une personne sont détruites cinq ans après la saisie de l’une des indications énumérées ci-après, mais au plus tard après que la personne concernée a atteint l’âge de 115 ans:

Art. 14, al. 1, let. a

1 La sécurité informatique est régie par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données74;

Art. 15, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

32. Ordonnance CV-DFAE du 26 avril 201775

Art. 6, titre

Ne concerne que le texte allemand

Art. 11, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

33. Ordonnance «e-vent» du 17 octobre 201876

Préambule

vu l’art. 57hter de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)77,

Art. 13, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

34. Ordonnance Plato du 25 septembre 202078

Préambule

vu l’art. 29 de la loi fédérale du 18 décembre 2020 sur le traitement des données personnelles par le Département fédéral des affaires étrangères79,
vu l’art. 57hter de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)80,

Art. 14, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

35. Ordonnance du 26 juin 2013 sur la Commission fédérale chargée de juger les possibilités de traiter les personnes internées à vie81

Art. 13, al. 1

1 La commission est habilitée à traiter des données personnelles, y compris des données sensibles au sens de la loi fédérale du 25 septembre 2020 sur la protection des données82, lorsque ses tâches l’exigent.

36. Ordonnance du 7 novembre 2012 sur la protection extraprocédurale des témoins83

Art. 13, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

Art. 15, al. 1, let. a

1 La sécurité des données est garantie par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données84;

37. Ordonnance du 20 septembre 2013 relative au système d’information en matière pénale de l’Office fédéral de la douane et de la sécurité des frontières85

Art. 3 Règlement de traitement

L’OFDF établit un règlement de traitement au sens de l’art. 6 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo).

Art. 14, al. 1 et 2

Les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la destruction de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données86 et par la DPA.

Pour les procédures pénales pendantes, ces droits sont régis par les art. 18d et 36 DPA.

Art. 18, al. 1

La garantie de la sécurité des données est régie par les art. 1 à 4 et 6 de l’OPDo87 et par les dispositions de l’ordonnance du 27 mai 2020 sur les cyberrisques88.

38. Ordonnance VOSTRA du 29 septembre 200689

Art. 18, al. 5

5 Les données du casier judiciaire au sens de l’art. 366, al. 2 à 4, CP ne peuvent être enregistrées ou conservées de manière isolée dans une nouvelle banque de données, à moins que cela soit nécessaire pour motiver une décision, une ordonnance qui a été rendue ou une démarche de procédure qui a été engagée.

Art. 26, al. 1, 2e phrase, al. 2 et 4

1 ... Si tel est le cas elle peut consulter l’intégralité de cette inscription; les restrictions du droit d’accès au sens de l’art. 26 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)90 sont réservées.

2 Toute personne qui entend faire valoir son droit d’accès doit présenter une demande dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)91.

4 Si la personne concernée constate que l’extrait complet contient des données erronées, elle peut faire valoir ses prétentions au sens de l’art. 41 LPD.

Art. 27, al. 1, let. b

1 En matière de sécurité des données, sont applicables:

  • b. l’OPDo92.

Art. 32 Droit applicable

Le traitement à des fins ne se rapportant pas à des personnes, en particulier à des fins de recherche, de planification ou de statistique, de données personnelles enregistrées dans VOSTRA est régi par l’art. 39 LPD.

39. Ordonnance GPDA du 23 septembre 201693

Préambule

vu l’art. 57hter de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)94,
vu l’art. 11a, al. 4, de la loi fédérale du 20 mars 1981 sur l’entraide pénale internationale (EIMP)95,

Art. 14, al. 1, phrase introductive et let. a

1 La sécurité des données est régie par les dispositions suivantes:

  • a. ordonnance du 31 août 2022 sur la protection des données96;

Art. 15, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant deux ans, séparément du système dans lequel les données personnelles sont traitées.

Art. 17, al. 1

1 L’utilisation à des fins de statistique de données personnelles enregistrées dans le système est régie par l’art. 39 de la loi fédérale du 25 septembre 2020 sur la protection des données97.

40. Ordonnance du 30 novembre 2001 concernant l’exécution de tâches de police judiciaire au sein de l’Office fédéral de la police98

Art. 6, al. 1, let. c et d, et 2, let. b et c

1 Si cela lui est nécessaire pour obtenir les renseignements dont elle a besoin et motiver ses demandes d’entraide administrative, la Police judiciaire fédérale peut communiquer des données personnelles à d’autres destinataires, à savoir:

  • c. les autorités d’autres États exerçant des fonctions de poursuite pénale et de police, conformément à l’art. 13, al. 2, LOC;

  • d. les organisations internationales exerçant des fonctions de poursuite pénale et de police (notamment EUROPOL et INTERPOL), conformément à l’art. 13, al. 2, LOC;

2 La Police judiciaire fédérale peut en outre communiquer spontanément des données personnelles aux autorités ci-après afin qu’elles puissent accomplir leurs tâches légales:

  • b. les autorités d’autres États exerçant des fonctions de poursuite pénale, pour leurs enquêtes de police judiciaire, conformément à l’art. 13, al. 2, LOC;

  • c. les organisations internationales exerçant des fonctions de poursuite pénale et de police (notamment EUROPOL et INTERPOL), pour le traitement d’affaires déterminées, conformément à l’art. 13, al. 2, LOC;

41. Ordonnance JANUS du 15 octobre 200899

Art. 19, al. 1, let. a et b, et 2, let. a et b

1 Si cela lui est nécessaire pour obtenir les renseignements dont elle a besoin et motiver ses demandes d’entraide administrative, la Police judiciaire fédérale peut communiquer des données personnelles enregistrées dans JANUS à d’autres destinataires, à savoir:

  • a. les autorités d’autres États exerçant des fonctions de poursuite pénale et de police, conformément à l’art. 13, al. 2, LOC;

  • b. les tribunaux internationaux, ainsi que les organisations internationales exerçant des fonctions de poursuite pénale et de police (notamment Europol et Interpol), conformément à l’art. 13, al. 2, LOC;

2 La Police judiciaire fédérale peut en outre communiquer, sur demande, des données personnelles enregistrées dans JANUS aux autorités suivantes, pour autant qu’elles en aient besoin dans l’accomplissement de leurs tâches légales:

  • a. les autorités d’autres États exerçant des fonctions de poursuite pénale, pour leurs enquêtes de police judiciaire, conformément à l’art. 13, al. 2, LOC;

  • b. les tribunaux internationaux, ainsi que les organisations internationales exerçant des fonctions de poursuite pénale et de police (notamment Europol et Interpol), pour le traitement d’affaires déterminées, conformément à l’art. 13, al. 2, LOC;

Art. 24, al. 1

1 Conformément à l’art. 38 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)100, la remise de données du système d’information aux Archives fédérales est régie par la loi fédérale du 26 juin 1998 sur l’archivage101.

Art. 26, let. a

La sécurité des données est garantie par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données (OPDo)102;

Art. 27, al. 1, 2e phrase

1 ... Les procès-verbaux de journalisation sont conservés durant un an, séparément du système dans lequel les données personnelles sont traitées.

Art. 29i, al. 2

2 Les procès-verbaux de journalisation sont conservés durant un an, séparément du système dans lequel les données personnelles sont traitées.

Art. 29l, al. 1, 2e phrase

1 ... Les restrictions sont régies par l’art. 26 LPD103.

Art. 29n, al. 1, let. a

1 La garantie de la sécurité des données est régie par:

  • a. l’OPDo104;

Art. 29t, al. 2

2 Les procès-verbaux de journalisation sont conservés durant un an, séparément du système dans lequel les données personnelles sont traitées.

Art. 29v, al. 1, 2e phrase

1 ... Les restrictions sont régies par l’art. 26 LPD105.

Art. 29w, al. 1, let. a

1 La garantie de la sécurité des données est régie par:

  • a. l’OPDo106;

Annexe 2, ch. 4.1, 1re ligne, 2e colonne (en-tête)

Banque de données terrorisme

42. Ordonnance RIPOL du 26 octobre 2016107

Art. 2, al. 1, phrase introductive et let. f

1 L’Office fédéral de la police (fedpol) est l’organe fédéral responsable du RIPOL. Il assume les tâches suivantes:

  • f. il édicte un règlement sur le traitement des données, au sens de l’art. 6 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)108.

Art. 13, al. 1, 1bis et 2, 1re phrase

1 Les droits des personnes concernées, notamment le droit à la consultation, à la rectification et à la destruction de données, sont régis par les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données109.

1bis Les demandes de renseignement sur l’existence d’un signalement en vue d’une arrestation d’une personne concernée aux fins d’extradition sont régies par l’article 8a de la LSIP110.

2 Pour faire valoir ses droits, la personne concernée doit présenter une demande à fedpol ou à une autorité cantonale de police dans la forme prévue à l’art. 16 OPDo111. ...

Art. 14, al. 2, let. a

2 La sécurité des données est régie par:

  • a. l’OPDo112;

Art. 15, al. 1, 2e phrase, et 2

1 ... Celui-ci doit être conservé pendant un an, séparément du système dans lequel les données personnelles sont traitées.

2 Les consultations relatives aux personnes et aux lésés font en permanence l’objet d’un procès-verbal de journalisation. Celui-ci est conservé durant un an, séparément du système dans lequel les données personnelles sont traitées.

43. Ordonnance IPAS du 15 octobre 2008113

Art. 9a Journalisation des effacements

Les procès-verbaux de journalisation des effacements sont conservés durant un an à compter de l’effacement des données, séparément du système dans lequel les données personnelles sont traitées. Ils ne peuvent être consultés que par le conseiller à la protection des données de l’office et ne peuvent être utilisés que pour la surveillance du respect des dispositions relatives à la protection des données.

Art. 10 Archivage

Conformément à l’art. 38 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD), la remise de données du système d’information aux Archives fédérales est régie par la loi fédérale du 26 juin 1998 sur l’archivage114.

Art. 12, let. a

La sécurité des données est garantie par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données115;

Art. 13, 2 phrase

... Les procès-verbaux de journalisation sont conservés durant un an, séparément du système dans lequel les données personnelles sont traitées.

44. Ordonnance du 6 décembre 2013 sur le traitement des données signalétiques biométriques116

Art. 3, al. 1, let. b et d

1 Les services compétents de fedpol traitent des données signalétiques lorsqu’ils accomplissent les tâches suivantes:

  • b. gestion des registres contenant les empreintes digitales et les photographies qui leur sont communiquées;

  • d. comparaison des données signalétiques qui leur sont fournies avec celles qui sont contenues dans leurs propres registres;

Art. 3a, 2e phrase

... La personne concernée est informée de l’utilisation de ces données conformément aux art. 19 et 20 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)117.

Art. 5, al. 2

2 Si une personne concernée veut faire valoir son droit, elle doit présenter une demande à fedpol dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)118.

Art. 6 Archivage des données

La remise des données du système d’information aux Archives fédérales est régie par l’art. 38 LPD et par la loi fédérale du 26 juin 1998 sur l’archivage119.

Art. 14, let. a

La sécurité des données est garantie par:

  • a. l’OPDo120;

45. Ordonnance du 15 octobre 2008 sur l’index national de police121

Art. 7, al. 1

1 Conformément à l’art. 38 de la loi fédérale du 25 septembre 2020 sur la protection des données122, la remise de données du système d’information aux Archives fédérales selon l’art. 2, al. 2, let. a à c, est régie par la loi fédérale du 26 juin 1998 sur l’archivage123.

Art. 8, al. 1, phrase introductive, let. c et d

1 Le droit des personnes inscrites dans l’index à obtenir des informations sur des données les concernant, à les faire rectifier ou à les faire détruire découle:

  • c. pour les inscriptions issues du système-source RIPOL, de l’art. 13 de l’ordonnance RIPOL du 26 octobre 2016124;

  • d. pour les inscriptions issues du système-source N-SIS, de l’art. 50 de l’ordonnance N-SIS du 8 mars 2013125;

Art. 11, al. 1, 2, phrase introductive, et 3

1 Tout accès à l’index est consigné dans un procès-verbal de journalisation. Celui-ci peut être consulté uniquement par le conseiller à la protection des données de fedpol.

2 Ne concerne que le texte allemand

3 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

Art. 12, al. 1, let. a

1 La sécurité des données est garantie par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données126;

46. Ordonnance N-SIS du 8 mars 2013127

Art. 50, titre, al. 1 et 6

Exercice du droit d’accès aux données, du droit à la rectification ou à l’effacement de données

1 Si une personne veut faire valoir son droit d’accès aux données, elle doit présenter une demande à fedpol dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)128. L’exercice d’autres droits par la personne concernée est régi par l’art. 41 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)129.

6 L’art. 8a LSIP sur la restriction du droit d’accès aux signalements en vue d’une arrestation aux fins d’extradition est réservé.

Art. 51, al. 1 et 2, let. c

1 Les ressortissants d’États tiers qui font l’objet d’un signalement aux fins de non-admission ou d’interdiction de séjour reçoivent d’office les informations mentionnées à l’art. 25 LPD130.

2 La communication des informations selon l’al. 1 n’est pas nécessaire dans les cas suivants:

  • c. une restriction du droit à l’information conformément à l’art. 26 LPD est prévue.

Art. 53, al. 1, let. a

1 La sécurité des données se fonde sur:

  • a. l’OPDo131;

47. Ordonnance du 3 décembre 2004 sur les profils d’ADN132

Art. 8, al. 1

1 Fedpol est l’organe fédéral responsable du système d’information.

Art. 17, al. 1 et 3, 1re phrase

1 Le traitement de données relevant de la présente ordonnance est régi par la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)133.

3 En cas de violation du devoir de discrétion par les collaborateurs des laboratoires, l’art. 62 LPD s’applique. ...

Art. 19, al. 1, let. a

1 La sécurité des données est régie par:

  • a. les art. 1 à 4 et 6 de l’ordonnance du 31 août 2022 sur la protection des données134;

48. Ordonnance Interpol du 21 juin 2013135

Art. 4, al. 1, let. f

1 Les autorités suivantes peuvent accéder en ligne aux données du système d’information policière d’Interpol:

  • f. le conseiller à la protection des données de fedpol, pour l’accomplissement de ses tâches de surveillance;

Art. 11, al. 4, 3e phrase

4 ... Le conseiller à la protection des données de fedpol est entendu au préalable.

Art. 12, al. 2, 2e phrase

2 ... Le conseiller à la protection des données de fedpol est entendu au préalable.

Art. 16, al. 1 et 7

1 Si une personne souhaite être informée des données la concernant, elle doit présenter une demande au conseiller à la protection des données de fedpol dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données136.

7 L’exercice d’autres droits par la personne concernée est régi par l’art. 41 de la loi fédérale du 25 septembre 2020 sur la protection des données137.

Art. 17, al. 1

1 Le conseiller à la protection des données de fedpol exerce la surveillance du traitement des données personnelles par le BCN.

49. Ordonnance du 15 septembre 2017 sur les systèmes d’information dans le domaine de la formation professionnelle et des hautes écoles138

Art. 20 Droits des personnes concernées

Les droits des personnes concernées, notamment le droit d’accès et le droit à la rectification ou à la destruction de données, sont régis par la loi fédérale du 25 septembre 2020 sur la protection des données et ses dispositions d’exécution.

Art. 21, al. 1, let. a

La sécurité des données et la sécurité informatique sont régies par:

  • a. la loi fédérale du 25 septembre 2020 sur la protection des données139 et ses dispositions d’exécution;

50. Ordonnance du 29 novembre 2013 sur l’encouragement de la recherche et de l’innovation140

Art. 41a, al. 3

3 Les données sensibles au sens de l’art. 5, let. c de la loi fédérale du 25 septembre 2020 la protection des données141 ne sont pas rendues accessibles en ligne.

51. Ordonnance du 30 juin 1993 concernant l’organisation de la statistique fédérale142

Art. 9, al. 1, 2e phrase, et 4

1 Ne concerne que les textes allemand et italien

4 L’office dresse un inventaire des travaux statistiques au sens de l’art. 3, al. 2, let. a à c, des ensembles de données administratives et des registres de la Confédération utilisables pour la statistique fédérale, ainsi que des réseaux d’observations et de mesures. Il le met à jour annuellement.

Art. 10 Protection et sécurité des données

La protection des données est assurée par les dispositions spécifiques de la loi et de l’ordonnance du 30 juin 1993 sur les relevés statistiques143, ainsi que par celles de la loi fédérale du 25 septembre 2020 sur la protection des données144 et de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)145.

La sécurité des données personnelles et des données des personnes morales est assurée par les dispositions spécifiques de la loi, ainsi que par celles de l’ordonnance du 27 mai 2020 sur les cyberrisques146 et de l’OPDo. L’OPDo s’applique par analogie pour les personnes morales.

52. Ordonnance du 30 juin 1993 sur les relevés statistiques147

Art. 5, al. 2, phrase introductive, et 3

2 Les organes responsables règlent les droits et les obligations de ces organismes et de ces instituts dans des contrats particuliers. Pour ce qui est des données personnelles et des données des personnes morales, ils les obligent notamment:

3 Les organes responsables vérifient que les organismes et les instituts de sondage privés ont pris toutes les mesures techniques et organisationnelles nécessaires pour traiter les données conformément à l’ordonnance du 31 août 2022 sur la protection des données (OPDo)148. L’OPDo s’applique par analogie pour les personnes morales.

Art. 13m, al. 1

1 Les données appariées sont détruites après la fin de leur exploitation statistique si elles contiennent des données sensibles ou si elles permettent d’établir les caractéristiques essentielles d’une personne physique ou morale.

Annexe

L’annexe est modifiée conformément au texte ci-joint.

53. Ordonnance du 26 janvier 2011 sur le numéro d’identification des entreprises149

Art. 3, al. 1, let. b et d

1 Les services IDE au sens des art. 5, al. 1, et 9, al. 1, LIDE sont prioritaires, dans l’ordre suivant, pour annoncer à l’OFS des entités IDE et les données IDE de ces dernières:

  • b. registres de branches économiques: registres cantonaux de l’agriculture, banques de données des services vétérinaires cantonaux, banques de données des chimistes cantonaux ou laboratoires cantonaux, registre de l’Office fédéral de l’agriculture, registre des professions médicales (MedReg), registre des professions de la santé (GesReg), registre national des professions de la santé (NAREG), registres cantonaux des avocats, registres cantonaux des notaires;

  • d. autres registres: Registre des entreprises et des établissements de l’OFS, banques de données de l’Office fédéral de la douane et la sécurité des frontières concernant les entreprises enregistrées sous l’appellation importatrices ou exportatrices, système d’information central sur la migration (SYMIC), registres de la caisse nationale d’assurance (Suva) et des assureurs au sens de l’art. 68 de la loi fédérale du 20 mars 1981 sur l’assurance-accidents150, registre des entreprises de la Principauté du Liechtenstein.

Art. 8, al. 4

4 La gestion de l’ajout IDE dans les banques de données des services IDE est facultative.

Art. 20, al. 3

3 Les particuliers ne peuvent demander la communication de l’IDE dans le cadre de requêtes par lots, que s’ils gèrent déjà les entités IDE correspondantes dans leurs banques de données.

54. Ordonnance du 25 juin 2003 sur les émoluments et indemnités perçus pour les prestations de services statistiques des unités administratives de la Confédération151

Art. 1, let. d

La présente ordonnance régit les émoluments et indemnités perçus par l’Office fédéral de la statistique et par les autres unités administratives de la Confédération visées à l’art. 2, al. 1, LSF (unités administratives) pour les prestations de services suivantes dans les domaines de la statistique et de l’administration:

  • d. communication de données personnelles et de données des personnes morales anonymisées, ainsi que de données anonymisées du Registre des entreprises et des établissements ou du Registre fédéral des bâtiments et des logements de l’Office fédéral de la statistique (art. 19, al. 2, LSF);

55. Ordonnance du 9 juin 2017 sur le Registre fédéral des bâtiments et des logements152

Art. 9, al. 2, let. f

Ne concerne que les textes allemand et italien

Art. 18, al. 1, let. a, et 2

1 La sécurité des données est régie par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données (OPDo)153;

2 L’OPDo s’applique par analogie à la sécurité des données des personnes morales.

56. Ordonnance du 30 juin 1993 sur le Registre des entreprises et des établissements154

Art. 9a, al. 2

2 Le traitement des données est régi par les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)155.

Art. 10, al. 3

3 Le traitement des données est régi par les dispositions de la LPD156.

Art. 14, al. 1

1 Les droits des personnes concernées, en particulier le droit d’accès aux données, de rectification et de destruction de celles-ci, sont réglés par les dispositions de la LPD157.

Art. 15, al. 1, let. a, et 2

1 La sécurité des données est régie par:

  • a. l’ordonnance du 31 août 2022 sur la protection des données (OPDo)158;

2 L’OPDo s’applique par analogie à la sécurité des données des personnes morales.

57. Ordonnance du 4 septembre 2013 sur la circulation des espèces de faune et de flore protégées159

Art. 54 Droits des personnes concernées

1 Les droits des personnes dont les données sont traitées dans le système d’information, notamment les droits d’accès, de rectification et de destruction, sont régis par la loi fédérale du 25 septembre 2020 sur la protection des données160.

2 Si la personne concernée veut faire valoir ses droits, elle adresse une demande à l’OSAV dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données161.

58. Ordonnance animex-ch du 1er septembre 2010162

Art. 18, al. 1 et 2

1 Les droits des personnes dont les données sont traitées dans animex-ch, notamment les droits d’information, de rectification ou de destruction des données, sont régis par la loi fédérale du 25 septembre 2020 sur la protection des données163.

2 Si une personne veut faire valoir ses droits, elle adresse une demande à l’autorité d’exécution de son canton de domicile ou à l’OSAV dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données164.

59. Ordonnance du 4 décembre 2009 concernant le Service de renseignement de l’armée165

Art. 8, titre, et phrase introductive

Traitements de données personnelles

Le SRA peut traiter les données personnelles nécessaires pour un engagement de l’armée, y compris les données personnelles qui permettent d’évaluer la menace qu’une personne représente, que ces données soient sensibles ou non, pour:

Art. 9 Exception à l’obligation de déclarer les activités de traitement au PFPDT

Les activités de traitement effectuées dans le cadre d’une acquisition de renseignements conformément à l’art. 99, al. 2, LAAM ne doivent pas être déclarées au Préposé fédéral à la protection des données et à la transparence (PFPDT) si l’acquisition de renseignements est mise en péril de ce fait.

Le SRA donne au PFPDT des informations générales à propos de ces activités de traitement des données.

Art. 10, al. 2

Aucune banque de données indépendante ne sera constituée avec les données personnelles.

60. Ordonnance du 17 octobre 2012 sur la guerre électronique et l’exploration radio166

Art. 4, al. 5

5 La déclaration des registres d’activité de traitement, le droit d’accès et le droit de consultation ainsi que l’archivage sont soumis aux dispositions légales applicables aux mandants concernés.

61. Ordonnance du 4 juillet 2007 concernant la protection des informations167

Art. 3, let. h

Au sens de la présente ordonnance, on entend par:

  • h. système informatique et système de télécommunications: les systèmes, ainsi que les applications et les ensembles de données intégrés à ces systèmes;

62. Ordonnance du 21 mai 2008 sur la géoinformation168

Remplacement d’une expression

Ne concerne que le texte allemand

Insérer avant le titre de la section 2

Art. 3a Registre des activités de traitement

Lorsque les jeux de géodonnées de base, visés à l’annexe 1, constituent des données personnelles au sens de la législation sur la protection des données, l’obligation de tenir un registre des activités de traitement ne s’applique pas au traitement de ces données.

63. Ordonnance du 16 décembre 2009 sur les systèmes d’information de l’armée169

Art. 2a Organes responsables des systèmes d’information du Groupement Défense

(art. 186, al. 1, let. a, LSIA)

Les unités administratives mentionnées dans l’annexe 1 sont les organes fédéraux responsables d’assurer la protection des données en rapport avec les systèmes d’information exploités par le Groupement Défense conformément à la LSIA ou à la présente ordonnance.

Art. 2b, let. b

Plusieurs systèmes d’information peuvent être regroupés du point de vue technique, et exploités avec une plateforme, une infrastructure, une application ou une base de données unique, dans la mesure où:

  • b. l’organe fédéral responsable d’assurer la protection des données pour chacun des systèmes d’information concernés est une seule et même unité administrative;

Titre précédant l’art. 72h

Ne concerne que les textes allemand et italien

Art. 72h, 72h, 72hquater et 72hquinquies

Ne concerne que les textes allemand et italien

Annexe 1, titre

Organes responsables de la protection des données
pour les systèmes d’information du Groupement Défense

Annexe 1, 1 ligne, 4e colonne (en-tête)

Organe responsable de la protection des données

Annexe 35d, titre

Ne concerne que les textes allemand et italien

64. Ordonnance du 21 novembre 2018 sur la sécurité militaire170

Art. 4, al. 3

3 Au surplus, les dispositions en matière de protection des données de la loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure171, de la procédure pénale militaire du 23 mars 1979172 et de la loi fédérale du 25 septembre 2020 sur la protection des données173 s’appliquent.

Art. 5 Exception à l’obligation de déclarer les activités de traitement au PFPDT

Les activités de traitement effectuées dans le cadre d’un service d’appui ou d’un service actif ne sont pas être déclarées au Préposé fédéral à la protection des données et à la transparence (PFPDT) si cela compromet la recherche d’informations et l’accomplissement des tâches prévues par la présente ordonnance.

Les organes de la sécurité militaire informent le PFPDT de manière générale sur ces activités de traitement.

65. Ordonnance du 2 juillet 2008 sur les armes174

Art. 58, al. 1, let. h

1 L’OCA est notamment chargé:

  • h. de gérer les banques de données suivantes:

    1. les banques de données visées à l’art. 32a, al. 1, LArm,

    2. la banque de données DANTRAG (art. 59a);

Art. 59, al. 1, phrase introductive

1 La banque de données DARUE contient les données suivantes à propos des titulaires de patentes de commerce d’armes qui pratiquent le commerce d’armes à feu, d’éléments essentiels d’armes à feu et d’accessoires d’armes à feu:

Art. 59a, al. 1, phrase introductive

1 La banque de données DANTRAG contient:

Art. 60, titre

Coordonnées et autres données contenues dans les banques de données

Art. 64 Communication des données à un État qui n’est lié par aucun des accords d’association à Schengen

(art. 32e LArm)

Il y a protection appropriée de la personne concernée au sens de l’art. 32e, al. 3, LArm, lorsque des garanties appropriée respectent les exigences des art. 9 à 12 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)175.

Art. 65 Droits des personnes concernées

Les droits des personnes concernées sont régis par les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD).

Art. 66a

Le traitement de données dans les banques de données visées à l’art. 32a, al. 1, LArm et dans la banque de données visée à l’art. 59a de la présente ordonnance est journalisé. Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

Art. 66b Archivage

Les données personnelles issues de la banque de données visée à l’art. 59a sont proposées aux Archives fédérales suisses conformément à l’art. 38 LPD176 et à l’art. 6 de la loi fédérale du 26 juin 1998 sur l’archivage177.

Art. 66c, al. 1, let. a

La sécurité des données est garantie conformément à:

  • a. l’OPDo178;

Art. 66d Règlement de traitement

Fedpol édicte un règlement relatif au traitement des données dans les banques de données visées à l’art. 32a, al. 1, LArm et dans la banque de données visée à l’art. 59a de la présente ordonnance.

Art. 68, al. 2, let. c

L’autorité compétente du canton de domicile communique à l’OCA, dans le cadre de la procédure automatisée, les données suivantes sur les personnes dont l’autorisation a été refusée ou révoquée, ou dont l’arme a été confisquée:

  • c. la date de la saisie dans la banque de données.

Art. 69, let. c

La Base logistique de l’armée communique à l’OCA, dans le cadre de la procédure automatisée, les données suivantes sur les personnes qui se sont vu remettre en propriété à leur sortie de l’armée une arme, un élément essentiel d’arme ou un composant d’arme spécialement conçu, ou qui se sont vu reprendre ou retirer leur arme personnelle ou l’arme qui leur a été remise en prêt ou à qui aucune arme n’a été remise:

  • c. la date de la saisie des données dans la banque de données.

Art. 70, al. 1, let. c, et 2, let. c

Dans le cadre de la procédure automatisée, l’OCA communique à la Base logistique de l’armée et à l’État-major de conduite de l’armée les données suivantes sur les personnes dont l’autorisation a été refusée ou retirée, ou dont l’arme a été mise sous séquestre:

  • c. la date de la saisie dans la banque de données.

Dans le cadre de la procédure automatisée, il communique à l’autorité compétente du canton de domicile les données suivantes sur les personnes dont l’arme personnelle ou l’arme remise en prêt a été reprise ou retirée, ou à qui aucune arme n’a été remise:

  • c. la date de la saisie dans la banque de données.

66. Ordonnance du 11 novembre 2020 sur la protection civile179

Art. 37, al. 3

3 Le responsable des données contenues dans le SIPA est le commandement de l’Instruction (art. 2a et annexe 1 OSIAr). L’OFPP est le responsable des données pour le domaine de la protection civile.

67. Ordonnance du 12 août 2015 sur le bureau de notification pour les médicaments vitaux à usage humain180

Art. 8, al. 2, let. a

2 Sont en outre applicables:

  • a. l’ordonnance du 31 août 2022 sur la protection des données181;

68. Ordonnance du 5 avril 2006 sur les finances de la Confédération182

Art. 1, al. 1, let. g, et 2

1 À moins que la loi ou l’ordonnance n’en disposent autrement, les dispositions de la présente ordonnance qui concernent les unités administratives s’appliquent par analogie:

  • g. au Préposé fédéral à la protection des données et à la transparence (PFPDT).

2 Le statut spécial de l’Assemblée fédérale, des tribunaux fédéraux, du Contrôle fédéral des finances (Contrôle des finances), du Ministère public de la Confédération, de l’Autorité de surveillance du Ministère public de la Confédération et du PFPDT, au sens de l’art. 142, al. 2 et 3, de la loi du 13 décembre 2002 sur le Parlement (LParl)183, est réservé.

Art. 26, al. 2

2 Le Conseil fédéral reprend telles quelles les demandes de l’Assemblée fédérale, des tribunaux fédéraux, du Contrôle des finances, du Ministère public de la Confédération, de l’Autorité de surveillance du Ministère public de la Confédération et du PFPDT portant sur le report de crédits approuvés avec leurs budgets.

69. Ordonnance du 1er novembre 2006 sur les douanes184

Art. 226, al. 3, let. b

3 Il peut consigner ou compléter les données relatives à l’identité d’une personne en recueillant des données biométriques:

  • b. dans les cas visés à l’art. 103, al. 1, let. a, LD, au moyen d’images du visage: le traitement des données est régi par l’ordonnance du 23 août 2017 sur le traitement des données dans l’OFDF185.

70. Ordonnance du 4 avril 2007 régissant l’utilisation d’appareils de prises de vue, de relevé et d’autres appareils de surveillance par l’Office fédéral de la douane et de la sécurité des frontières186

Art. 10, al. 1

1 Les droits des personnes concernées par les relevés, en particulier le droit d’accès aux données et le droit à leur destruction, sont régis par la loi fédérale du 25 septembre 2020 sur la protection des données187 et ses dispositions d’exécution.

71. Ordonnance du 23 août 2017 sur le traitement des données dans l’OFDF188

Préambule

vu les art. 2, al. 2, 110, al. 3, et 112, al. 5, de la loi du 18 mars 2005 sur les douanes (LD)189,
vu l’art. 57hter de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)190,
vu l’art. 27, al. 2, de la loi du 24 mars 2000 sur le personnel de la Confédération191,
vu l’art. 19 de la loi du 20 juin 1933 sur le contrôle des métaux précieux192,
en exécution de la Convention du 20 mai 1987 relative à un régime de transit commun193,

Art. 8 Droits des personnes concernées

Les droits des personnes concernées, en particulier le droit d’accès aux données, à leur rectification et à leur destruction, sont régis par la loi fédérale du 25 septembre 2020 sur la protection des données et ses dispositions d’exécution.

Art. 12, al. 1

La garantie de la sécurité des données est régie par les art. 1 à 4 et 6 de l’ordonnance du 31 août 2022 sur la protection des données194 et par l’ordonnance du 27 mai 2020 sur les cyberrisques195.

Annexe 73

Ne concerne que les textes allemand et italien

72. Ordonnance du 12 octobre 2011 sur la statistique du commerce extérieur196

Art. 13

Ne concerne que le texte allemand

73. Ordonnance du 27 novembre 2009 régissant la taxe sur la valeur ajoutée197

Art. 135, al. 2

2 Elle peut communiquer aux autorités fédérales et cantonales ainsi qu’à d’autres personnes intéressées des données à des fins statistiques, dans la mesure où celles-ci sont rendues anonymes et ne permettent pas de tirer des renseignements sur les personnes concernées. L’art. 10, al. 4 et 5, de la loi du 9 octobre 1992 sur la statistique fédérale198 ainsi que l’art. 14 al. 3 de la loi du 3 octobre 2003 sur la Banque nationale199 demeurent réservés.

74. Ordonnance du 1er novembre 2017 sur l’énergie200

Art. 70 Traitement des données personnelles et des données des personnes morales

Les données personnelles, ainsi que les données des personnes morales, y compris les données sensibles sur des poursuites administratives ou pénales et sur des sanctions, peuvent être conservées pendant dix ans au plus.

75. Ordonnance du 9 juin 2006 sur les qualifications du personnel des installations nucléaires201

Art. 39, al. 1, phrase introductive

1 L’IFSN peut traiter des données personnelles relatives au personnel dont l’activité est importante pour la sécurité nucléaire, en particulier des données sensibles au sens de l’art. 5, let. c, de la loi fédérale du 25 septembre 2020 sur la protection des données202, dans la mesure où ces données sont nécessaires à l’accomplissement de ses tâches selon la présente ordonnance, afin d’examiner si:

76. Ordonnance du 9 juin 2006 sur les équipes de surveillance des installations nucléaires203

Art. 18, al. 1

1 L’IFSN peut traiter des données personnelles relatives aux membres des équipes de surveillance, en particulier des données sensibles au sens de l’art. 5, let. c, de la loi fédérale du 25 septembre 2020 sur la protection des données204, dans la mesure où ces données sont nécessaires à l’accomplissement de ses tâches selon la présente ordonnance, afin d’examiner si les exigences auxquelles doivent satisfaire les membres des équipes de surveillance sont remplies.

77. Ordonnance du 14 mars 2008 sur l’approvisionnement en électricité205

Art. 8d, al. 1, 2, let. a, 3, et 5, 2e et 3e phrases

1 Les gestionnaires de réseau sont habilités à traiter les données enregistrées au moyen de systèmes de mesure, de commande et de réglage sans le consentement des personnes concernées, aux fins suivantes:

  • a. données personnelles, ainsi que données des personnes morales, sous une forme pseudonymisée, y compris valeurs de courbe de charge de 15 minutes et plus: pour la mesure, la commande et le réglage, pour l’utilisation de systèmes tarifaires ainsi que pour une exploitation sûre, performante et efficace du réseau, pour l’établissement du bilan du réseau et pour la planification du réseau;

  • b. données personnelles, ainsi que données des personnes morales, sous une forme non pseudonymisée, y compris valeurs de courbe de charge de 15 minutes et plus: pour le décompte de l’électricité livrée, de la rémunération versée pour l’utilisation du réseau et de la rétribution pour l’utilisation de systèmes de commande et de réglage.

2 Ils sont habilités à transmettre les données enregistrées au moyen de systèmes de mesure sans le consentement des personnes concernées, aux personnes suivantes:

  • a. données personnelles, ainsi que données des personnes morales, sous une forme pseudonymisée ou agrégée appropriée: aux acteurs visés à l’art. 8, al. 3;

3 Les données personnelles et les données des personnes morales sont détruites au bout de douze mois si elles ne sont pas déterminantes pour le décompte ou anonymisées.

5 ... À cet égard, il tient notamment compte des art. 1 à 5 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)206 ainsi que des normes et recommandations internationales édictées par les organisations spécialisées reconnues. Il applique les art. 1 à 5 OPDo par analogie lorsqu’il traite les données des personnes morales.

78. Ordonnance du 30 novembre 2018 sur le système d’information relatif aux accidents de la route207

Préambule

vu les art. 89i, al. 4, 89l, al. 3, et 89n de la loi fédérale du 19 décembre 1958 sur la circulation routière (LCR)208,
vu les art. 5, al. 1, et 7, al. 1, de la loi du 9 octobre 1992 sur la statistique fédérale (LSF)209,
vu les art. 8, al. 3, et 33, de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)210,

Art. 17, al. 4

4 La communication de données à des fins de statistique ou de recherche est régie par la LPD, l’ordonnance du 31 août 2022 sur la protection des données211, la LSF et l’ordonnance du 30 juin 1993 sur les relevés statistiques212.

79. Ordonnance du 30 novembre 2018 sur le système d’information relatif à l’admission à la circulation213

Préambule

vu les art. 89g, al. 2, 89h et 106, al. 1, de la loi fédérale du 19 décembre 1958 sur la circulation routière (LCR)214,
vu les art. 8, al. 3, et 33, de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)215,

Art. 18, al. 5

5 La communication de données à des fins de statistique ou de recherche est régie par la LPD, l’ordonnance du 31 août 2022 sur la protection des données216, la LSF et l’ordonnance du 30 juin 1993 sur les relevés statistiques217.

80. Ordonnance du 4 novembre 2009 sur la vidéosurveillance dans les transports publics218

Art. 6, al. 2

2 Les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données219, notamment les art. 33 à 42, sont par ailleurs applicables.

81. Ordonnance du 17 décembre 2014 sur les enquêtes de sécurité en cas d’incident dans le domaine des transports220

Art. 19 Déclaration aux autorités étrangères

Lorsqu’une entreprise étrangère est impliquée dans un incident survenu sur le territoire suisse, le SESE en avise les autorités compétentes de l’État dans lequel l’entreprise a son siège.

La déclaration ne doit comporter aucune donnée sensible au sens de l’art. 5, let. c, de la loi fédérale du 25 septembre 2020 sur la protection des données221.

82. Ordonnance du 2 septembre 2015 sur la licence d’entreprise de transport de voyageurs et de marchandises par route222

Art. 14 Droit d’accès et de rectification

Si une personne demande des informations sur les données la concernant, elle doit présenter une demande à l’OFT dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données. L’exercice du droit à la rectification par la personne concernée est régi par l’art. 41 de la loi fédérale du 25 septembre 2020 sur la protection des données223.

83. Ordonnance du 4 novembre 2009 sur le transport de voyageurs224

Art. 58b, al. 1

1 Si une personne demande des informations sur les données la concernant dans un système d’information sur les voyageurs sans titre de transport valable, elle doit présenter une demande au gestionnaire du système d’information dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données225. L’exercice du droit à la rectification par la personne concernée est régi par l’art. 41 de la loi fédérale du 25 septembre 2020 sur la protection des données226.

84. Ordonnance du 18 décembre 1995 sur le service de la navigation aérienne227

Art. 40a, al. 1 et 2

1 Le prestataire de services du contrôle de la circulation aérienne destinés au trafic civil enregistre à l’aide d’un système adéquat (Ambient Voice Recording Équipment; AVRE) les communications en arrière-plan et les bruits de fond dans les organismes du contrôle de la circulation aérienne aux fins des enquêtes sur les accidents d’aviation et incidents graves au sens des art. 3 et 4 de l’ordonnance du 17 décembre 2014 sur les enquêtes de sécurité en cas d’incident dans le domaine des transports228.

2 Il gère la banque de données constituée au moyen de l’AVRE et est l’organe responsable pour la protection des données.

85. Ordonnance du 15 novembre 2017 sur la surveillance de la correspondance par poste et télécommunication229

Art. 8, al. 2

2 Le cas échéant, les enregistrements sont exploités par le conseiller à la protection des données du Service SCPT.

86. Ordonnance du 15 novembre 2017 sur le système de traitement pour la surveillance de la correspondance par poste et télécommunication230

Art. 7, al. 4

4 Les droits d’accès au système de traitement sont réglés dans l’annexe. Le Service SCPT les précise dans un règlement de traitement (art. 6 de l’ordonnance du 31 août 2022 sur la protection des données231).

Art. 8, al. 2, 1re phrase

2 Les personnes concernées par l’art. 279 du code de procédure pénale232, ou l’art. 70j de la procédure pénale militaire du 23 mars 1979233, par l’art. 33 de la loi fédérale du 25 septembre 2015 sur le renseignement234, par les art. 35 et 36 LSCPT et par la loi fédérale du 25 septembre 2020 sur la protection des données235, ainsi que leurs conseils juridiques peuvent déposer auprès de l’autorité compétente en vertu de l’art. 10, al. 1 à 3, LSCPT une demande d’accès aux données issues des surveillances. ...

87. Ordonnance du 9 mars 2007 sur les services de télécommunication236

Art. 48, al. 3, 2e phrase

Ne concerne que les textes allemand et italien

Art. 89 Législation sur la protection des données

Dans la mesure où la présente ordonnance ne contient pas de disposition particulière, la loi fédérale du 25 septembre 2020 sur la protection des données est applicable.

88. Ordonnance du 6 octobre 1997 sur les ressources d’adressage dans le domaine des télécommunications237

Art. 13l, al. 2

2 Pour le surplus, le traitement des informations par les délégataires et la surveillance exercée sur eux sont régis par les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données238 applicables aux organes fédéraux.

89. Ordonnance du 5 novembre 2014 sur les domaines Internet239

Art. 17, al. 2, let. f

2 Le registre a l’obligation de conclure un contrat de registraire lorsque le demandeur remplit les conditions suivantes:

  • f. il dispose des matériels et logiciels informatiques nécessaires pour assurer la sécurité des données personnelles fournies par les requérants de noms de domaine et conserve ces dernières dans le respect des dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données240;

90. Ordonnance du 4 décembre 2000 sur la procréation médicalement assistée241

Art. 19a, al. 2, 2e phrase

2 ... L’art. 9 de la loi fédérale du 25 septembre 2020 sur la protection des données242 est applicable par analogie.

91. Ordonnance du 14 février 2007 sur l’analyse génétique humaine243

Art. 21, al. 3

3 La transmission de données concernant un patient à un laboratoire étranger est soumise aux exigences prévues aux art. 16 et 17 de la loi fédérale du 25 septembre 2020 sur la protection des données244.

92. Ordonnance du 16 mars 2007 sur la transplantation245

Art. 48, al. 3

3 Le traitement des données et les droits des personnes qui font l’objet d’un traitement de données sont régis par la loi fédérale du 25 septembre 2020 sur la protection des données246.

Art. 49, 2e phrase

... Ils établissent notamment le règlement de traitement prévu par l’ordonnance du 31 août 2022 sur la protection des données247.

Art. 49c, al. 1, 1re phrase

1 Le service chargé du suivi des donneurs vivants est responsable du registre. ...

93. Ordonnance du 18 octobre 2017 sur la transplantation croisée248

Art. 21, al. 1, 1re phrase

1 L’OFSP est responsable de SwissKiPaDoS. ...

94. Ordonnance du 16 mars 2007 sur l’attribution d’organes249

Art. 34c, al. 1, 1re phrase

1 L’OFSP est responsable de SOAS. ...

Art. 34i, al. 1, let. a

1 La sécurité des données est régie par:

  • a. les art. 1 à 4 et 6 de l’ordonnance du 31 août 2022 sur la protection des données250;

95. Ordonnance du 20 septembre 2013 relative à la recherche sur l’être humain251

Art. 26, al. 2

Ne concerne que les textes allemand et italien

96. Ordonnance d’organisation du 20 septembre 2013 concernant la LRH252

Art. 11, al. 2, let. a et b

2 Les obligations visées à l’al. 1 ne s’appliquent pas quand:

  • a. la personne concernée dispose déjà des informations correspondantes;

  • b. abrogée

Art. 12 Échange de données avec des autorités et des institutions étrangères

Sont autorisés à échanger des données confidentielles avec des autorités et des institutions étrangères ou des organismes internationaux:

  • a. la commission d’éthique compétente;

  • b. l’autorité cantonale de surveillance;

  • c. l’Institut suisse des produits thérapeutiques, et

  • d. l’OFSP.

Des données personnelles peuvent être communiquées à l’étranger, si le Conseil fédéral a constaté, conformément à l’art. 16, al. 1, de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)253, que l’État concerné ou que l’organisme international dispose d’une législation assurant un niveau de protection adéquat. En l’absence d’une évaluation du Conseil fédéral, des données personnelles peuvent être communiquées à l’étranger moyennant des garanties suffisantes, notamment contractuelles, permettant d’assurer un niveau de protection approprié.

En dérogation à l’art. 16, al. 1 et 2, LPD, les données personnelles peuvent être transmises à l’étranger uniquement dans les cas suivants:

  • a. la communication est nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée et il n’est pas possible d’obtenir le consentement de la personne concernée dans un délai raisonnable;

  • b. la communication est indispensable pour écarter un danger imminent pour la santé publique;

  • c. la personne concernée a expressément donné son consentement dans le cas d’espèce.

Lorsque des données personnelles sont communiquées à l’étranger, l’autorité d’exécution communique également à la personne concernée le nom de l’État en question et, le cas échéant les garanties prévues à l’art. 16, al. 2, LPD ou l’application d’une des exceptions prévues à l’art. 17 LPD.

97. Ordonnance du 26 novembre 2008 concernant les examens LPMéd254

Art. 26, al. 2

2 Ils doivent en faire la demande par écrit à la section «formation universitaire» de la MEBEKO. La demande peut être effectuée par voie électronique.

98. Ordonnance du 14 novembre 2018 sur les autorisations dans le domaine des médicaments255

Art. 66, let. b

Ne concerne que les textes allemand et italien

Art. 68, al. 2

2 Les accès aux systèmes d’information sont journalisés. Les procès-verbaux de journalisation sont conservés durant deux ans au plus, séparément du système dans lequel les données personnelles sont traitées.

99. Ordonnance du 21 septembre 2018 sur les médicaments256

Art. 76, al. 2, 2e phrase

2 ... Les procès-verbaux de journalisation sont conservés durant deux ans, séparément du système dans lequel les données personnelles sont traitées.

100. Ordonnance du 18 août 2004 sur les médicaments vétérinaires257

Art. 36, titre, et al. 5

Traitement de données

5 Le traitement des données personnelles est soumis à la loi fédérale du 25 septembre 2020 sur la protection des données258.

101. Ordonnance du 1er juillet 2020 sur les dispositifs médicaux259

Art. 84, al. 1 et 2

1 Swissmedic établit un règlement de traitement au sens de l’art. 6 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)260.

2 La garantie de la sécurité des données est régie par les art. 1 à 4 et 6 OPDo.

Art. 92 Applicabilité de la loi sur la protection des données

Tous les traitements de données réalisés dans le système d’information sur les dispositifs médicaux doivent respecter les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données.

Annexe 3, ch. 2 (Droit suisse), ch. 13, 2 colonne

Loi fédérale du 25 septembre 2020 sur la protection des données

102. Ordonnance du 31 octobre 2018 concernant le système d’information sur les antibiotiques en médecine vétérinaire261

Art. 13 Droits des personnes concernées

Les droits des personnes dont les données sont traitées dans le SI ABV, notamment les droits d’accès, de rectification et de destruction, sont régis par la loi fédérale du 25 septembre 2020 sur la protection des données262.

Si une personne veut faire valoir ses droits, elle dépose une demande à l’OSAV dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données263.

103. Ordonnance du 4 mai 2022 sur les dispositifs médicaux de diagnostic in vitro264

Annexe 2, ch. 2 (Droit suisse), ch. 7, 2e colonne

Loi fédérale du 25 septembre 2020 sur la protection des données265

104. Ordonnance du 27 février 1991 sur les accidents majeurs266

Art. 17, titre

Ne concerne que le texte allemand

105. Ordonnance du 20 octobre 2021 sur la restitution, la reprise et l’élimination des appareils électriques et électroniques267

Art. 8 Protection des données

Les personnes soumises à l’obligation de reprendre, les exploitants de postes de collecte publics et les entreprises d’élimination doivent respecter les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données ou les prescriptions cantonales correspondantes pour ce qui est des supports de données qui leur ont été remis et qui contiennent des données personnelles.

106. Ordonnance du 22 mars 2017 sur le dossier électronique du patient268

Art. 12, al. 1, let. b

1 Les communautés doivent se doter d’un système de gestion de la protection et de la sécurité des données adapté aux risques. Ce système doit comprendre les éléments suivants en particulier:

  • b. un inventaire des moyens informatiques et un registre des activités de traitement;

107. Ordonnance du 27 mai 2020 sur l’exécution de la législation sur les denrées alimentaires269

Art. 97, al. 1 à 3

1 et 2 Abrogés

3 Ne concerne que les textes allemand et italien

Art. 98, al. 4

4 Les autorités et les tiers n’échangent que les données personnelles qui sont nécessaires au destinataire. Lorsqu’un document contient plusieurs données personnelles, celles qui ne sont pas nécessaires au destinataire sont supprimées ou rendues illisibles.

108. Ordonnance du 29 avril 2015 sur les épidémies270

Art. 90, titre

Structure et contenu du système d’information

Art. 96 Sécurité des données

La garantie de la sécurité des données est régie par les art. 1 à 4 et 6 de l’ordonnance du 31 août 2022 sur la protection des données.

Art. 97, 2 phrase

... Les procès-verbaux de journalisation sont conservés durant un an, séparément du système dans lequel les données personnelles sont traitées.

109. Ordonnance du 29 avril 2015 sur les laboratoires de microbiologie271

Art. 23, al. 1, 2e phrase

... Il met à la disposition de l’OFSP un dossier contenant les adresses des laboratoires autorisés.

110. Ordonnance 1 du 10 mai 2000 relative à la loi sur le travail272

Préambule

vu l’art. 40 de la loi du 13 mars 1964 sur le travail (loi, LTr)273,
vu l’art. 83, al. 2, de la loi fédérale du 20 mars 1981 sur l’assurance-accidents (LAA)274,
vu l’art. 33 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)275,

Art. 89 Protection des données

(art. 33 LPD, art. 44 à 46 LTr)

Les droits des personnes concernées, notamment les droits d’information, de rectification et de destruction des données sont régis par les dispositions de la LPD, sous réserve de clauses dérogatoires prévues par la loi.

Art. 90 Disposition pénale

La poursuite pénale pour violation de la protection des données ou infraction à l’obligation de renseigner est régie par la LPD.

111. Ordonnance du 19 juin 1995 sur les chauffeurs276

Art. 18, al. 6

6 Les renseignements à des fins de statistique ou de recherche se fondent sur les dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données277, sur l’ordonnance du 31 août 2022 sur la protection des données278 et sur la loi fédérale du 9 octobre 1992 sur la statistique fédérale279.

112. Ordonnance du 6 septembre 2006 sur le travail au noir280

Art. 9, titre, et al. 1

Protection des données personnelles

1 Les organes de contrôle cantonaux visés à l’art. 17, al. 1, LTN et les autorités cantonales visées à l’art. 17, al. 2, LTN sont habilités à consulter, saisir, modifier et détruire les données personnelles mentionnées dans ces dispositions.

Art. 9a Protection des données des personnes morales

(art. 17a LTN)

Les organes de contrôle cantonaux et les autorités cantonales sont habilités à consulter, saisir, modifier et détruire les données concernant des personnes morales mentionnées visées à l’art. 17a, al. 1 et 2, LTN.

L’art. 9, al. 2 à 4, s’applique par analogie aux données des personnes morales.

113. Ordonnance du 16 janvier 1991 sur le service de l’emploi281

Art. 58, titre, et al. 1

Droits des personnes concernées

(art. 34a, 34b et 35 LSE)

1 Les demandeurs d’emploi et les employeurs qui s’annoncent aux autorités dont relève le marché du travail sont informés:

  • a. de l’identité et des coordonnées du responsable du traitement;

  • b. de la finalité du système d’information;

  • c. des données traitées;

  • d. le cas échéant, des destinataires ou des catégories de destinataires auxquelles des données sont transmises;

  • e. de leurs droits.

Art. 59a Registre des entreprises de placement et de location de services autorisées

(art. 35b LSE)

À l’exception des données visées à l’art. 35b, al. 2, LSE, le registre peut être rendu accessible au public sur l’Internet ou sous forme d’imprimé.

114. Ordonnance du 11 septembre 1996 sur le service civil282

Art. 110, titre, al. 1 et 2, phrase introductive

Banque de données du CIVI destinée à l’évaluation des journées d’introduction, des cours de formation et des périodes d’affectation

(art. 32, 36, al. 3, et 45, let. c, LSC)

1 Le CIVI une banque de données destinée à l’évaluation des journées d’introduction, des cours de formation et des périodes d’affectation.

2 Cette banque de données contient des données, collectées au moyen d’un questionnaire élaboré pour ces journées, cours ou périodes, relatives aux personnes et institutions suivantes:

115. Ordonnance du 20 août 2014 sur le système d’information du service civil283

Art. 11, al. 1, let. a , et 4

1 La sécurité des données est régie par les dispositions suivantes:

  • a. les art. 1 à 6 de l’ordonnance du 31 août 2022 sur la protection des données284;

4 Tout traitement de données figurant dans le système E-ZIVI est consigné dans un procès-verbal de journalisation. Celui-ci est conservé durant un an, séparément du système dans lequel les données personnelles sont traitées.

Art. 13, al. 1

1 À l’échéance de la durée de conservation, le CIVI transmet aux Archives fédérales, rend anonymes ou détruit toutes les données, conformément à l’art. 38 de la loi fédérale du 25 septembre 2020 sur la protection des données285.

116. Ordonnance du 11 septembre 2002 sur la partie générale du droit des assurances sociales286

Art. 8b, al. 2, 3e phrase

2 ... Sont réservés les art. 47, al. 2, LPGA et 16, al. 2, de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)287.

Art. 9, al. 2, 2e phrase

2 ... Est réservé l’art. 19 de l’OPDo288.

117. Règlement du 31 octobre 1947 sur l’assurance-vieillesse et survivants289

Art. 144, 2e phrase

... Elle tient un registre de ces personnes.

118. Règlement du 17 janvier 1961 sur l’assurance-invalidité290

Art. 79quater, al. 1 et 3

1 Dans le cas d’un modèle de rémunération de type DRG (Diagnosis Related Groups), le fournisseur de prestations doit munir d’un numéro d’identification unique les ensembles de données avec les indications administratives et médicales visées à l’art. 79ter. Les ensembles de données doivent respecter la structure harmonisée au niveau suisse telle que fixée par le DFI en vertu de l’art. 59a, al. 1, OAMal291.

3 Le fournisseur de prestations transmet simultanément, avec la facture, les ensembles de données avec les indications administratives et médicales visées à l’art. 79ter, al. 1, à l’assurance-invalidité.

119. Ordonnance du 27 juin 1995 sur l’assurance-maladie292

Art. 30c, 1re phrase

L’OFS établit en collaboration avec l’OFSP un règlement de traitement au sens de l’art. 6 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)293 pour la collecte, le traitement et la transmission de données visées à l’art.59a LAMal. ...

Art. 59a, al. 1, 3, 1re phrase, 6, 2e phrase, et 7

1 Dans le cas d’un modèle de rémunération de type DRG (Diagnosis Related Groups), le fournisseur de prestations doit munir d’un numéro d’identification unique les ensembles de données avec les indications administratives et médicales visées à l’art 59, al. 1. Le DFI fixe la structure uniforme au niveau suisse des ensembles de données.

3 Le fournisseur de prestations transmet simultanément avec la facture les ensembles de données avec les indications administratives et médicales visées à l’art 59, al. 1, au service de réception des données de l’assureur. ...

6 ... Celui-ci doit être certifié au sens de l’art. 13 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)294.

7 L’assureur informe spontanément le Préposé fédéral à la protection des données et à la transparence (PFPDT) visé à l’art. 43 LPD de la certification de son service de réception des données ou du renouvellement de la certification. Le PFPDT peut exiger à tout moment du service de réception des données ou de l’organisme de certification les documents déterminants pour la certification ou le renouvellement de la certification. Il publie une liste des services de réception des données certifiés.

Art. 59ater, al. 1

1 Pour le traitement des indications médicales visées à l’art. 59, al. 1, les assureurs prennent les mesures techniques et organisationnelles propres à assurer la sécurité des données, en particulier celles visées aux art. 1 à 4 et 6 OPDo295.

120. Ordonnance du 20 décembre 1982 sur l’assurance-accidents296

Art. 72a, al. 2, 2e phrase

2 ... L’art. 19 de l’ordonnance du 31 août 2022 sur la protection des données297 est réservé.

121. Ordonnance du 31 octobre 2007 sur les allocations familiales298

Art. 18h, al. 1, let. a

1 La protection des données et la sécurité informatique sont régies par les dispositions suivantes:

  • a. l’ordonnance du 31 août 2022 sur la protection des données299;

122. Ordonnance du 31 août 1983 sur l’assurance-chômage300

Art. 126, al. 1

1 Au moment où les personnes concernées s’annoncent ou font valoir leurs droits, elles seront renseignées sur:

  • a. l’identité et les coordonnées du responsable du traitement;

  • b. la finalité des systèmes d’information;

  • c. les données traitées;

  • d. le cas échéant, les destinataires ou les catégories de destinataires auxquelles des données sont transmises;

  • e. leurs droits.

123. Ordonnance du 26 mai 2021 sur les systèmes d’information AC301

Art. 2, al. 2

2 Il veille au respect des prescriptions de la loi fédérale du 25 septembre 2020 sur la protection des données302 et peut effectuer ou faire effectuer régulièrement des contrôles à cette fin.

124. Ordonnance du 18 juin 2021 sur les systèmes d’information consulaires du Département fédéral des affaires étrangères303

Préambule

vu l’art. 6 de la loi fédérale du 24 mars 2000 sur le traitement des données personnelles au Département fédéral des affaires étrangères304,
vu l’art. 57hter de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration305,

Art. 25, al. 2

2 Les procès-verbaux de journalisation sont conservés pendant un an, séparément du système dans lequel les données personnelles sont traitées.

125. Ordonnance du 28 mai 1997 sur les AOP et les IGP306

Art. 19, al. 2, let. d, ch. 4

2 L’OFAG octroie l’autorisation sur demande, si les organismes de certification remplissent les conditions suivantes:

  • d. ils disposent d’une procédure et de modèles écrits qu’ils utilisent pour les tâches suivantes:

    1. respect des dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données307.

Art. 21b, al. 2, let. d

2 À cette occasion, il contrôle notamment si l’organisme de certification dispose d’une procédure et de modèles écrits, et qu’il les utilise, pour les tâches suivantes:

  • d. respect des dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données308.

126. Ordonnance du 22 septembre 1997 sur l’agriculture biologique309

Art. 33, let. c, ch. 6

L’OFAG procède à une inspection annuelle auprès des organismes de certification autorisés en Suisse conformément aux art. 28 et 29, dans la mesure où cela n’est pas garanti dans le cadre de l’accréditation. À cette occasion, il contrôle notamment:

  • c. si l’organisme de certification dispose d’une procédure et de modèles écrits et qu’il les utilise pour les tâches suivantes:

    1. respect des dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données310.

127. Ordonnance du 25 mai 2011 sur l’utilisation des dénominations «montagne» et «alpage»311

Art. 11, al. 1, let. d, ch. 4

1 Les organismes de certification doivent demander à l’Office fédéral de l’agriculture (OFAG) l’autorisation d’exercer leur activité conformément à la présente ordonnance. Pour obtenir l’autorisation, ils doivent:

  • d. disposer d’une procédure et de modèles écrits qu’ils utilisent pour les tâches suivantes:

    1. respect des dispositions de la loi fédérale du 25 septembre 2020 sur la protection des données312.

128. Ordonnance du 3 novembre 2021 relative à Identitas SA et à la banque de données sur le trafic des animaux313

Art. 4, titre, et al. 4

Matériel informatique, logiciel, ensembles de données

4 La Confédération est responsable des ensembles de données qui sont établis lors de l’accomplissement des tâches visées à l’art. 3.

129. Ordonnance du 27 avril 2022 concernant les systèmes d’information de l’OSAV liés à la chaîne agroalimentaire314

Art. 25, let. a

Les droits des personnes dont les données sont traitées dans ASAN, ARES ou Fleko, notamment le droit d’être informées sur leurs données, le droit de rectification, de destruction ou d’acquisition des données sont régis par:

  • a. la loi fédérale du 25 septembre 2020 sur la protection des données315 si les personnes font valoir leurs droits auprès de l’OSAV;

130. Ordonnance du 18 novembre 2015 réglant les échanges d’importation, de transit et d’exportation d’animaux et de produits animaux avec les pays tiers316

Art. 102d, 2e phrase

... Il édicte un règlement de traitement fixant les mesures organisationnelles et techniques nécessaires à cet effet.

Art. 102e Droits des personnes concernées

Les droits des personnes dont les données sont traitées dans le système d’information OITE, notamment les droits d’accès, de rectification et de destruction, sont régis par la loi fédérale du 25 septembre 2020 sur la protection des données317.

Pour faire valoir ses droits, la personne concernée adresse une demande à l’OSAV dans la forme prévue à l’art. 16 de l’ordonnance du 31 août 2022 sur la protection des données318.

131. Ordonnance du 26 juin 2013 sur l’obligation des prestataires de services de déclarer leurs qualifications professionnelles dans le cadre des professions réglementées et sur la vérification de ces qualifications319

Titre précédant l’art. 9