AS 2025 694
Ordonnance sur la protection des données (OPDo)
Préambule
Le Conseil fédéral suisse
arrête:
I
L’ordonnance du 31 août 2022 sur la protection des données1 est modifiée comme suit:
Art. 4, al. 1, 2, 2bis et 31 Lors de traitements automatisés de données sensibles à grande échelle ou de profilages à risque élevé et lorsque les mesures préventives ne suffisent pas à garantir la protection des données, le responsable du traitement privé et son sous-traitant privé journalisent au moins l’enregistrement, la modification, la communication, l’effacement et la destruction des données ainsi que l’accès aux données. La journalisation est notamment nécessaire lorsque, sans cette mesure, il n’est pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées. 2 Lors de traitements automatisés de données sensibles, de profilages et de traitements automatisés de données soumis à la directive (UE) 2016/6802, l’organe fédéral responsable et son sous-traitant journalisent au moins l’enregistrement, la modification, la communication, l’effacement et la destruction des données ainsi que l’accès aux données. Lors d’autres traitements automatisés de données, ils évaluent au préalable le risque pour les droits fondamentaux des personnes concernées. Ils déterminent sur cette base, ainsi qu’en tenant compte de l’état des connaissances et des coûts de mise en œuvre, si et dans quelle mesure les opérations précitées doivent être journalisées. Pour l’évaluation du risque, ils tiennent notamment compte du type de données traitées, ainsi que de la finalité, de la nature, de l’étendue et des circonstances du traitement.2bis L’examen de la journalisation au sens de l’al. 2 est consigné par écrit. Le résultat et le contenu de l’examen sont communiqués, sur demande, au Préposé fédéral à la protection des données et à la transparence (PFPDT).3 Pour les données personnelles accessibles à tout un chacun, l’enregistrement, la modification, l’effacement et la destruction des données doivent au moins être journalisés dans les cas prévus aux al. 1 et 2, 1re phrase.
Art. 8, al. 33 Le PFPDT est consulté lors de chaque évaluation. Les appréciations effectuées par des organismes internationaux ou des autorités étrangères chargées de la protection des données peuvent être prises en compte.
Art. 37a Conclusion et modification de déclarations d’intentionLe PFPDT rend compte chaque année au Conseil fédéral des déclarations d’intention relatives à la coopération avec des autorités étrangères chargées de la protection des données qu’il a conclues et modifiées.
Art. 46, al. 11 Pour les traitements automatisés de données personnelles planifiés ou ayant débuté avant l’entrée en vigueur de la modification du 29 octobre 2025, l’examen de la journalisation au sens de l’art. 4, al. 2, doit être effectué d’ici au 31 décembre 2026. Si la journalisation s’avère nécessaire, elle doit être mise en œuvre d’ici au 31 décembre 2029. Les traitements automatisés de données sensibles, les profilages et les traitements automatisés de données soumis à la directive (UE) 2016/6803 ne sont pas visés par la présente disposition.
II
L’ordonnance du 16 décembre 2009 sur les systèmes d’information de l’armée et du DDPS4 est modifiée comme suit:
Art. 2c, al. 1, let. a, ch. 3 et 41 Lors du traitement automatisé des données dans un système d’information visé par la LSIA ou la présente ordonnance, l’unité administrative de la Confédération responsable de la protection des données et le sous-traitant engagé par elle journalisent:a. les types de traitement suivants:3. l’accès, si les données ne sont pas accessibles à tout un chacun,4. la communication, si les données ne sont pas accessibles à tout un chacun,
III
La présente ordonnance entre en vigueur le 1er décembre 2025.
29 octobre 2025 | Au nom du Conseil fédéral suisse: La présidente de la Confédération, Karin Keller-Sutter |