chapitre précédentpremière page de titrechapitre suivant    [Table des matières]  RS 235.11 - Edition Optobyte SA

RS 235.11

Ordonnance relative à la loi fédérale sur la protection des données
Chapitre 1 Traitement de données personnelles par des personnes privées
Section 4 Mesures techniques et organisationnelles

Mesures générales


Art. 8

1 La personne privée qui traite des données personnelles ou qui met à disposition un réseau télématique assure la confidentialité, la disponibilité et l’intégrité des données afin de garantir de manière appropriée la protection des données.1 Elle protège les systèmes notamment contre les risques de:
a. destruction accidentelle ou non autorisée;
b. perte accidentelle;
c. erreurs techniques;
d. falsification, vol ou utilisation illicite;
e. modification, copie, accès ou autre traitement non autorisés.
2 Les mesures techniques et organisationnelles sont appropriées. Elles tiennent compte en particulier des critères suivants:
a. but du traitement de données;
b. nature et étendue du traitement de données;
c. évaluation des risques potentiels pour les personnes concernées;
d. développement technique.
3 Ces mesures font l’objet d’un réexamen périodique.
4 ...2

Mesures particulières


Art. 9

1 Le maître du fichier prend, en particulier lors de traitements automatisés de données personnelles, des mesures techniques et organisationnelles propres à réaliser notamment les objectifs suivants:
a. contrôle des installations à l’entrée: les personnes non autorisées n’ont pas accès aux locaux et aux installations utilisées pour le traitement de données personnelles;
b. contrôle des supports de données personnelles: les personnes non autorisées ne peuvent pas lire, copier, modifier ou éloigner des supports de données;
c. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données;
d. contrôle de communication: les destinataires auxquels des données personnelles sont communiquées à l’aide d’installations de transmission peuvent être identifiés;
e. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire de données personnelles dans la mémoire ni prendre connaissance des données mémorisées, les modifier ou les effacer;
f. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission;
g. contrôle d’accès: les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches;
h. contrôle de l’introduction: l’identité des personnes introduisant des données personnelles dans le système, ainsi que les données introduites et le moment de leur introduction peuvent être vérifiés a posteriori.
2 Les fichiers doivent être organisés de manière à permettre à la personne concernée d’exercer ses droits d’accès et de rectification.

Journalisation


Art. 103

1 Le maître du fichier journalise les traitements automatisés de données sensibles ou de profils de la personnalité lorsque les mesures préventives ne suffisent pas à garantir la protection des données. Une journalisation est notamment nécessaire, lorsque, sans cette mesure, il ne serait pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées. Le préposé peut recommander la journalisation pour d’autres traitements.4
2 Les procès-verbaux de journalisation sont conservés durant une année et sous une forme répondant aux exigences de la révision. Ils sont accessibles aux seuls organes ou personnes chargés de vérifier l’application des dispositions de protection des données personnelles, et ils ne sont utilisés qu’à cette fin.

Règlement de traitement


Art. 115

1 Le maître d’un fichier automatisé soumis à déclaration (art. 11a, al. 3, LPD) qui n’en est pas exempté en vertu de l’art. 11a, al. 5, let. b à d, LPD élabore un règlement de traitement décrivant en particulier l’organisation interne et les procédures de traitement et de contrôle des données, et comprenant les documents relatifs à la planification, à l’élaboration et à la gestion du fichier et des moyens informatiques.
2 Le maître du fichier met régulièrement à jour le règlement de traitement. Il le met, sur demande, à la disposition du préposé ou du conseiller à la protection des données au sens de l’art. 11a, al. 5, let. e, LPD sous une forme qui lui est intelligible.

Communication des données


Art. 12

Le maître du fichier indique au destinataire l’actualité et la fiabilité des données personnelles qu’il communique, dans la mesure où ces informations ne ressortent pas des données elles-mêmes ou des circonstances.


1 Nouvelle teneur selon le ch. I de l’O du 28 sept. 2007, en vigueur depuis le 1er janv. 2008 (RO 2007 4993).
2 Abrogé par le ch. I de l’O du 28 sept. 2007, avec effet au 1er janv. 2008 (RO 2007 4993).
3 Erratum du 16 oct. 2012, ne concerne que le texte italien (RO 2012 5521).
4 Nouvelle teneur selon le ch. I de l’O du 28 sept. 2007, en vigueur depuis le 1er janv. 2008 (RO 2007 4993).
5 Nouvelle teneur selon le ch. I de l’O du 28 sept. 2007, en vigueur depuis le 1er janv. 2008 (RO 2007 4993).

chapitre précédentpremière page de titrechapitre suivant    [Table des matières]  RS 235.11 - Edition Optobyte SA