chapitre précédentpremière page de titrechapitre suivant    [Table des matières]  RS 235.11 - Edition Optobyte SA

RS 235.11

Ordonnance relative à la loi fédérale sur la protection des données
Chapitre 2 Traitement de données par des organes fédéraux
Section 4 Mesures techniques et organisationnelles

Principes


Art. 201

1 Les organes fédéraux responsables prennent, conformément aux art. 8 à 10, les mesures techniques et organisationnelles propres à protéger la personnalité et les droits fondamentaux des personnes dont les données sont traitées. Ils collaborent avec l’Unité de stratégie informatique de la Confédération (USIC) lorsque le traitement des données est automatisé.
2 Ils annoncent, dès le début, au conseiller à la protection des données au sens de l’art. 11a, al. 5, let. e, LPD ou, à défaut, au préposé tout projet de traitement automatisé de données personnelles, afin que les exigences de la protection des données soient immédiatement prises en considération. L’annonce au préposé a lieu par l’intermédiaire de l’USIC lorsqu’un projet doit également être annoncé à cette unité.2
3 Le préposé et l’USIC collaborent dans le cadre de leurs activités relatives aux mesures techniques. Le préposé prend l’avis de l’USIC avant de recommander de telles mesures.
4 Au demeurant, les instructions édictées par les organes fédéraux en vertu de l’ordonnance du 26 septembre 2003 sur l’informatique dans l’administration fédérale (OIAF)3 sont applicables.4

Règlement de traitement


Art. 21

1 Les organes fédéraux responsables établissent un règlement de traitement pour les fichiers automatisés qui répondent à l’un des critères suivants:
a. contenir des données personnelles sensibles ou des profils de la personnalité;
b. être utilisés par plusieurs organes fédéraux;
c. être accessibles aux cantons, à des autorités étrangères, à des organisations internationales ou à des personnes privées;
d. être connectés à d’autres fichiers.
2 L’organe fédéral responsable précise dans le règlement de traitement son organisation interne. Il y décrit en particulier les procédures de traitement et de contrôle des données et y intègre les documents relatifs à la planification, à l’élaboration et à la gestion du fichier. Le règlement contient les informations nécessaires à la déclaration des fichiers (art. 16) et les indications suivantes:
a. l’organe responsable de la protection et de la sécurité des données;
b. la provenance des données;
c. les buts dans lesquels des données sont régulièrement communiquées;
d. les procédures de contrôle et en particulier les mesures techniques et organisationnelles visées à l’art. 20 de la présente ordonnance;
e. la description des champs de données et des unités d’organisation qui y ont accès;
f. l’accès des utilisateurs au fichier, ainsi que la nature et l’étendue de cet accès;
g. les procédures de traitement des données, notamment les procédures de rectification, de blocage, d’anonymisation, de sauvegarde, de conservation, d’archivage ou de destruction des données;
h. la configuration des moyens informatiques;
i. la procédure d’exercice du droit d’accès.
3 Le règlement est régulièrement mis à jour. Il est mis à la disposition des organes chargés du contrôle sous une forme qui leur est intelligible.

Traitement de données sur mandat


Art. 22

1 ...5
2 L’organe fédéral qui fait traiter des données personnelles par un tiers demeure responsable de la protection des données. Il veille à ce que les données soient traitées conformément au mandat, notamment quant à leur utilisation et à leur communication.
3 Lorsqu’un tiers n’est pas soumis à la LPD, l’organe responsable veille à ce que d’autres dispositions légales assurent une protection équivalente ou, à défaut, garantit une telle protection par des clauses contractuelles.

Conseiller à la protection des données


Art. 236

1 La Chancellerie fédérale et chaque département désignent respectivement et au minimum un conseiller à la protection des données. Ce conseiller a pour tâches de:
a. conseiller les organes responsables et les utilisateurs;
b. promouvoir l’information et la formation des collaborateurs;
c. concourir à l’application des prescriptions relatives à la protection des données.
2 Si les organes fédéraux entendent être déliés de leur devoir de déclarer leurs fichiers conformément à l’art. 11a, al. 5, let. e, LPD, les art. 12a et 12b sont applicables.
3 Ils communiquent avec le préposé par l’intermédiaire de leur conseiller à la protection des données.


1 Nouvelle teneur selon le ch. II 7 de l’annexe à l’O du 23 fév. 2000 sur l’informatique dans l’administration fédérale, en vigueur depuis le 1er avril 2000 (RO 2000 1227).
2 Nouvelle teneur selon le ch. I de l’O du 28 sept. 2007, en vigueur depuis le 1er janv. 2008 (RO 2007 4993).
3 RS 172.010.58
4 Nouvelle teneur selon le ch. I de l’O du 28 sept. 2007, en vigueur depuis le 1er janv. 2008 (RO 2007 4993).
5 Abrogé par le ch. I de l’O du 28 sept. 2007, avec effet au 1er janv. 2008 (RO 2007 4993).
6 Nouvelle teneur selon le ch. I de l’O du 28 sept. 2007, en vigueur depuis le 1er janv. 2008 (RO 2007 4993).

chapitre précédentpremière page de titrechapitre suivant    [Table des matières]  RS 235.11 - Edition Optobyte SA