Projet
Loi fédérale sur la protection des données (LPD)
Modification du
L'Assemblée fédérale de la Confédération suisse,
vu le message du Conseil fédéral du 19 février 20031, arrête:
I
La loi fédérale du 19 juin 1992 sur la protection des données (LPD)2 est modifiée comme suit:
Préambule
vu les art. 31 bis, al. 2, 64, 64bis, et 85, ch. 1, de la constitution3,
…
Art. 2, al. 2, let. e
2 Elle ne s'applique pas:
e. aux données personnelles traitées par les organisations internationales éta- blies sur le territoire de la Confédération et avec lesquelles un accord de siège a été conclu.
Art. 3, let. i, j et k
On entend par:
i. ne concerne que les textes allemand et italien;
j. loi au sens formel:
lois fédérales,
résolutions d'organisations internationales contraignantes pour la Suisse et traités de droit international approuvés par l'Assemblée fédé- rale et comportant des règles de droit.
k. abrogée
1 FF 2003 1915
2 RS 235.1
3 Ces dispositions correspondent aux art. 95, 122, 123 et 173, al. 2, de la Constitution du 18 avril 1999 (RS 101).
2002-2754
1967
Loi fédérale sur la protection des données (LPD)
Art. 4, al. 1 et al. 4 et 5 (nouveaux)
1 Tout traitement de données personnelles ne peut être entrepris que d'une manière licite.
4 La collecte de données personnelles, et notamment les finalités du traitement, doivent être reconnaissables pour la personne concernée.
5 Lorsque son consentement est requis pour justifier le traitement de données per- sonnelles la concernant, la personne ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée; lorsqu'il s'agit de données sensibles et de profils de la personnalité, son consentement doit être explicite.
Art. 6 Communication transfrontière de données
1 Aucune donnée personnelle ne peut être communiquée à l'étranger si la person- nalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence d'une législation assurant un niveau de protection adéquat.
2 En dépit de l'absence d'une législation assurant un niveau de protection adéquat à l'étranger, des données personnelles peuvent être communiquées à l'étranger:
a. si des garanties suffisantes, notamment contractuelles, permettent d'assurer un niveau de protection adéquat à l'étranger;
b. si la personne concernée a, en l'espèce, donné son consentement;
c. si le traitement est en relation directe avec la conclusion ou l'exécution d'un contrat et que les données traitées concernent le cocontractant;
d. si la communication est, en l'espèce, indispensable soit à la sauvegarde d'un intérêt public prépondérant, soit à la constatation, l'exercice ou la défense d'un droit en justice;
e. si la communication est, en l'espèce, nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée;
f. si la personne concernée a rendu les données accessibles à tout un chacun et qu'elle ne se soit pas opposée formellement au traitement;
g. si la communication a lieu entre des personnes morales réunies sous une direction unique et soumises à des règles uniformes sur la protection des données qui garantissent une protection appropriée.
3 Le Préposé fédéral à la protection des données doit être informé des garanties données visées à l'al. 2, let. a, et des règles uniformes de protection des données visées à l'al. 2, let. g. Le Conseil fédéral règle les modalités du devoir d'information.
Art. 7a (nouveau) Devoir d'informer lors de la collecte de données personnelles sensibles et de profils de la personnalité
1 Le maître du fichier a l'obligation d'informer la personne concernée de toute collecte de données personnelles sensibles ou de profils de la personnalité la con- cernant, à moins qu'elle n'ait été préalablement informée.
1968
Loi fédérale sur la protection des données (LPD)
2 La personne concernée doit au minimum recevoir les informations suivantes:
a. l'identité du maître du fichier;
b. les finalités du traitement pour lequel les données sont collectées;
c. les catégories de destinataires des données si la communication des données est envisagée.
3 Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de l'enregistrement des données ou de leur première communication à un tiers, à moins que cela ne s'avère impossible, ne nécessite des efforts disproportionnés ou que l'enregistrement ou la communication ne soient expressément prévus par la loi.
Art. 7b (nouveau) Devoir d'informer lors de décisions individuelles automatisées
La personne concernée doit être expressément informée du fait qu'une décision produisant des effets juridiques à son égard ou l'affectant de manière significative est prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité.
Art. 8, al. 2, let. a
2 Le maître du fichier doit lui communiquer:
a. toutes les données la concernant qui sont contenues dans le fichier, y com- pris les informations disponibles sur l'origine des données;
Art. 9, titre, al. 1 à 3 et 5
Restriction du devoir d'information et du droit d'accès
1 Le maître du fichier peut refuser ou restreindre l'information visée à l'art. 7a ou la communication des renseignements demandés visée à l'art. 8, voire en différer l'octroi, dans la mesure où:
a. une loi au sens formel le prévoit;
b. les intérêts prépondérants d'un tiers l'exigent.
2 Un organe fédéral peut en outre refuser ou restreindre l'information ou la commu- nication des renseignements demandés, voire en différer l'octroi, dans la mesure où:
a. un intérêt public prépondérant, en particulier la sûreté intérieure ou exté- rieure de la Confédération, l'exige;
b. l'information ou la communication des renseignements risque de compro- mettre une instruction pénale ou une autre procédure d'instruction.
3 Un maître de fichier privé peut en outre refuser ou restreindre l'information ou la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où ses intérêts prépondérants l'exigent et à condition qu'il ne communique pas les données personnelles à des tiers.
1969
Loi fédérale sur la protection des données (LPD)
5 Si l'information ou la communication des renseignements est refusée, restreinte ou différée, elle doit être donnée ultérieurement dès que le motif a disparu et pour autant que cela ne s'avère pas impossible ou ne nécessite pas des efforts dispropor- tionnés.
Art. 10a (nouveau) Traitement de données par un tiers
1 Le traitement de données personnelles peut être confié à un tiers pour autant qu'une convention ou la loi le prévoie et que les conditions suivantes soient rem- plies:
a. seuls les traitements que le mandant serait en droit d'effectuer lui-même sont effectués;
b. aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2 Le mandant doit en particulier s'assurer que le tiers garantit la sécurité des don- nées.
3 Le tiers peut faire valoir les mêmes motifs justificatifs que le mandant.
Art. 11 (nouveau) Procédure de certification
1 Afin d'améliorer la protection et la sécurité des données, les fournisseurs de systè- mes de traitement de données et de logiciels ainsi que les personnes privées ou les organes fédéraux qui traitent des données personnelles peuvent soumettre leurs systèmes, leurs procédures et leur organisation à une évaluation effectuée par des organismes de certification agréés et indépendants.
2 Le Conseil fédéral édicte des prescriptions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
Art. 11a (nouveau) Registre des fichiers
1 Le Préposé fédéral à la protection des données tient un registre des fichiers acces- sible en ligne. Toute personne peut consulter ce registre.
2 Les organes fédéraux sont tenus de déclarer leurs fichiers au Préposé fédéral à la protection des données pour enregistrement.
3 Les personnes privées sont tenues de déclarer leurs fichiers lorsqu'elles:
a. traitent régulièrement des données sensibles ou des profils de la personna- lité; ou
b. communiquent régulièrement des données personnelles à des tiers.
4 Les fichiers doivent être déclarés avant d'être opérationnels.
1970
Loi fédérale sur la protection des données (LPD)
5 Par dérogation aux al. 2 et 3, le maître du fichier n'est pas tenu de déclarer son fichier:
a. si les données sont traitées par une personne privée en vertu d'une obliga- tion légale;
b. si le traitement est désigné par le Conseil fédéral comme n'étant pas suscep- tible de menacer les droits des personnes concernées;
c. s'il utilise le fichier exclusivement pour la publication dans la partie rédac- tionnelle d'un média à caractère périodique et ne communique pas les don- nées à des tiers à l'insu des personnes concernées;
d. si les données sont traitées par un journaliste qui se sert du fichier comme un instrument de travail personnel;
e. s'il a désigné un conseiller à la protection des données indépendant chargé d'assurer l'application interne des dispositions relatives à la protection des données et de tenir un inventaire des fichiers;
f. s'il s'est soumis à une procédure de certification au sens de l'art. 11, a obte- nu un label de qualité et a annoncé le résultat de la procédure de certification au Préposé fédéral à la protection des données.
6 Le Conseil fédéral règle les modalités de déclaration des fichiers de même que la tenue et la publication du registre; il précise le rôle et les tâches des conseillers à la protection des données visés à l'al. 5, let. e; il règle la publication d'une liste des maîtres de fichiers qui sont déliés de leur devoir de déclarer leurs fichiers selon l'al. 5, let. f.
Art. 12, al. 2, let. a
2 Personne n'est en droit, sans motif justificatif, notamment de:
a. traiter des données personnelles en violation des principes définis aux art. 4, 5, al. 1, et 7, al. 1;
Art. 14
Abrogé
Art. 15, al. 1 et 3
1 Les art. 28 à 28l du code civil4 régissent les actions et les mesures provisionnelles concernant la protection de la personnalité. Le demandeur peut en particulier requé- rir que le traitement des données, et notamment leur communication à des tiers, soient interdits ou que les données soient rectifiées ou détruites.
3 Le demandeur peut requérir que la rectification ou la destruction des données, l'interdiction du traitement, et plus particulièrement de la communication, la men- tion du caractère litigieux ou le jugement soient communiqués à des tiers ou publiés.
4 RS 210
1971
Loi fédérale sur la protection des données (LPD)
Art. 15a (nouveau) Opposition au traitement de données personnelles
1 Si la personne concernée s'oppose au traitement des données la concernant, le maître du fichier le suspend immédiatement, à moins qu'il ne repose sur une obliga- tion légale.
2 S'il accepte l'opposition, le maître du fichier cesse immédiatement tout traitement.
3 S'il rejette l'opposition, le maître du fichier doit faire valoir un motif justificatif au sens de l'art.13, dans un délai de dix jours. S'il ne peut pas suspendre le traitement au motif qu'il repose sur une obligation légale, le maître du fichier en informe la personne concernée sans délai.
4 La conservation et l'archivage des données demeurent autorisés, dans tous les cas, jusqu'à ce que la situation juridique ait été clarifiée.
5 Si la personne concernée ne requiert pas du juge l'interdiction du traitement de données la concernant, leur rectification ou leur destruction (art. 15) dans un délai de dix jours à compter de celui où elle a eu connaissance des motifs justificatifs, son opposition est réputée levée.
6 Le présent article n'est pas applicable à la publication de données dans la partie rédactionnelle d'un média à caractère périodique.
Art. 16, al. 3 et 4 (nouveaux)
3 Celui qui traite des données conjointement avec un organe fédéral est tenu d'auto- riser ce dernier à effectuer ou faire exécuter des contrôles. Si le traitement est confié à des tiers, l'organe fédéral peut également effectuer ou faire exécuter des contrôles auprès de ceux-ci.
4 L'organe fédéral responsable peut régler, dans le cadre d'une convention, les modalités de contrôle. Il est tenu de le faire lorsque le traitement des données est effectué par des personnes privées ou à l'étranger.
Art. 17, al. 2, let. b et c
2 Des données sensibles ou des profils de la personnalité ne peuvent être traités que si une loi au sens formel le prévoit expressément, ou si exceptionnellement:
b. le Conseil fédéral l'a autorisé en l'espèce, considérant que les droits des per- sonnes concernées ne sont pas menacés; ou si
c. la personne concernée y a, en l'espèce, consenti ou a rendu ses données accessibles à tout un chacun et ne s'est pas opposée formellement au traite- ment.
Art. 17a (nouveau) Traitement de données automatisé dans le cadre d'essais pilotes
1 Après avoir consulté le Préposé fédéral à la protection des données, le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traite- ment automatisé de données sensibles ou de profils de la personnalité:
1972
Loi fédérale sur la protection des données (LPD)
a. si les tâches qui nécessitent ce traitement sont réglées dans une loi au sens formel;
b. si des mesures appropriées sont prises aux fins de limiter les atteintes à la personnalité; et
c. £ si la mise en œuvre du traitement rend indispensable une phase d'essai avant l'entrée en vigueur de la loi au sens formel.
2 Une phase d'essai peut être considérée comme indispensable pour traiter les don- nées:
a. si l'accomplissement des tâches nécessite l'introduction d'innovations tech- niques dont les effets doivent être évalués;
b. si l'accomplissement des tâches nécessite la prise de mesures organisation- nelles importantes dont l'efficacité doit être examinée, notamment dans le cadre d'une collaboration entre les organes fédéraux et les cantons; ou si
c. le traitement nécessite une communication de données sensibles ou de pro- fils de la personnalité aux autorités cantonales, par le biais d'une procédure d'appel.
3 Le Conseil fédéral règle les modalités du traitement automatisé par voie d'ordon- nance.
4 L'organe fédéral responsable transmet, au plus tard deux ans après la mise en œuvre de la phase d'essai, un rapport d'évaluation au Conseil fédéral. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.
5 Le traitement de données automatisé doit être interrompu dans tous les cas si une base légale formelle n'est pas entrée en vigueur dans un délai de cinq ans à partir de la mise en œuvre de l'essai pilote.
Art. 18, al. 2 Abrogé
Art. 19, al. 1, let. b et c
1 Les organes fédéraux ne sont en droit de communiquer des données personnelles que s'il existe une base juridique au sens de l'art. 17 ou si:
b. la personne concernée y a, en l'espèce, consenti;
c. la personne concernée a rendu ses données accessibles à tout un chacun et ne s'est pas formellement opposée à la communication; ou si
Art. 21 Proposition des documents aux Archives fédérales
1 Conformément à la loi fédérale du 26 juin 1998 sur l'archivage5, les organes fédéraux proposent aux Archives fédérales de reprendre toutes les données person- nelles dont ils n'ont plus besoin en permanence.
5 RS 152.1
1973
Loi fédérale sur la protection des données (LPD)
2 Les organes fédéraux détruisent les données personnelles que les Archives fédéra- les ont désignées comme n'ayant pas de valeur archivistique, à moins que celles-ci:
a. ne soient rendues anonymes;
b. ne doivent être conservées à titre de preuve ou par mesure de sûreté.
Art. 26, al. 2 et 3
2 Il s'acquitte de ses tâches de manière autonome et est rattaché administrativement à la Chancellerie fédérale.
3 Il dispose d'un secrétariat permanent et de son propre budget.
Art. 27, al. 6 (nouveau)
6 Le préposé a qualité pour recourir contre les décisions mentionnées à l'al. 5.
Art. 29, al. 1, let. b, c et d (nouvelle)
1 Le préposé établit les faits d'office ou à la demande de tiers lorsque:
b. le traitement porte sur des données sensibles ou des profils de la personna- lité;
c. des données doivent être régulièrement communiquées à des tiers;
d. il existe un devoir d'information au sens de l'art. 6, al. 3.
Art. 31, al. 1, let. d et let. e et f (nouvelles)
1 Le préposé a notamment les autres attributions suivantes:
d. examiner dans quelle mesure le niveau de protection assuré à l'étranger est adéquat;
e. examiner les garanties ainsi que les règles de protection des données qui lui ont été annoncées selon l'art. 6, al. 3;
f. examiner les procédures de certification au sens de l'art. 11 et émettre des recommandations y relatives au sens de l'art. 27, al. 4, ou de l'art. 29, al. 3.
Art. 34, al. 1 et 2, let. a
1 Seront sur plainte punies des arrêts ou de l'amende les personnes privées:
a. qui auront contrevenu à leurs obligations prévues aux art. 7a et 8 à 10, en fournissant intentionnellement des renseignements inexacts ou incomplets;
b. qui, intentionnellement, auront omis:
d'informer la personne concernée, conformément à l'art. 7a, al. 1, ou 7b, ou
de lui fournir les indications prévues à l'art. 7a, al. 2, let. a à c.
1974
Loi fédérale sur la protection des données (LPD)
2 Seront punies sur plainte des arrêts ou de l'amende les personnes privées qui intentionnellement:
a. auront omis d'informer le préposé, conformément à l'art. 6, al. 3, de déclarer les fichiers visés à l'art. 11a ou auront donné des indications inexactes lors de leur déclaration;
Art. 37, al. 1
1 A moins qu'il ne soit soumis à des dispositions cantonales de protection des don- nées assurant un niveau de protection adéquat, le traitement de données personnelles par des organes cantonaux en exécution du droit fédéral est régi par les dispositions des art. 1 à 11a, 16, 17, 18 à 22 et 25, al. 1 à 3, de la présente loi.
II
Modification du droit en vigueur
La loi fédérale du 30 avril 1997 sur la poste6, est modifiée comme suit:
Art. 13, al. 1
1 Le traitement de données personnelles par la Poste est soumis aux dispositions des art. 12 à 15a de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)7. La surveillance s'exerce conformément aux règles applicables aux organes fédéraux (art. 23, 2e al., LPD).
III
Disposition transitoire
Dans le délai d'un an à compter de l'entrée en vigueur de la présente loi, les maîtres de fichier doivent être en mesure d'assurer l'information des personnes concernées au sens de l'art. 4, al. 4, et des art. 7a et 7b.
IV
1 La présente loi est sujette au référendum.
2 Le Conseil fédéral fixe la date de l'entrée en vigueur.
6 RS 783.0
7 RS 235.1; RO ... (FF 2003 1967)
1975
Schweizerisches Bundesarchiv, Digitale Amtsdruckschriften Archives fédérales suisses, Publications officielles numérisées Archivio federale svizzero, Pubblicazioni ufficiali digitali
Loi fédérale sur la protection des données (LPD) (Projet)
In
Bundesblatt
Dans
Feuille fédérale
In
Foglio federale
Jahr
2003
Année
Anno
Band
1
Volume
Volume
Heft
10
Cahier
Numero
Geschäftsnummer
Numéro d'affaire
Numero dell'oggetto
Datum 18.03.2003
Date
Data
Seite
1967-1975
Page
Pagina
Ref. No
10 127 090
Die elektronischen Daten der Schweizerischen Bundeskanzlei wurden durch das Schweizerische Bundesarchiv übernommen.
Les données électroniques de la Chancellerie fédérale suisse ont été reprises par les Archives fédérales suisses. I dati elettronici della Cancelleria federale svizzera sono stati ripresi dall'Archivio federale svizzero.