FF 2023 Volume 158 P. 1882

FF 2023 www.fedlex.admin.ch La version électronique signée fait foi

Directives du Conseil fédéral concernant l'examen préalable des risques et l'analyse d'impact relative à la protection des données personnelles en cas de traitement de données personnelles par l'administration fédérale (Directives AIPD) du 28 juin 2023

Le Conseil fédéral suisse édicte les directives suivantes:

1 1.1

Dispositions générales Objet

Les présentes directives règlent la réalisation par l'administration fédérale de l'examen préalable des risques et de l'analyse d'impact relative à la protection des données personnelles (AIPD) au sens des art. 22 et 23 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)1 et leur intégration dans la procédure normative de la Confédération, ainsi que la coordination avec la méthode de gestion de projet HERMES2.

1.2

Champ d'application

Les présentes directives s'appliquent aux unités de l'administration fédérale centrale au sens de l'art. 7 de l'ordonnance du 25 novembre 1998 sur l'organisation du gouvernement et de l'administration3.

1.3

Démarche

Lors de tout traitement envisagé de données personnelles, l'unité de l'administration fédérale responsable vérifie, dans un premier temps, si le traitement est susceptible d'entraîner un risque élevé pour les droits fondamentaux de la personne concernée (examen préalable des risques, ch. 2). Elle consulte le conseiller à la protection des données.

1

1 2 3

RS 235.1 www.hermes.admin.ch RS 172.010.1

2023-1966

FF 2023 1882

Directives du Conseil fédéral concernant l'analyse d'impact relative à la protection des données personnelles

FF 2023 1882

Lorsque l'examen préalable des risques indique qu'il existe un risque élevé pour les droits fondamentaux de la personne concernée, elle procède, dans un deuxième temps, à une AIPD (ch. 3). Elle consulte le conseiller à la protection des données.

2

3

En cas de procédure normative, le ch. 4 est applicable.

4

Si un projet est réalisé selon HERMES, le ch. 5 est applicable.

2

Examen préalable des risques

L'unité de l'administration fédérale responsable procède à l'examen préalable des risques à l'aide de l'instrument (instrument d'examen préalable des risques) mis à disposition par l'Office fédéral de la justice (OFJ)4 pour tous les traitements de données personnelles envisagés. Si un projet est réalisé selon HERMES, l'examen préalable des risques peut également être effectué dans le cadre de l'analyse des besoins de protection (ch. 5.1, al. 2).

1

Si les risques changent ou si de nouveaux risques apparaissent, l'unité de l'administration fédérale responsable vérifie les indications et les adapte au besoin. Si elle a déjà effectué une AIPD, elle l'adapte (ch. 3, al. 2); les indications fournies dans le cadre de l'examen préalable des risques ne doivent pas être adaptées.

2

3 1

AIPD L'AIPD comprend les étapes suivantes: a.

description du traitement envisagé;

b.

évaluation des risques pour les droits fondamentaux de la personne concernée;

c.

identification des mesures prévues pour protéger les droits fondamentaux;

d.

évaluation des effets des mesures prévues pour déterminer s'il existe un risque résiduel élevé.

Si les risques changent ou si de nouveaux risques apparaissent, l'unité de l'administration fédérale responsable vérifie l'AIPD effectuée et l'adapte au besoin.

2

La méthode de mise en oeuvre l'AIPD et son contenu sont régis par le guide AIPD de l'OFJ5.

3

4 5

2/4

www.ofj.admin.ch > Etat & Citoyen > Protection des données > Informations destinées aux organes fédéraux www.ofj.admin.ch > Etat & Citoyen > Protection des données > Informations destinées aux organes fédéraux

Directives du Conseil fédéral concernant l'analyse d'impact relative à la protection des données personnelles

4 4.1

FF 2023 1882

Coordination avec la procédure normative Examen préalable des risques

Si le traitement de données personnelles envisagé nécessite un acte normatif ou la modification d'un acte normatif, l'examen préalable des risques et, le cas échéant, l'AIPD doivent être effectués avant la consultation des offices.

1

L'instrument d'examen préalable des risques, dûment rempli, est joint au dossier de la consultation des offices, sauf si une AIPD est nécessaire. Si un projet est réalisé selon HERMES, un extrait de l'analyse des besoins de protection peut également être joint au dossier.

2

Si les indications doivent être adaptées après la consultation des offices, l'instrument d'examen préalable des risque actualisé ou l'extrait de l'analyse des besoins de protection actualisé est joint au dossier de la consultation des offices suivante ou de la procédure de co-rapport, sauf si une AIPD est nécessaire.

3

Le département responsable du dossier et la Chancellerie fédérale informent des résultats de l'examen préalable des risques notamment dans la proposition au Conseil fédéral, le rapport explicatif et le message et se prononcent sur l'existence d'un risque élevé pour les droits fondamentaux de la personne concernée et, le cas échéant, sur la raison de ce risque.

4

Les explications données dans le rapport explicatif et dans le message sont présentées conformément à l'aide-mémoire sur la présentation des messages du Conseil fédéral6.

5

4.2

AIPD

Les résultats de l'AIPD ainsi que, en cas de risque résiduel élevé au sens de l'art. 23 LPD7, la prise de position du Préposé fédéral à la protection des données et à la transparence (PFPDT) sont joints au dossier de la consultation des offices. Les résultats mentionnent notamment les risques identifiés, les mesures prévues et les risques résiduels. Si un projet est réalisé selon HERMES, un extrait des instruments visés au ch. 5.2, al. 3, peut également être joint au dossier.

1

Si la nécessité de procéder à une AIPD ou de l'adapter apparaît après la consultation des offices, les résultats de l'AIPD ou un extrait des instruments visés au ch. 5.2, al. 3, et, le cas échéant, la prise de position du PFPDT sont joints au dossier de la consultation des offices suivante ou de la procédure de co-rapport.

2

Le département responsable du dossier et la Chancellerie fédérale informent des résultats de l'AIPD et, le cas échéant, de la prise de position du PFPDT, notamment dans la proposition au Conseil fédéral, le rapport explicatif, le message et la brochure des Explications du Conseil fédéral.

3

6 7

www.chf.admin.ch > Documentation > Langues > Aides à la rédaction et à la traduction RS 235.1

3/4

Directives du Conseil fédéral concernant l'analyse d'impact relative à la protection des données personnelles

FF 2023 1882

Les explications données dans le rapport explicatif et dans le message sont présentées conformément à l'aide-mémoire sur la présentation des messages du Conseil fédéral8.

4

5 5.1

Coordination avec HERMES Examen préalable des risques

Si un projet est réalisé selon HERMES, l'unité de l'administration fédérale responsable effectue l'examen préalable des risques en même temps que l'analyse des bases légales et l'analyse des besoins de protection.

1

L'examen préalable des risques est effectué soit avec l'instrument d'examen préalable des risques, soit dans le cadre de l'analyse des besoins de protection.

2

5.2

AIPD

L'unité de l'administration fédérale responsable réalise l'AIPD lors de la phase de création de la solution.

1

S'il ressort de l'examen préalable des risques qu'une AIPD est nécessaire, le besoin de protection est réputé accru au sens de l'analyse des besoins de protection prévue par la procédure de sécurité de l'administration fédérale9.

2

L'analyse des bases légales et les instruments mis en place en cas de besoin de protection accru10 font partie de l'AIPD.

3

L'unité de l'administration fédérale responsable évalue en outre, dans le cadre de l'AIPD, les risques qui n'ont pas encore été évalués au moyen des instruments visés à l'al. 3.

4

5

L'AIPD est documentée soit séparément, soit avec les instruments visés à l'al. 3.

6

Entrée en vigueur

Les présentes directives entrent en vigueur le 1er septembre 2023.

28 juin 2023

Au nom du Conseil fédéral suisse: Le président de la Confédération, Alain Berset Le chancelier de la Confédération, Walter Thurnherr

8 9 10

4/4

www.chf.admin.ch > Documentation > Langues > Aides à la rédaction et à la traduction www.ncsc.admin.ch > Documentation > Directives de sécurité informatique > Procédure de sécurité > Appréciation des besoins de protection www.ncsc.admin.ch > Documentation > Directives de sécurité informatique > Procédure de sécurité > Protection élevée