Délai référendaire: 13 juillet 2006
Loi fédérale sur la protection des données (LPD) Modification du 24 mars 2006 L'Assemblée fédérale de la Confédération suisse, vu le message du Conseil fédéral du 19 février 20031, arrête: I La loi fédérale du 19 juin 1992 sur la protection des données2 est modifiée comme suit: Art. 3, let. i, j et k On entend par: i.
ne concerne que les textes allemand et italien;
j.
loi au sens formel: 1. lois fédérales, 2. résolutions d'organisations internationales contraignantes pour la Suisse et traités de droit international approuvés par l'Assemblée fédérale et comportant des règles de droit.
k.
abrogée
Art. 4, al. 1, 4 et 5 1
Tout traitement de données doit être licite.
La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.
4
Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.
5
1 2
FF 2003 1915 RS 235.1
2002-2754
3421
Loi fédérale sur la protection des données
Art. 5, al. 1 Celui qui traite des données personnelles doit s'assurer qu'elles sont correctes. Il prend toute mesure appropriée permettant d'effacer ou de rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.
1
Art. 6
Communication transfrontière de données
Aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence d'une législation assurant un niveau de protection adéquat.
1
En dépit de l'absence d'une législation assurant un niveau de protection adéquat à l'étranger, des données personnelles peuvent être communiquées à l'étranger, à l'une des conditions suivantes uniquement:
2
a.
des garanties suffisantes, notamment contractuelles, permettent d'assurer un niveau de protection adéquat à l'étranger;
b.
la personne concernée a, en l'espèce, donné son consentement;
c.
le traitement est en relation directe avec la conclusion ou l'exécution d'un contrat et les données traitées concernent le cocontractant;
d.
la communication est, en l'espèce, indispensable soit à la sauvegarde d'un intérêt public prépondérant, soit à la constatation, l'exercice ou la défense d'un droit en justice;
e.
la communication est, en l'espèce, nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée;
f.
la personne concernée a rendu les données accessibles à tout un chacun et elle ne s'est pas opposée formellement au traitement;
g.
la communication a lieu au sein d'une même personne morale ou société ou entre des personnes morales ou sociétés réunies sous une direction unique, dans la mesure où les parties sont soumises à des règles de protection des données qui garantissent un niveau de protection adéquat.
3 Le Préposé fédéral à la protection des données et à la transparence3 (préposé, art. 26) doit être informé des garanties données visées à l'al. 2, let. a, et des règles de protection des données visées à l'al. 2, let. g. Le Conseil fédéral règle les modalités du devoir d'information.
3
Jusqu'à l'entrée en vigueur de la loi du 17 déc. 2004 sur la transparence (RS 152.3; FF 2004 6807): «Préposé fédéral à la protection des données».
3422
Loi fédérale sur la protection des données (LPD)
Art. 7a
Devoir d'informer lors de la collecte de données personnelles sensibles et de profils de la personnalité
Le maître du fichier a l'obligation d'informer la personne concernée lorsqu'il collecte des données sensibles ou des profils de la personnalité la concernant, que la collecte soit effectuée directement auprès d'elle ou auprès d'un tiers.
1
2
La personne concernée doit au minimum recevoir les informations suivantes: a.
l'identité du maître du fichier;
b.
les finalités du traitement pour lequel les données sont collectées;
c.
les catégories de destinataires des données si la communication des données est envisagée.
Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l'absence d'un enregistrement, lors de leur première communication à un tiers.
3
Le maître du fichier est délié de son devoir d'information si la personne concernée a déjà été informée; il n'est pas non plus tenu d'informer cette dernière dans les cas prévus à l'al. 3:
4
a.
si l'enregistrement ou la communication sont expressément prévus par la loi;
b.
si le devoir d'information est impossible à respecter ou nécessite des efforts disproportionnés.
Art. 8, al. 2, phrase introductive et let. a 2
Le maître du fichier doit lui communiquer: a.
toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l'origine des données;
Art. 9, titre, al. 1 à 3 Restriction du devoir d'information et du droit d'accès Le maître du fichier peut refuser ou restreindre l'information visée à l'art. 7a ou la communication des renseignements demandés visée à l'art. 8, voire en différer l'octroi, dans la mesure où: 1
a.
une loi au sens formel le prévoit;
b.
les intérêts prépondérants d'un tiers l'exigent.
Un organe fédéral peut en outre refuser ou restreindre l'information ou la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où:
2
a.
un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Confédération, l'exige;
b.
l'information ou la communication des renseignements risque de compromettre une instruction pénale ou une autre procédure d'instruction.
3423
Loi fédérale sur la protection des données
Un maître de fichier privé peut en outre refuser ou restreindre l'information ou la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où ses intérêts prépondérants l'exigent et à condition qu'il ne communique pas les données personnelles à des tiers.
3
Art. 10a
Traitement de données par un tiers
Le traitement de données personnelles peut être confié à un tiers pour autant qu'une convention ou la loi le prévoie et que les conditions suivantes soient remplies:
1
a.
seuls les traitements que le mandant serait en droit d'effectuer lui-même sont effectués;
b.
aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
Le mandant doit en particulier s'assurer que le tiers garantit la sécurité des données.
2
3
Le tiers peut faire valoir les mêmes motifs justificatifs que le mandant.
Art. 11
Procédure de certification
Afin d'améliorer la protection et la sécurité des données, les fournisseurs de systèmes de logiciels et de traitement de données ainsi que les personnes privées ou les organes fédéraux qui traitent des données personnelles peuvent soumettre leurs systèmes, leurs procédures et leur organisation à une évaluation effectuée par des organismes de certification agréés et indépendants.
1
Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
2
Art. 11a
Registre des fichiers
Le préposé tient un registre des fichiers accessible en ligne. Toute personne peut consulter ce registre.
1
Les organes fédéraux sont tenus de déclarer leurs fichiers au préposé pour enregistrement.
2
3
4
Les personnes privées sont tenues de déclarer leurs fichiers dans les cas suivants: a.
elles traitent régulièrement des données sensibles ou des profils de la personnalité;
b.
elles communiquent régulièrement des données personnelles à des tiers.
Les fichiers doivent être déclarés avant d'être opérationnels.
Par dérogation aux al. 2 et 3, le maître du fichier n'est pas tenu de déclarer son fichier:
5
3424
Loi fédérale sur la protection des données (LPD)
a.
si les données sont traitées par une personne privée en vertu d'une obligation légale;
b.
si le traitement est désigné par le Conseil fédéral comme n'étant pas susceptible de menacer les droits des personnes concernées;
c.
s'il utilise le fichier exclusivement pour la publication dans la partie rédactionnelle d'un média à caractère périodique et ne communique pas les données à des tiers à l'insu des personnes concernées;
d.
si les données sont traitées par un journaliste qui se sert du fichier comme un instrument de travail personnel;
e.
s'il a désigné un conseiller à la protection des données indépendant chargé d'assurer l'application interne des dispositions relatives à la protection des données et de tenir un inventaire des fichiers;
f.
s'il s'est soumis à une procédure de certification au sens de l'art. 11, a obtenu un label de qualité et a annoncé le résultat de la procédure de certification au préposé.
Le Conseil fédéral règle les modalités de déclaration des fichiers de même que la tenue et la publication du registre; il précise le rôle et les tâches des conseillers à la protection des données visés à l'al. 5, let. e; il règle la publication d'une liste des maîtres de fichiers qui sont déliés de leur devoir de déclarer leurs fichiers selon l'al. 5, let. e et f.
6
Art. 12, al. 2 2
Personne n'est en droit notamment de: a.
traiter des données personnelles en violation des principes définis aux art. 4, 5, al. 1, et 7, al. 1;
b.
traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs;
c.
communiquer à des tiers des données sensibles ou des profils de la personnalité sans motifs justificatifs.
Art. 14 Abrogé Art. 15, al. 1 et 3 Les actions et les mesures provisionnelles concernant la protection de la personnalité sont régies par les art. 28 à 28l du code civil4. Le demandeur peut en particulier requérir que le traitement des données, et notamment leur communication à des tiers, soient interdits ou que les données soient rectifiées ou détruites.
1
4
RS 210
3425
Loi fédérale sur la protection des données
Le demandeur peut requérir que la rectification ou la destruction des données, l'interdiction du traitement, et plus particulièrement de la communication, la mention du caractère litigieux ou le jugement soient communiqués à des tiers ou publiés.
3
Art. 16 1
Organe responsable et contrôle
Ne concerne que le texte italien.
Lorsqu'un organe fédéral traite des données conjointement avec d'autres organes fédéraux, avec des organes cantonaux ou avec des personnes privées, le Conseil fédéral peut régler de manière spécifique les procédures de contrôle et les responsabilités en matière de protection des données.
2
Art. 17, al. 2 Des données sensibles ou des profils de la personnalité ne peuvent être traités que si une loi au sens formel le prévoit expressément, ou si exceptionnellement:
2
a.
Ne concerne que le texte allemand.
b.
le Conseil fédéral l'a autorisé en l'espèce, considérant que les droits des personnes concernées ne sont pas menacés; ou si
c.
la personne concernée y a, en l'espèce, consenti ou a rendu ses données accessibles à tout un chacun et ne s'est pas opposée formellement au traitement.
Art. 17a
Traitement de données automatisé dans le cadre d'essais pilotes
Après avoir consulté le préposé, le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traitement automatisé de données sensibles ou de profils de la personnalité:
1
a.
si les tâches qui nécessitent ce traitement sont réglées dans une loi au sens formel;
b.
si des mesures appropriées sont prises aux fins de limiter les atteintes à la personnalité; et
c.
si la mise en oeuvre du traitement rend indispensable une phase d'essai avant l'entrée en vigueur de la loi au sens formel.
Une phase d'essai peut être considérée comme indispensable pour traiter les données:
2
a.
si l'accomplissement des tâches nécessite l'introduction d'innovations techniques dont les effets doivent être évalués;
b.
si l'accomplissement des tâches nécessite la prise de mesures organisationnelles ou techniques importantes dont l'efficacité doit être examinée, notamment dans le cadre d'une collaboration entre les organes fédéraux et les cantons;
3426
Loi fédérale sur la protection des données (LPD)
c.
si le traitement exige que des données sensibles ou des profils de la personnalité soient rendus accessibles aux autorités cantonales en ligne.
Le Conseil fédéral règle les modalités du traitement automatisé par voie d'ordonnance.
3
L'organe fédéral responsable transmet, au plus tard deux ans après la mise en oeuvre de la phase d'essai, un rapport d'évaluation au Conseil fédéral. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.
4
Le traitement de données automatisé doit être interrompu dans tous les cas si aucune loi au sens formel n'est entrée en vigueur dans un délai de cinq ans à partir de la mise en oeuvre de l'essai pilote.
5
Art. 18, al. 2 Abrogé Art. 19, al. 1, let. b et c, et al. 3, 2e phrase Les organes fédéraux ne sont en droit de communiquer des données personnelles que s'il existe une base légale au sens de l'art. 17 ou à l'une des conditions suivantes:
1
b.
la personne concernée y a, en l'espèce, consenti;
c.
la personne concernée a rendu ses données accessibles à tout un chacun et ne s'est pas formellement opposée à la communication;
... Les organes fédéraux ne sont en droit de rendre des données personnelles accessibles en ligne que si cela est prévu expressément. Les données sensibles ou les profils de la personnalité ne peuvent être rendus accessibles en ligne que si une loi au sens formel le prévoit expressément.
3
Art. 21
Proposition des documents aux Archives fédérales
Conformément à la loi fédérale du 26 juin 1998 sur l'archivage5, les organes fédéraux proposent aux Archives fédérales de reprendre toutes les données personnelles dont ils n'ont plus besoin en permanence.
1
Les organes fédéraux détruisent les données personnelles que les Archives fédérales ont désignées comme n'ayant pas de valeur archivistique, à moins que celles-ci:
2
5
a.
ne soient rendues anonymes;
b.
ne doivent être conservées à titre de preuve ou par mesure de sûreté.
RS 152.1
3427
Loi fédérale sur la protection des données
Art. 26, al. 2 et 3 2 Il s'acquitte de ses tâches de manière autonome et est rattaché administrativement à la Chancellerie fédérale.
3
Il dispose d'un secrétariat permanent et de son propre budget.
Art. 27, al. 5, 2e phrase et al. 6 5
Ne concerne que les textes allemand et italien.
Le préposé a qualité pour recourir contre la décision visée à l'al. 5 et contre celle de l'autorité de recours.
6
Art. 29, al. 1, let. b et c, et al. 4 1
Le préposé établit les faits d'office ou à la demande de tiers lorsque: b.
des fichiers doivent être enregistrés (art. 11a);
c.
il existe un devoir d'information au sens de l'art. 6, al. 3.
Si la recommandation du préposé est rejetée ou n'est pas suivie, il peut porter l'affaire devant la Commission fédérale de la protection des données6 pour décision.
Il a qualité pour recourir contre cette décision.
4
Art. 31, al. 1, let. d à g 1
Le préposé a notamment les autres attributions suivantes: d.
examiner l'adéquation du niveau de protection assuré à l'étranger;
e.
examiner les garanties ainsi que les règles de protection des données qui lui ont été annoncées au sens de l'art. 6, al. 3;
f.
examiner les procédures de certification au sens de l'art. 11 et émettre des recommandations y relatives au sens de l'art. 27, al. 4, ou de l'art. 29, al. 3;
g.
assumer les tâches qui lui sont conférées par la loi du 17 décembre 2004 sur la transparence7.
Art. 34, al. 1 et 2, let. a 1
6 7
Seront sur plainte punies des arrêts ou de l'amende les personnes privées: a.
qui auront contrevenu à leurs obligations prévues aux art. 7a et 8 à 10, en fournissant intentionnellement des renseignements inexacts ou incomplets;
b.
qui, intentionnellement, auront omis: 1. d'informer la personne concernée, conformément à l'art. 7a, al. 1, ou 2. de lui fournir les indications prévues à l'art. 7a, al. 2, let. a à c.
A l'entrée en vigueur de la loi du 17 juin 2005 sur le Tribunal administratif fédéral (RO ...; FF 2005 3875): «devant le Tribunal fédéral administratif».
RS ...; RO ... (FF 2004 6807)
3428
Loi fédérale sur la protection des données (LPD)
2 Seront punies des arrêts ou de l'amende les personnes privées qui intentionnellement:
a.
auront omis d'informer le préposé, conformément à l'art. 6, al. 3, de déclarer les fichiers visés à l'art. 11a ou auront donné des indications inexactes lors de leur déclaration;
Art. 37, al. 1 A moins qu'il ne soit soumis à des dispositions cantonales de protection des données assurant un niveau de protection adéquat, le traitement de données personnelles par des organes cantonaux en exécution du droit fédéral est régi par les dispositions des art. 1 à 11a, 16, 17, 18 à 22 et 25, al. 1 à 3, de la présente loi.
1
II Disposition transitoire Dans le délai d'un an à compter de l'entrée en vigueur de la présente loi, les maîtres de fichier doivent être en mesure d'assurer l'information des personnes concernées au sens de l'art. 4, al. 4, et de l'art. 7a.
III 1
La présente loi est sujette au référendum.
2
Le Conseil fédéral fixe la date de l'entrée en vigueur.
Conseil national, 24 mars 2006
Conseil des Etats, 24 mars 2006
Le président: Claude Janiak Le secrétaire: Ueli Anliker
Le président: Rolf Büttiker Le secrétaire: Christoph Lanz
Date de publication: 4 avril 20068 Délai référendaire: 13 juillet 2006
8
FF 2006 3421
3429
Loi fédérale sur la protection des données
3430