FF 2003 Volume 10 P. 1967

Loi fédérale sur la protection des données

Projet

(LPD) Modification du

L'Assemblée fédérale de la Confédération suisse, vu le message du Conseil fédéral du 19 février 20031, arrête: I La loi fédérale du 19 juin 1992 sur la protection des données (LPD)2 est modifiée comme suit: Préambule vu les art. 31bis, al. 2, 64, 64bis, et 85, ch. 1, de la constitution3, ...

Art. 2, al. 2, let. e 2

Elle ne s'applique pas: e.

aux données personnelles traitées par les organisations internationales établies sur le territoire de la Confédération et avec lesquelles un accord de siège a été conclu.

Art. 3, let. i, j et k On entend par:

1 2 3

i.

ne concerne que les textes allemand et italien;

j.

loi au sens formel: 1. lois fédérales, 2. résolutions d'organisations internationales contraignantes pour la Suisse et traités de droit international approuvés par l'Assemblée fédérale et comportant des règles de droit.

k.

abrogée

FF 2003 1915 RS 235.1 Ces dispositions correspondent aux art. 95, 122, 123 et 173, al. 2, de la Constitution du 18 avril 1999 (RS 101).

2002-2754

1967

Loi fédérale sur la protection des données (LPD)

Art. 4, al. 1 et al. 4 et 5 (nouveaux) 1 Tout traitement de données personnelles ne peut être entrepris que d'une manière licite.

4 La collecte de données personnelles, et notamment les finalités du traitement, doivent être reconnaissables pour la personne concernée.

5

Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée; lorsqu'il s'agit de données sensibles et de profils de la personnalité, son consentement doit être explicite.

Art. 6

Communication transfrontière de données

1

Aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence d'une législation assurant un niveau de protection adéquat.

2 En dépit de l'absence d'une législation assurant un niveau de protection adéquat à l'étranger, des données personnelles peuvent être communiquées à l'étranger:

a.

si des garanties suffisantes, notamment contractuelles, permettent d'assurer un niveau de protection adéquat à l'étranger;

b.

si la personne concernée a, en l'espèce, donné son consentement;

c.

si le traitement est en relation directe avec la conclusion ou l'exécution d'un contrat et que les données traitées concernent le cocontractant;

d.

si la communication est, en l'espèce, indispensable soit à la sauvegarde d'un intérêt public prépondérant, soit à la constatation, l'exercice ou la défense d'un droit en justice;

e.

si la communication est, en l'espèce, nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée;

f.

si la personne concernée a rendu les données accessibles à tout un chacun et qu'elle ne se soit pas opposée formellement au traitement;

g.

si la communication a lieu entre des personnes morales réunies sous une direction unique et soumises à des règles uniformes sur la protection des données qui garantissent une protection appropriée.

3

Le Préposé fédéral à la protection des données doit être informé des garanties données visées à l'al. 2, let. a, et des règles uniformes de protection des données visées à l'al. 2, let. g. Le Conseil fédéral règle les modalités du devoir d'information.

Art. 7a (nouveau)

Devoir d'informer lors de la collecte de données personnelles sensibles et de profils de la personnalité

1 Le maître du fichier a l'obligation d'informer la personne concernée de toute collecte de données personnelles sensibles ou de profils de la personnalité la concernant, à moins qu'elle n'ait été préalablement informée.

1968

Loi fédérale sur la protection des données (LPD)

2

La personne concernée doit au minimum recevoir les informations suivantes: a.

l'identité du maître du fichier;

b.

les finalités du traitement pour lequel les données sont collectées;

c.

les catégories de destinataires des données si la communication des données est envisagée.

3 Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de l'enregistrement des données ou de leur première communication à un tiers, à moins que cela ne s'avère impossible, ne nécessite des efforts disproportionnés ou que l'enregistrement ou la communication ne soient expressément prévus par la loi.

Art. 7b (nouveau) Devoir d'informer lors de décisions individuelles automatisées La personne concernée doit être expressément informée du fait qu'une décision produisant des effets juridiques à son égard ou l'affectant de manière significative est prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité.

Art. 8, al. 2, let. a 2

Le maître du fichier doit lui communiquer: a.

toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l'origine des données;

Art. 9, titre, al. 1 à 3 et 5 Restriction du devoir d'information et du droit d'accès 1

Le maître du fichier peut refuser ou restreindre l'information visée à l'art. 7a ou la communication des renseignements demandés visée à l'art. 8, voire en différer l'octroi, dans la mesure où: a.

une loi au sens formel le prévoit;

b.

les intérêts prépondérants d'un tiers l'exigent.

2

Un organe fédéral peut en outre refuser ou restreindre l'information ou la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où: a.

un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Confédération, l'exige;

b.

l'information ou la communication des renseignements risque de compromettre une instruction pénale ou une autre procédure d'instruction.

3 Un maître de fichier privé peut en outre refuser ou restreindre l'information ou la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où ses intérêts prépondérants l'exigent et à condition qu'il ne communique pas les données personnelles à des tiers.

1969

Loi fédérale sur la protection des données (LPD)

5 Si l'information ou la communication des renseignements est refusée, restreinte ou différée, elle doit être donnée ultérieurement dès que le motif a disparu et pour autant que cela ne s'avère pas impossible ou ne nécessite pas des efforts disproportionnés.

Art. 10a (nouveau)

Traitement de données par un tiers

1

Le traitement de données personnelles peut être confié à un tiers pour autant qu'une convention ou la loi le prévoie et que les conditions suivantes soient remplies: a.

seuls les traitements que le mandant serait en droit d'effectuer lui-même sont effectués;

b.

aucune obligation légale ou contractuelle de garder le secret ne l'interdit.

2

Le mandant doit en particulier s'assurer que le tiers garantit la sécurité des données.

3

Le tiers peut faire valoir les mêmes motifs justificatifs que le mandant.

Art. 11 (nouveau)

Procédure de certification

1

Afin d'améliorer la protection et la sécurité des données, les fournisseurs de systèmes de traitement de données et de logiciels ainsi que les personnes privées ou les organes fédéraux qui traitent des données personnelles peuvent soumettre leurs systèmes, leurs procédures et leur organisation à une évaluation effectuée par des organismes de certification agréés et indépendants.

2 Le Conseil fédéral édicte des prescriptions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.

Art. 11a (nouveau)

Registre des fichiers

1

Le Préposé fédéral à la protection des données tient un registre des fichiers accessible en ligne. Toute personne peut consulter ce registre.

2

Les organes fédéraux sont tenus de déclarer leurs fichiers au Préposé fédéral à la protection des données pour enregistrement.

3

4

Les personnes privées sont tenues de déclarer leurs fichiers lorsqu'elles: a.

traitent régulièrement des données sensibles ou des profils de la personnalité; ou

b.

communiquent régulièrement des données personnelles à des tiers.

Les fichiers doivent être déclarés avant d'être opérationnels.

1970

Loi fédérale sur la protection des données (LPD)

5 Par dérogation aux al. 2 et 3, le maître du fichier n'est pas tenu de déclarer son fichier:

a.

si les données sont traitées par une personne privée en vertu d'une obligation légale;

b.

si le traitement est désigné par le Conseil fédéral comme n'étant pas susceptible de menacer les droits des personnes concernées;

c.

s'il utilise le fichier exclusivement pour la publication dans la partie rédactionnelle d'un média à caractère périodique et ne communique pas les données à des tiers à l'insu des personnes concernées;

d.

si les données sont traitées par un journaliste qui se sert du fichier comme un instrument de travail personnel;

e.

s'il a désigné un conseiller à la protection des données indépendant chargé d'assurer l'application interne des dispositions relatives à la protection des données et de tenir un inventaire des fichiers;

f.

s'il s'est soumis à une procédure de certification au sens de l'art. 11, a obtenu un label de qualité et a annoncé le résultat de la procédure de certification au Préposé fédéral à la protection des données.

6

Le Conseil fédéral règle les modalités de déclaration des fichiers de même que la tenue et la publication du registre; il précise le rôle et les tâches des conseillers à la protection des données visés à l'al. 5, let. e; il règle la publication d'une liste des maîtres de fichiers qui sont déliés de leur devoir de déclarer leurs fichiers selon l'al. 5, let. f.

Art. 12, al. 2, let. a

2

Personne n'est en droit, sans motif justificatif, notamment de: a.

traiter des données personnelles en violation des principes définis aux art. 4, 5, al. 1, et 7, al. 1;

Art. 14 Abrogé Art. 15, al. 1 et 3 1

Les art. 28 à 28l du code civil4 régissent les actions et les mesures provisionnelles concernant la protection de la personnalité. Le demandeur peut en particulier requérir que le traitement des données, et notamment leur communication à des tiers, soient interdits ou que les données soient rectifiées ou détruites.

3 Le demandeur peut requérir que la rectification ou la destruction des données, l'interdiction du traitement, et plus particulièrement de la communication, la mention du caractère litigieux ou le jugement soient communiqués à des tiers ou publiés.

4

RS 210

1971

Loi fédérale sur la protection des données (LPD)

Art. 15a (nouveau)

Opposition au traitement de données personnelles

1

Si la personne concernée s'oppose au traitement des données la concernant, le maître du fichier le suspend immédiatement, à moins qu'il ne repose sur une obligation légale.

2

S'il accepte l'opposition, le maître du fichier cesse immédiatement tout traitement.

3

S'il rejette l'opposition, le maître du fichier doit faire valoir un motif justificatif au sens de l'art.13, dans un délai de dix jours. S'il ne peut pas suspendre le traitement au motif qu'il repose sur une obligation légale, le maître du fichier en informe la personne concernée sans délai.

4 La conservation et l'archivage des données demeurent autorisés, dans tous les cas, jusqu'à ce que la situation juridique ait été clarifiée.

5 Si la personne concernée ne requiert pas du juge l'interdiction du traitement de données la concernant, leur rectification ou leur destruction (art. 15) dans un délai de dix jours à compter de celui où elle a eu connaissance des motifs justificatifs, son opposition est réputée levée.

6 Le présent article n'est pas applicable à la publication de données dans la partie rédactionnelle d'un média à caractère périodique.

Art. 16, al. 3 et 4 (nouveaux) 3

Celui qui traite des données conjointement avec un organe fédéral est tenu d'autoriser ce dernier à effectuer ou faire exécuter des contrôles. Si le traitement est confié à des tiers, l'organe fédéral peut également effectuer ou faire exécuter des contrôles auprès de ceux-ci.

4 L'organe fédéral responsable peut régler, dans le cadre d'une convention, les modalités de contrôle. Il est tenu de le faire lorsque le traitement des données est effectué par des personnes privées ou à l'étranger.

Art. 17, al. 2, let. b et c 2

Des données sensibles ou des profils de la personnalité ne peuvent être traités que si une loi au sens formel le prévoit expressément, ou si exceptionnellement: b.

le Conseil fédéral l'a autorisé en l'espèce, considérant que les droits des personnes concernées ne sont pas menacés; ou si

c.

la personne concernée y a, en l'espèce, consenti ou a rendu ses données accessibles à tout un chacun et ne s'est pas opposée formellement au traitement.

Art. 17a (nouveau) 1

Traitement de données automatisé dans le cadre d'essais pilotes

Après avoir consulté le Préposé fédéral à la protection des données, le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traitement automatisé de données sensibles ou de profils de la personnalité:

1972

Loi fédérale sur la protection des données (LPD)

a.

si les tâches qui nécessitent ce traitement sont réglées dans une loi au sens formel;

b.

si des mesures appropriées sont prises aux fins de limiter les atteintes à la personnalité; et

c.

si la mise en oeuvre du traitement rend indispensable une phase d'essai avant l'entrée en vigueur de la loi au sens formel.

2 Une phase d'essai peut être considérée comme indispensable pour traiter les données:

a.

si l'accomplissement des tâches nécessite l'introduction d'innovations techniques dont les effets doivent être évalués;

b.

si l'accomplissement des tâches nécessite la prise de mesures organisationnelles importantes dont l'efficacité doit être examinée, notamment dans le cadre d'une collaboration entre les organes fédéraux et les cantons; ou si

c.

le traitement nécessite une communication de données sensibles ou de profils de la personnalité aux autorités cantonales, par le biais d'une procédure d'appel.

3

Le Conseil fédéral règle les modalités du traitement automatisé par voie d'ordonnance.

4 L'organe fédéral responsable transmet, au plus tard deux ans après la mise en oeuvre de la phase d'essai, un rapport d'évaluation au Conseil fédéral. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.

5

Le traitement de données automatisé doit être interrompu dans tous les cas si une base légale formelle n'est pas entrée en vigueur dans un délai de cinq ans à partir de la mise en oeuvre de l'essai pilote.

Art. 18, al. 2 Abrogé Art. 19, al. 1, let. b et c 1

Les organes fédéraux ne sont en droit de communiquer des données personnelles que s'il existe une base juridique au sens de l'art. 17 ou si: b.

la personne concernée y a, en l'espèce, consenti;

c.

la personne concernée a rendu ses données accessibles à tout un chacun et ne s'est pas formellement opposée à la communication; ou si

Art. 21

Proposition des documents aux Archives fédérales

1

Conformément à la loi fédérale du 26 juin 1998 sur l'archivage5, les organes fédéraux proposent aux Archives fédérales de reprendre toutes les données personnelles dont ils n'ont plus besoin en permanence.

5

RS 152.1

1973

Loi fédérale sur la protection des données (LPD)

2

Les organes fédéraux détruisent les données personnelles que les Archives fédérales ont désignées comme n'ayant pas de valeur archivistique, à moins que celles-ci: a.

ne soient rendues anonymes;

b.

ne doivent être conservées à titre de preuve ou par mesure de sûreté.

Art. 26, al. 2 et 3 2

Il s'acquitte de ses tâches de manière autonome et est rattaché administrativement à la Chancellerie fédérale.

3

Il dispose d'un secrétariat permanent et de son propre budget.

Art. 27, al. 6 (nouveau) 6

Le préposé a qualité pour recourir contre les décisions mentionnées à l'al. 5.

Art. 29, al. 1, let. b, c et d (nouvelle) 1

Le préposé établit les faits d'office ou à la demande de tiers lorsque: b.

le traitement porte sur des données sensibles ou des profils de la personnalité;

c.

des données doivent être régulièrement communiquées à des tiers;

d.

il existe un devoir d'information au sens de l'art. 6, al. 3.

Art. 31, al. 1, let. d et let. e et f (nouvelles) 1

Le préposé a notamment les autres attributions suivantes: d.

examiner dans quelle mesure le niveau de protection assuré à l'étranger est adéquat;

e.

examiner les garanties ainsi que les règles de protection des données qui lui ont été annoncées selon l'art. 6, al. 3;

f.

examiner les procédures de certification au sens de l'art. 11 et émettre des recommandations y relatives au sens de l'art. 27, al. 4, ou de l'art. 29, al. 3.

Art. 34, al. 1 et 2, let. a 1

Seront sur plainte punies des arrêts ou de l'amende les personnes privées: a.

qui auront contrevenu à leurs obligations prévues aux art. 7a et 8 à 10, en fournissant intentionnellement des renseignements inexacts ou incomplets;

b.

qui, intentionnellement, auront omis: 1. d'informer la personne concernée, conformément à l'art. 7a, al. 1, ou 7b, ou 2. de lui fournir les indications prévues à l'art. 7a, al. 2, let. a à c.

1974

Loi fédérale sur la protection des données (LPD)

2

Seront punies sur plainte des arrêts ou de l'amende les personnes privées qui intentionnellement: a.

auront omis d'informer le préposé, conformément à l'art. 6, al. 3, de déclarer les fichiers visés à l'art. 11a ou auront donné des indications inexactes lors de leur déclaration;

Art. 37, al. 1 1

A moins qu'il ne soit soumis à des dispositions cantonales de protection des données assurant un niveau de protection adéquat, le traitement de données personnelles par des organes cantonaux en exécution du droit fédéral est régi par les dispositions des art. 1 à 11a, 16, 17, 18 à 22 et 25, al. 1 à 3, de la présente loi.

II Modification du droit en vigueur La loi fédérale du 30 avril 1997 sur la poste6, est modifiée comme suit: Art. 13, al. 1 1

Le traitement de données personnelles par la Poste est soumis aux dispositions des art. 12 à 15a de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)7.

La surveillance s'exerce conformément aux règles applicables aux organes fédéraux (art. 23, 2e al., LPD).

III Disposition transitoire Dans le délai d'un an à compter de l'entrée en vigueur de la présente loi, les maîtres de fichier doivent être en mesure d'assurer l'information des personnes concernées au sens de l'art. 4, al. 4, et des art. 7a et 7b.

IV 1

La présente loi est sujette au référendum.

2

Le Conseil fédéral fixe la date de l'entrée en vigueur.

6 7

RS 783.0 RS 235.1; RO ... (FF 2003 1967)

1975