Ordonnance relative à la loi fédérale sur la protection des données (OLPD)
| Suite à la révision de la loi sur la protection des données (LPD), l’ordonnance relative à la loi fédérale sur la protection des données (OLPD) doit également être adaptée. La raison principale à la base des modifications est celui de mettre en œuvre la directive (UE) 2016/6803. La loi et l’ordonnance règlent le traitement de données personnelles concernant des personnes physiques effectué par des personnes privées ou des organes fédéraux. Elle ne s’applique toutefois pas aux données qu’une personne physique traite pour son usage exclusivement personnel.Tout traitement de données personnelles doit être licite et respecter les principes de la bonne foi et de la proportionnalité. La collecte de données personnelles doit poursuivre des finalités déterminées et reconnaissables pour la personne concernée. Les données doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement. Celui qui traite des données personnelles doit également s’assurer de l’exactitude des données. Le responsable du traitement et le sous-traitant sont tenus de protéger les données dès la conception et par défaut (privacy by design and by default), et d’assurer la sécurité des données personnelles. En vertu de l’art. 10, les responsables du traitement peuvent nommer un conseiller à la protection des données. Ils doivent également établir un registre des activités de traitement. Le chapitre 3 règle les obligations du responsable du traitement et du sous-traitant. Il précise le devoir d’informer les personnes concernées lors de la collecte de données personnelles. L’art. 21 introduit une nouvelle obligation d’information pour les décisions individuelles automatisées. L’art. 22 introduit l’obligation d’effectuer une analyse d’impact relative à la protection des données personnelles. Le responsable du traitement a en outre l’obligation de consulter préalablement le PFPDT lorsque l’analyse d’impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 23). Enfin, le responsable du traitement doit annoncer au PFPDT les violations de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. La révision totale de la LPD a conduit à la modification de nombreuses lois sectorielles. Plusieurs ordonnances doivent ainsi aussi être modifiées sur la base de la révision de l’OLPD |
 Dates clé : Date limite : 14 octobre 2021 |
| IN-DEPTH : numéro RS concernés: RS 235.11 |
r Rapport explicatif |