FF 2023 www.fedlex.admin.ch La version électronique signée fait foi
Directives sur les autres critères en matière de protection pour l'évaluation des exigences relatives à la certification des produits, des services et des processus du 31 août 2023
Le Préposé fédéral à la protection des données et à la transparence, vu l'art. 7, al. 2, de l'ordonnance du 31 août 2022 sur les certifications en matière de protection des données (OCPD)1, édicte les directives suivantes:
1. But Les présents directives définissent les autres critères en matière de protection pour l'évaluation des exigences relatives à la certification des produits, des services et des processus, pour que des produits, des services et des processus puissent être certifiés selon l'art. 7 OCPD.
1
Elles visent à mettre en évidence les principes de l'art. 6 LPD et d'autres exigences de la LPD et de l'OLPD.
2
Elles assurent que les produits, services et processus certifiés respectent les exigences de l'art. 7, al. 1, OCPD.
3
2. Objectifs et mesures Lors de l'élaboration du programme de certification, outre les critères des art. 5 et 7 de l'OCPD, les objectifs et mesures2 suivants doivent être réalisés: a.
1 2
licéité (art. 6 al. 1 LPD): 1. motifs justificatifs (art. 31 LPD), 2. base légale (art. 34 et 36 LPD), 3. sous-traitance (art. 9 LPD en lien avec art. 7 OPDo);
RS 235.13 Les objectifs et mesures mentionnés ne sont pas exhaustifs et une organisation est libre de prendre en compte des objectifs ou mesures supplémentaires. Les objectifs et les mesures de ce catalogue doivent être choisis comme partie intégrante du processus lors de la mise en oeuvre du programme de certification.
2023-2422
FF 2023 2000
Directives sur les autres critères en matière de protection pour l'évaluation des exigences relatives à la certification des produits, des services et des processus
FF 2023 2000
b.
transparence: 1. bonne foi (art. 6 al. 2 LPD), 2. reconnaissabilité (art. 6 al. 3 LPD), 3. obligation d'informer (art. 19 21 LPD en lien avec art. 13 OPDo), 4. registre des activités de traitement (art. 12 LPD en lien avec art. 24 OPDo), 5. analyse d'impact relative à la protection des données personnelles (art. 22 LPD en lien avec art. 14 OPDo), 6. annonce des violations de la sécurité des données (art. 24 LPD en lien avec art. 15 OPDo);
c.
proportionnalité: 1. traitement proportionnel (art. 6 al. 2 LPD), 2. Protection des données dès la conception et par défaut (art. 7 LPD);
d.
finalité (art. 6 al. 3 LPD);
e.
exactitude des données (art. 6 al. 5 LPD);
f.
communication de données personnelles à l'étranger (art. 16 LPD en lien avec art. 8 12 OPDo);
g.
sécurité des données (art. 8 LPD en lien avec art. 1 6 OPDo);
h.
droits et procédure: 1. droit d'accès des données concernant une personne (art. 25 LPD en lien avec art. 16 19 OPDo), 2. droit à la remise ou à la transmission des données personnelles (art. 28 LPD en lien avec art. 20 22 OPDo), 3. prétentions et procédures (art. 32 et 41s. LPD).
3. Disposition transitoire Les procédures de certification en cours au moment de l'entrée en vigueur de ces directives sont régies par l'ancien droit. Ces procédures de certification doivent être achevées jusqu'au 1er mars 2024.3
3
2/4
Les autres dispositions transitoires seront publiées par le Service d'accréditation suisse (SAS).
Directives sur les autres critères en matière de protection pour l'évaluation des exigences relatives à la certification des produits, des services et des processus
FF 2023 2000
4. Entrée en vigueur Les présentes directives entrent en vigueur le 1er septembre 2023.
31 août 2023
Le Préposé fédéral à la protection des données et à la transparence: Adrian Lobsiger
3/4
Directives sur les autres critères en matière de protection pour l'évaluation des exigences relatives à la certification des produits, des services et des processus
4/4
FF 2023 2000