Chapitre 1 But, champ d'application et autorité fédérale de surveillance

Art. 1 But

La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement.

Art. 2 Champ d'application à raison de la personne et de la matière

¹ La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:

a.: des personnes privées;
b.: des organes fédéraux.

² Elle ne s'applique pas:

a.: aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b.: aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c.: aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte³ qui jouissent en Suisse de l'immunité de juridiction.

³ Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.

⁴ Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.

³ RS 192.12

Art. 3 Champ d'application territorial

¹ La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.

² Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé⁴. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal⁵.

⁴ RS 291

⁵ RS 311.0

Art. 4 Préposé fédéral à la protection des données et à la transparence

¹ Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.

² Il ne peut exercer aucune surveillance sur:

a.: l'Assemblée fédérale;
b.: le Conseil fédéral;
c.: les tribunaux fédéraux;
d.: le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e.: les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.

Chapitre 2 Dispositions générales

Section 1 Définitions et principes généraux

Art. 5 Définitions

On entend par:

a.

données personnelles: toutes les informations concernant une personne physique identifiée ou identifiable;

b.

personne concernée: la personne physique dont les données personnelles font l'objet d'un traitement;

c.

données personnelles sensibles (données sensibles):

1.: les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
2.: les données sur la santé, la sphère intime ou l'origine raciale ou ethnique,
3.: les données génétiques,
4.: les données biométriques identifiant une personne physique de manière univoque,
5.: les données sur des poursuites ou sanctions pénales et administratives,
6.: les données sur des mesures d'aide sociale;

d.

traitement: toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données;

e.

communication: le fait de transmettre des données personnelles ou de les rendre accessibles;

f.

profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

g.

profilage à risque élevé: tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu'il conduit à un appariement de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique;

h.

violation de la sécurité des données: toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;

i.

organe fédéral: l'autorité fédérale, le service fédéral ou la personne chargée d'une tâche publique de la Confédération;

j.

responsable du traitement: la personne privée ou l'organe fédéral qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles;

k.

sous-traitant: la personne privée ou l'organe fédéral qui traite des données personnelles pour le compte du responsable du traitement.

Art. 6 Principes

¹ Tout traitement de données personnelles doit être licite.

² Il doit être conforme aux principes de la bonne foi et de la proportionnalité.

³ Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités.

⁴ Elles sont détruites ou anonymisées dès qu'elles ne sont plus nécessaires au regard des finalités du traitement.

⁵ Celui qui traite des données personnelles doit s'assurer qu'elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d'effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. Le caractère approprié de la mesure dépend notamment du type de traitement et de son étendue, ainsi que du risque que le traitement des données en question présente pour la personnalité ou les droits fondamentaux des personnes concernées.

⁶ Lorsque le consentement de la personne concernée est requis, celle-ci ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée.

⁷ Le consentement doit être exprès dans les cas suivants:

a.: il s'agit d'un traitement de données sensibles;
b.: il s'agit d'un profilage à risque élevé effectué par une personne privée;
c.: il s'agit d'un profilage effectué par un organe fédéral.

Art. 7 Protection des données dès la conception et par défaut

¹ Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.

² Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées.

³ Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n'en dispose pas autrement.

Art. 8 Sécurité des données

¹ Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.

² Les mesures doivent permettre d'éviter toute violation de la sécurité des données.

³ Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

Art. 9 Sous-traitance

¹ Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:

a.: seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b.: aucune obligation légale ou contractuelle de garder le secret ne l'interdit.

² Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.

³ Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.

⁴ Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.

Art. 10 Conseiller à la protection des données

¹ Les responsables du traitement privés peuvent nommer un conseiller à la protection des données.

² Le conseiller à la protection des données est l'interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il a notamment les tâches suivantes:

a.: former et conseiller le responsable du traitement privé dans le domaine de la protection des données;
b.: concourir à l'application des prescriptions relatives à la protection des données.

³ Les responsables du traitement privés peuvent se prévaloir de l'exception prévue à l'art. 23, al. 4, lorsque les conditions suivantes sont réunies:

a.: le conseiller à la protection des données exerce sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d'instruction de celui-ci;
b.: il n'exerce pas de tâches incompatibles avec ses tâches de conseiller à la protection des données;
c.: il dispose des connaissances professionnelles nécessaires;
d.: le responsable du traitement publie les coordonnées du conseiller à la protection des données et les communique au PFPDT.

⁴ Le Conseil fédéral règle la désignation de conseillers à la protection des données par les organes fédéraux.

Art. 11 Codes de conduite

¹ Les associations professionnelles, sectorielles et économiques, lorsqu'elles sont autorisées de par leurs statuts à défendre les intérêts économiques de leurs membres, de même que les organes fédéraux, peuvent soumettre leur code de conduite au PFPDT.

² Le PFPDT prend position sur les codes de conduite et publie ses prises de position.

Art. 12 Registre des activités de traitement

¹ Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.

² Le registre du responsable du traitement contient au moins les indications suivantes:

a.: l'identité du responsable du traitement;
b.: la finalité du traitement;
c.: une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d.: les catégories de destinataires;
e.: dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f.: dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g.: en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.

³ Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.

⁴ Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.

⁵ Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.

Art. 13 Certification

¹ Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.

² Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.

Section 2 Traitements de données personnelles par des responsables du traitement privés ayant leur siège ou leur domicile à l'étranger

Art. 14 Représentant

¹ Le responsable du traitement privé qui a son siège ou son domicile à l'étranger désigne un représentant en Suisse lorsqu'il traite des données personnelles concernant des personnes en Suisse et que ce traitement remplit les conditions suivantes:

a.: le traitement est en rapport avec l'offre de biens ou de services ou le suivi du comportement de personnes en Suisse;
b.: il s'agit d'un traitement à grande échelle;
c.: il s'agit d'un traitement régulier;
d.: le traitement présente un risque élevé pour la personnalité des personnes concernées.

² Le représentant est le point de contact pour les personnes concernées et le PFPDT.

³ Le responsable du traitement publie le nom et l'adresse de son représentant.

Art. 15 Obligations du représentant

¹ Le représentant tient un registre des activités de traitement du responsable du traitement qui contient les indications mentionnées à l'art. 12, al. 2.

² Il fournit sur demande au PFPDT les indications contenues dans ce registre.

³ Il fournit sur demande à la personne concernée des renseignements concernant l'exercice de ses droits.

Section 3 Communication de données personnelles à l'étranger

Art. 16 Principes

¹ Des données personnelles peuvent être communiquées à l'étranger si le Conseil fédéral a constaté que l'État concerné dispose d'une législation assurant un niveau de protection adéquat ou qu'un organisme international garantit un niveau de protection adéquat.

² En l'absence d'une décision du Conseil fédéral au sens de l'al. 1, des données personnelles peuvent être communiquées à l'étranger si un niveau de protection approprié est garanti par:

a.: un traité international;
b.: les clauses de protection des données d'un contrat entre le responsable du traitement ou le sous-traitant et son cocontractant, préalablement communiquées au PFPDT;
c.: des garanties spécifiques élaborées par l'organe fédéral compétent et préalablement communiquées au PFPDT;
d.: des clauses type de protection des données préalablement approuvées, établies ou reconnues par le PFPDT;
e.: des règles d'entreprise contraignantes préalablement approuvées par le PFPDT ou par une autorité chargée de la protection des données relevant d'un État qui assure un niveau de protection adéquat.

³ Le Conseil fédéral peut prévoir d'autres garanties appropriées au sens de l'al. 2.

Art. 17 Dérogations

¹ En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:

a.

la personne concernée a expressément donné son consentement à la communication;

b.

la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:

1.: entre le responsable du traitement et la personne concernée, ou
2.: entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;

c.

la communication est nécessaire:

1.: à la sauvegarde d'un intérêt public prépondérant, ou
2.: à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;

d.

la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;

e.

la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;

f.

les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.

² Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.

Art. 18 Publication de données personnelles sous forme électronique

La publication de données personnelles au moyen de services d'information et de communication automatisés afin d'informer le public n'est pas assimilée à une communication à l'étranger, même si ces données peuvent être consultées depuis l'étranger.

Chapitre 3 Obligations du responsable du traitement et du sous-traitant

Art. 19 Devoir d'informer lors de la collecte de données personnelles

¹ Le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles, que celle-ci soit effectuée auprès d'elle ou non.

² Lors de la collecte, il communique à la personne concernée les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence des traitements soit garantie; il lui communique au moins:

a.: l'identité et les coordonnées du responsable du traitement;
b.: la finalité du traitement;
c.: le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises.

³ Si les données personnelles ne sont pas collectées auprès de la personne concernée, il communique en outre les catégories de données traitées à cette personne.

⁴ Lorsque des données personnelles sont communiquées à l'étranger, il communique également à la personne concernée le nom de l'État ou de l'organisme international auquel elles sont communiquées et, le cas échéant, les garanties prévues à l'art. 16, al. 2, ou l'application d'une des exceptions prévues à l'art. 17.

⁵ Si les données personnelles ne sont pas collectées auprès de la personne concernée, il communique à cette personne les informations mentionnées aux al. 2 à 4 au plus tard un mois après qu'il a obtenu les données personnelles. S'il communique les données personnelles avant l'échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication.

Art. 20 Exceptions au devoir d'informer et restrictions

¹ Le responsable du traitement est délié du devoir d'information au sens de l'art. 19 si l'une des conditions suivantes est remplie:

a.: la personne concernée dispose déjà des informations correspondantes;
b.: le traitement des données personnelles est prévu par la loi;
c.: le responsable du traitement est une personne privée et il est lié par une obligation légale de garder le secret;
d.: les conditions de l'art. 27 sont remplies.

² Lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, le devoir d'information ne s'applique pas non plus dans les cas suivants:

a.: l'information est impossible à donner;
b.: elle nécessite des efforts disproportionnés.

³ Le responsable du traitement peut restreindre ou différer la communication des informations, ou y renoncer, si l'une des conditions suivantes est remplie:

a.

les intérêts prépondérants d'un tiers l'exigent;

b.

l'information empêche le traitement d'atteindre son but;

c.

lorsque le responsable du traitement est une personne privée et que les conditions suivantes sont remplies:

1.: ses intérêts prépondérants l'exigent,
2.: il ne communique pas les données à un tiers;

d.

lorsque le responsable du traitement est un organe fédéral:

1.: si un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Suisse, l'exige, ou
2.: si la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative.

⁴ Les entreprises appartenant au même groupe ne sont pas considérées comme des tiers au sens de l'al. 3, let. c, ch. 2.

Art. 21 Devoir d'informer en cas de décision individuelle automatisée

¹ Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d'un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l'affecte de manière significative (décision individuelle automatisée).

² Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique.

³ Les al. 1 et 2 ne s'appliquent pas dans les cas suivants:

a.: la décision individuelle automatisée est en relation directe avec la conclusion ou l'exécution d'un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite;
b.: la personne concernée a expressément consenti à ce que la décision soit prise de manière automatisée.

⁴ Si la décision individuelle automatisée émane d'un organe fédéral, ce dernier doit la qualifier comme telle. L'al. 2 ne s'applique pas lorsque la personne concernée ne doit pas être entendue avant la décision conformément à l'art. 30, al. 2, de la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA)⁶ ou en vertu d'une autre loi fédérale.

⁶ RS 172.021

Art. 22 Analyse d'impact relative à la protection des données personnelles

¹ Lorsque le traitement envisagé est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d'impact relative à la protection des données personnelles. S'il envisage d'effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d'impact commune.

² L'existence d'un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l'étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants:

a.: traitement de données sensibles à grande échelle;
b.: surveillance systématique de grandes parties du domaine public.

³ L'analyse d'impact contient une description du traitement envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, ainsi que les mesures prévues pour protéger sa personnalité et ses droits fondamentaux.

⁴ Le responsable du traitement privé est délié de son obligation d'établir une analyse d'impact s'il est tenu d'effectuer le traitement en vertu d'une obligation légale.

⁵ Le responsable du traitement privé peut renoncer à établir une analyse d'impact lorsqu'il recourt à un système, un produit ou un service certifié conformément à l'art. 13 pour l'utilisation prévue ou qu'il respecte un code de conduite au sens de l'art. 11 remplissant les conditions suivantes:

a.: il repose sur une analyse d'impact relative à la protection des données personnelles;
b.: il prévoit des mesures pour protéger la personnalité et les droits fondamentaux de la personne concernée;
c.: il a été soumis au PFPDT.

Art. 23 Consultation préalable du PFPDT

¹ Le responsable du traitement consulte le PFPDT préalablement au traitement lorsque l'analyse d'impact relative à la protection des données révèle que, malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

² Le PFPDT communique au responsable du traitement ses objections concernant le traitement envisagé dans un délai de deux mois. Ce délai peut être prolongé d'un mois lorsqu'il s'agit d'un traitement de données complexe.

³ Si le PFPDT a des objections concernant le traitement envisagé, il propose au responsable du traitement des mesures appropriées.

⁴ Le responsable du traitement privé peut renoncer à consulter le PFPDT s'il a consulté son conseiller à la protection des données au sens de l'art. 10.

Art. 24 Annonce des violations de la sécurité des données

¹ Le responsable du traitement annonce dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

² L'annonce doit indiquer au moins la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées.

³ Le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données.

⁴ Le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l'exige.

⁵ Il peut restreindre l'information de la personne concernée, la différer ou y renoncer, dans les cas suivants:

a.: il existe un motif au sens de l'art. 26, al. 1, let. b, ou 2, let. b, ou un devoir légal de garder le secret qui l'interdit;
b.: l'information est impossible à fournir ou exige des efforts disproportionnés;
c.: l'information de la personne concernée peut être garantie de manière équivalente par une communication publique.

⁶ Une annonce fondée sur le présent article ne peut être utilisée dans le cadre d'une procédure pénale contre la personne tenue d'annoncer qu'avec son consentement.

Chapitre 4 Droits de la personne concernée

Art. 25 Droit d'accès

¹ Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.

² La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:

a.: l'identité et les coordonnées du responsable du traitement;
b.: les données personnelles traitées en tant que telles;
c.: la finalité du traitement;
d.: la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
e.: les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
f.: le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
g.: le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.

³ Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.

⁴ Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.

⁵ Nul ne peut renoncer par avance au droit d'accès.

⁶ Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.

⁷ En règle générale, les renseignements sont fournis dans un délai de 30 jours.

Art. 26 Restrictions au droit d'accès

¹ Le responsable du traitement peut refuser, restreindre ou différer la communication des renseignements dans les cas suivants:

a.: une loi au sens formel le prévoit, notamment pour protéger un secret professionnel;
b.: les intérêts prépondérants d'un tiers l'exigent;
c.: la demande d'accès est manifestement infondée notamment parce qu'elle poursuit un but contraire à la protection des données ou est manifestement procédurière.

² Il est au surplus possible de refuser, de restreindre ou de différer la communication des renseignements dans les cas suivants:

a.

lorsque le responsable du traitement est une personne privée et que les conditions suivantes sont remplies:

1.: ses intérêts prépondérants l'exigent,
2.: il ne communique pas les données à un tiers.

b.

lorsque le responsable du traitement est un organe fédéral:

1.: si un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Suisse, l'exige, ou
2.: si la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative.

³ Les entreprises appartenant au même groupe ne sont pas considérées comme des tiers au sens de l'al. 2, let. a, ch. 2⁷.

⁴ Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la communication des informations.

⁷ Rectifié par la Commission de rédaction de l'Ass. féd. (art. 58, al. 1, LParl; RS 171.10).

Art. 27 Restrictions au droit d'accès applicables aux médias

¹ Lorsque les données personnelles sont traitées exclusivement pour la publication dans la partie rédactionnelle d'un média à caractère périodique, le responsable du traitement peut refuser, restreindre ou différer la communication des renseignements dans l'un des cas suivants:

a.: les données fournissent des indications sur les sources d'information;
b.: un droit de regard sur des projets de publication en résulterait;
c.: la libre formation de l'opinion publique serait compromise.

² Les journalistes peuvent en outre refuser, restreindre ou différer la communication des renseignements lorsque les données personnelles servent exclusivement d'instrument de travail personnel.

Art. 28 Droit à la remise ou à la transmission des données personnelles

¹ La personne concernée peut demander au responsable du traitement qu'il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu'elle lui a communiquées lorsque les conditions suivantes sont réunies:

a.: le responsable du traitement traite les données personnelles de manière automatisée;
b.: les données personnelles sont traitées avec le consentement de la personne concernée ou en relation directe avec la conclusion ou l'exécution d'un contrat entre elle et le responsable du traitement.

² La personne concernée peut en outre demander au responsable du traitement qu'il transmette les données personnelles la concernant à un autre responsable du traitement, pour autant que les conditions de l'al. 1 soient remplies et que cela n'exige pas des efforts disproportionnés.

³ Le responsable du traitement remet ou transmet gratuitement les données personnelles. Le Conseil fédéral peut prévoir des exceptions, notamment si la remise ou la transmission des données personnelles exige des efforts disproportionnés.

Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles

¹ Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.

² Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.

Chapitre 5 Dispositions particulières pour le traitement de données personnelles par des personnes privées

Art. 30 Atteintes à la personnalité

¹ Celui qui traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées.

² Constitue notamment une atteinte à la personnalité le fait de:

a.: traiter des données personnelles en violation des principes définis aux art. 6 et 8;
b.: traiter des données personnelles contre la manifestation expresse de la volonté de la personne concernée;
c.: communiquer à des tiers des données sensibles.

³ En règle générale, il n'y a pas atteinte à la personnalité lorsque la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement.

Art. 31 Motifs justificatifs

¹ Une atteinte à la personnalité est illicite à moins d'être justifiée par le consentement de la personne concernée, par un intérêt privé ou public prépondérant, ou par la loi.

² Les intérêts prépondérants du responsable du traitement entrent notamment en considération dans les cas suivants:

a.

le traitement est en relation directe avec la conclusion ou l'exécution d'un contrat et les données traitées concernent le cocontractant;

b.

le traitement s'inscrit dans un rapport de concurrence économique actuel ou futur avec une autre personne, à condition toutefois qu'aucune donnée personnelle traitée ne soit communiquée à des tiers; ne sont pas considérées comme des tiers au sens de cette disposition les entreprises appartenant au même groupe que le responsable du traitement;

c.

les données personnelles sont traitées dans le but d'évaluer la solvabilité de la personne concernée pour autant que les conditions suivantes soient réunies:

1.: il ne s'agit pas de données sensibles ni d'un profilage à risque élevé,
2.: les données ne sont communiquées à des tiers que s'ils en ont besoin pour conclure ou exécuter un contrat avec la personne concernée,
3.: les données ne datent pas de plus de dix ans,
4.: la personne concernée est majeure;

d.

les données personnelles sont traitées de manière professionnelle exclusivement en vue d'une publication dans la partie rédactionnelle d'un média à caractère périodique ou, si la publication n'a pas lieu, servent exclusivement d'instrument de travail personnel;

e.

les données personnelles sont traitées à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, si les conditions suivantes sont réunies:

1.: le responsable du traitement anonymise les données dès que la finalité du traitement le permet; si une anonymisation est impossible ou exige des efforts disproportionnés, il prend des mesures appropriées afin que les personnes concernées ne puissent pas être identifiées,
2.: s'il s'agit de données sensibles, le responsable du traitement ne les communique à des tiers que sous une forme ne permettant pas d'identifier la personne concernée; si cela n'est pas possible, des mesures doivent être prises qui garantissent que les tiers ne traitent les données qu'à des fins ne se rapportant pas à des personnes,
3.: les résultats sont publiés sous une forme ne permettant pas d'identifier les personnes concernées;

f.

les données personnelles recueillies concernent une personnalité publique et se réfèrent à son activité publique.

Art. 32 Prétentions

¹ La personne concernée peut exiger que des données personnelles inexactes soient rectifiées, sauf si:

a.: la modification est interdite par une disposition légale;
b.: les données sont traitées à des fins archivistiques répondant à un intérêt public.

² Les actions concernant la protection de la personnalité sont régies par les art. 28, 28a et 28g à 28l du code civil⁸. Le demandeur peut requérir en particulier:

a.: l'interdiction d'un traitement déterminé de données personnelles;
b.: l'interdiction d'une communication déterminée de données personnelles à des tiers;
c.: l'effacement ou la destruction de données personnelles.

³ Si l'exactitude ou l'inexactitude d'une donnée personnelle ne peut pas être établie, le demandeur peut requérir que l'on ajoute à la donnée la mention de son caractère litigieux.

⁴ Il peut en outre demander que la rectification, l'effacement ou la destruction des données, l'interdiction du traitement ou de la communication à des tiers, la mention du caractère litigieux ou le jugement soient communiqués à des tiers ou publiés.

⁸ RS 210

Chapitre 6 Dispositions particulières pour le traitement de données personnelles par des organes fédéraux

Art. 33 Contrôle et responsabilité en cas de traitements de données personnelles conjoints

Lorsqu'un organe fédéral traite des données personnelles conjointement avec d'autres organes fédéraux, avec des organes cantonaux ou avec des personnes privées, le Conseil fédéral règle les procédures de contrôle et les responsabilités en matière de protection des données.

Art. 34 Bases légales

¹ Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.

² La base légale doit être prévue dans une loi au sens formel dans les cas suivants:

a.: il s'agit d'un traitement de données sensibles;
b.: il s'agit d'un profilage;
c.: la finalité ou le mode du traitement de données personnelles est susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée.

³ Pour les traitements de données personnelles visés à l'al. 2, let. a et b, une base légale prévue dans une loi au sens matériel suffit si les conditions suivantes sont réunies:

a.: le traitement est indispensable à l'accomplissement d'une tâche définie dans une loi au sens formel;
b.: la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée.

⁴ En dérogation aux al. 1 à 3, les organes fédéraux peuvent traiter des données personnelles si l'une des conditions suivantes est remplie:

a.: le Conseil fédéral a autorisé le traitement, considérant que les droits des personnes concernées ne sont pas menacés;
b.: la personne concernée a consenti au traitement en l'espèce ou a rendu ses données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
c.: le traitement est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable.

Art. 35 Traitement de données personnelles automatisé dans le cadre d'essais pilotes

¹ Le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traitement automatisé de données sensibles ou d'autres traitements au sens de l'art. 34, al. 2, let. b et c, si les conditions suivantes sont réunies:

a.: les tâches qui nécessitent ce traitement sont réglées dans une loi au sens formel déjà en vigueur;
b.: des mesures appropriées sont prises aux fins de réduire au minimum les atteintes aux droits fondamentaux de la personne concernée;
c.: la mise en œuvre du traitement rend indispensable une phase d'essai avant l'entrée en vigueur de la loi au sens formel, en particulier pour des raisons techniques.

² Il consulte au préalable le PFPDT.

³ L'organe fédéral responsable transmet, au plus tard deux ans après la mise en œuvre de l'essai pilote, un rapport d'évaluation au Conseil fédéral. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.

⁴ Le traitement automatisé de données personnelles doit être interrompu dans tous les cas si aucune loi au sens formel prévoyant la base légale nécessaire n'est entrée en vigueur dans un délai de cinq ans à compter de la mise en œuvre de l'essai pilote.

Art. 36 Communication de données personnelles

¹ Les organes fédéraux ne sont en droit de communiquer des données personnelles que si une base légale au sens de l'art. 34, al. 1 à 3, le prévoit.

² En dérogation à l'al. 1, ils peuvent, dans un cas d'espèce, communiquer des données personnelles si l'une des conditions suivantes est remplie:

a.: la communication des données est indispensable à l'accomplissement des tâches légales du responsable du traitement ou du destinataire;
b.: la personne concernée a consenti à la communication des données;
c.: la communication des données est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
d.: la personne concernée a rendu ses données accessibles à tout un chacun et ne s'est pas expressément opposée à la communication;
e.: le destinataire rend vraisemblable que la personne concernée ne refuse son consentement ou ne s'oppose à la communication que dans le but de l'empêcher de se prévaloir de prétentions juridiques ou de faire valoir d'autres intérêts légitimes; à moins que cela ne s'avère impossible ou ne nécessite des efforts disproportionnés, la personne concernée sera auparavant invitée à se prononcer.

³ Les organes fédéraux peuvent en outre communiquer des données personnelles, d'office, dans le cadre de l'information officielle du public, ou en vertu de la loi du 17 décembre 2004 sur la transparence⁹, si les conditions suivantes sont réunies:

a.: les données sont en rapport avec l'accomplissement de tâches publiques;
b.: la communication répond à un intérêt public prépondérant.

⁴ Ils sont en droit de communiquer, sur demande, le nom, le prénom, l'adresse et la date de naissance d'une personne, même si les conditions des al. 1 ou 2 ne sont pas remplies.

⁵ Ils peuvent rendre accessibles des données personnelles à tout un chacun au moyen de services d'information et de communication automatisés lorsqu'une base légale prévoit la publication de ces données ou que ces organes communiquent des données sur la base de l'al. 3. Lorsqu'il n'existe plus d'intérêt public à rendre accessibles ces données, elles doivent être effacées du service d'information et de communication automatisé.

⁶ Ils refusent la communication, la restreignent ou l'assortissent de charges:

a.: si un intérêt public important ou un intérêt digne de protection manifeste de la personne concernée l'exige, ou
b.: si une obligation légale de garder le secret ou une disposition particulière de protection des données l'exige.

⁹ RS 152.3

Art. 37 Opposition à la communication de données personnelles

¹ La personne concernée qui rend vraisemblable un intérêt digne de protection peut s'opposer à ce que l'organe fédéral responsable communique des données personnelles déterminées.

² L'organe fédéral rejette l'opposition si l'une des conditions suivantes est remplie:

a.: il est juridiquement tenu de communiquer les données personnelles;
b.: le défaut de communication risque de compromettre l'accomplissement de ses tâches.

³ L'art. 36, al. 3, est réservé.

Art. 38 Proposition des documents aux Archives fédérales

¹ Conformément à la loi fédérale du 26 juin 1998 sur l'archivage¹⁰, les organes fédéraux proposent aux Archives fédérales de reprendre toutes les données personnelles dont ils n'ont plus besoin en permanence.

² Ils détruisent les données personnelles que les Archives fédérales ont désignées comme n'ayant plus de valeur archivistique, à moins que celles-ci:

a.: ne soient rendues anonymes;
b.: ne doivent être conservées à titre de preuve, par mesure de sûreté ou afin de sauvegarder un intérêt digne de protection de la personne concernée.

¹⁰ RS 152.1

Art. 39 Traitements à des fins ne se rapportant pas à des personnes

¹ Les organes fédéraux sont en droit de traiter des données personnelles à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, si les conditions suivantes sont réunies:

a.: les données sont rendues anonymes dès que la finalité du traitement le permet;
b.: l'organe fédéral ne communique des données sensibles à des personnes privées que sous une forme ne permettant pas d'identifier les personnes concernées;
c.: le destinataire ne communique les données à des tiers qu'avec le consentement de l'organe fédéral qui les lui a transmises;
d.: les résultats du traitement ne sont publiés que sous une forme ne permettant pas d'identifier les personnes concernées.

² Les art. 6, al. 3, 34, al. 2, et 36, al. 1, ne sont pas applicables.

Art. 40 Activités de droit privé exercées par des organes fédéraux

Lorsqu'un organe fédéral agit selon le droit privé, le traitement des données personnelles est régi par les dispositions applicables aux personnes privées.

Art. 41 Prétentions et procédure

¹ Quiconque a un intérêt digne de protection peut exiger de l'organe fédéral responsable:

a.: qu'il s'abstienne de procéder à un traitement illicite;
b.: qu'il supprime les effets d'un traitement illicite;
c.: qu'il constate le caractère illicite du traitement.

² Le demandeur peut en particulier demander que l'organe fédéral:

a.: rectifie les données personnelles, les efface ou les détruise;
b.: publie ou communique à des tiers sa décision, concernant notamment la rectification, l'effacement ou la destruction des données, l'opposition à une communication (art. 37) ou la mention du caractère litigieux des données personnelles (al. 4).

³ Au lieu d'effacer ou de détruire les données personnelles, l'organe fédéral limite le traitement dans les cas suivants:

a.: l'exactitude des données est contestée par la personne concernée et leur exactitude ou inexactitude ne peut pas être établie;
b.: des intérêts prépondérants d'un tiers l'exigent;
c.: un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Suisse, l'exige;
d.: l'effacement ou la destruction des données est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative.

⁴ Si l'exactitude ou l'inexactitude d'une donnée personnelle ne peut pas être établie, il ajoute à la donnée la mention de son caractère litigieux.

⁵ La rectification, l'effacement ou la destruction de données personnelles ne peut pas être exigée pour les fonds gérés par des institutions ouvertes au public telles que les bibliothèques, les établissements d'enseignement, les musées, les archives et les autres institutions patrimoniales publiques. Si le demandeur rend vraisemblable qu'il dispose d'un intérêt prépondérant, il peut exiger que l'institution limite l'accès aux données litigieuses. Les al. 3 et 4 ne s'appliquent pas.

⁶ La procédure est régie par la PA¹¹. Les exceptions prévues aux art. 2 et 3 PA ne sont pas applicables.

¹¹ RS 172.021

Art. 42 Procédure en cas de communication de documents officiels contenant des données personnelles

Tant que l'accès à des documents officiels contenant des données personnelles fait l'objet d'une procédure au sens de la loi du 17 décembre 2004 sur la transparence¹², la personne concernée peut, dans le cadre de cette procédure, faire valoir les droits que lui confère l'art. 41 de la présente loi concernant les documents qui sont l'objet de la procédure d'accès.

¹² RS 152.3

Chapitre 7 Préposé fédéral à la protection des données personnelles et à la transparence

Section 1 Organisation

Art. 43 Élection et statut

¹ L'Assemblée fédérale (Chambres réunies) élit le chef du PFPDT (le préposé).

² Quiconque a le droit de vote en matière fédérale est éligible.

³ Pour autant que la présente loi n'en dispose pas autrement, les rapports de travail du préposé sont régis par la loi du 24 mars 2000 sur le personnel de la Confédération (LPers)¹³. Le préposé est assuré jusqu'à l'âge de 65 ans révolus auprès de la caisse de pensions PUBLICA contre les conséquences économiques de la vieillesse, de l'invalidité et du décès. Sur demande du préposé, la prévoyance vieillesse est maintenue au-delà de l'âge de 65 ans jusqu'à la cessation des rapports de travail mais, au plus tard, jusqu'à la fin de l'année au cours de laquelle le préposé atteint l'âge de 68 ans. Dans ce cas, le PFPDT finance les cotisations d'épargne de l'employeur.¹⁴

^3bis L'Assemblée fédérale édicte par voie d'ordonnance les dispositions d'exécution relatives aux rapports de travail du préposé.¹⁵

⁴ Le préposé exerce ses fonctions de manière indépendante et sans recevoir ni solliciter d'instructions de la part d'une autorité ou d'un tiers. Il est rattaché administrativement à la Chancellerie fédérale.

⁵ Il dispose d'un secrétariat permanent et de son propre budget. Il engage son personnel.

⁶ Il n'est pas soumis au système d'évaluation prévu à l'art. 4, al. 3, LPers.

¹³ RS 172.220.1

¹⁴ 2^e à 4^e phrases introduites par le ch. I de la LF du 17 juin 2022 (Rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence), en vigueur depuis le 1^er sept. 2023 (RO 2023 231; FF 2022 345, 432).

¹⁵ Introduit par le ch. I de la LF du 17 juin 2022 (Rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence), en vigueur depuis le 1^er sept. 2023 (RO 2023 231; FF 2022 345, 432).

Art. 44 Durée, renouvellement et fin des rapports de fonction

¹ La période de fonction du préposé est de quatre ans et peut être renouvelée deux fois. Elle débute le 1^er janvier suivant le début de la législature du Conseil national.

² Le préposé peut résilier ses rapports de travail pour la fin de chaque mois moyennant un délai de congé de six mois. La Commission judiciaire peut, dans des cas particuliers, accorder au préposé un délai de congé plus court lorsqu'aucun intérêt essentiel ne s'y oppose.¹⁶

³ L'Assemblée fédérale (Chambres réunies) peut révoquer le préposé avant la fin de sa période de fonction:

a.: s'il a violé gravement ses devoirs de fonction de manière intentionnelle ou par négligence grave;
b.: s'il a durablement perdu la capacité d'exercer sa fonction.

¹⁶ Nouvelle teneur selon le ch. I de la LF du 17 juin 2022 (Rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence), en vigueur depuis le 1^er sept. 2023 (RO 2023 231; FF 2022 345, 432).

Art. 44a¹⁷ Avertissement

La Commission judiciaire peut adresser un avertissement au préposé si elle constate qu'il a violé ses devoirs de fonction.

¹⁷ Introduit par le ch. I de la LF du 17 juin 2022 (Rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence), en vigueur depuis le 1^er sept. 2023 (RO 2023 231; FF 2022 345, 432).

Art. 45 Budget

Le PFPDT remet chaque année, par l'intermédiaire de la Chancellerie fédérale, son projet de budget au Conseil fédéral. Celui-ci le transmet tel quel à l'Assemblée fédérale.

Art. 46 Incompatibilité

Le préposé ne peut pas être membre de l'Assemblée fédérale ou du Conseil fédéral ni exercer aucune autre fonction au service de la Confédération.

Art. 47 Activité accessoire

¹ Le préposé ne peut exercer aucune activité accessoire.

² La Commission judiciaire peut autoriser le préposé à exercer une activité accessoire, pour autant que l'exercice de la fonction ainsi que l'indépendance et la réputation du PFPDT n'en soient pas affectés.¹⁸ Sa décision est publiée.

¹⁸ Nouvelle teneur selon le ch. I de la LF du 17 juin 2022 (Rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence), en vigueur depuis le 1^er sept. 2023 (RO 2023 231; FF 2022 345, 432).

Art. 47a¹⁹ Récusation

Si la récusation du préposé est contestée, le président de la cour du Tribunal administratif fédéral compétente en matière de protection des données statue.

¹⁹ Introduit par le ch. I de la LF du 17 juin 2022 (Rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence), en vigueur depuis le 1^er sept. 2023 (RO 2023 231; FF 2022 345, 432).

Art. 48 Autocontrôle du PFPDT

Le PFPDT s'assure, par des mesures de contrôle appropriées portant notamment sur la sécurité des données personnelles, du respect et de la bonne application des dispositions fédérales de protection des données en son sein.

Section 2 Enquêtes concernant des violations des prescriptions de protection des données

Art. 49 Enquête

¹ Le PFPDT ouvre d'office ou sur dénonciation une enquête contre un organe fédéral ou une personne privée si des indices suffisants font penser qu'un traitement de données pourrait être contraire à des dispositions de protection des données.

² Il peut renoncer à ouvrir une enquête lorsque la violation des prescriptions de protection des données est de peu d'importance.

³ L'organe fédéral ou la personne privée fournit au PFPDT tous les renseignements et les documents qui lui sont nécessaires pour l'enquête. Le droit de refuser de fournir des renseignements est régi par les art. 16 et 17 PA²⁰, pour autant que l'art. 50, al. 2, de la présente loi n'en dispose pas autrement.

⁴ Si la personne concernée est l'auteur de la dénonciation, le PFPDT l'informe des suites données à celle-ci et du résultat d'une éventuelle enquête.

²⁰ RS 172.021

Art. 50 Pouvoirs

¹ Lorsque l'organe fédéral ou la personne privée ne respecte pas son obligation de collaborer, le PFPDT peut dans le cadre de la procédure d'enquête ordonner notamment:

a.: l'accès à tous les renseignements, documents, registres des activités de traitement et données personnelles nécessaires pour l'enquête;
b.: l'accès aux locaux et aux installations;
c.: l'audition de témoins;
d.: des expertises.

² Le secret professionnel demeure réservé.

³ Pour l'exécution des mesures prévues à l'al. 1, le PFPDT peut faire appel à d'autres autorités fédérales ainsi qu'aux organes de police cantonaux et communaux.

Art. 51 Mesures administratives

¹ Si des dispositions de protection des données sont violées, le PFPDT peut ordonner la modification, la suspension ou la cessation de tout ou partie du traitement ainsi que l'effacement ou la destruction de tout ou partie des données personnelles.

² Il peut suspendre ou interdire la communication de données personnelles à l'étranger si elle est contraire aux conditions des art. 16 ou 17 ou à des dispositions d'autres lois fédérales concernant la communications de données personnelles à l'étranger.

³ Il peut notamment ordonner à l'organe fédéral ou à la personne privée:

a.: de lui fournir les informations prévues aux art. 16, al. 2, let. b et c, et 17, al. 2;
b.: de prendre les mesures prévues aux art. 7 et 8;
c.: d'informer les personnes concernées conformément aux art. 19 et 21;
d.: d'établir une analyse d'impact relative à la protection des données personnelles conformément à l'art. 22;
e.: de le consulter conformément à l'art. 23;
f.: de l'informer et, le cas échéant, d'informer les personnes concernées, conformément à l'art. 24;
g.: de communiquer à la personne concernée les renseignements visés à l'art. 25.

⁴ Il peut également ordonner au responsable du traitement privé ayant son siège ou son domicile à l'étranger de désigner un représentant conformément à l'art. 14.

⁵ Lorsque l'organe fédéral ou la personne privée a pris, durant l'enquête, les mesures nécessaires au rétablissement d'une situation conforme aux prescriptions de protection des données, le PFPDT peut se limiter à prononcer un avertissement.

Art. 52 Procédure

¹ La procédure d'enquête et les décisions relatives aux mesures visées aux art. 50 et 51 sont régies par la PA²¹.

² Seuls l'organe fédéral ou la personne privée contre lesquels une enquête a été ouverte ont qualité de partie.

³ Le PFPDT a qualité pour recourir contre les décisions sur recours du Tribunal administratif fédéral.

²¹ RS 172.021

Art. 53 Coordination

¹ L'autorité administrative fédérale qui surveille une personne privée ou une organisation extérieure à l'administration fédérale en vertu d'une autre loi fédérale donne au PFPDT la possibilité de se prononcer lorsqu'elle doit rendre une décision qui touche à des questions de protection des données.

² Si le PFPDT mène une enquête contre la même partie, les deux autorités doivent coordonner leurs procédures.

Section 3 Assistance administrative

Art. 54 Assistance administrative en Suisse

¹ Les autorités fédérales et cantonales communiquent au PFPDT les informations et les données personnelles nécessaires à l'accomplissement de ses tâches légales.

² Le PFPDT communique les informations et les données personnelles nécessaires à l'accomplissement de leurs tâches légales:

a.: aux autorités chargées de la protection des données en Suisse;
b.: aux autorités de poursuite pénale compétentes, lorsqu'il s'agit de dénoncer une infraction conformément à l'art. 65, al. 2;
c.: aux autorités fédérales ainsi qu'aux organes de police cantonaux et communaux, pour l'exécution des mesures prévues aux art. 50, al. 3, et 51.

Art. 55 Assistance administrative avec des autorités étrangères

¹ Le PFPDT peut échanger des informations ou des données personnelles avec des autorités étrangères chargées de la protection des données personnelles pour l'accomplissement de leurs tâches légales respectives en matière de protection des données, pour autant que les conditions suivantes soient réunies:

a.: la réciprocité en matière d'assistance administrative est garantie;
b.: les informations et les données personnelles échangées ne sont utilisées que dans le cadre de la procédure liée à la protection des données personnelles qui a donné lieu à la demande d'assistance administrative;
c.: l'autorité destinataire s'engage à ne pas divulguer les secrets professionnels, d'affaires ou de fabrication;
d.: les informations et les données personnelles ne sont communiquées à des tiers qu'avec l'accord préalable de l'autorité qui les a transmises;
e.: l'autorité destinataire s'engage à respecter les charges et les restrictions d'utilisation exigées par l'autorité qui lui a transmis les informations et les données personnelles.

² Pour motiver sa demande d'assistance administrative ou pour donner suite à une demande d'assistance administrative de l'autorité requérante, le PFPDT peut communiquer notamment les indications suivantes:

a.

l'identité du responsable du traitement, du sous-traitant ou de tout autre tiers participant au traitement;

b.

les catégories de personnes concernées;

c.

l'identité des personnes concernées lorsque:

1.: celles-ci ont donné leur consentement, ou que
2.: la communication de l'identité des personnes concernées est indispensable à l'accomplissement des tâches légales du PFPDT ou de l'autorité étrangère;

d.

les données personnelles ou les catégories de données personnelles traitées;

e.

la finalité du traitement;

f.

les destinataires ou les catégories de destinataires;

g.

les mesures techniques et organisationnelles.

³ Avant de transmettre à une autorité étrangère des informations susceptibles de contenir des secrets professionnels, de fabrication ou d'affaires, il informe les personnes physiques ou morales détentrices de ces secrets et les invite à prendre position, à moins que cela ne s'avère impossible ou ne nécessite des efforts disproportionnés.

Section 4 Autres tâches du PFPDT

Art. 56 Registre

Le PFPDT tient un registre des activités de traitement des organes fédéraux. Ce registre est publié.

Art. 57 Information

¹ Le PFPDT remet annuellement un rapport sur son activité à l'Assemblée fédérale. Il transmet simultanément ce rapport au Conseil fédéral. Le rapport est publié.

² S'il en va de l'intérêt général, le PFPDT informe le public de ses constatations et de ses décisions.

Art. 58 Autres tâches

¹ Le PFPDT a notamment les autres tâches suivantes:

a.: informer, former et conseiller les organes fédéraux et les personnes privées dans le domaine de la protection des données;
b.: assister les organes cantonaux et collaborer avec les autorités chargées de la protection des données en Suisse et à l'étranger;
c.: sensibiliser le public, en particulier les personnes vulnérables, à la protection des données personnelles;
d.: fournir sur demande à la personne concernée des informations sur l'exercice de ses droits;
e.: se prononcer sur les projets d'actes législatifs fédéraux et de mesures fédérales impliquant des traitements de données;
f.: assumer les tâches qui lui sont conférées par la loi du 17 décembre 2004 sur la transparence²² ou par d'autres lois fédérales;
g.: élaborer des outils valant recommandations de bonne pratique à l'attention des responsables du traitement, des sous-traitants et des personnes concernées; ce faisant, il tient compte des particularités des différents secteurs, ainsi que du besoin de protection des personnes vulnérables.

² Il peut conseiller les organes fédéraux, même s'ils ne sont pas soumis à sa surveillance en vertu des art. 2 et 4. Les organes fédéraux peuvent lui donner accès à leurs dossiers.

³ Il est autorisé à remettre aux autorités étrangères chargées de la protection des données une déclaration indiquant que, dans le domaine de la protection des données, la Suisse autorise la notification directe sur son territoire si la réciprocité lui est accordée.

²² RS 152.3

Section 5 Émoluments

Art. 59

¹ Le PFPDT perçoit des émoluments auprès des personnes privées pour les prestations suivantes:

a.: la prise de position concernant les codes de conduite visés à l'art. 11, al. 2;
b.: l'approbation des clauses type de protection des données et des règles d'entreprise contraignantes selon l'art. 16, al. 2, let. d et e;
c.: la consultation préalable dans le cadre de l'analyse d'impact relative à la protection des données selon l'art. 23, al. 2;
d.: les mesures provisionnelles et les mesures prononcées en vertu de l'art. 51;
e.: les conseils en matière de protection des données visés à l'art. 58, al. 1, let. a.

² Le Conseil fédéral fixe le montant des émoluments.

³ Il peut déterminer les cas dans lesquels il est possible de renoncer à percevoir un émolument ou de le réduire.

Chapitre 8 Dispositions pénales

Art. 60 Violation des obligations d'informer, de renseigner et de collaborer

¹ Sont, sur plainte, punies d'une amende de 250 000 francs au plus les personnes privées qui:

a.

contreviennent aux obligations prévues aux art. 19, 21 et 25 à 27 en fournissant intentionnellement des renseignements inexacts ou incomplets;

b.

omettent intentionnellement:

1.: d'informer la personne concernée conformément aux art. 19, al. 1, et 21, al. 1,
2.: de lui fournir les informations prévues à l'art. 19, al. 2.

² Sont punies d'une amende de 250 000 francs au plus les personnes privées qui, dans le cadre d'une enquête, en violation de l'art. 49, al. 3, fournissent intentionnellement au PFPDT des renseignements inexacts ou refusent intentionnellement de collaborer.

Art. 61 Violation des devoirs de diligence

Sont, sur plainte, punies d'une amende de 250 000 francs au plus les personnes privées qui, intentionnellement:

a.: communiquent des données personnelles à l'étranger en violation de l'art. 16, al. 1 et 2, et sans que les conditions de l'art. 17 soient remplies;
b.: confient le traitement de données personnelles à un sous-traitant sans que les conditions de l'art. 9, al. 1 et 2, soient remplies;
c.: ne respectent pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral selon l'art. 8, al. 3.

Art. 62 Violation du devoir de discrétion

¹ Est, sur plainte, puni d'une amende de 250 000 francs au plus quiconque révèle intentionnellement des données personnelles secrètes portées à sa connaissance dans l'exercice d'une profession qui requiert la connaissance de telles données.

² Est passible de la même peine quiconque révèle intentionnellement des données personnelles secrètes portées à sa connaissance dans le cadre des activités qu'il exerce pour le compte d'une personne soumise à l'obligation de garder le secret ou lors de sa formation chez elle.

³ La révélation de données personnelles secrètes demeure punissable alors même que l'exercice de la profession ou la formation ont pris fin.

Art. 63 Insoumission à une décision

Sont punies d'une amende de 250 000 francs au plus les personnes privées qui, intentionnellement, ne se conforment pas à une décision du PFPDT ou d'une autorité de recours, à elles signifiée sous la menace de la peine prévue au présent article.

Art. 64 Infractions commises dans une entreprise

¹ Les art. 6 et 7 de la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA)²³ sont applicables aux infractions commises dans une entreprise.

² Lorsque l'amende entrant en ligne de compte ne dépasse pas 50 000 francs et que l'enquête rendrait nécessaires à l'égard des personnes punissables selon l'art. 6 DPA des mesures d'instruction hors de proportion avec la peine encourue, l'autorité peut renoncer à poursuivre ces personnes et condamner l'entreprise (art. 7 DPA) au paiement de l'amende à leur place.

²³ RS 313.0

Art. 65 Compétence

¹ La poursuite et le jugement des infractions incombent aux cantons.

² Le PFPDT peut dénoncer des infractions aux autorités de poursuite pénale compétentes et faire valoir les droits d'une partie plaignante dans la procédure.

Art. 66 Prescription de l'action pénale

L'action pénale se prescrit par cinq ans.

Chapitre 9 Conclusion de traités internationaux

Art. 67

Le Conseil fédéral peut conclure des traités internationaux concernant:

a.: la coopération internationale entre autorités chargées de la protection des données;
b.: la reconnaissance réciproque d'un niveau de protection adéquat pour la communication de données personnelles à l'étranger.

Chapitre 10 Dispositions finales

Art. 68 Abrogation et modification d'autres actes

L'abrogation et la modification d'autres actes sont réglées dans l'annexe 1.

Art. 69 Disposition transitoire concernant les traitements en cours

Les art. 7, 22 et 23 ne sont pas applicables aux traitements qui ont débuté avant l'entrée en vigueur de la présente loi, pour autant que les finalités du traitement restent inchangées et que de nouvelles données ne soient pas collectées.

Art. 70 Disposition transitoire concernant les procédures en cours

La présente loi ne s'applique ni aux enquêtes du PFPDT pendantes au moment de son entrée en vigueur ni aux recours pendants contre les décisions de première instance rendues avant son entrée en vigueur. Dans ces affaires, l'ancien droit s'applique.

Art. 71 Disposition transitoire concernant les données concernant des personnes morales

Pour les organes fédéraux, les dispositions d'autres actes de droit fédéral qui font référence à des données personnelles continuent de s'appliquer au traitement des données concernant des personnes morales pendant les cinq ans suivant l'entrée en vigueur de la présente loi. Pendant ce délai, les organes fédéraux peuvent en particulier continuer à communiquer des données concernant des personnes morales selon l'art. 57s, al. 1 et 2, de la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration²⁴ s'il existe une base légale permettant de communiquer des données personnelles.

²⁴ RS 172.010

Art. 72 Disposition transitoire relative à l'élection et à la fin des rapports de travail du préposé

¹ L'ancien droit s'applique à l'élection et à la fin des rapports de travail du préposé jusqu'à la fin de la législature au cours de laquelle la présente loi entre en vigueur.

² Si, lors de la première élection du préposé par l'Assemblée fédérale (Chambres réunies), l'ancien titulaire du poste est élu, le nouveau mandat du préposé commence le jour suivant l'élection.²⁵

²⁵ Introduit par le ch. I de la LF du 17 juin 2022 (Rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence), en vigueur depuis le 1^er sept. 2023 (RO 2023 231; FF 2022 345, 432).

Date de l'entrée en vigueur: 1^er septembre 2023²⁷

²⁷ ACF du 31 août 2022

²⁸ [RO 1993 1945; 1997 2372 ch. II; 1998 1546 art. 31, 1586; 1999 2243 art. 25; 2006 2197 annexe ch. 26, 2319 annexe ch. 4; 2007 4983; 2010 1739 annexe 1 ch. II 14, 3387 ch. 3; 2013 3215 annexe ch. 1; 2019 625 ch. II 1]

²⁹ [RO 2019 639]

³⁰ Les mod. peuvent être consultées au RO 2022 491.

³¹ Les disp. de coordination peuvent être consultées au RO 2022 491.

Loi fédéralesur la protection des données

(LPD)

Loi fédérale
sur la protection des données