Art. 1 But
La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données.
235.1
du 19 juin 1992 (Etat le 1er mars 2019)
L'Assemblée fédérale de la Confédération suisse,
vu les art. 95, 122 et 173, al. 2, de la Constitution1,2
vu le message du Conseil fédéral du 23 mars 19883,
arrête:
2 Nouvelle teneur selon le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données.
1 La présente loi régit le traitement de données concernant des personnes physiques et morales effectué par:
2 Elle ne s'applique pas:
On entend par:
4 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
5 Abrogée par le ch. I de la LF du 24 mars 2006, avec effet au 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Tout traitement de données doit être licite.6
2 Leur traitement doit être effectué conformément aux principes de la bonne foi et de la proportionnalité.
3 Les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.
4 La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.7
5 Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.8
6 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
7 Introduit par le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
8 Introduit par le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Celui qui traite des données personnelles doit s'assurer qu'elles sont correctes. Il prend toute mesure appropriée permettant d'effacer ou de rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.9
2 Toute personne concernée peut requérir la rectification des données inexactes.
9 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence d'une législation assurant un niveau de protection adéquat.
2 En dépit de l'absence d'une législation assurant un niveau de protection adéquat à l'étranger, des données personnelles peuvent être communiquées à l'étranger, à l'une des conditions suivantes uniquement:
3 Le Préposé fédéral à la protection des données et à la transparence (préposé, art. 26) doit être informé des garanties données visées à l'al. 2, let. a, et des règles de protection des données visées à l'al. 2, let. g. Le Conseil fédéral règle les modalités du devoir d'information.
10 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées.
2 Le Conseil fédéral édicte des dispositions plus détaillées sur les exigences minimales en matière de sécurité des données.
11 Introduit par le ch. I de la LF du 24 mars 2006 (RO 2007 4983; FF 2003 1915). Abrogé par le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, avec effet au 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
1 Toute personne peut demander au maître d'un fichier si des données la concernant sont traitées.
2 Le maître du fichier doit lui communiquer:
3 Le maître du fichier peut communiquer à la personne concernée des données sur sa santé par l'intermédiaire d'un médecin qu'elle a désigné.
4 Le maître du fichier qui fait traiter des données par un tiers demeure tenu de fournir les renseignements demandés. Cette obligation incombe toutefois au tiers, s'il ne révèle pas l'identité du maître du fichier ou si ce dernier n'a pas de domicile en Suisse.
5 Les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme d'imprimé ou de photocopie. Le Conseil fédéral règle les exceptions.
6 Nul ne peut renoncer par avance au droit d'accès.
12 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Le maître du fichier peut refuser ou restreindre la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où:
2 Un organe fédéral peut en outre refuser ou restreindre la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où:
3 Dès que le motif justifiant le refus, la restriction ou l'ajournement disparaît, l'organe fédéral est tenu de communiquer les renseignements demandés, pour autant que cela ne s'avère pas impossible ou ne nécessite pas un travail disproportionné.
4 Un maître de fichier privé peut en outre refuser ou restreindre la communication des renseignements demandés ou en différer l'octroi, dans la mesure où ses intérêts prépondérants l'exigent et à condition qu'il ne communique pas les données personnelles à un tiers.
5 Le maître du fichier doit indiquer le motif pour lequel il refuse de fournir, restreint ou ajourne les renseignements.
13 Nouvelle teneur selon le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
1 Le maître d'un fichier utilisé exclusivement pour la publication dans la partie rédactionnelle d'un média à caractère périodique peut refuser ou restreindre la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où:
2 Les journalistes peuvent en outre refuser ou restreindre la communication des renseignements demandés, voire en différer l'octroi, lorsqu'un fichier leur sert exclusivement d'instrument de travail personnel.
1 Le traitement de données personnelles peut être confié à un tiers pour autant qu'une convention ou la loi le prévoie et que les conditions suivantes soient remplies:
2 Le mandant doit en particulier s'assurer que le tiers garantit la sécurité des données.
3 Le tiers peut faire valoir les mêmes motifs justificatifs que le mandant.
14 Introduit par le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Afin d'améliorer la protection et la sécurité des données, les fournisseurs de systèmes de logiciels et de traitement de données ainsi que les personnes privées ou les organes fédéraux qui traitent des données personnelles peuvent soumettre leurs systèmes, leurs procédures et leur organisation à une évaluation effectuée par des organismes de certification agréés et indépendants.
2 Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
15 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Le préposé tient un registre des fichiers accessible en ligne. Toute personne peut consulter ce registre.
2 Les organes fédéraux sont tenus de déclarer leurs fichiers au préposé pour enregistrement.
3 Les personnes privées sont tenues de déclarer leurs fichiers dans les cas suivants:
4 Les fichiers doivent être déclarés avant d'être opérationnels.
5 Par dérogation aux al. 2 et 3, le maître du fichier n'est pas tenu de déclarer son fichier:
6 Le Conseil fédéral règle les modalités de déclaration des fichiers de même que la tenue et la publication du registre; il précise le rôle et les tâches des conseillers à la protection des données visés à l'al. 5, let. e; il règle la publication d'une liste des maîtres de fichiers qui sont déliés de leur devoir de déclarer leurs fichiers selon l'al. 5, let. e et f.
16 Introduit par le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées.
2 Personne n'est en droit notamment de:
3 En règle générale, il n'y a pas atteinte à la personnalité lorsque la personne concernée a rendu les données accessibles à tout un chacun et ne s'est pas opposée formellement au traitement.
17 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Une atteinte à la personnalité est illicite à moins d'être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.
2 Les intérêts prépondérants de la personne qui traite des données personnelles entrent notamment en considération si:
1 Le maître du fichier a l'obligation d'informer la personne concernée de toute collecte de données sensibles ou de profils de la personnalité la concernant, que la collecte soit effectuée directement auprès d'elle ou auprès d'un tiers.
2 La personne concernée doit au moins recevoir les informations suivantes:
3 Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l'absence d'un enregistrement, lors de la première communication à un tiers.
4 Le maître du fichier est délié de son devoir d'informer si la personne concernée a déjà été informée; il n'est pas non plus tenu d'informer cette dernière dans les cas prévus à l'al. 3:
5 Il peut refuser, restreindre ou différer l'information pour les mêmes motifs que ceux prévus à l'art. 9, al. 1 et 4.
18 Nouvelle teneur selon le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
1 Les actions concernant la protection de la personnalité sont régies par les art. 28, 28a et 28l du code civil20. Le demandeur peut requérir en particulier que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites.21
2 Si ni l'exactitude, ni l'inexactitude d'une donnée personnelle ne peut être établie, le demandeur peut requérir que l'on ajoute à la donnée la mention de son caractère litigieux.
3 Le demandeur peut demander que la rectification ou la destruction des données, l'interdiction de la communication, à des tiers notamment, la mention du caractère litigieux ou la décision soient communiquées à des tiers ou publiées.22
4 Le tribunal statue sur les actions en exécution du droit d'accès selon la procédure simplifiée prévue par le code de procédure civile du 19 décembre 200823.24
19 Nouvelle teneur selon l'annexe ch. II 14 du CPC du 19 déc. 2008, en vigueur depuis le 1er janv. 2011 (RO 2010 1739; FF 2006 6841).
21 Nouvelle teneur selon l'annexe ch. II 14 du CPC du 19 déc. 2008, en vigueur depuis le 1er janv. 2011 (RO 2010 1739; FF 2006 6841).
22 Nouvelle teneur selon l'annexe ch. II 14 du CPC du 19 déc. 2008, en vigueur depuis le 1er janv. 2011 (RO 2010 1739; FF 2006 6841).
24 Nouvelle teneur selon l'annexe ch. II 14 du CPC du 19 déc. 2008, en vigueur depuis le 1er janv. 2011 (RO 2010 1739; FF 2006 6841).
1 Il incombe à l'organe fédéral responsable de pourvoir à la protection des données personnelles qu'il traite ou fait traiter dans l'accomplissement de ses tâches.
2 Lorsqu'un organe fédéral traite des données conjointement avec d'autres organes fédéraux, avec des organes cantonaux ou avec des personnes privées, le Conseil fédéral peut régler de manière spécifique les procédures de contrôle et les responsabilités en matière de protection des données.26
25 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
26 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
2 Des données sensibles ou des profils de la personnalité ne peuvent être traités que si une loi au sens formel le prévoit expressément, ou si exceptionnellement:27
27 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
28 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
29 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Après avoir consulté le préposé, le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traitement automatisé de données sensibles ou de profils de la personnalité:
2 Une phase d'essai peut être considérée comme indispensable pour traiter les données:
3 Le Conseil fédéral règle les modalités du traitement automatisé par voie d'ordonnance.
4 L'organe fédéral responsable transmet, au plus tard deux ans après la mise en œuvre de la phase d'essai, un rapport d'évaluation au Conseil fédéral. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.
5 Le traitement de données automatisé doit être interrompu dans tous les cas si aucune loi au sens formel n'est entrée en vigueur dans un délai de cinq ans à partir de la mise en œuvre de l'essai pilote.
30 Introduit par le ch. I de la LF du 24 mars 2006 (RO 2006 4873; FF 2003 1915, 2006 3421). Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 15 déc. 2006 (RO 2007 4983; FF 2003 1915).
1 L'organe fédéral qui collecte systématiquement des données, notamment au moyen de questionnaires, est tenu de préciser le but et la base juridique du traitement, les catégories de participants au fichier et de destinataires des données.
2 …31
31 Abrogé par le ch. I de la LF du 24 mars 2006, avec effet au 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 L'organe fédéral a l'obligation d'informer la personne concernée de toute collecte de données la concernant, qu'elle soit effectuée directement auprès d'elle ou auprès d'un tiers.
2 La personne concernée doit au moins recevoir les informations suivantes:
3 Si les données ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement ou, en l'absence d'un enregistrement, lors de la première communication à un tiers.
4 L'organe fédéral est délié de son devoir d'informer si la personne concernée a déjà été informée; il n'est pas non plus tenu d'informer cette dernière dans les cas prévus à l'al. 3:
5 Le Conseil fédéral peut limiter le devoir d'informer de l'organe fédéral aux collectes de données sensibles et de profils de la personnalité, si le devoir d'informer porte atteinte à la capacité de concurrence de cet organe.
32 Introduit par le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
1 L'organe fédéral peut refuser, restreindre ou différer l'information pour les mêmes motifs que ceux prévus à l'art. 9, al. 1 et 2.
2 Dès que le motif justifiant le refus, la restriction ou l'ajournement disparaît, l'organe fédéral est tenu par le devoir d'informer, pour autant que cela ne s'avère pas impossible ou ne nécessite pas un travail disproportionné.
33 Introduit par le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
1 Les organes fédéraux ne sont en droit de communiquer des données personnelles que s'il existe une base légale au sens de l'art. 17 ou à l'une des conditions suivantes:34
1bis Les organes fédéraux peuvent communiquer des données personnelles dans le cadre de l'information officielle du public, d'office ou en vertu de la loi du 17 décembre 2004 sur la transparence37 aux conditions suivantes:
2 Les organes fédéraux sont en droit de communiquer, sur demande, le nom, le prénom, l'adresse et la date de naissance d'une personne même si les conditions de l'al. 1 ne sont pas remplies.
3 Les organes fédéraux ne sont en droit de rendre des données personnelles accessibles en ligne que si cela est prévu expressément. Les données sensibles ou les profils de la personnalité ne peuvent être rendus accessibles en ligne que si une loi au sens formel le prévoit expressément.39
3bis Les organes fédéraux peuvent rendre accessibles des données personnelles à tout un chacun au moyen de services d'information et de communication automatisés, lorsqu'une base juridique prévoit la publication de ces données ou lorsque ces organes rendent des informations accessibles au public sur la base de l'al. 1bis. Lorsqu'il n'existe plus d'intérêt public à rendre accessibles ces données, elles doivent être retirées du service d'information et de communication automatisé.40
4 L'organe fédéral refuse la communication, la restreint ou l'assortit de charges, si:
34 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
35 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
36 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
38 Introduit par l'annexe ch. 4 de la LF du 17 déc. 2004 sur la transparence, en vigueur depuis le 1er juil. 2006 (RO 2006 2319; FF 2003 1807).
39 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
40 Introduit par l'annexe ch. 4 de la LF du 17 déc. 2004 sur la transparence, en vigueur depuis le 1er juil. 2006 (RO 2006 2319; FF 2003 1807).
1 La personne concernée qui rend vraisemblable un intérêt légitime peut s'opposer à ce que l'organe fédéral responsable communique des données personnelles déterminées.
2 L'organe fédéral rejette ou lève l'opposition si:
3 L'art. 19, al. 1bis, est réservé.41
41 Introduit par l'annexe ch. 4 de la loi du 17 déc. 2004 sur la transparence, en vigueur depuis le 1er juil. 2006 (RO 2006 2319; FF 2003 1807).
1 Conformément à la loi fédérale du 26 juin 1998 sur l'archivage43, les organes fédéraux proposent aux Archives fédérales de reprendre toutes les données personnelles dont ils n'ont plus besoin en permanence.
2 Les organes fédéraux détruisent les données personnelles que les Archives fédérales ont désignées comme n'ayant pas de valeur archivistique, à moins que celles-ci:
42 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
44 Nouvelle teneur selon le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
1 Les organes fédéraux sont en droit de traiter des données personnelles à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, aux conditions suivantes:
2 Les dispositions suivantes ne sont pas applicables en la matière:
1 Lorsqu'un organe fédéral agit selon le droit privé, le traitement des données personnelles est régi par les dispositions applicables aux personnes privées.
2 Toutefois, la surveillance s'exerce conformément aux règles applicables aux organes fédéraux.
45 Abrogé par l'art. 31 de la LF du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure, avec effet au 1er juil. 1998 (RO 1998 1546; FF 1994 II 1123).
1 Quiconque a un intérêt légitime peut exiger de l'organe fédéral responsable qu'il:
2 Si ni l'exactitude, ni l'inexactitude d'une donnée personnelle ne peut être prouvée, l'organe fédéral doit ajouter à la donnée la mention de son caractère litigieux.
3 Le demandeur peut en particulier demander que l'organe fédéral:
4 La procédure est régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative46. Toutefois, les exceptions prévues aux art. 2 et 3 de cette loi ne sont pas applicables.
5 …47
47 Abrogée par l'annexe ch. 26 de la LF du 17 juin 2005 sur le TAF, avec effet au 1er janv. 2007 (RO 2006 2197 1069; FF 2001 4000).
Tant que l'accès à des documents officiels contenant des données personnelles fait l'objet d'une procédure au sens de la loi du 17 décembre 2004 sur la transparence49, la personne concernée peut, dans le cadre de cette procédure, faire valoir les droits que lui confère l'art. 25 de la présente loi par rapport aux documents qui sont l'objet de la procédure d'accès.
48 Introduit par l'annexe ch. 4 de la loi du 17 déc. 2004 sur la transparence, en vigueur depuis le 1er juil. 2006 (RO 2006 2319; FF 2003 1807).
1 Le préposé est nommé par le Conseil fédéral pour une période de fonction de quatre ans. Sa nomination est soumise à l'approbation de l'Assemblée fédérale.
2 Pour autant que la présente loi n'en dispose pas autrement, les rapports de travail du préposé sont régis par la loi du 24 mars 2000 sur le personnel de la Confédération51.
3 Le préposé exerce ses fonctions de manière indépendante et sans recevoir ni solliciter d'instructions de la part d'une autorité ou d'un tiers.52 Il est rattaché administrativement à la Chancellerie fédérale.
4 Il dispose d'un secrétariat permanent et de son propre budget. Il engage son personnel.
5 Le préposé n'est pas soumis au système d'évaluation prévu à l'art. 4, al. 3, de la loi du 24 mars 2000 sur le personnel de la Confédération.
50 Nouvelle teneur selon le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
52 Nouvelle teneur selon le ch. II 1 de la LF du 28 sept. 2018 mettant en œuvre la directive (UE) 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, en vigueur depuis le 1er mars 2019 (RO 2019 625; FF 2017 6565).
1 Le mandat du préposé peut être renouvelé deux fois.54
1bis La période de fonction est reconduite tacitement, à moins que le Conseil fédéral ne rende, au plus tard six mois avant l'échéance de la période de fonction, une décision fondée sur des motifs objectivement suffisants qui prévoie de ne pas la renouveler.55
2 Le préposé peut demander au Conseil fédéral, en respectant un délai de six mois, de mettre fin à la période de fonction pour la fin d'un mois.
3 Le Conseil fédéral peut révoquer le préposé avant la fin de sa période de fonction:
53 Introduit par le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
54 Nouvelle teneur selon le ch. II 1 de la LF du 28 sept. 2018 mettant en œuvre la directive (UE) 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, en vigueur depuis le 1er mars 2019 (RO 2019 625; FF 2017 6565).
55 Introduit par le ch. II 1 de la LF du 28 sept. 2018 mettant en œuvre la directive (UE) 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, en vigueur depuis le 1er mars 2019 (RO 2019 625; FF 2017 6565).
1 Le préposé ne peut exercer aucune activité accessoire.
2 Le Conseil fédéral peut autoriser le préposé à exercer une activité accessoire, pour autant que l'exercice de sa fonction ainsi que son indépendance et sa réputation n'en soient pas affectés. Sa décision est publiée.
56 Introduit par le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (RO 2010 3387 3418; FF 2009 6091). Nouvelle teneur selon le ch. II 1 de la LF du 28 sept. 2018 mettant en œuvre la directive (UE) 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, en vigueur depuis le 1er mars 2019 (RO 2019 625; FF 2017 6565).
1 Le préposé surveille l'application par les organes fédéraux de la présente loi et des autres dispositions fédérales relatives à la protection des données. Aucune surveillance ne peut être exercée sur le Conseil fédéral.
2 Le préposé établit les faits d'office ou à la demande de tiers.
3 Aux fins d'établir les faits, il peut exiger la production de pièces, demander des renseignements et se faire présenter des traitements. Les organes fédéraux sont tenus de collaborer à l'établissement des faits. Le droit de refuser de témoigner au sens prévu à l'art. 16 de la loi fédérale du 20 décembre 1968 sur la procédure administrative57 s'applique par analogie.
4 S'il apparaît que des prescriptions sur la protection des données ont été violées, le préposé recommande à l'organe fédéral responsable de modifier ou de cesser le traitement. Il informe le département compétent ou la Chancellerie fédérale de sa recommandation.
5 Si une recommandation est rejetée ou n'est pas suivie, il peut porter l'affaire pour décision auprès du département ou de la Chancellerie fédérale. La décision sera communiquée aux personnes concernées.
6 Le préposé a qualité pour recourir contre la décision visée à l'al. 5 et contre celle de l'autorité de recours.58
58 Introduit par le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
Le préposé conseille les personnes privées en matière de protection des données.
1 Le préposé établit les faits d'office ou à la demande de tiers lorsque:
2 Il peut en outre exiger la production de pièces, demander des renseignements et se faire présenter des traitements. Le droit de refuser de témoigner au sens prévu à l'art. 16 de la loi fédérale du 20 décembre 1968 sur la procédure administrative61 s'applique par analogie.
3 Après avoir établi les faits, le préposé peut recommander de modifier ou de cesser le traitement.
4 Si la recommandation du préposé est rejetée ou n'est pas suivie, il peut porter l'affaire devant le Tribunal administratif fédéral pour décision. Il a qualité pour recourir contre cette décision.62
59 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
60 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
62 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Le préposé fait rapport à l'Assemblée fédérale à intervalles réguliers et selon les besoins. Il transmet simultanément son rapport au Conseil fédéral. Les rapports périodiques sont publiés.63
2 S'il en va de l'intérêt général, il peut informer le public de ses constatations et de ses recommandations. Il ne peut porter à la connaissance du public des données soumises au secret de fonction qu'avec le consentement de l'autorité compétente. Si celle-ci ne donne pas son consentement, le président de la cour du Tribunal administratif fédéral qui est compétente en matière de protection des données tranche; sa décision est définitive.64
63 Nouvelle teneur selon le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
64 Nouvelle teneur de la phrase selon l'annexe ch. 26 de la loi du 17 juin 2005 sur le TAF, en vigueur depuis le 1er janv. 2007 (RO 2006 2197 1069; FF 2001 4000).
1 Le préposé a notamment les autres attributions suivantes:
2 Il peut conseiller les organes de l'administration fédérale, même si la présente loi n'est pas applicable en vertu de l'art. 2, al. 2, let. c et d. Les organes de l'administration fédérale peuvent lui donner accès à leurs dossiers.
65 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
66 Introduite par l'annexe ch. 4 de la loi du 17 déc. 2004 sur la transparence (RO 2006 2319; FF 2003 1807). Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
67 Introduite par le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
68 Introduite par le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
70 Introduite par le ch. II 1 de la LF du 28 sept. 2018 mettant en œuvre la directive (UE) 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, en vigueur depuis le 1er mars 2019 (RO 2019 625; FF 2017 6565).
71 Abrogé par l'annexe ch. 1 de la LF du 30 sept. 2011 relative à la recherche sur l'être humain, avec effet au 1er janv. 2014 (RO 2013 3215; FF 2009 7259).
72 Nouvelle teneur selon l'annexe ch. 26 de la LF du 17 juin 2005 sur le TAF, en vigueur depuis le 1er janv. 2007 (RO 2006 2197 1069; FF 2001 4000).
1 Les voies de droit sont régies par les dispositions générales de la procédure fédérale.
2 Si le préposé constate à l'issue de l'enquête qu'il a menée en application de l'art. 27, al. 2, ou de l'art. 29, al. 1, que la personne concernée risque de subir un préjudice difficilement réparable, il peut requérir des mesures provisionnelles du président de la cour du Tribunal administratif fédéral qui est compétente en matière de protection des données. Les art. 79 à 84 de la loi fédérale du 4 décembre 1947 de procédure civile fédérale73 s'appliquent par analogie à la procédure.
1 Sont sur plainte punies de l'amende les personnes privées:
2 Sont punies de l'amende les personnes privées qui intentionnellement:
74 Nouvelle teneur selon l'art. 333 du CP, dans la teneur de la LF du 13 déc. 2002, en vigueur depuis le 1er janv. 2007 (RO 2006 3459; FF 1999 1787).
75 Nouvelle teneur selon le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
1 La personne qui, intentionnellement, aura révélé d'une manière illicite des données personnelles secrètes et sensibles ou des profils de la personnalité portés à sa connaissance dans l'exercice d'une profession qui requiert la connaissance de telles données, est, sur plainte, punie de l'amende.76
2 Est passible de la même peine la personne qui, intentionnellement, aura révélé d'une manière illicite des données personnelles secrètes et sensibles ou des profils de la personnalité portés à sa connaissance dans le cadre des activités qu'elle exerce pour le compte de la personne soumise à l'obligation de garder le secret ou lors de sa formation chez elle.
3 La révélation illicite de données personnelles secrètes et sensibles ou de profils de la personnalité demeure punissable alors même que les rapports de travail ou de formation ont pris fin.
76 Nouvelle teneur selon l'art. 333 du CP, dans la teneur de la LF du 13 déc. 2002, en vigueur depuis le 1er janv. 2007 (RO 2006 3459; FF 1999 1787).
1 Le Conseil fédéral édicte les dispositions d'exécution.
2 …77
3 Il peut prévoir des dérogations aux art. 8 et 9 en ce qui concerne l'octroi de renseignements par les représentations diplomatiques et consulaires suisses à l'étranger.
4 Il peut en outre déterminer:
5 Il peut conclure des traités internationaux en matière de protection des données dans la mesure où ils sont conformes aux principes établis par la présente loi.
6 Il règle la manière de mettre en sûreté les fichiers dont les données, en cas de guerre ou de crise, sont de nature à mettre en danger la vie ou l'intégrité corporelle des personnes concernées.
77 Abrogé par l'art. 25 de la LF du 26 juin 1998 sur l'archivage, avec effet au 1er oct. 1999 (RO 1999 2243; FF 1997 II 829).
1 A moins qu'il ne soit soumis à des dispositions cantonales de protection des données assurant un niveau de protection adéquat, le traitement de données personnelles par des organes cantonaux en exécution du droit fédéral est régi par les dispositions des art. 1 à 11a, 16, 17, 18 à 22 et 25, al. 1 à 3, de la présente loi.78
2 Les cantons désignent un organe chargé de veiller au respect de la protection des données. Les art. 27, 30 et 31 sont applicables par analogie.
78 Nouvelle teneur selon le ch. I de la LF du 24 mars 2006, en vigueur depuis le 1er janv. 2008 (RO 2007 4983; FF 2003 1915).
1 Au plus tard une année après l'entrée en vigueur de la présente loi, les maîtres de fichier doivent déclarer les fichiers existants pour enregistrement, conformément à l'art. 11.
2 Dans le délai d'une année à compter de l'entrée en vigueur de la présente loi, ils doivent prendre les mesures nécessaires pour assurer l'exercice du droit d'accès au sens de l'art. 8.
3 Les organes fédéraux peuvent continuer à utiliser jusqu'au 31 décembre 2000, les fichiers existants qui contiennent des données personnelles sensibles ou des profils de la personnalité, quand bien même les conditions de traitement posées à l'art. 17, al. 2, ne seraient pas réunies.79
4 Pour ce qui concerne le domaine de l'asile et des étrangers, le délai fixé à l'al. 3 est prorogé jusqu'à la date d'entrée en vigueur de la loi du 26 juin 1998 sur l'asile80 totalement révisée ainsi que de la modification de la loi fédérale du 26 mars 1931 sur le séjour et l'établissement des étrangers81.82
79 Nouvelle teneur selon le ch. I de l'AF du 26 juin 1998, en vigueur jusqu'au 31 déc. 2000 (RO 1998 1586; FF 1998 1303 1307).
81 [RS 1 113; RO 1949 225, 1987 1665, 1988 332, 1990 1587 art. 3 al. 2, 1991 362 ch. II 11 1034 ch. III, 1995 146, 1999 1111 2253 2262 annexe ch. 1, 2000 1891 ch. IV 2, 2002 685 ch. I 1 701 ch. I 1 3988 annexe ch. 3, 2003 4557 annexe ch. II 2, 2004 1633 ch. I 1 4655 ch. I 1, 2005 5685 annexe ch. 2, 2006 979 art. 2 ch. 1 1931 art. 18 ch. 1 2197 annexe ch. 3 3459 annexe ch. 1 4745 annexe ch. 1, 2007 359 annexe ch. 1. RO 2007 5437 annexe ch. I]
82 Introduit par le ch. II de l'AF du 20 juin 1997, en vigueur depuis le 1er janv. 1998 (RO 1997 2372, FF 1997 I 825). Les lois mentionnées entrent en vigueur le 1er oct. 1999.
L'ancien droit s'applique à la nomination et à la fin des rapports de travail du préposé jusqu'à la fin de la législature au cours de laquelle la modification du 19 mars 2010 entre en vigueur.
83 Introduit par le ch. 3 de la LF du 19 mars 2010 portant mise en œuvre de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur depuis le 1er déc. 2010 (RO 2010 3387 3418; FF 2009 6091).
Dans le délai d'un an à compter de l'entrée en vigueur de la présente loi, les maîtres de fichier doivent être en mesure d'assurer l'information des personnes concernées au sens de l'art. 4, al. 4, et de l'art. 7a.
…86
86 Les mod. peuvent être consultées au RO 1993 1945.