¹ La présente loi règle le traitement de données personnelles effectué par les organes fédéraux à des fins de prévention, d'élucidation et de poursuites d'infractions ou d'exécution de sanctions pénales, y compris à des fins de protection contre les menaces pour la sécurité publique et de prévention de telles menaces:

a.

dans le cadre de l'application de l'acquis de Schengen;

b.

dans le cadre de l'application d'accords internationaux conclus avec l'Union européenne ou avec des Etats qui sont liés à la Suisse par l'un des accords d'association à Schengen (Etats Schengen) et qui renvoient à la directive (UE) 2016/680 pour ce qui est de la protection des données.

² Les accords d'association à Schengen sont mentionnés en annexe.

¹ La présente loi ne s'applique pas aux droits des personnes concernées dans le cadre de procédures pendantes devant des tribunaux fédéraux ou dans le cadre de procédures pendantes régies par le code de procédure pénale⁵ ou par la loi du 20 mars 1981 sur l'entraide pénale internationale⁶; ceux-ci sont régis par le droit de procédure applicable.

² A défaut de disposition spéciale prévue par la présente loi, la loi fédérale du 19 juin 1992 sur la protection des données (LPD)⁷ s'applique; l'applicabilité d'autres lois fédérales est réservée.

¹ On entend par:

a.

données sensibles:

1.

les données sur les opinions ou les activités religieuses, philosophiques ou politiques,

2.

les données sur la santé, la sphère intime ou l'origine raciale ou ethnique,

3.

les données génétiques,

4.

les données biométriques identifiant une personne physique de façon unique,

5.

les données sur des mesures d'aide sociale,

6.

les données sur des poursuites ou sanctions pénales et administratives;

b.

profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne;

c.

violation de la sécurité des données: toute violation de la sécurité, sans égard au fait qu'elle soit intentionnelle ou illicite, entraînant la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;

d.

décision individuelle automatisée: toute décision prise exclusivement sur la base d'un traitement de données personnelles automatisé, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l'affecte de manière significative;

e.

sous-traitant: la personne privée ou l'organe fédéral qui traite des données personnelles pour le compte de l'organe fédéral responsable.

² Au demeurant, les définitions de l'art. 3 LPD⁸ s'appliquent.

¹ Tout traitement de données personnelles doit être licite.

² Il doit être effectué conformément aux principes de la bonne foi et de la proportionnalité.

³ Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités.

⁴ Elles sont détruites ou anonymisées dès qu'elles ne sont plus nécessaires au regard des finalités du traitement.

⁵ Celui qui traite des données personnelles doit s'assurer qu'elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d'effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.

¹ Les organes fédéraux sont tenus de mettre en place, dès la conception du traitement, des mesures techniques et organisationnelles afin que celui-ci respecte les prescriptions de protection des données et en particulier les principes fixés à l'art. 4.

² Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement, de son étendue, ainsi que du risque que le traitement des données en question présente pour les droits fondamentaux des personnes concernées.

³ Les organes fédéraux sont tenus, par le biais de préréglages appropriés, de garantir que le traitement soit limité au minimum requis par la finalité poursuivie.

¹ Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.

² Une base légale fixée dans une loi au sens formel est nécessaire lorsqu'il s'agit:

a.

du traitement de données sensibles;

b.

du traitement de profils de la personnalité;

c.

d'un profilage;

d.

d'un mode de traitement de données personnelles susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée.

³ En dérogation aux al. 1 et 2, les organes fédéraux peuvent traiter des données personnelles si l'une des conditions suivantes est remplie:

a.

le traitement de données personnelles est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers;

b.

la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement.

¹ Les organes fédéraux ne sont en droit de communiquer des données personnelles que si une base légale au sens de l'art. 6, al. 1 et 2 le prévoit.

² En dérogation à l'al. 1, les organes fédéraux peuvent, dans un cas d'espèce, communiquer des données personnelles si l'une des conditions suivantes est remplie:

a.

la communication des données est indispensable à l'accomplissement des tâches légales de l'organe fédéral responsable ou du destinataire;

b.

la communication de données personnelles est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers;

c.

la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément à la communication.

³ L'art. 19, al. 1^bis à 4, LPD⁹ s'applique au demeurant.

¹ La communication de données personnelles aux autorités compétentes des Etats Schengen ne doit pas être soumise à des règles de protection des données personnelles plus strictes que celles prévues pour la communication aux autorités pénales suisses.

² La communication de données personnelles à un Etat tiers ou à un organisme international est régie par les dispositions spéciales des lois fédérales applicables.

¹ Il incombe à l'organe fédéral responsable de pourvoir à la protection des données personnelles qu'il traite ou fait traiter dans l'accomplissement de ses tâches.

² Lorsqu'un organe fédéral traite des données personnelles conjointement avec d'autres organes fédéraux, avec des organes cantonaux ou avec des personnes privées, le Conseil fédéral règle les procédures de contrôle et les responsabilités en matière de protection des données.

¹ Un traitement de données personnelles peut être confié à un sous-traitant pour autant que les conditions de l'art. 10a LPD¹⁰ soient remplies.

² Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable écrite de l'organe fédéral.

¹ L'organe fédéral informe la personne concernée de toute décision individuelle automatisée (art. 3, al. 1, let. d) prise à son égard; il qualifie cette décision comme telle.

² Si la personne concernée le demande, l'organe fédéral lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la procédure appliquée lui soit communiquée et que la décision soit revue par une personne physique.

³ L'al. 2 ne s'applique pas lorsque la personne concernée dispose d'une voie de droit contre la décision.

¹ Les organes fédéraux et les sous-traitants tiennent un registre des activités de traitement.

² Les registres des organes fédéraux contiennent au moins les indications suivantes:

a.

le nom de l'organe fédéral;

b.

la finalité du traitement;

c.

une description des catégories des personnes concernées et des catégories des données personnelles traitées;

d.

les catégories des destinataires;

e.

la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour déterminer la durée de conservation;

f.

dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données au sens de l'art. 7 LPD¹¹;

g.

l'Etat tiers ou l'organisme international auquel des données personnelles sont communiquées ainsi que les garanties de protection des données personnelles prévues.

³ Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et de l'organe fédéral, les catégories de traitements effectués pour le compte de celui-ci ainsi que les indications prévues à l'al. 2, let. f.

¹ Lorsque le traitement envisagé est susceptible d'entraîner un risque élevé pour les droits fondamentaux de la personne concernée, l'organe fédéral procède au préalable à une analyse d'impact relative à la protection des données personnelles. S'il envisage d'effectuer plusieurs opérations de traitements semblables, il peut établir une analyse d'impact commune.

² L'existence d'un risque élevé dépend, en particulier lors de l'utilisation de nouvelles technologies, de la nature, de l'étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants:

a.

le traitement de données sensibles ou de profils de la personnalité à grande échelle;

b.

le profilage.

³ L'analyse d'impact contient une description du traitement envisagé, une évaluation des risques pour les droits fondamentaux de la personne concernée, ainsi que les mesures prévues pour protéger ces droits fondamentaux.

¹ L'organe fédéral consulte le Préposé fédéral à la protection des données et à la transparence (préposé) préalablement au traitement lorsque l'analyse d'impact relative à la protection des données révèle que le traitement présenterait un risque élevé pour les droits fondamentaux de la personne concernée si l'organe fédéral ne prenait pas de mesures pour atténuer ce risque.

² Le préposé communique à l'organe fédéral ses objections concernant le traitement envisagé dans un délai de deux mois. Ce délai peut être prolongé d'un mois, lorsqu'il s'agit d'un traitement de données complexe.

³ Si le préposé a des objections concernant le traitement envisagé, il propose à l'organe fédéral des mesures appropriées.

¹ L'organe fédéral annonce dans les meilleurs délais au préposé les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour les droits fondamentaux de la personne concernée.

² L'annonce doit au moins indiquer la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées pour y remédier.

³ Le sous-traitant annonce dans les meilleurs délais à l'organe fédéral tout cas de violation de la sécurité des données.

⁴ L'organe fédéral informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le préposé l'exige.

⁵ Il peut restreindre l'information de la personne concernée, la différer ou y renoncer, dans les cas suivants:

a.

les intérêts prépondérants d'un tiers l'exigent;

b.

un intérêt public prépondérant, en particulier le maintien de la sûreté intérieure ou extérieure de la Suisse, l'exige;

c.

l'information de la personne concernée est susceptible de compromettre une enquête, une instruction ou une procédure administrative ou judiciaire;

d.

le devoir d'informer est impossible à respecter ou nécessite des efforts disproportionnés;

e.

l'information de la personne concernée est garantie de manière équivalente par une communication publique.

¹ Les organes fédéraux désignent un conseiller à la protection des données. Ils peuvent désigner un conseiller commun.

² Le conseiller à la protection des données doit remplir les conditions suivantes:

a.

il dispose des connaissances professionnelles nécessaires;

b.

il n'exerce pas d'activités incompatibles avec ses tâches de conseiller à la protection des données.

³ Le conseiller à la protection des données exerce notamment les tâches suivantes:

a.

il conseille les organes fédéraux;

b.

il promeut l'information et la formation des collaborateurs;

c.

il concourt à l'application des prescriptions relatives à la protection des données et propose des mesures s'il apparaît que des prescriptions relatives à la protection des données ont été violées.

¹ Le droit d'accès de la personne concernée est régi par l'art. 8 LPD¹². En outre, l'organe fédéral communique à la personne concernée:

a.

les informations qui lui sont nécessaires pour qu'elle puisse faire valoir ses droits en vertu de la présente loi;

b.

des informations concernant la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour déterminer cette durée.

² Les dispositions spéciales d'autres lois fédérales sont réservées.

¹ La restriction du droit d'accès est régie par l'art. 9, al. 1 à 3 et 5, LPD¹³. En outre, l'organe fédéral peut refuser, restreindre ou différer la communication des renseignements lorsque la demande d'accès est manifestement infondée ou procédurière.

² Les dispositions spéciales d'autres lois fédérales sont réservées.

¹ Quiconque a un intérêt légitime peut exiger de l'organe fédéral responsable:

a.

qu'il s'abstienne de procéder à un traitement illicite;

b.

qu'il supprime les effets d'un traitement illicite;

c.

qu'il constate le caractère illicite d'un traitement.

² Le demandeur peut en particulier exiger que l'organe fédéral:

a.

rectifie les données personnelles, les efface ou les détruise;

b.

publie ou communique à des tiers sa décision concernant notamment la rectification, l'effacement ou la destruction des données, l'opposition à une communication selon l'art. 20 LPD¹⁴ ou la mention du caractère litigieux des données personnelles prévue à l'al. 4.

³ Au lieu d'effacer ou de détruire les données personnelles, l'organe fédéral limite le traitement dans les cas suivants:

a.

l'exactitude des données est contestée par la personne concernée et leur exactitude ou inexactitude ne peut pas être établie;

b.

des intérêts prépondérants d'un tiers l'exigent;

c.

un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Suisse, l'exige;

d.

l'effacement ou la destruction des données est susceptible de compromettre une enquête, une instruction ou une procédure administrative ou judiciaire.

⁴ Si l'exactitude ou l'inexactitude d'une donnée personnelle ne peut pas être établie, il ajoute à la donnée la mention de son caractère litigieux.

⁵ La procédure est régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA)¹⁵. Les exceptions prévues aux art. 2 et 3 de ladite loi ne sont pas applicables.

⁶ Les dispositions spéciales d'autres lois fédérales sont réservées.

Tant que l'accès à des documents officiels contenant des données personnelles fait l'objet d'une procédure au sens de la loi du 17 décembre 2004 sur la transparence¹⁶, la personne concernée peut, dans le cadre de cette procédure, faire valoir les droits que lui confère l'art. 19 de la présente loi par rapport aux documents qui sont l'objet de la procédure d'accès.

¹ Le préposé est chargé de surveiller l'application des dispositions fédérales relatives à la protection des données.

² Il ne peut exercer aucune surveillance sur:

a.

les tribunaux fédéraux;

b.

le Ministère public de la Confédération en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;

c.

les autorités fédérales en ce qui concerne le traitement de données personnelles dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.

¹ Le préposé ouvre d'office ou sur dénonciation une enquête contre l'organe fédéral ou le sous-traitant si des indices font penser qu'un traitement de données personnelles pourrait être contraire à des dispositions de protection des données.

² Il peut renoncer à ouvrir une enquête lorsque la violation des prescriptions de protection des données est de peu d'importance.

³ L'organe fédéral ou le sous-traitant fournit au préposé tous les renseignements et les documents qui lui sont nécessaires pour l'enquête. Le droit de refuser de fournir des renseignements est régi par les art. 16 et 17 PA¹⁷.

⁴ Si la personne concernée est l'auteur de la dénonciation, le préposé l'informe des suites données à celle-ci et du résultat d'une éventuelle enquête.

¹ Lorsque l'organe fédéral ou le sous-traitant ne respecte pas son obligation de collaborer, le préposé peut, dans le cadre de la procédure d'enquête, ordonner notamment:

a.

l'accès à tous les renseignements, documents, registres des activités et données personnelles nécessaires pour l'enquête;

b.

l'accès aux locaux et aux installations;

c.

l'audition de témoins;

d.

des expertises.

² Il peut également ordonner des mesures provisionnelles pour la durée de l'enquête.

¹ Si des dispositions de protection des données sont violées, le préposé peut ordonner la mise en conformité, la suspension ou la cessation de tout ou partie du traitement ainsi que l'effacement ou la destruction de tout ou partie des données personnelles.

² Il peut suspendre ou interdire la communication de données personnelles à l'étranger si elle est contraire aux dispositions légales applicables en matière de communication de données personnelles à un Etat tiers ou à un organisme international.

³ Lorsque l'organe fédéral ou le sous-traitant a pris, durant l'enquête, les mesures nécessaires au rétablissement d'une situation conforme aux prescriptions de protection des données, le préposé peut se limiter à prononcer un avertissement.

¹ La procédure d'enquête et les décisions concernant les mesures visées aux art. 23 et 24 sont régies par la PA¹⁸.

² Sous réserve de l'art. 349h du code pénal¹⁹, seul l'organe fédéral ou le sous-traitant contre qui une enquête a été ouverte a qualité de partie.

³ Le préposé a qualité pour recourir contre les décisions sur recours du Tribunal administratif fédéral.

¹ Le préposé peut échanger des informations ou des données personnelles avec une autorité d'un Etat Schengen chargée de la protection des données personnelles pour l'accomplissement de leurs tâches légales respectives en matière de protection des données, pour autant que les conditions suivantes soient réunies:

a.

la réciprocité en matière d'assistance administrative est garantie;

b.

les informations et les données personnelles échangées ne sont utilisées que dans le cadre de la procédure liée à la protection des données personnelles à la base de la demande d'assistance administrative;

c.

l'autorité destinataire s'engage à ne pas divulguer les secrets professionnels, d'affaires ou de fabrication;

d.

les informations et les données personnelles ne sont communiquées à des tiers qu'avec l'accord préalable de l'autorité qui les a transmises;

e.

l'autorité destinataire s'engage à respecter les charges et les restrictions d'utilisation exigées par l'autorité qui lui a transmis les informations et les données personnelles.

² Pour motiver sa demande d'assistance administrative ou pour donner suite à une demande d'assistance administrative de l'autorité requérante, il peut communiquer notamment les indications suivantes:

a.

le nom de l'organe fédéral responsable, du sous-traitant ou de tout autre tiers participant au traitement;

b.

les catégories de personnes concernées;

c.

l'identité des personnes concernées lorsque sa communication est indispensable à l'accomplissement des tâches légales du préposé ou d'une autorité d'un Etat Schengen chargée de la protection des données;

d.

les données personnelles ou les catégories de données personnelles traitées;

e.

les finalités des traitements;

f.

les destinataires ou les catégories de destinataires;

g.

les mesures techniques et organisationnelles.

³ Avant de transmettre à une autorité d'un Etat Schengen chargée de la protection des données des informations susceptibles de contenir des secrets professionnels, de fabrication ou d'affaires, il informe les personnes détentrices de ces secrets et les invite à prendre position, à moins que cela ne s'avère impossible ou ne nécessite des efforts disproportionnés.

La présente loi ne s'applique ni aux enquêtes du préposé pendantes au moment de son entrée en vigueur ni aux recours pendants contre les décisions de première instance rendues avant son entrée en vigueur. Dans ces cas, l'ancien droit s'applique.

Date de l'entrée en vigueur: 1^er mars 2019²⁰