Les basiques

La dynamique de la numérisation a mené à une certaine focalisation du débat public sur des phénomènes technologiques, pour l’évaluation desquels les connaissances technologiques sont certes utiles, mais s’avèrent généralement insuffisantes sans une compréhension des principes de base de la protection des données. Dans ce con­texte, il nous semble utile de répondre à sept questions de compréhension qui nous ont été fréquemment posées :

Les responsables du traitement des données, qu'ils soient privés ou publics, doivent effectuer une analyse d’impact relative à la protection des données personnelles (AIPD) lorsque le traitement de données personnelles est susceptible d’entraîner un risque potentiellement élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

Les fournisseurs de systèmes ou de logiciels de traitement des données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits et leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants (art. 13, al. 1, LPD).

L’article 11 LPD offre la possibilité aux associations professionnelles, sectorielles et économiques ainsi qu’aux organes fédéraux, de rédiger leur propre code de conduite et de le soumettre au PFPDT afin qu’il prenne position.

La transmission de données personnelles à l’étranger est soumise à des règles spéciales.

Notification de conseillères et conseillers à la protection des données au PFPDT conformément à l'art. 10, al. 3 LPD pour les particuliers et à l'art. 10, al. 4 LPD pour les organes fédéraux.

Le devoir d’informer garantit la transparence des traitements et contribue à renforcer les droits de la personne concernée. En l’absence d’information, celle-ci ne se rend pas forcément compte que ses données personnelles sont traitées et ne peut donc pas faire valoir les droits que la LPD lui accorde. La LPD impose donc au responsable de traitement un devoir d’informer la personne concernée pour tout type de données collectées la concernant, que la collecte soit effectuée auprès d’elle ou non.

Afin de renforcer l’effectivité des obligations qu’elle impose, la LPD contient plusieurs dispositions pénales destinées à en sanctionner la violation.

Conformément à la loi fédérale sur la protection des données (LPD), toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées, et peut – si nécessaire – les faire effacer ou rectifier. Ce droit d'accès permet à chacun de garder le contrôle des données récoltées à son sujet. Il est la clé qui permet à la personne concernée de faire valoir les droits que lui octroie la loi et de garantir la transparence du traitement. Chaque personne doit toutefois agir elle-même pour exercer ce droit.

Pour certaines prestations, le PDPDT peut percevoir des émoluments auprès des responsables du traitement privés.

Le PFPDT surveille l'application des dispositions fédérales en matière de protection des données. Dans ce cadre, il a rédigé un aide-mémoire qui donne un aperçu de l’instrument de l’enquête. Il résume les explications détaillées du PFPDT concernant les art. 49 à 53 LPD.

Vous demeurez responsable de la protection des données même si vous confiez leur traitement à un sous-traitant.

Vous trouverez sur cette page des informations et des instructions importantes concernant l'informatique et la sécurité de l'information.

L’art. 14 de la loi fédérale sur la protection des données (LPD), en vigueur depuis le 1er septembre 2023, régit la représentation des responsables du traitement qui ont leur siège ou leur domicile à l’étranger et qui traitent des données personnelles concernant des personnes en Suisse.