Informations destinées aux organes fédéraux

Le nouveau droit de la protection des données prévoit un certain nombre d’exigences particulières pour les organes fédéraux. Différents documents sont mis à disposition des organes fédéraux afin de donner des indications générales ou spécifiques utiles, notamment lorsqu’il s’agit de préparer des bases légales pour un traitement de données.

© Talaj / Creative #: 1133677917

Documentation générale

Un guide de législation en matière de protection des données présente les conséquences de la nouvelle loi sur la protection des données sur l’élaboration des bases légales. Ce guide contient notamment une "check-list" avec les questions à se poser lors de l’élaboration de bases légales pour permettre le traitement de données personnelles :

Un document d’ordre général présente les principales modifications issues de la nouvelle loi sur la protection des données en vue de l’élaboration des bases légales concernant le traitement des données :

Documentation concernant l’analyse d’impact relative à la protection des données personnelles (AIPD)

Parmi les nouvelles tâches qui incombent, notamment, aux organes fédéraux, on trouve l’obligation de procéder à une analyse d’impact relative à la protection des données personnelles (AIPD) lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour les droits fondamentaux de la personne concernée.

Directives AIPD

Les "Directives du Conseil fédéral concernant l’examen préalable des risques et l’analyse d’impact relative à la protection des données personnelles en cas de traitement de données personnelles par l’administration fédérale" (Directives AIPD), adoptées le 28 juin 2023, règlent l’intégration de la réalisation d’une AIPD dans une procédure normative et prévoient des normes de coordination avec HERMES lorsqu’un projet est réalisé selon cette méthode de gestion. Elles sont entrées en vigueur le 1er septembre 2023, en même temps que les nouvelles normes de protection des données (Loi fédérale sur la protection des données (LPD), du 25 septembre 2020 ; Ordonnance sur la protection des données (OPDo) et Ordonnance sur les certifications en matière de protection des données (OCPD), toutes deux du 31 août 2022).

Ces Directives AIPD s’appliquent aux unités de l’administration fédérale centrale (au sens de l’art. 7 de l’Ordonnance sur l’organisation du gouvernement et de l’administration (OLOGA)).

Les unités de l’administration fédérale décentralisée (au sens de l’art. 7a OLOGA), au même titre que les personnes chargées d’une tâche publique de la Confédération, bien que non soumises aux Directives AIPD, sont tout de même tenues de respecter la loi sur la protection des données, dans la mesure où elles sont considérées comme des organes fédéraux (voir l’art. 5, let. i de la nouvelle LPD qui définit l’organe fédéral comme étant "l’autorité fédérale, le service fédéral ou la personne chargée d’une tâche publique de la Confédération"). Ces différentes entités doivent donc procéder à une AIPD lorsque les conditions de l’art. 22 de la nouvelle LPD sont remplies. Dans cette optique, elles sont libres de recourir aux prescriptions des Directives AIPD. Cela peut être particulièrement utile lorsqu’elles appliquent la méthode de gestion de projets HERMES, puisque ces normes de coordination permettent d’éviter d’effectuer du travail à double. En effet, certains élément d’HERMES font partie intégrante de l’AIPD. En outre, les documents d’accompagnement de l’OFJ (présentés ci-dessous) fournissent des informations pratiques et utiles pour la mise en œuvre de l’AIPD.

De même, les responsables du traitement privés – soumis comme les organes fédéraux à la nouvelle LPD et tenus, lorsque les conditions de la loi sont remplies, de réaliser une AIPD – peuvent aussi utiliser les outils mis à disposition sur ce site s’ils le souhaitent.

Examen préalable des risques

Pour savoir si une AIPD est nécessaire, l’unité de l’administration fédérale responsable doit déterminer si le traitement envisagé peut conduire à un risque élevé pour les droits fondamentaux de la personne concernée, en particulier son droit à l’autodétermination informationnelle et son droit à la sphère privée. On peut admettre qu’il existe un risque élevé lorsque le traitement envisagé pourrait avoir pour effet de restreindre dans une large mesure la liberté de la personne concernée de disposer de ses données personnelles. Pour évaluer le risque, un instrument d’examen préalable des risques a été élaboré par l’Office fédéral de la justice et peut être téléchargé ici :

Cet instrument permet à l’unité de l’administration fédérale responsable de déterminer la nature, l’étendue, les circonstances et la finalité du traitement envisagé, afin d’évaluer le risque pour les droits fondamentaux de la personne concernée.

Les Directives AIPD règlent la coordination de l’examen préalable des risques avec la procédure normative et la réalisation d’un projet selon HERMES :

  • Coordination avec la procédure normative (ch. 4.1 des Directives AIPD) :
     
    En cas de procédure normative, c’est-à-dire si le traitement des données personnelles nécessite la création d’un nouvel acte normatif (loi, ordonnance) ou la modification d’un tel acte, cet instrument d’examen préalable des risques, dûment rempli, devra être joint au dossier de la consultation des offices. S’il y a plusieurs consultations des offices, notamment en raison d’une procédure de consultation externe (art. 3, al. 1 ou 2, Loi sur la consultation, LCo), l’examen préalable des risques doit être effectué avant la première consultation des offices ou, du moins, avant la consultation des offices précédant l’ouverture de la procédure de la consultation. Si l’examen préalable des risques conclut à la nécessité de réaliser une AIPD, ce n'est pas l’instrument d’examen préalable des risques dûment rempli qui est joint au dossier de la consultation des offices, mais ce sont les résultats de l’AIPD qui doivent l’être.
     
  • Coordination avec HERMES (ch. 5.1 des Directives AIPD) :
     
    Si un projet est réalisé selon HERMES, l’examen préalable des risques doit être effectué en même temps que l'analyse des bases légales et l'analyse des besoins de protection. L’examen préalable des risques est effectué avec l'instrument d’examen préalable des risques. A l’avenir, il est prévu que l’examen préalable des risques soit intégré dans l'analyse des besoins de protection, afin d’analyser les risques dus à un traitement de données dans un seul document.

Analyse d’impact relative à la protection des données personnelles (AIPD)

Lorsqu’il existe un risque élevé pour les droits fondamentaux de la personne concernée, l’unité de l’administration fédérale responsable doit procéder à une AIPD. Un guide de mise en œuvre de l’AIPD peut être téléchargé ici :

Ce guide donne des informations utiles relatives à la méthode à appliquer pour réaliser une AIPD, ainsi qu’aux éléments qu’elle doit contenir. Les questions concernant la mise en œuvre et la surveillance de l’AIPD incombent au Préposé fédéral à la protection des données et à la transparence. L’OFJ ne donne pas de conseils en la matière.

Les Directives AIPD règlent la coordination de l’AIPD avec la procédure normative et la réalisation d’un projet selon HERMES :

  • Coordination avec la procédure normative (ch. 4.2 des Directives AIPD) :
     
    En cas de procédure normative, c’est-à-dire si le traitement des données personnelles nécessite la création d’un nouvel acte normatif (loi, ordonnance) ou la modification d’un tel acte, les résultats de l’AIPD doivent être joints au dossier de la consultation des offices. S’il y a plusieurs consultations des offices, notamment en raison d’une procédure de consultation externe (art. 3, al. 1 ou 2, Loi sur la consultation, LCo), l’AIPD doit être effectuée avant la première consultation des offices ou, du moins, avant la consultation des offices précédant l’ouverture de la procédure de la consultation.
     
    Les résultats mentionnent notamment les risques identifiés, les mesures prises et les risques résiduels.
     
    Si le traitement envisagé des données personnelles nécessite une procédure normative et se fait également dans le cadre d’un projet selon HERMES (voir ci-dessous), il est possible de joindre les résultats soit dans le cadre d’un document propre (première option ci-dessous), soit avec un extrait du document élaboré par le NCSC (deuxième option ci-dessous).
     
  • Coordination avec HERMES (ch. 5.2 des Directives AIPD) :
     
    Si un projet est réalisé selon HERMES (sans procédure normative) et que l’examen préalable des risques ou l’analyse des besoins de protection a conclu qu’il existe un risque élevé pour les droits fondamentaux de la personne concernée, cela signifie qu’il existe un besoin de protection accru au sens de l’analyse des besoins de protection selon la procédure de sécurité de l’administration fédérale.
     
    Dans le cadre d’un projet HERMES, l’AIPD peut être documentée de deux manières distinctes :

    • soit au travers de différents documents (ch. 5.2, al. 5, des Directives), à savoir : l’analyse des bases légales, les instruments mis en place en cas de besoin de protection accru (ch. 5.2, al. 3, des Directives) et un document complémentaire présentant les risques qui n’auraient pas été évalués avec les instruments mis en place en cas de besoin de protection accru (ch. 5.2, al. 4, des Directives) ;
       
    • soit dans un seul document, élaboré par le NCSC, qui inclut l’analyse des bases légales, les instruments mis en place en cas de besoin de protection accru, ainsi que les risques qui n’auraient pas été évalués avec les instruments mis en place en cas de besoin de protection accru (ch. 5.2, al. 3, 4 et 5, des Directives).

Dernière modification 03.06.2024

Début de la page