Ordonnance
sur les certifications en matière de protection des données
(OCPD)

¹ Les or­gan­ismes qui ef­fec­tu­ent des cer­ti­fic­a­tions au sens de l’art. 11 LPD (or­gan­ismes de cer­ti­fic­a­tion) doivent être ac­crédités. Leur ac­crédit­a­tion est ré­gie par l’or­don­nance du 17 juin 1996 sur l’ac­crédit­a­tion et la désig­na­tion², sauf dis­pos­i­tion con­traire de la présente or­don­nance.

² Une ac­crédit­a­tion dis­tincte est re­quise pour les cer­ti­fic­a­tions port­ant sur:

a.

l’or­gan­isa­tion et la procé­dure en matière de pro­tec­tion des don­nées;

b.

les produits (produits matéri­els et lo­gi­ciels ou sys­tèmes pour procé­dures auto­mat­isées de traite­ment de don­nées).

³ Les or­gan­ismes de cer­ti­fic­a­tion doivent dis­poser d’une or­gan­isa­tion et d’une procé­dure de cer­ti­fic­a­tion (pro­gramme de con­trôle) déter­minées. Les points suivants doivent not­am­ment être réglés:

a.

les critères d’évalu­ation ou d’es­sai ain­si que les ex­i­gences en dé­coulant que doivent re­specter les or­gan­ismes ou les produits à cer­ti­fi­er (schéma d’éva­lu­ation ou d’es­sai), et

b.

les mod­al­ités du déroul­e­ment de la procé­dure et not­am­ment les mesur­es à pren­dre si des man­que­ments sont con­statés.

⁴ Les ex­i­gences min­i­males con­cernant le pro­gramme de con­trôle sont ré­gies par les normes et les prin­cipes ap­plic­ables selon l’an­nexe 2 de l’or­don­nance du 17 juin 1996 sur l’ac­crédit­a­tion et la désig­na­tion et par les art. 4 à 6.

⁵ Les ex­i­gences min­i­males con­cernant la qual­i­fic­a­tion du per­son­nel qui ex­écute des cer­ti­fic­a­tions sont réglées en an­nexe.

Le Ser­vice d’ac­crédit­a­tion suisse as­socie le Pré­posé fédéral à la pro­tec­tion des don­nées et à la trans­par­ence (le pré­posé) à la procé­dure d’ac­crédit­a­tion et au con­trôle ain­si qu’à la sus­pen­sion et à la ré­voca­tion de l’ac­crédit­a­tion.

¹ Après avoir con­sulté le Ser­vice d’ac­crédit­a­tion suisse, le pré­posé re­con­naît les or­gan­ismes de cer­ti­fic­a­tion étrangers qui veu­lent ex­er­cer des activ­ités sur le ter­ritoire suisse, si ces or­gan­ismes prouvent qu’ils ont une qual­i­fic­a­tion équi­val­ente à celle exigée en Suisse.

² Les or­gan­ismes de cer­ti­fic­a­tion doivent not­am­ment prouver qu’ils re­m­p­lis­sent les ex­i­gences fixées à l’art. 1, al. 3 et 4, et qu’ils con­nais­sent suf­f­is­am­ment la lé­gis­la­tion suisse sur la pro­tec­tion des don­nées.

³ Le pré­posé peut ac­cord­er la re­con­nais­sance pour une durée lim­itée et la sub­or­don­ner à des con­di­tions ou à des charges. Il an­nule la re­con­nais­sance si des con­di­tions ou des charges es­sen­ti­elles ne sont pas re­m­plies.

¹ Peuvent faire l’ob­jet d’une cer­ti­fic­a­tion:

a.

l’en­semble des procé­dures de traite­ment des don­nées pour lesquelles un or­gan­isme est re­spons­able;

b.

des procé­dures de traite­ment déter­minées.

² L’évalu­ation porte sur le sys­tème de ges­tion de la pro­tec­tion des don­nées. Ce derni­er com­prend not­am­ment:

a.

une charte de pro­tec­tion des don­nées;

b.

une doc­u­ment­a­tion con­cernant les ob­jec­tifs et les mesur­es vis­ant à garantir la pro­tec­tion et la sé­cur­ité des don­nées;

c.

les dis­pos­i­tions tech­niques et or­gan­isa­tion­nelles né­ces­saires à la réal­isa­tion des ob­jec­tifs et des mesur­es fixés et en par­ticuli­er des mesur­es vis­ant à éliminer les man­que­ments con­statés.

³ Le pré­posé émet des dir­ect­ives sur les ex­i­gences min­i­males qu’un sys­tème de ges­tion de la pro­tec­tion des don­nées doit re­m­p­lir. Il tient compte des critères inter­na­tionaux per­tin­ents re­latifs à l’in­stall­a­tion, l’ex­ploit­a­tion, la sur­veil­lance et l’amé­li­ora­tion des sys­tèmes de ges­tion, tels qu’ils fig­urent en par­ticuli­er dans les normes tech­niques suivantes³:

a.

SN EN ISO 9001, sys­tèmes de man­age­ment de la qual­ité, ex­i­gences;

b.

SN EN ISO/IEC 27001, tech­no­lo­gies de l’in­form­a­tion, tech­niques de sécu­rité, sys­tème de ges­tion de sé­cur­ité de l’in­form­a­tion, ex­i­gences.⁴

⁴ L’ex­cep­tion à l’ob­lig­a­tion de déclarer prévue à l’art. 11a, al. 5, let. f, LPD ne s’ap­plique que si l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion a ob­tenu cette cer­ti­fic­a­tion pour l’en­semble des procé­dures de traite­ment port­ant sur les don­nées du fichi­er à déclarer.

¹ Peuvent faire l’ob­jet d’une cer­ti­fic­a­tion les produits ser­vant prin­cip­ale­ment au traite­ment de don­nées per­son­nelles ou générant, lors de leur util­isa­tion, des don­nées per­son­nelles con­cernant not­am­ment l’util­isateur.

² L’or­gan­isme de cer­ti­fic­a­tion ex­am­ine not­am­ment si le produit lui-même garantit:

a.

la con­fid­en­ti­al­ité, l’in­té­grité, la dispon­ib­il­ité et l’au­then­ti­cité des don­nées per­son­nelles traitées, au vu des fi­nal­ités du produit ou du sys­tème;

b.

la préven­tion de la généra­tion, de l’en­re­gis­trement ou de tout autre traite­ment de don­nées per­son­nelles inutile au vu des fi­nal­ités du produit;

c.

la trans­par­ence et la re­pro­duct­ib­il­ité des traite­ments auto­mat­isés de don­nées per­son­nelles ef­fec­tués dans le cadre de la fonc­tion­nal­ité du produit définie par le fab­ric­ant;

d.

la mise en place de mesur­es tech­niques per­met­tant à l’util­isateur de re­specter d’autres prin­cipes et ob­lig­a­tions en matière de pro­tec­tion de don­nées.

³ Le pré­posé édicte des dir­ect­ives fix­ant les critères spé­ci­fiques en matière de pro­tec­tion des don­nées qu’un produit doit re­m­p­lir dans le cadre d’une cer­ti­fic­a­tion.⁵

¹ La cer­ti­fic­a­tion est oc­troyée lor­sque la procé­dure de cer­ti­fic­a­tion per­met de con­clure, sur la base des critères d’évalu­ation ou d’es­sai ap­pli­qués par l’or­gan­isme de cer­ti­fic­a­tion, que les ex­i­gences prévues par le droit de la pro­tec­tion des don­nées et celles qui ré­sul­tent de la présente or­don­nance et des dir­ect­ives du pré­posé (art. 4, al. 3, et art. 5, al. 3) ou de toute autre norme équi­val­ente sont re­spectées. L’oc­troi de la cer­ti­fic­a­tion peut être as­sorti de con­di­tions ou de charges.

² La durée de valid­ité de la cer­ti­fic­a­tion d’un sys­tème de ges­tion de la pro­tec­tion des don­nées est de trois ans. Chaque an­née, l’or­gan­isme de cer­ti­fic­a­tion véri­fie som­maire­ment que les con­di­tions de la cer­ti­fic­a­tion sont re­m­plies.

³ La durée de valid­ité de la cer­ti­fic­a­tion d’un produit est de deux ans. Le produit est sou­mis à une nou­velle cer­ti­fic­a­tion si des modi­fic­a­tions es­sen­ti­elles y sont ap­portées.

Après avoir con­sulté le Ser­vice d’ac­crédit­a­tion suisse, le pré­posé re­con­naît les cer­ti­fic­a­tions étrangères, pour autant que le re­spect des ex­i­gences de la lé­gis­la­tion suisse soit garanti.

¹ Si, aux fins d’être délié de son ob­lig­a­tion de déclarer ses fichiers en vertu de l’art. 11a, al. 5, let. f, LPD, l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion com­mu­nique au pré­posé qu’il a ob­tenu une cer­ti­fic­a­tion con­formé­ment à l’art. 4, il lui trans­met, sur de­mande, les doc­u­ments suivants:

a.

le rap­port d’évalu­ation;

b.

les doc­u­ments de cer­ti­fic­a­tion.

² Lor­sque l’or­gan­isme de cer­ti­fic­a­tion con­state, dans le cadre de son activ­ité de sur­veil­lance, des modi­fic­a­tions es­sen­ti­elles con­cernant les con­di­tions de cer­ti­fic­a­tion, not­am­ment en ce qui con­cerne le re­spect des charges ou des con­di­tions, l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion en in­forme le pré­posé.

³ Le pré­posé pub­lie une liste des or­gan­ismes au bénéfice d’une cer­ti­fic­a­tion et qui sont déliés de leur ob­lig­a­tion de déclarer leurs fichiers (art. 28, al. 3, de l’O du 14 juin 1993 re­l­at­ive à la LF sur la pro­tec­tion des don­nées⁶). La liste in­dique not­am­ment la durée de valid­ité de la cer­ti­fic­a­tion.

¹ L’or­gan­isme de cer­ti­fic­a­tion peut sus­pen­dre ou ré­voquer une cer­ti­fic­a­tion, not­am­ment lor­sque, dans le cadre de la véri­fic­a­tion (art. 6, al. 2), il con­state des man­que­ments graves. Il y a man­que­ment grave not­am­ment lor­sque:

a.

les con­di­tions es­sen­ti­elles de la cer­ti­fic­a­tion ne sont plus re­m­plies, ou que

b.

l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion util­ise un cer­ti­ficat de man­ière trompeuse ou ab­us­ive.

² Tout lit­ige con­cernant la sus­pen­sion ou la ré­voca­tion est sou­mis aux dis­pos­i­tions de droit civil ap­plic­ables au rap­port con­trac­tuel li­ant l’or­gan­isme de cer­ti­fic­a­tion à l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion.

³ L’or­gan­isme de cer­ti­fic­a­tion in­forme le pré­posé de la sus­pen­sion ou de la ré­voca­tion, pour autant que la cer­ti­fic­a­tion ait été com­mu­niquée à ce derni­er con­formé­ment à l’art. 8, al. 1.

¹ Le pré­posé in­forme l’or­gan­isme de cer­ti­fic­a­tion si, dans le cadre de son activ­ité de sur­veil­lance au sens de l’art. 27 ou 29 LPD, il con­state des man­que­ments graves auprès d’un or­gan­isme au bénéfice d’une cer­ti­fic­a­tion.

² L’or­gan­isme de cer­ti­fic­a­tion in­vite im­mé­di­ate­ment l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion à re­médi­er, dans un délai de 30 jours à compt­er de la ré­cep­tion de la com­mu­nic­a­tion du pré­posé, aux man­que­ments con­statés.

³ Si l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion ne re­médie pas à la situ­ation dans le délai fixé, l’or­gan­isme de cer­ti­fic­a­tion sus­pend la cer­ti­fic­a­tion. Il ré­voque la cer­ti­fic­a­tion s’il n’ex­iste aucune per­spect­ive d’ob­tenir ou de ré­t­ab­lir une situ­ation con­forme à la loi dans un délai con­ven­able.

⁴ Si l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion ne re­médie pas à la situ­ation dans le délai prévu à l’al. 2 et si l’or­gan­isme de cer­ti­fic­a­tion ne sus­pend ni ne ré­voque la cer­ti­fic­a­tion, le pré­posé émet une re­com­manda­tion au sens de l’art. 27, al. 4, ou 29, al. 3, LPD à l’in­ten­tion de l’or­gan­isme au bénéfice d’une cer­ti­fic­a­tion ou de l’orga­nisme de cer­ti­fic­a­tion con­cerné. Il peut not­am­ment re­com­mand­er à l’or­gan­isme de cer­ti­fic­a­tion de sus­pen­dre ou de ré­voquer la cer­ti­fic­a­tion. S’il ad­resse la re­com­manda­tion à l’or­gan­isme de cer­ti­fic­a­tion, il en in­forme le Ser­vice d’ac­crédit­a­tion suisse.

La présente or­don­nance entre en vi­gueur le 1^er jan­vi­er 2008.