Ordonnance sur les certifications en matière de protection des données (OCPD)
Bei grossen Gesetzen wie OR und ZGB kann dies bis zu 30 Sekunden dauern
Section 1 Organismes de certification |
Art. 1 Exigences
1 Les organismes qui effectuent des certifications au sens de l’art. 13 LPD (organismes de certification) doivent être accrédités. Leur accréditation est régie par l’ordonnance du 17 juin 1996 sur l’accréditation et la désignation (OAccD)2, sauf disposition contraire de la présente ordonnance. 2 Une accréditation distincte est requise pour les certifications portant sur:
3 Les organismes de certification doivent disposer d’une organisation et d’une procédure de certification (programme de certification) déterminées. 4 Les exigences minimales concernant la qualification du personnel qui exécute des certifications sont réglées en annexe. Les organismes de certification doivent prouver qu’ils disposent de personnel qualifié selon ces critères. |
Art. 3 Organismes de certification étrangers
1 Les organismes de certification étrangers qui veulent exercer des activités sur le territoire suisse doivent prouver qu’ils disposent d’une qualification équivalente, qu’ils remplissent les exigences fixées à l’art. 1, al. 3 et 4, et qu’ils connaissent suffisamment la législation suisse sur la protection des données. 2 Le PFPDT reconnaît un organisme de certification étranger après avoir consulté le SAS. 3 Il peut accorder la reconnaissance pour une durée limitée et la subordonner à des charges. 4 Il annule la reconnaissance si les conditions ou les charges ne sont plus remplies. |
Section 2 Objets et procédure de certification |
Art. 4 Objets de la certification
1 Peuvent faire l’objet d’une certification:
2 La certification des systèmes de gestion peut porter sur l’ensemble du système, sur certaines parties de l’organisation ou sur certaines procédures déterminées. 3 La certification des produits, des services et des processus peut porter sur:
|
Art. 5 Exigences relatives au programme de certification
1 Le programme de certification doit au moins régler:
2 Lors de l’élaboration du programme de certification, il doit être tenu compte des points suivants:
3 Les critères d’évaluation doivent respecter tous les principes de l’art. 6 LPD. 4 Le programme de certification doit respecter les normes applicables selon l’annexe 2 de l’OAccD3, ainsi que d’autres normes techniques applicables. |
Art. 6 Exigences relatives à la certification de systèmes de gestion
1 L’évaluation du système de gestion porte notamment sur:
2 Le PFPDT émet des directives sur les exigences minimales qu’un système de gestion doit remplir. Il tient compte des critères internationaux relatifs à l’installation, à l’exploitation, à la surveillance et à l’amélioration de tels systèmes et en particulier des normes techniques suivantes4:
4 Les normes peuvent être consultées gratuitement ou obtenues contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404Winterthour, www.snv.ch. |
Art. 7 Exigences relatives à la certification des produits, des services et des processus
1 L’évaluation des produits, des services et des processus permet notamment de garantir:
2 Le PFPDT émet des directives fixant d’autres critères en matière de protection des données dont il doit être tenu compte lors de l’évaluation. |
Art. 8 Octroi et durée de validité de la certification
1 L’organisme de certification certifie le système de gestion, le produit, le service ou le processus si les exigences prévues par le droit de la protection des données et les conditions prévues par la présente ordonnance, par les directives émises par le PFPDT ou par toute autre norme équivalente sont respectées. L’octroi de la certification peut être assorti de charges. 2 La durée de validité de la certification est de trois ans. Chaque année, l’organisme de certification vérifie que les conditions de la certification sont remplies. |
Art. 10 Exemption de l’obligation d’établir une analyse d’impact relative à la protection des données personnelles
Le responsable du traitement privé ne peut renoncer à établir une analyse d’impact relative à la protection des données personnelles, conformément à l’art. 22, al. 5 LPD, que si la certification inclut le traitement pour lequel il y aurait lieu de procéder à l’analyse d’impact. |
Section 4 Dispositions finales |
Art. 13 Abrogation d’un autre acte
L’ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données5 est abrogée. |
Annexe |
(art. 1, al. 4) |
Exigences minimales concernant les qualifications du personnel |
1 Certification des systèmes de gestion |
Le personnel qui certifie les systèmes de gestion, pris dans son ensemble, possède les qualifications suivantes:
L’organisme de certification doit disposer d’un personnel qualifié pour chacun des domaines qu’il couvre. L’évaluation des systèmes de gestion par une équipe interdisciplinaire est autorisée. 6 Les normes peuvent être consultées gratuitement ou obtenues contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404Winterthour, www.snv.ch. |
2 Certification des produits, des services et des processus |
Le personnel qui certifie les produits, les services ou les processus, pris dans son ensemble, possède les qualifications suivantes:
L’organisme de certification doit disposer d’un personnel qualifié pour chacun des domaines qu’il couvre. L’évaluation des produits, des services et des processus par une équipe interdisciplinaire est autorisée. 7 La norme peut être consultée gratuitement ou obtenue contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404Winterthour, www.snv.ch. |
Notiz entfernen
Sind Sie sicher?