Ordonnance
sur les certifications en matière de protection des données
(OCPD)

¹ Les or­gan­ismes qui ef­fec­tu­ent des cer­ti­fic­a­tions au sens de l’art. 13 LPD (or­gan­ismes de cer­ti­fic­a­tion) doivent être ac­crédités. Leur ac­crédit­a­tion est ré­gie par l’or­don­nance du 17 juin 1996 sur l’ac­crédit­a­tion et la désig­na­tion (OAc­cD)², sauf dis­pos­i­tion con­traire de la présente or­don­nance.

² Une ac­crédit­a­tion dis­tincte est re­quise pour les cer­ti­fic­a­tions port­ant sur:

a.

l’or­gan­isa­tion et les procé­dures (sys­tèmes de ges­tion) en li­en avec le traite­ment des don­nées;

b.

les produits, not­am­ment les sys­tèmes et pro­grammes de traite­ment des don­nées et les produits matéri­els, ain­si que les ser­vices et les pro­ces­sus en li­en avec le traite­ment des don­nées.

³ Les or­gan­ismes de cer­ti­fic­a­tion doivent dis­poser d’une or­gan­isa­tion et d’une procé­dure de cer­ti­fic­a­tion (pro­gramme de cer­ti­fic­a­tion) déter­minées.

⁴ Les ex­i­gences min­i­males con­cernant la qual­i­fic­a­tion du per­son­nel qui ex­écute des cer­ti­fic­a­tions sont réglées en an­nexe. Les or­gan­ismes de cer­ti­fic­a­tion doivent prouver qu’ils dis­posent de per­son­nel qual­i­fié selon ces critères.

Le Ser­vice d’ac­crédit­a­tion suisse (SAS) as­socie le Pré­posé fédéral à la pro­tec­tion des don­nées et à la trans­par­ence (PFP­DT) à la procé­dure d’ac­crédit­a­tion et au con­trôle ain­si qu’à la sus­pen­sion et à la ré­voca­tion de l’ac­crédit­a­tion.

¹ Les or­gan­ismes de cer­ti­fic­a­tion étrangers qui veu­lent ex­er­cer des activ­ités sur le ter­ritoire suisse doivent prouver qu’ils dis­posent d’une qual­i­fic­a­tion équi­val­ente, qu’ils re­m­p­lis­sent les ex­i­gences fixées à l’art. 1, al. 3 et 4, et qu’ils con­nais­sent suf­f­is­am­ment la lé­gis­la­tion suisse sur la pro­tec­tion des don­nées.

² Le PFP­DT re­con­naît un or­gan­isme de cer­ti­fic­a­tion étranger après avoir con­sulté le SAS.

³ Il peut ac­cord­er la re­con­nais­sance pour une durée lim­itée et la sub­or­don­ner à des charges.

⁴ Il an­nule la re­con­nais­sance si les con­di­tions ou les charges ne sont plus re­m­plies.

¹ Peuvent faire l’ob­jet d’une cer­ti­fic­a­tion:

a.

les sys­tèmes de ges­tion;

b.

les produits, les ser­vices et les pro­ces­sus.

² La cer­ti­fic­a­tion des sys­tèmes de ges­tion peut port­er sur l’en­semble du sys­tème, sur cer­taines parties de l’or­gan­isa­tion ou sur cer­taines procé­dures déter­minées.

³ La cer­ti­fic­a­tion des produits, des ser­vices et des pro­ces­sus peut port­er sur:

a.

les produits ser­vant prin­cip­ale­ment au traite­ment de don­nées per­son­nelles ou générant, lors de leur util­isa­tion, des don­nées per­son­nelles;

b.

les ser­vices ou les pro­ces­sus ser­vant prin­cip­ale­ment au traite­ment de don­nées per­son­nelles ou générant des don­nées per­son­nelles.

¹ Le pro­gramme de cer­ti­fic­a­tion doit au moins ré­gler:

a.

les critères d’évalu­ation ain­si que les ex­i­gences en dé­coulant que doivent re­specter les ob­jets à cer­ti­fi­er;

b.

les mod­al­ités du déroul­e­ment de la procé­dure, not­am­ment les mesur­es à pren­dre si des ir­régu­lar­ités sont con­statées.

² Lors de l’élab­or­a­tion du pro­gramme de cer­ti­fic­a­tion, il doit être tenu compte des points suivants:

a.

les don­nées per­son­nelles à traiter;

b.

les in­fra­struc­tures élec­tro­niques util­isées pour le traite­ment des don­nées per­son­nelles;

c.

les mesur­es or­gan­isa­tion­nelles liées au traite­ment des don­nées per­son­nelles.

³ Les critères d’évalu­ation doivent re­specter tous les prin­cipes de l’art. 6 LPD.

⁴ Le pro­gramme de cer­ti­fic­a­tion doit re­specter les normes ap­plic­ables selon l’an­nexe 2 de l’OAc­cD³, ain­si que d’autres normes tech­niques ap­plic­ables.

¹ L’évalu­ation du sys­tème de ges­tion porte not­am­ment sur:

a.

la poli­tique en matière de pro­tec­tion des don­nées;

b.

la doc­u­ment­a­tion con­cernant les ob­jec­tifs, les risques et les mesur­es vis­ant à garantir la pro­tec­tion et la sé­cur­ité des don­nées;

c.

les dis­pos­i­tions tech­niques et or­gan­isa­tion­nelles né­ces­saires à la mise en œuvre des ob­jec­tifs et des mesur­es fixés, not­am­ment pour re­médi­er aux man­que­ments.

² Le PFP­DT émet des dir­ect­ives sur les ex­i­gences min­i­males qu’un sys­tème de ges­tion doit re­m­p­lir. Il tient compte des critères in­ter­na­tionaux re­latifs à l’in­stall­a­tion, à l’ex­ploit­a­tion, à la sur­veil­lance et à l’améli­or­a­tion de tels sys­tèmes et en par­ticuli­er des normes tech­niques suivantes⁴:

a.

SN EN ISO 9001, sys­tèmes de man­age­ment de la qual­ité, ex­i­gences;

b.

SN EN ISO/IEC 27001, tech­no­lo­gies de l’in­form­a­tion, tech­niques de sé­cur­ité, sys­tème de man­age­ment de la sé­cur­ité de l’in­form­a­tion, ex­i­gences;

c.

SN EN ISO/IEC 27701, tech­niques de sé­cur­ité, ex­ten­sion d’ISO/IEC 27001 et ISO/IEC 27002 au man­age­ment de la pro­tec­tion de la vie privée, ex­i­gences et lignes dir­ect­rices.

¹ L’évalu­ation des produits, des ser­vices et des pro­ces­sus per­met not­am­ment de garantir:

a.

la con­fid­en­ti­al­ité, l’in­té­grité, la dispon­ib­il­ité et la traç­ab­il­ité des don­nées per­son­nelles traitées;

b.

la préven­tion de tout traite­ment de don­nées per­son­nelles inutile au vu des fi­nal­ités du produit, du ser­vice ou du pro­ces­sus;

c.

la trans­par­ence du traite­ment des don­nées per­son­nelles;

d.

les mesur­es tech­niques per­met­tant à l’util­isateur de re­specter d’autres prin­cipes et ob­lig­a­tions en matière de pro­tec­tion de don­nées, not­am­ment les droits des per­sonnes con­cernées.

² Le PFP­DT émet des dir­ect­ives fix­ant d’autres critères en matière de pro­tec­tion des don­nées dont il doit être tenu compte lors de l’évalu­ation.

¹ L’or­gan­isme de cer­ti­fic­a­tion cer­ti­fie le sys­tème de ges­tion, le produit, le ser­vice ou le pro­ces­sus si les ex­i­gences prévues par le droit de la pro­tec­tion des don­nées et les con­di­tions prévues par la présente or­don­nance, par les dir­ect­ives émises par le PFP­DT ou par toute autre norme équi­val­ente sont re­spectées. L’oc­troi de la cer­ti­fic­a­tion peut être as­sorti de charges.

² La durée de valid­ité de la cer­ti­fic­a­tion est de trois ans. Chaque an­née, l’or­gan­isme de cer­ti­fic­a­tion véri­fie que les con­di­tions de la cer­ti­fic­a­tion sont re­m­plies.

Après avoir con­sulté le SAS, le PFP­DT re­con­naît les cer­ti­fic­a­tions étrangères, pour autant que le re­spect des ex­i­gences de la lé­gis­la­tion suisse soit garanti.

Le re­spons­able du traite­ment privé ne peut ren­on­cer à ét­ab­lir une ana­lyse d’im­pact re­l­at­ive à la pro­tec­tion des don­nées per­son­nelles, con­formé­ment à l’art. 22, al. 5 LPD, que si la cer­ti­fic­a­tion in­clut le traite­ment pour le­quel il y aurait lieu de procéder à l’ana­lyse d’im­pact.

¹ L’or­gan­isme de cer­ti­fic­a­tion peut sus­pen­dre ou ré­voquer une cer­ti­fic­a­tion, not­am­ment lor­sque, dans le cadre de la véri­fic­a­tion, il con­state des man­que­ments graves. Il y a man­que­ment grave not­am­ment:

a.

si les con­di­tions es­sen­ti­elles de la cer­ti­fic­a­tion ne sont plus re­m­plies, ou

b.

si une cer­ti­fic­a­tion est util­isée de man­ière trompeuse ou ab­us­ive.

² Tout lit­ige con­cernant la sus­pen­sion ou la ré­voca­tion est sou­mis aux dis­pos­i­tions de droit civil ap­plic­ables au rap­port con­trac­tuel li­ant l’or­gan­isme de cer­ti­fic­a­tion au fourn­is­seur de sys­tèmes ou de lo­gi­ciels de traite­ment de don­nées per­son­nelles, au re­spons­able du traite­ment ou au sous-trait­ant au bénéfice d’une cer­ti­fic­a­tion.

¹ Le PFP­DT in­forme l’or­gan­isme de cer­ti­fic­a­tion s’il con­state des man­que­ments graves de la part d’un fourn­is­seur de sys­tèmes ou de lo­gi­ciels de traite­ment de don­nées per­son­nelles, d’un re­spons­able du traite­ment ou d’un sous-trait­ant au bénéfice d’une cer­ti­fic­a­tion.

² L’or­gan­isme de cer­ti­fic­a­tion in­vite im­mé­di­ate­ment le fourn­is­seur de sys­tèmes ou de lo­gi­ciels de traite­ment de don­nées per­son­nelles, le re­spons­able du traite­ment ou le sous-trait­ant au bénéfice d’une cer­ti­fic­a­tion à re­médi­er, dans un délai de 30 jours après avoir été in­formé par le PFP­DT, aux man­que­ments con­statés.

³ S’il n’est pas re­médié aux man­que­ments dans les 30 jours, l’or­gan­isme de cer­ti­fic­a­tion sus­pend la cer­ti­fic­a­tion. Il ré­voque la cer­ti­fic­a­tion s’il n’ex­iste aucune per­spect­ive d’ob­tenir ou de ré­t­ab­lir une situ­ation con­forme à la loi dans un délai con­ven­able.

⁴ S’il n’est pas re­médié aux man­que­ments dans le délai prévu à l’al. 2 et si l’or­gan­isme de cer­ti­fic­a­tion ne sus­pend ni ne ré­voque la cer­ti­fic­a­tion, le PFP­DT prend une mesure au sens de l’art. 51, al. 1 LPD. Il peut not­am­ment or­don­ner la sus­pen­sion ou la ré­voca­tion de la cer­ti­fic­a­tion. S’il donne cet or­dre à l’or­gan­isme de cer­ti­fic­a­tion, il en in­forme le SAS.

L’or­don­nance du 28 septembre 2007 sur les cer­ti­fic­a­tions en matière de pro­tec­tion des don­nées⁵ est ab­ro­gée.

La présente or­don­nance entre en vi­gueur le 1^er septembre 2023.