|
Art. 1 Objet
1 La présente loi règle le traitement de données personnelles effectué par les organes fédéraux à des fins de prévention, d’élucidation et de poursuites d’infractions ou d’exécution de sanctions pénales, y compris à des fins de protection contre les menaces pour la sécurité publique et de prévention de telles menaces: - a.
- dans le cadre de l’application de l’acquis de Schengen;
- b.
- dans le cadre de l’application d’accords internationaux conclus avec l’Union européenne ou avec des Etats qui sont liés à la Suisse par l’un des accords d’association à Schengen (Etats Schengen) et qui renvoient à la directive (UE) 2016/680 pour ce qui est de la protection des données.
2 Les accords d’association à Schengen sont mentionnés en annexe.
|
Art. 2 Relation avec d’autres actes
1 La présente loi ne s’applique pas aux droits des personnes concernées dans le cadre de procédures pendantes devant des tribunaux fédéraux ou dans le cadre de procédures pendantes régies par le code de procédure pénale5 ou par la loi du 20 mars 1981 sur l’entraide pénale internationale6; ceux-ci sont régis par le droit de procédure applicable. 2 A défaut de disposition spéciale prévue par la présente loi, la loi fédérale du 19 juin 1992 sur la protection des données (LPD)7 s’applique; l’applicabilité d’autres lois fédérales est réservée.
|
Art. 3 Définitions
1 On entend par: - a.
- données sensibles:
- 1.
- les données sur les opinions ou les activités religieuses, philosophiques ou politiques,
- 2.
- les données sur la santé, la sphère intime ou l’origine raciale ou ethnique,
- 3.
- les données génétiques,
- 4.
- les données biométriques identifiant une personne physique de façon unique,
- 5.
- les données sur des mesures d’aide sociale,
- 6.
- les données sur des poursuites ou sanctions pénales et administratives;
- b.
- profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne;
- c.
- violation de la sécurité des données: toute violation de la sécurité, sans égard au fait qu’elle soit intentionnelle ou illicite, entraînant la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;
- d.
- décision individuelle automatisée: toute décision prise exclusivement sur la base d’un traitement de données personnelles automatisé, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l’affecte de manière significative;
- e.
- sous-traitant: la personne privée ou l’organe fédéral qui traite des données personnelles pour le compte de l’organe fédéral responsable.
2 Au demeurant, les définitions de l’art. 3 LPD8 s’appliquent.
|
Art. 4 Principes
1 Tout traitement de données personnelles doit être licite. 2 Il doit être effectué conformément aux principes de la bonne foi et de la proportionnalité. 3 Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités. 4 Elles sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement. 5 Celui qui traite des données personnelles doit s’assurer qu’elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.
|
Art. 5 Protection des données dès la conception et par défaut
1 Les organes fédéraux sont tenus de mettre en place, dès la conception du traitement, des mesures techniques et organisationnelles afin que celui-ci respecte les prescriptions de protection des données et en particulier les principes fixés à l’art. 4. 2 Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l’état de la technique, du type de traitement, de son étendue, ainsi que du risque que le traitement des données en question présente pour les droits fondamentaux des personnes concernées. 3 Les organes fédéraux sont tenus, par le biais de préréglages appropriés, de garantir que le traitement soit limité au minimum requis par la finalité poursuivie.
|
Art. 6 Bases légales relatives au traitement de données personnelles
1 Les organes fédéraux ne sont en droit de traiter des données personnelles que s’il existe une base légale. 2 Une base légale fixée dans une loi au sens formel est nécessaire lorsqu’il s’agit: - a.
- du traitement de données sensibles;
- b.
- du traitement de profils de la personnalité;
- c.
- d’un profilage;
- d.
- d’un mode de traitement de données personnelles susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée.
3 En dérogation aux al. 1 et 2, les organes fédéraux peuvent traiter des données personnelles si l’une des conditions suivantes est remplie: - a.
- le traitement de données personnelles est nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée ou d’un tiers;
- b.
- la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement.
|
Art. 7 Bases légales relatives à la communication de données personnelles
1 Les organes fédéraux ne sont en droit de communiquer des données personnelles que si une base légale au sens de l’art. 6, al. 1 et 2 le prévoit. 2 En dérogation à l’al. 1, les organes fédéraux peuvent, dans un cas d’espèce, communiquer des données personnelles si l’une des conditions suivantes est remplie: - a.
- la communication des données est indispensable à l’accomplissement des tâches légales de l’organe fédéral responsable ou du destinataire;
- b.
- la communication de données personnelles est nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée ou d’un tiers;
- c.
- la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément à la communication.
3 L’art. 19, al. 1bis à 4, LPD9 s’applique au demeurant.
|
Art. 8 Communication de données personnelles à l’étranger
1 La communication de données personnelles aux autorités compétentes des Etats Schengen ne doit pas être soumise à des règles de protection des données personnelles plus strictes que celles prévues pour la communication aux autorités pénales suisses. 2 La communication de données personnelles à un Etat tiers ou à un organisme international est régie par les dispositions spéciales des lois fédérales applicables.
|
Art. 9 Organe fédéral responsable et contrôle
1 Il incombe à l’organe fédéral responsable de pourvoir à la protection des données personnelles qu’il traite ou fait traiter dans l’accomplissement de ses tâches. 2 Lorsqu’un organe fédéral traite des données personnelles conjointement avec d’autres organes fédéraux, avec des organes cantonaux ou avec des personnes privées, le Conseil fédéral règle les procédures de contrôle et les responsabilités en matière de protection des données.
|
Art. 10 Sous-traitance
1 Un traitement de données personnelles peut être confié à un sous-traitant pour autant que les conditions de l’art. 10aLPD10 soient remplies. 2 Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu’avec l’autorisation préalable écrite de l’organe fédéral.
|