Ordonnance
sur les systèmes d’information de l’armée et du DDPS
(OSIAr)¹

(art. 186, al. 1, let. a et e, LSIA)

Av­ant de trans­mettre le traite­ment des don­nées à un sous-trait­ant qui n’est pas une unité ad­min­is­trat­ive de la Con­fédéra­tion, l’unité ad­min­is­trat­ive de la Con­fédéra­tion re­spons­able de la pro­tec­tion des don­nées con­clut avec lui une con­ven­tion écrite dans laquelle au moins les activ­ités de traite­ment des don­nées à con­fi­er sont déter­minées et par laquelle le sous-trait­ant s’en­gage:

a.

à traiter les don­nées unique­ment selon les mêmes mod­al­ités que celles autor­isées pour l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui con­fie le man­dat;

b.

à re­specter les pre­scrip­tions de la pro­tec­tion des don­nées, not­am­ment celles de la LSIA et de la présente or­don­nance;

c.

à ne traiter les don­nées qu’en Suisse si les con­di­tions du droit suisse con­cernant la com­mu­nic­a­tion des don­nées à l’étranger ne sont pas re­m­plies;

d.

à com­mu­niquer les don­nées à des tiers qui ne font pas partie du per­son­nel du sous-trait­ant unique­ment si l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat:

1.

a précé­dem­ment don­né son ac­cord par écrit, et

2.

a égale­ment con­clu avec le tiers une con­ven­tion écrite repren­ant le con­tenu min­im­al défini dans le présent art­icle;

e.

à pren­dre les mesur­es tech­niques et or­gan­isa­tion­nelles ap­pro­priées pour protéger les don­nées contre tout ac­cès par des per­sonnes non autor­isées ou contre toute util­isa­tion con­traire à leur but, et à in­form­er l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat des mesur­es prises;

f.

à com­mu­niquer dans les plus brefs délais à l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat toute vi­ol­a­tion de la sé­cur­ité des don­nées;

g.

à com­mu­niquer dans les plus brefs délais à l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat toute vi­ol­a­tion de ses devoirs visés dans le présent art­icle;

h.

à mettre im­mé­di­ate­ment en œuvre les dir­ect­ives de l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat re­l­at­ives à la garantie de la sé­cur­ité des don­nées et de l’in­form­a­tion, au re­spect des pre­scrip­tions de la pro­tec­tion des don­nées ou à l’activ­ité de traite­ment des don­nées;

i.

à per­mettre à l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat de con­sul­ter en tout temps toutes les don­nées traitées dans le cadre du man­dat et à lui trans­mettre à sa de­mande les don­nées dans la forme de­mandée;

j.

à tenir un re­gistre de ses pro­pres activ­ités de traite­ment et à ét­ab­lir un règle­ment de traite­ment;

k.

à journ­al­iser ses pro­pres traite­ments des don­nées con­formé­ment à l’art. 2c;

l.

à se sou­mettre ain­si que ses col­lab­or­at­eurs trait­ant les don­nées à un con­trôle de sé­cur­ité ef­fec­tué par l’or­gane fédéral com­pétent si l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat le de­mande;

m.

à ne pas traiter les don­nées si l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat fait part de doutes quant à la sé­cur­ité ou le de­mande pour d’autres mo­tifs;

n.

à com­mu­niquer, sur de­mande, le nom et les co­or­don­nées de ses col­lab­or­at­eurs trait­ant les don­nées à l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat;

o.

une fois le man­dat ter­miné, à re­mettre les don­nées à l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat, à les détru­ire en­suite et à lui con­firmer cette de­struc­tion par écrit;

p.

à pay­er une peine con­ven­tion­nelle fixée par l’unité ad­min­is­trat­ive de la Con­fédéra­tion qui a con­fié le man­dat et dont le mont­ant est men­tion­né dans la con­ven­tion lor­sque le sous-trait­ant vi­ole ses ob­lig­a­tions con­trac­tuelles ou en­fre­int les pre­scrip­tions de la pro­tec­tion des don­nées.