Ordonnancesur les certifications en matière de protection des données (OCPD)
Bei grossen Gesetzen wie OR und ZGB kann dies bis zu 30 Sekunden dauern
Section 1 Organismes de certification |
Art. 1 Exigences
1 Les organismes qui effectuent des certifications au sens de l’art. 11 LPD (organismes de certification) doivent être accrédités. Leur accréditation est régie par l’ordonnance du 17 juin 1996 sur l’accréditation et la désignation2, sauf disposition contraire de la présente ordonnance. 2 Une accréditation distincte est requise pour les certifications portant sur:
3 Les organismes de certification doivent disposer d’une organisation et d’une procédure de certification (programme de contrôle) déterminées. Les points suivants doivent notamment être réglés:
4 Les exigences minimales concernant le programme de contrôle sont régies par les normes et les principes applicables selon l’annexe 2 de l’ordonnance du 17 juin 1996 sur l’accréditation et la désignation et par les art. 4 à 6. 5 Les exigences minimales concernant la qualification du personnel qui exécute des certifications sont réglées en annexe. |
Art. 3 Organismes de certification étrangers
1 Après avoir consulté le Service d’accréditation suisse, le préposé reconnaît les organismes de certification étrangers qui veulent exercer des activités sur le territoire suisse, si ces organismes prouvent qu’ils ont une qualification équivalente à celle exigée en Suisse. 2 Les organismes de certification doivent notamment prouver qu’ils remplissent les exigences fixées à l’art. 1, al. 3 et 4, et qu’ils connaissent suffisamment la législation suisse sur la protection des données. 3 Le préposé peut accorder la reconnaissance pour une durée limitée et la subordonner à des conditions ou à des charges. Il annule la reconnaissance si des conditions ou des charges essentielles ne sont pas remplies. |
Section 2 Objet et procédure de certification |
Art. 4 Certification de l’organisation et de la procédure
1 Peuvent faire l’objet d’une certification:
2 L’évaluation porte sur le système de gestion de la protection des données. Ce dernier comprend notamment:
3 Le préposé émet des directives sur les exigences minimales qu’un système de gestion de la protection des données doit remplir. Il tient compte des critères internationaux pertinents relatifs à l’installation, l’exploitation, la surveillance et l’amélioration des systèmes de gestion, tels qu’ils figurent en particulier dans les normes techniques suivantes3:
4 L’exception à l’obligation de déclarer prévue à l’art. 11a, al. 5, let. f, LPD ne s’applique que si l’organisme au bénéfice d’une certification a obtenu cette certification pour l’ensemble des procédures de traitement portant sur les données du fichier à déclarer. 3 Les normes peuvent être consultées gratuitement ou obtenues contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404Winterthour, www.snv.ch. 4 Nouvelle teneur selon le ch. I de l’O du 30 sept. 2016, en vigueur depuis le 1er nov. 2016 (RO 2016 3447). |
Art. 5 Certification de produits
1 Peuvent faire l’objet d’une certification les produits servant principalement au traitement de données personnelles ou générant, lors de leur utilisation, des données personnelles concernant notamment l’utilisateur. 2 L’organisme de certification examine notamment si le produit lui-même garantit:
3 Le préposé édicte des directives fixant les critères spécifiques en matière de protection des données qu’un produit doit remplir dans le cadre d’une certification.5 5 Nouvelle teneur selon le ch. I de l’O du 12 mars 2010, en vigueur depuis le 1er avr. 2010 (RO 2010 949). |
Art. 6 Octroi et durée de validité de la certification
1 La certification est octroyée lorsque la procédure de certification permet de conclure, sur la base des critères d’évaluation ou d’essai appliqués par l’organisme de certification, que les exigences prévues par le droit de la protection des données et celles qui résultent de la présente ordonnance et des directives du préposé (art. 4, al. 3, et art. 5, al. 3) ou de toute autre norme équivalente sont respectées. L’octroi de la certification peut être assorti de conditions ou de charges. 2 La durée de validité de la certification d’un système de gestion de la protection des données est de trois ans. Chaque année, l’organisme de certification vérifie sommairement que les conditions de la certification sont remplies. 3 La durée de validité de la certification d’un produit est de deux ans. Le produit est soumis à une nouvelle certification si des modifications essentielles y sont apportées. |
Art. 8 Communication du résultat de la procédure de certification
1 Si, aux fins d’être délié de son obligation de déclarer ses fichiers en vertu de l’art. 11a, al. 5, let. f, LPD, l’organisme au bénéfice d’une certification communique au préposé qu’il a obtenu une certification conformément à l’art. 4, il lui transmet, sur demande, les documents suivants:
2 Lorsque l’organisme de certification constate, dans le cadre de son activité de surveillance, des modifications essentielles concernant les conditions de certification, notamment en ce qui concerne le respect des charges ou des conditions, l’organisme au bénéfice d’une certification en informe le préposé. 3 Le préposé publie une liste des organismes au bénéfice d’une certification et qui sont déliés de leur obligation de déclarer leurs fichiers (art. 28, al. 3, de l’O du 14 juin 1993 relative à la LF sur la protection des données6). La liste indique notamment la durée de validité de la certification. |
Section 4 Entrée en vigueur |
Annexe 7
7 Mise à jour selon le ch. II de l’O du 30 sept. 2016, en vigueur depuis le 1er nov. 2016 (RO 2016 3447). |
(art. 1, al. 5) |
Exigences minimales concernant les qualifications du personnel des organismes de certification chargé de réaliser les certifications |
1 Certification des systèmes de gestion de la protection des données |
L’organisme de certification doit prouver que le personnel qui certifie les systèmes de gestion de la protection des données, pris dans son ensemble, possède les qualifications suivantes:
L’organisme de certification doit prouver qu’il dispose de personnel qualifié pour chacun des domaines qu’il couvre. L’évaluation des systèmes de gestion par une équipe interdisciplinaire est autorisée. 8 La norme peut être consultée gratuitement ou obtenue contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404Winterthour, www.snv.ch. |
2 Certification des produits |
L’organisme de certification doit prouver que le personnel qui certifie les produits, pris dans son ensemble, possède les qualifications suivantes:
L’organisme de certification doit prouver qu’il dispose de personnel qualifié pour chacun des domaines qu’il couvre. L’évaluation des produits par une équipe interdisciplinaire est autorisée. 9 La norme peut être consultée gratuitement ou obtenue contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404Winterthour, www.snv.ch. |
Notiz entfernen
Sind Sie sicher?