Certifications en matière de protection des données

Les fournisseurs de systèmes ou de logiciels de traitement des données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits et leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants (art. 13, al. 1, LPD).

En vue de la reconnaissance des procédures de certification et de l'introduction d'un label de qualité en matière de protection des données, le Conseil fédéral a édicté une ordonnance sur la base de l'art. 13, al. 2, LPD, à savoir l'ordonnance du 31 août 2022 sur les certifications en matière de protection des données (OCPD).

Les organismes accrédités en vertu de l'OCPD peuvent certifier l’organisation et les procédures (systèmes de gestion), les produits, notamment les systèmes et programmes de traitement des données ainsi que les produits matériels (équipement informatique) , les services et les processus (art. 1, al. 2, OCPD). Le Service d'accréditation suisse (SAS) associe le PFPDT à la procédure, au contrôle et aux sanctions (art. 2 OCPD).

Conformément à l'art. 6, al. 2, OCPD, le PFPDT émet des directives spécifiques sur les exigences minimales applicables aux systèmes de gestion, en tenant compte des normes techniques. Il émet en outre d’autres directives sur les critères qui doivent être appliqués lors du contrôle des produits, des services et des processus en matière de protection des données (art. 7, al. 2, OCPD).

Le PFPDT reconnaît les organismes de certification étrangers et les certifications étrangères après avoir consulté le Service d’accréditation suisse SAS (art. 3, al. 2, et 9 OCPD).

Si le PFPDT constate des manquements graves chez un fabricant de systèmes ou de programmes de traitement des données, un responsable ou un sous-traitant certifié, il en informe l'organisme de certification. Si le responsable ne remédie pas au manquement dans les 30 jours et que l'organisme de certification ne prend pas les mesures qui s’imposent, le PFPDT peut lui-même suspendre ou révoquer la certification (art. 12, al. 4, OCPD). 

Les responsables certifiés sont déliés de leur devoir de procéder à une analyse d’impact (art. 22, al. 5, LPD). Outre cet avantage, la certification offre également aux fabricants et aux responsables la possibilité de documenter leur respect de la loi sur la protection des données et de mettre en avant leurs bonnes pratiques, ce qui renforce leur sens des responsabilités.

La certification favorise en particulier la transparence dans la mesure où les opérations de traitement des données, de plus en plus complexes, sont analysées par un organisme indépendant. Les personnes concernées par un traitement de données ont ainsi la possibilité de choisir en toute connaissance de cause des systèmes, produits et services respectueux de la protection des données, ce qui renforce la protection et la sécurité des données.