Certification en matière de protection des données

Avec l’entrée en vigueur de la loi révisée sur la protection des données au 1er janvier 2008, la possibilité de procéder à des certifications en matière de protection des données est prévue. Complètement du ressort d’organismes privés, la certification sert à améliorer la protection et la sécurité des données. Comme il s’agit d’une matière entièrement neuve, elle fait l’objet d’une nouvelle ordonnance:

Conformément à l'art. 4, al. 3 OCPD, le Préposé émet les directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir, y compris leur annexe, le commentaire et quelques schémas explicatifs. Pour voir les documents correspondants, veuillez cliquer ici: documents importants.

Modification de l'ordonnance sur les certifications en matière de protection des données

Le Conseil fédéral a approuvé les modifications de l'ordonnance sur les certifications en matière de protection des données (OCPD). Dans sa nouvelle version, elle renvoie non plus à une version particulière des normes, mais aux "critères internationaux pertinents" applicables en Suisse. Cela garantit que l'ordonnance reste toujours d'actualité. La modification est entrée en vigueur le 1er novembre 2016.

Adaptations des directives sur les exigences minimales qu’un système de gestion de la protection des données doit remplir

Le PFPDT a modifié ses directives sur les exigences minimales qu'un système de gestion de la protection des données (directives SGPD) doit remplir en les adaptant à la norme ISO/CEI 27001:2013. La nouvelle édition du 19 mars 2014 remplace les directives du 1er septembre 2008.

Dispense de la déclaration du fichier par l’obtention d’un label de qualité

De nouvelles dispositions introduites par la loi révisée sur la protection des données du 1er janvier 2008 (LPD RS 235.1) permettent aux entreprises de s'autoréguler. Conformément à l'art. 11a, al. 5, let. f le maître du fichier n'est pas tenu de déclarer son fichier s'il a obtenu un label de qualité. Le préposé fédéral à la protection des données et à la transparence (ci-après: préposé) doit en être informé. 

État de situation de la certification de produits/services

Un groupe de travail comprenant des représentants des différents milieux intéressés par une certification de produits/services, à savoir d'organes fédéraux, de cantons, de certificateurs, de l'accréditation et de diverses entreprises privées des domaines informatique, finance et santé, s'est réuni à l'invitation du PFPDT le 20.04.2010 pour faire le point sur cette thématique. Il en est ressorti qu'une certification de biens ou produits informatiques (matériels et logiciels ou systèmes pour procédures automatisées de traitement de données), par exemple basée sur le catalogue d'exigences EuroPriSe, n'était juridiquement, techniquement et financièrement guère envisageable dans un petit marché comme le nôtre. Plusieurs participants ont par contre formulé le besoin d'introduire une certification de services.

Autres informations

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/certification-en-matiere-de-protection-des-donnees.html