152.043
# Ordonnance portant introduction de la directive (UE) 2016/680 relative à la protection des données à caractère personnel
(OiDPD)
Du 04.07.2018 (état au 01.09.2023)

### **Art. 1** Objet et champ d’application {#art_1 omnilex-key=ch-lexwork-be--152.043--1}

1. La présente ordonnance règle la mise en œuvre de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
2. Elle s’applique aux autorités compétentes pour traiter des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces (art. 1, al. 1 de la directive (UE) 2016/680).

### **Art. 2** Profilage {#art_2 omnilex-key=ch-lexwork-be--152.043--2}

1. Le profilage se définit comme l’évaluation de certaines caractéristiques d’une personne sur la base d’un traitement automatisé de ses données personnelles pour analyser ou prédire notamment le rendement de son travail, sa situation économique, sa santé, son comportement, ses préférences, sa localisation ou ses déplacements.
2. Il est admissible pour autant que les conditions prévues à l’article 5 de la loi du 19 février 1986 sur la protection des données (LCPD) soient respectées.
3. S’il porte gravement atteinte aux droits fondamentaux de la personne concernée, il n’est autorisé qu’aux conditions de l’article 6 LCPD.
4. Le champ d’application des articles 10 à 14a LCPD relatifs à la communication de données personnelles s’étend également aux résultats d’un profilage dès lors qu’ils contiennent des données personnelles.

### **Art. 3** Preuve du respect des dispositions sur la protection des données {#art_3 omnilex-key=ch-lexwork-be--152.043--3}

1. L’autorité responsable doit être en mesure de démontrer qu’elle applique correctement les dispositions sur la protection des données de l’article 4, alinéas 1 à 3 de la directive (UE) 2016/680.

### **Art. 4** Devoir d’informer lors de la collecte de données personnelles, 1. Principe {#art_4 omnilex-key=ch-lexwork-be--152.043--4}

1. L’autorité responsable informe la personne concernée de toute collecte de données la concernant, même si celle-ci est effectuée auprès d’un tiers.
2. L’information porte en particulier sur
   a l’autorité responsable et ses coordonnées,
   b les données ou catégories de données traitées,
   c la base légale et le but du traitement,
   d les destinataires ou les catégories de destinataires lorsque les données sont communiquées à des tiers et
   e les droits de la personne concernée.
3. L’information est transmise
   a au moyen d’une publication librement accessible dans le registre des fichiers, conformément à l’article 18 LCPD,
   b sur le site Internet de l’autorité responsable ou
   c directement à la personne concernée.

### **Art. 5** 2. Exceptions {#art_5 omnilex-key=ch-lexwork-be--152.043--5}

1. Il peut être renoncé à l’information lorsque
   a la personne concernée dispose déjà des informations citées à l’article 4, alinéa 2;
   b le traitement des données personnelles est expressément prévu par la loi ou
   c le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés.
2. La communication des informations peut au demeurant être restreinte aux mêmes conditions que celles régissant l’accès d’une personne à ses propres données.

### **Art. 6** Communication aux destinataires des données personnelles {#art_6 omnilex-key=ch-lexwork-be--152.043--6}

1. L’autorité responsable informe les autorités ou personnes privées auxquelles elle a communiqué les données personnelles (art. 10 à 14a LCPD) de toute rectification ou destruction entreprise en application de l’article 23 ou 24 LCPD.
2. Il peut être renoncé à la communication lorsqu’elle s’avère impossible ou qu’elle nécessite des efforts disproportionnés.

### **Art. 7** Traitement sur mandat (art. 16 LCPD) {#art_7 omnilex-key=ch-lexwork-be--152.043--7}

1. Quiconque traite des données personnelles sur mandat d’une autorité au sens de l’article 16 LCPD (mandataire) ne peut pas transmettre le mandat à un tiers sans le consentement écrit préalable de l’autorité.

### **Art. 8** Notification des violations de la protection des données, 1. à l’autorité de surveillance {#art_8 omnilex-key=ch-lexwork-be--152.043--8}

1. En cas de violation de la protection des données, l’autorité responsable la notifie sans délai à l’autorité de surveillance compétente en matière de protection des données (autorité de surveillance), soit si possible dans un délai de 72 heures au plus tard. La notification décrit la nature de la violation et ses conséquences, de même que les mesures prises et prévues pour remédier à la violation et en atténuer les effets.
2. Est qualifié de violation tout traitement des données personnelles portant atteinte à leur sécurité à tel point qu’elles sont définitivement détruites ou perdues, altérées ou divulguées de manière accidentelle ou illicite ou qu’il permet un accès non autorisé à ces données.
3. La violation de la protection des données n’est pas soumise à l’obligation d’informer lorsqu’elle ne présente probablement pas de risque pour les droits fondamentaux de la personne concernée.

### **Art. 9** 2. aux personnes concernées {#art_9 omnilex-key=ch-lexwork-be--152.043--9}

1. L’autorité responsable informe les personnes concernées lorsque les circonstances l’exigent ou que l’autorité de surveillance l’impose. Il convient d’informer les personnes concernées en particulier lorsqu'elles peuvent ainsi prendre les dispositions nécessaires pour prévenir un dommage.
2. Il peut être renoncé à la communication
   a lorsque l’autorité responsable a adopté les mesures de protection techniques et organisationnelles appropriées pour éviter que l’événement ne porte concrètement atteinte à la personne concernée;
   b lorsque les mesures prises ultérieurement garantissent que le risque élevé pour les droits fondamentaux des personnes concernées n’est selon toute probabilité plus susceptible de se matérialiser ou
   c lorsqu’elle nécessite des efforts disproportionnés, auquel cas la communication prend la forme d’une publication.
3. Il est en outre possible de limiter entièrement ou partiellement la communication aux personnes concernées ou de la retarder en présence d’intérêts privés ou publics prépondérants au maintien du secret.

### **Art. 10** 3. en cas de traitement sur mandat (art. 16 LCPD) {#art_1 omnilex-key=ch-lexwork-be--152.043--10}

1. Quiconque traite des données personnelles sur mandat d’une autorité informe immédiatement cette dernière de toute violation de la protection des données. L’article 8, alinéa 1, 2e phrase et alinéa 2 s’applique par analogie.

### **Art. 11** Représentation en justice (art. 26 LCPD) {#art_1 omnilex-key=ch-lexwork-be--152.043--11}

1. Ont qualité pour représenter en justice les organisations d’utilité publique qui, en vertu de leurs statuts, s’occupent des impératifs de la protection des données.

### **Art. 12** Dénonciations à l’autorité de surveillance (art. 34, al. 1, lit. d LCPD) {#art_1 omnilex-key=ch-lexwork-be--152.043--12}

1. L’autorité de surveillance informe les personnes concernées sur le résultat ou l’avancée de l’examen relatif à la dénonciation dans un délai maximal de trois mois après sa réception.

### **Art. 13** Entrée en vigueur et durée de validité {#art_1 omnilex-key=ch-lexwork-be--152.043--13}

1. La présente ordonnance entre en vigueur le 1er septembre 2018. Sa validité est limitée au 31 août 2026.