Le Conseil fédéral édicte des dispositions d’exécution. Il définit, en particulier:
- les catégories des données personnelles traitées et les droits d’accès (droit de les consulter et droit de les traiter);
- les mesures de protection techniques et organisationnelles destinées à empêcher le traitement de données par un tiers non autorisé;
- le délai de conservation des données;
- l’anonymisation et la destruction des données personnelles après l’échéance du délai de conservation.