Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir (Directives sur la certification de l'organisation et de la procédure)
du 16 juillet 2008
Le Préposé fédéral à la protection des données et à la transparence,
vu l'art. 11, al. 2, de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)1,
vu l'art. 4, al. 3, de l'ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD)2,
édicte les directives suivantes:
1 Les présentes directives fixent les exigences minimales qu'un système de gestion de la protection des données (SGPD) doit remplir pour obtenir une certification de l'organisation ou de la procédure au sens de l'art. 4 OCPD.
2 Elles visent à fournir un modèle d'établissement, de mise en œuvre, de fonction- nement, de surveillance, de réexamen, de mise à jour et d'amélioration d'un SGPD.
3 Elles s'appliquent à tous les types d'organisation.
En complément aux définitions des chapitres 3.1 à 3.16 de la norme ISO/CEI 27001:20053, on entend par:
a. gestion de la conformité les activités coordonnées d'une organisation pour respecter les exigences légales et réglementaires auxquelles elle est soumise, en particulier toutes celles liées à la protection des données;
b. appréciation de non-conformité l'ensemble du processus d'analyse de non- conformité et d'évaluation de non-conformité;
c. analyse de non-conformité l'utilisation systématique d'informations pour identifier les sources de non-conformité et estimer la non-conformité;
1 RS 235.1
2 RS 235.13
3 «Systèmes de gestion de la sécurité de l'information - Exigences», disponible sous licence en format papier ou PDF auprès de www.iso.org.
2008-1896
6625
Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir
d. évaluation de non-conformité le processus de comparaison de la non- conformité estimée avec des critères de conformité donnés pour en détermi- ner l'importance (nature mineure ou majeure);
e. traitement de non-conformité le processus de sélection et implémentation de mesures visant à remédier à une non-conformité4.
1 Un SGPD répond aux exigences minimales s'il se fonde sur des référentiels inter- nationaux en usage, en particulier la norme ISO 27001 interprétée au sens de l'al. 2 et complétée ou amendée conformément au point 4.
2 Les exigences de la norme ISO 27001 portant sur le système de gestion de la sécurité de l'information (SGSI) doivent être reprises en transposant la notion de sécurité de l'information (SI) par celle de protection des données (PD) et en rempla- çant son annexe A, qui correspond à la table des matières de la norme ISO/CEI 27002:20055, par les objectifs et mesures énumérés au point 5.
Le SGPD mis en place par l'organisation doit contenir à tout le moins les exigences minimales décrites dans la norme ISO 27001 et tenir compte des aspects de protec- tion des données suivants:
a. De manière générale, la notion de (non-)conformité relative aux exigences de protection des données complète systématiquement celle de risques rela- tifs aux objectifs de sécurité d'information. Une analyse de conformité excluant toute non-conformité résiduelle complète ainsi l'analyse de risques prévue dans la norme ISO 27001.
b. De manière spécifique dans l'établissement du SGPD, les points suivants de la norme ISO 27001 doivent être interprétés comme suit:
4.2.1. a. le domaine d'application et les limites du SGPD sont définis conformément à l'art. 4, al. 1, OCPD;
4.2.1. b. la politique pour le SGPD correspond à la charte de protection des données visée à l'art. 4, al. 2, let. a, OCPD;
4.2.1. d 1. les actifs de type fichier (art. 3, let. g, LPD) et leur propriétaire, en l'occurrence le maître du fichier (art. 3, let. i, LPD), sont identifiés en particulier;
4.2.1. g. les objectifs et mesures de protection des données proprement dites définis au point 5 sont sélectionnés comme partie intégrante
4 A défaut, il est possible d'éviter une non-conformité, par exemple en renonçant au traite- ment concerné. Il est par contre interdit d'accepter ou de transférer une non-conformité.
5 «Code de bonne pratique pour la gestion de la sécurité de l'information», disponible sous licence en format papier ou PDF auprès de www.iso.org.
6626
Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir
du processus, dans la mesure où ils peuvent satisfaire à ces exigences;
4.3.1. j6. la documentation du SGPD inclut au minimum l'inventaire des fichiers non déclarés (cf. point 5, let. h, ch. 2 ).
Lors de l'élaboration du SGPD, les objectifs et mesures7 suivants doivent être réali- sés:
a. Licéité (art. 4, al. 1, LPD)
Motifs justificatifs (art. 13 LPD)
Base légale (art. 17, 19 et 20 LPD)
Traitement de données par un tiers (art. 10a, al. 1, LPD)
b. Transparence
Bonne foi (art. 4, al. 2, LPD)
Reconnaissabilité (art. 4, al. 4, LPD)
Obligation d'informer (art. 7a, al. 1, LPD)
c. Proportionnalité
d. Finalité (art. 4, al. 3 LPD)
Spécification/Modification de la finalité (art. 3, let. i, LPD)
Limitation d'utilisation
e. Exactitude des données
Exactitude des données (art. 5, al. 1, LPD)
Rectification des données (art. 5, al. 2, LPD)
f. Communication transfrontière de données (art. 6, al. 1, LPD)
6 Lettre additionnelle à la norme ISO 27001.
7 Les objectifs et mesures énumérés proviennent directement et sont alignés sur ceux du «Code de bonne pratique pour la gestion de la protection des données» (le texte peut être consulté sous www.edoeb.admin.ch). Le tableau des mesures n'est pas exhaustif et une organisation y ajouter d'autres objectifs ou mesures. Les objectifs et mesures de ce tableau doivent être sélectionnés comme partie intégrante du processus d'application du SGPD. Le « Code de bonne pratique pour la gestion de la protection des données » fournit des recommandations de mise en œuvre et des lignes directrices afférentes aux meilleures pratiques, venant à l'appui des mesures proposées. Ce guide est le pendant de la norme ISO 27002 («Code de bonne pratique pour la gestion de la sécurité de l'information»). Les neuf objectifs retenus sont directement tirés de la LPD et les 20 mesures associées sont structurées conformément à la norme ISO 27002.
6627
Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir
g. Sécurité des données (art. 7 LPD)
Confidentialité des données
Intégrité des données
Disponibilité des données
Traitement de données par un tiers (art 10a, al. 2, LPD)
h. Enregistrement des fichiers (art. 11a, al. 1, LPD et art. 12b, al. 1, OLPD)
Obligation de déclarer (art. 11a, al. 2 et 3; exceptions art. 11a, al. 5, let. e et f, LPD)
Inventaire des fichiers non déclarés (art. 12b, al. 1, let. b, OLPD)
i. Droit d'accès et de procédure
Droit d'accès à ses propres données (art. 8, al. 1, LPD)
Prétentions et procédures (art. 15 et 25 LPD)
Entrée en vigueur
Les présentes directives entrent en vigueur le 1er septembre 2008.
16 juillet 2008
Le Préposé fédéral à la protection des données et à la transparence: Hanspeter Thür
6628
Schweizerisches Bundesarchiv, Digitale Amtsdruckschriften Archives fédérales suisses, Publications officielles numérisées Archivio federale svizzero, Pubblicazioni ufficiali digitali
Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir (Directives sur la certification de l'organisation et de la procédure)
In
Bundesblatt
Dans
Feuille fédérale
In
Foglio federale
Jahr
2008
Année
Anno
Band
1
Volume
Volume
Heft
34
Cahier
Numero
Geschäftsnummer
Numéro d'affaire
Numero dell'oggetto
Datum 26.08.2008
Date
Data
Seite
6625-6628
Page
Pagina
Ref. No
10 142 062
Die elektronischen Daten der Schweizerischen Bundeskanzlei wurden durch das Schweizerische Bundesarchiv übernommen.
Les données électroniques de la Chancellerie fédérale suisse ont été reprises par les Archives fédérales suisses. I dati elettronici della Cancelleria federale svizzera sono stati ripresi dall'Archivio federale svizzero.