Journalisation des données fédérales: nouvelles règles dès décembre 2025
Le Conseil fédéral adapte l’ordonnance sur la protection des données: les traitements sensibles devront toujours être journalisés, tandis qu’une évaluation des risques déterminera la nécessité de journaliser les autres traitements effectués par les organes fédéraux.
Il y a du changement concernant les traitements automatisés de données personnelles par les organes fédéraux. La procédure sera soumise à des exigences de journalisation différenciées selon leur sensibilité. En effet, le Conseil fédéral annonce introduire une nouvelle approche fondée sur les risques à compter du 1er décembre 2025.
Si la journalisation reste obligatoire pour les données sensibles, elle ne sera plus systématique pour les données moins sensibles. Selon la modification de l’ordonnance sur la protection des données adoptée le 29 octobre par le Conseil fédéral, une évaluation devra désormais déterminer la nécessité et l’étendue de la journalisation pour ces dernières.
Adaptation des exigences
La journalisation vise à garantir la transparence et la traçabilité des traitements automatisés de données, tout en renforçant la sécurité et la prévention des abus. Depuis la révision de la législation en 2023, les organes fédéraux et leurs sous-traitants sont tenus de consigner plusieurs opérations, notamment l’enregistrement, la modification, la lecture, la communication ou la suppression de données personnelles, quelle que soit leur sensibilité.
Le Conseil fédéral estime cependant que cette exigence uniforme ne tient pas suffisamment compte de la proportionnalité entre les coûts de mise en œuvre et les risques pour les droits fondamentaux. D’où la décision d’introduire une approche fondée sur les risques pour les données moins sensibles.
Les organes fédéraux devront désormais examiner si le traitement envisagé porte atteinte aux droits fondamentaux des personnes concernées, en particulier le droit à l’autodétermination informationnelle et à la protection de la sphère privée. Cet examen tiendra également compte de l’état des connaissances techniques et des coûts liés à la journalisation. En fonction du niveau de risque identifié, ils détermineront s’il est nécessaire de journaliser, et le cas échéant, à quel degré de détail.
Aucune modification pour les données particulièrement sensibles
Les exigences actuelles restent inchangées pour les données personnelles sensibles, telles que celles relatives à la santé, à la sphère intime ou aux opinions politiques. Ces catégories continueront d’être systématiquement journalisées, comme le prévoyait déjà l’ordonnance de 2023.
Les traitements automatisés de données personnelles moins sensibles initiés avant le 1er décembre 2025 devront être réévalués d’ici fin 2026 pour déterminer s’ils nécessitent une journalisation. Si tel est le cas, les mesures devront être mises en œuvre au plus tard fin 2029.
