Oui, à condition que des mesures techniques et organisationnelles appropriées soient prises pour garantir une sécurité des données adéquate. La révision de la LPD introduit pour la première fois en Suisse l'obligation d'une notification de violation de données : Si un e-mail est envoyé de manière erronée ou si une perte de données ou un autre incident concernant la sécurité des données se produit, il faut désormais, dans certaines circonstances, le notifier au PFPDT. Une violation de la sécurité des données doit être annoncée au PFPDT dans les meilleurs délais si la violation est susceptible d'entraîner un risque élevé pour la personne concernée. La personne concernée doit également être informée si cela est nécessaire pour sa protection ou si le PFPDT l'exige (art. 24 révLPD/art. 15 nOLPD). De même, en cas de violation de la sécurité des données, le conseiller à la protection des données doit être informé (art. 27, al. 1, let. b, nOLPD).