Toute personne ou tout organe fédéral qui décide, p. ex., seul ou avec d’autres, du but (Pourquoi un traitement de données a-t-il lieu?) et des méthodes (Comment ce but sera-t-il atteint?) est considéré comme responsable. Il s’agit en l’occurrence de la personne ou de l’organe fédéral qui définit les paramètres déterminants en matière de protection des données dans le cadre de leur traitement (circulaire de l’ASIP n° 130, p. 6, note 31).
L’examen médical en est un exemple. Il a pour but l’application de l’obligation de notifier, c’est-à-dire la déclaration d’une atteinte à la santé. L’objectif sera atteint au moyen d’un questionnaire qui sera remis au responsable par la personne en ayant fait la demande (l’assuré) ou en interrogeant par écrit la personne responsable (méthode).
Nous recommandons à cet égard l’application de DSAT (circulaire de l’ASIP n° 131, p. 5): formulaire «Compliance CheckII – exigences concernant un traitement de données (pour les responsables)», téléchargeable sous /download/.1
[1] Le DSAT est un instrument d’auto-évaluation de la protection des données composé d’un set de formulaires permettant une auto-évaluation structurée de la conformité d’une entreprise en matière de protection des données – autrement dit de «superviser» dans quelle mesure les dispositions de la nLPD ainsi que du Règlement européen sur la protections des données (RGPD) sont respectées» (https://dsat.ch/einfuehrung/).