1 Le programme de certification doit au moins régler:
- les critères d’évaluation ainsi que les exigences en découlant que doivent respecter les objets à certifier;
- les modalités du déroulement de la procédure, notamment les mesures à prendre si des irrégularités sont constatées.
2 Lors de l’élaboration du programme de certification, il doit être tenu compte des points suivants:
- les données personnelles à traiter;
- les infrastructures électroniques utilisées pour le traitement des données personnelles;
- les mesures organisationnelles liées au traitement des données personnelles.
3 Les critères d’évaluation doivent respecter tous les principes de l’art. 6 LPD.
4 Le programme de certification doit respecter les normes applicables selon l’annexe 2 de l’OAccD, ainsi que d’autres normes techniques applicables.
