Lois et normes : résumé
Les sections ci-dessous résument brièvement les bases légales et normes évoquées dans l'introduction en raison de leur implications majeures dans la numérisation des administrations communales.
Les communes bernoises sont soumises à la Loi cantonale sur la protection des données (LCPD, RSB 152.04) et à son Ordonnance (OPD, RSB 152.040.1). La LPD fédérale ne s’applique pas directement aux communes, sauf pour certains échanges avec des autorités fédérales.
Principes clés
Les traitements de données personnelles doivent respecter les principes fondamentaux de la protection des données :
- Légalité
Tout traitement de données personnelles doit se fonder sur une base légale (loi cantonale, règlement communal ou autre fondement légal). - Proportionnalité
Seules les données strictement nécessaires à la finalité poursuivie peuvent être collectées et traitées. - Sécurité des données
Les données doivent être protégées contre :- l’accès par des personnes non autorisées (confidentialité),
- la falsification ou l’altération (intégrité),
- la perte ou l’indisponibilité (disponibilité).
Obligations principales
- Autorité de surveillance locale : chaque commune désigne un préposé à la protection des données (PPD). (caduc dès 1er septembre 2026 : entrée en vigueur nouvelle LCPD avec autorité cantonale compétente)
- Registre des traitements : recenser toutes les activités impliquant des données personnelles.
- Sous-traitance : les contrats avec des prestataires externes (ex. hébergement cloud) doivent garantir la conformité à la LCPD et aux normes cantonales (art. 27 ss LCPD).
- Sécurité technique : contrôler les accès, chiffrer les données sensibles, effectuer des sauvegardes régulières et assurer la destruction sécurisée des données obsolètes.
- Transparence : informer le public sur les finalités des traitements (via site web, règlements, communications officielles, etc.).
Bonnes pratiques communales
Bonnes pratiques communales- Responsable de la protection des données : désigner une personne chargée de veiller au respect de la LCPD(caduc dès 1er septembre 2026 : entrée en vigueur nouvelle LCPD avec autorité cantonale compétente)
- Registre des traitements et information des citoyens : tenir un registre communal et publier des informations sur les traitements de données (site web, brochures, etc.).
- Procédure en cas de fuite de données : définir un plan d’action pour notification et communication transparente.
- Sécurité technique :
- contrôle des accès et mots de passe robustes,
- serveurs situés en Suisse ou dans l’UE avec garanties de conformité,
- chiffrement des données sensibles.
- Contrats avec prestataires IT : inclure des clauses garantissant la conformité à la LCPD et au secret de fonction, prévoir des audits de sécurité si nécessaire.
