La protection des données concerne toutes les activités communales : les relations internes, avec la population et avec les prestataires.
En ce sens, cette section ne proposer pas un modèle ou un processus spécifique, mais évoque les aspects essentiels à considérer dans chaque dimension du numérique, en renvoyant aux étapes les plus pertinentes.

Les communes bernoises sont soumises à la Loi cantonale sur la protection des données (LCPD, RSB 152.04) et à son Ordonnance (OPD, RSB 152.040.1).

Dans le cadre de la coordination en termes d’administrations numériques, l’accent quant à la sécurité est volontairement mis sur des actes simples et concrets (bonnes pratiques au quotidien), compris dans les deux prochaines sections. Du moins jusqu’à nouvel avis, les thématiques du règlement communal sur la protection des données ou du registre central des données ne sont pas prioritaires dans le cadre de ce projet, étant déjà réalisés normalement.

Obligations principales et bonnes pratiques communales

• Autorité de surveillance locale : chaque commune désigne un préposé ou un délégué à la protection des données. En complément aux au règlement communal en question, la note interne de pilotage de l'administration numérique peut être complétée avec sa mention explicite si souhaité (caduc dès 1er septembre 2026 : entrée en vigueur nouvelle LCPD avec autorité cantonale compétente)
• Registre des traitements : recenser toutes les activités impliquant des données personnelles. L'inventaire communal des systèmes et des données peut servir de base au registre.
• Sous-traitance : les contrats avec des prestataires externes doivent garantir la conformité à la LCPD et des sauvegardes régulières. La phase 4 de la feuille de route "maîtriser", qui vise à gérer les contrats et les dépendances, prévoit explicitement cette conformité.
• Sécurité technique : contrôler les accès, chiffrer les données sensibles, assurer la destruction sécurisée des données obsolètes, etc. Ces critères sont indipsensables à chaque transaction numérique et se concrétisent par leur prise en compte dans les processus organisationnnels et fonctionnalités des solutions numériques propres et externalisées.
• Transparence : informer le public sur les finalités des traitements (via site web, règlements, communications officielles, etc.).

Pistes de développement

1) Des modèles de documents liés à la protection des données

À l’image de l’association des communes fribourgeoises, qui a collaboré avec l’autorité cantonale compétente pour développer, sur la base des lois en vigueur, une boîte à outils contenant des modèles de documents pratiques pour les communes, l’association des communes bernoises pourrait envisager une solution similaire, adaptée au cadre légal bernois, une fois les ordonnances mises à jour (en-cours, voir nota bene ci-dessous).

Cette boîte à outils pourrait notamment inclure les modèles suivants :

• Accord de confidentialité avec le personnel communal
• Déclaration de protection des données pour le site Internet
• Formulaire d'opposition

Nota bene

Actuellement, après l’adoption par le Grand Conseil du nouveau droit cantonal sur la protection des données (LCPD), et la nouvelle loi sur la sécurité de l’information et la cybersécurité (LSIC), en 2024 et 2025, les projets de révision d’ordonnances suivants sont en cours :

• ordonnance sur la protection des données (OPD)
• ordonnance sur la sécurité et l’information des données (OSID)

Les présentes recommandations et modèles seront adaptés selon l’entrée en vigueur des dispositions spécifiques bernoises à venir.

Surtout, avec l'entrée en vigueur à l'automne 2026 de la LCPD révisée, un bureau cantonal de la protection des données devrait être constitué dès 2027, ce qui permettra de développer les éléments ci-dessus.

La majorité des incidents numériques sont liés à des erreurs humaines. La formation constitue donc l’un des leviers les plus efficaces en matière de prévention. Par ailleurs, toute directive qui n’est pas accompagnée d’une mise en œuvre concrète reste largement inefficace, alors que des actions de formation, même en l’absence de directives formelles, produisent des effets significatifs.

Voici les principales sources de formations en ligne que nous recommandons. Elles sont disponibles gratuitement sur la plateforme « Formation en ligne sur la cybersécurité et la sécurité de l'information pour les villes et les communes »

 Formations recommandées

Cette liste volontairement succincte regroupe les formations essentielles par souci de priorisation. Elle est toutefois appelée à s’étoffer en fonction des besoins effectifs:

► Mot de passe :Sécurité des mots de passe

► Courrier électronique : Sécurité du courrier électronique

► Phishing, Fake News : Cours sur les phishings et fake news

► Protection des données : Cours sur la protection des données

3 conseils pour les formations

1) Formation courte, répétée, non technique
Recommandation alignée avec le concept de « sensiblisation régulière » de l’OFCS:

• 15–30 minutes, 1× par an minimum
• formats possibles : formation en ligne,  séance d’équipe, capsule vidéo, fiche A4 imprimée.

2) Règles simples et visibles
Rendre accessible et visible au quotidien l’essentiel. Voici un exemple lié à la sécurité des échanges de courriels

• 3 règles d’or:
  1. Ne jamais cliquer dans l’urgence
  2. Vérifier l’expéditeur
  3. En cas de doute → signaler, pas corriger seul

3) Droit à l’erreur
« Un incident signalé à temps n’est pas une faute. »

À expliciter durant les formations et au quotidien. Toute le monde à le droit à l’erreur. Il faut en parler et l’accepter.