4. Maîtriser : en gérant les contrats et les dépendances
La commune doit toujours être en mesure de comprendre où sont ses données, qui y a accès, et comment les récupérer.
Objectif
Renforcer la souveraineté numérique communale en évitant les situations de dépendance excessive à un prestataire unique (vendor lock-in).
Il ne s’agit pas de tout renégocier ni de changer de prestataire, mais de reprendre la maîtrise minimale des données, des accès et des conditions de sortie.
Valeur pour la commune
- effort modéré pour un impact élevé, et réaliste pour des communes de petite taille,
- assurer la conformité aux lois et ordonnances sur la protection des données bernoises,
- permettre la gestion en cas d’incident (cyberattaque, faillite, conflit contractuel)
Quand appliquer cette étape ?
- Lors de chaque renouvellement contractuel
- Lors de nouveaux projets numériques
⇒ Rythme recommandé : 1 à 2 contrats clés par an.
Les étapes à réaliser
L’OFCS, dans le cadre de son concept « Cybersécurité tout au long de la chaîne logistique », à définit un guide en 7 étapes. Prévues par des grandes structures, pour des grandes structures.
Les étapes ci-dessous ont été adaptées aux réalités des communes du Grand Chasseral, et afin d'éviter les doublons avec des tâches déjà réalisées dans le cadre de la présente feuille de route.
À partir de l’inventaire numnérique communal (étape 2 de la feuille de route), repérer les contrats renouvelables avec des prestataires ou pour l’hébergement de données communales.
En priorité :
- les systèmes critiques (finances, habitants, social, écoles),
- les prestations externalisées (cloud, hébergement, IT managé).
Cette étape correspond aux étapes 1 et du 2 du guide de l’OFCS.
► Checklist pour contractualisation
La checklist se base sur l'exemple mis à disposition par l'OFCS, ayant été simplifiée et structurée pour les besoins des communes du Grand Chasseral.
Une logique orientée vers des mesures concrètes
Au-delà d’une conformité générale à des normes parfois floues ou abstraites, les éléments proposés visent surtout à garantir des engagements concrets et vérifiables, par exemple :
- partage d’informations à une fréquence définie,
- preuve de l’existence d’outils et de procédures,
- audits réalisés par des tiers indépendants,
- obligations claires en cas d’incident.
Comment l'appliquer ?
La checklist constitue une base pragmatique et cohérente pour :
- analyser les contrats proposés par des fournisseurs de solutions numériques,
- identifier les clauses existantes, insuffisantes ou manquantes,
- et surtout ouvrir les discussions sur les points essentiels à clarifier, renforcer ou ajouter.
L’objectif n’est pas de négocier dans le détail technique, mais de reprendre la maîtrise contractuelle sur des enjeux critiques, en particulier en matière de cybersécurité et de protection des données, auxquelles les communes sont légalement soumises.
Les éléments sont volontairement formulés à un niveau global, afin de rester accessibles, transversaux et adaptables aux réalités de chaque relation.
Une approche simplifiée lorsque la négociation détaillée n’est pas possible
Lorsque les moyens, le temps ou les compétences ne permettent pas une négociation point par point, une approche encore plus pragmatique reste possible en s’appuyant sur deux éléments centraux, qui assurent une conformité minimale :
- un label de cybersécurité reconnu en Suisse, tel que CyberSafe ou CyberSeal,
- une garantie explicite de conformité à la LCPD bernoise, ou à défaut à la LPD suisse.
Ces labels et garanties, lorsqu’ils sont vérifiés par des tiers indépendants (et non simplement déclarés par le prestataire), couvrent généralement des aspects relevant des quatre dimensions présentées ci-dessous.
Les points de la checklist sont regroupés selon quatre catégories, qui couvrent les dimensions clés des relations avec les fournisseurs numériques:
1. Mesures de protection des données
Ces mesures visent avant tout à garantir le respect des bases légales applicables, en particulier la loi cantonale bernoise sur la protection des données (LCPD), à laquelle les communes sont soumises.
Concrètement, il s’agit notamment de :
- limiter le traitement aux données strictement nécessaires,
- clarifier le traitement des données sensibles,
- et prévoir des règles claires concernant la destruction des données lorsqu’elles ne sont plus nécessaires.
D’autres exigences peuvent bien entendu être ajoutées dans le même esprit, selon la nature des données traitées et les risques identifiés.
2. Mesures de sécurité
Cette catégorie concerne les mesures techniques et organisationnelles mises en place par le fournisseur pour protéger ses systèmes et les données confiées.
Elle inclut notamment :
- les sauvegardes et la capacité de restauration,
- les dispositifs de protection contre les virus, malwares et autres cybermenaces,
- le chiffrement des données, tant lors des échanges que du stockage,
- mais aussi – point central – la possibilité de prouver l’existence et l’efficacité de ces mesures (audits, certifications, attestations).
3. Mesures de transparence
Les mesures de transparence visent à éviter les zones d’ombre fréquentes dans les prestations numériques.
Elles cherchent notamment à :
- rendre visibles les accès aux données (qui, quand, à quoi),
- obliger le prestataire à déclarer toute sous-traitance,
- et garantir que les sous-traitants sont soumis aux mêmes exigences que le fournisseur principal.
4. Mesures en cas de cyberincident
Enfin, cette catégorie vise à anticiper l’inévitable : les incidents de sécurité.
Les mesures proposées ont pour objectif de :
- garantir une information rapide et structurée en cas d’incident,
- définir des procédures partagées (notification, gestion, correction),
- clarifier les responsabilités, tant opérationnelles que financières.
Cette étape correspond aux étapes 3 à 7 du guide de l’OFCS, qui prévoit des audits internes et externes sur la base de questions relatives à la liste susmentionnée.
En complément à ces négociations, la prochaine section propose 3 clauses minimales à intégrer pour une approche simplifiée.
En complément de ces exigences générales, la section suivante propose trois clauses essentielles, volontairement organisationnelles et peu techniques, qui permettent de garantir a minima :
- l’accès à l’information,
- l’existence de sauvegardes fiables,
- et une gestion structurée des incidents.
Ces clauses constituent un socle minimal réaliste, même dans des contextes de négociation contraints.
Clause d’externalisation / réversibilité
Objectif
Éviter le verrouillage technologique (vendor lock-in) et garantir à la commune la possibilité de changer de prestataire sans perte de données ni dépendance excessive.
Phrase-type à intégrer (adaptable)
En cas de fin de contrat, pour quelque motif que ce soit, le prestataire s’engage à restituer à la commune l’ensemble des données traitées pour son compte, dans des formats standards, ouverts et exploitables, dans un délai maximal convenu. Le prestataire garantit la suppression complète et définitive de toute copie des données encore en sa possession, sauf obligation légale contraire.
Clause « cyberincident & disponibilité »
Objectif
Assurer à la commune une information rapide et un soutien effectif du prestataire en cas de cyberincident, afin de limiter les impacts opérationnels, juridiques et réputationnels.
Phrase-type à intégrer (adaptable)
Le prestataire s’engage à informer immédiatement la commune de tout incident de sécurité susceptible d’affecter les données ou les systèmes communaux. Il garantit sa disponibilité pendant toute la durée de la gestion de l’incident et respecte les délais de réaction et d’escalade définis contractuellement.
Clause « sauvegardes & capacité de restauration »
Objectif
Garantir la capacité de la commune à restaurer ses données et ses services en cas d’incident, indépendamment de la situation du prestataire. Selon l’OFCS, basé sur les retours de cantons et communes : « La majorité des communes victimes de cyberincidents auraient pu fortement limiter les dégâts avec des sauvegardes adéquates. »
Phrase-type à intégrer (adaptable)
Le prestataire met en place des sauvegardes régulières des données communales, conservées de manière sécurisée et séparée des systèmes de production. Les procédures de restauration sont documentées et testées au minimum une fois par an. La commune dispose des informations nécessaires pour vérifier l’existence et avoir accès à ces sauvegardes.
Suites possibles...
L’Association des communes fribourgeoises, propose par exemple les modèles de contrats dans sa boîte à outils de la protection des données, spécifiques à la loi fribourgeoise :
- Accord de confidentialité avec le prestataire
- Contrat de sous-traitance
- Externalisation
Si besoin, vous pouvez vous inspirer de certaines formulations et les adapter pour la loi bernoise et nous les partager ensuite. Nous pourrions également, sur base d’un besoin concret, entreprendre les démarches pour vous.
Le minimum absolu :
► Vérifications de conformité : Cybersafe/Cyberseal et LCPD/LPD
► Clauses essentielles (voir section 3 de la présente page)
Une base pour la gestion des contrats :
