#15 Protection des données: à quoi les administrations communales doivent-elles faire attention lors de l’acquisition de logiciels?
La commune de Dänikon (ZH) est à la recherche d’un outil adapté pour l’administration des associations du village. Elle aimerait pouvoir y saisir des données sur les organisations en question et le nom des interlocuteurs afin de gérer les contributions qu’elle leur verse. Elle se demande quelles mesures elle doit prendre pour respecter le droit à la protection des données. La nouvelle législation en la matière prévoit-elle de nouvelles obligations? Ueli Buri nous répond.
Ueli Buri est le président de la Conférence des Préposé(e)s suisses à la protection des données privatim. Celle-ci cherche, par l’échange d’informations continu, à favoriser la coopération entre les autorités cantonales et fédérales chargées de la protection des données, permettant ainsi une utilisation plus efficiente des ressources.
Interview
Monsieur Buri, lorsque, pour l’accomplissement de ses tâches, une commune souhaite acquérir ou utiliser un logiciel spécifique qui traitera notamment des données personnelles, à quoi doit-elle faire attention en matière de protection des données?
La législation sur la protection des données définit des principes clés qui doivent être respectés en tout temps et dont les plus importants sont la légalité, la proportionnalité et la sécurité des données. Le principe de la légalité veut que tout traitement de données personnelles se fonde sur une base légale. Si, comme c’est souvent le cas, la loi ou le règlement communal ne contiennent aucune disposition précise concernant le traitement des données, ils doivent au moins prévoir une tâche publique dont l’accomplissement requiert le traitement de données personnelles. Selon le principe de proportionnalité, seules les données nécessaires peuvent être saisies et traitées. Dans l’exemple cité en préambule, la commune aura certainement besoin des coordonnées d’un interlocuteur par association. En fonction du système de contributions, elle devra aussi connaître le nombre de membres actifs, mais n’aura pas besoin de leur nom ou d’autres informations les concernant. Il faut en outre savoir que les utilisateurs d’un logiciel, soit le personnel de la commune dans le cas susmentionné, laissent des traces numériques dans le journal de l’application (ou log). Si ces informations permettent de déterminer qui a fait quoi et quand, elles sont considérées comme des données personnelles, qui peuvent uniquement être enregistrées et exploitées dans la mesure où cela est nécessaire au bon fonctionnement du logiciel. Et enfin, la sécurité des données implique qu’on veille, par des mesures appropriées, à ce que les données ne soient pas accessibles à des personnes non autorisées (confidentialité), à ce qu’elles ne soient pas falsifiées (intégrité) et à ce qu’elles soient effectivement disponibles lorsqu’on en a besoin (disponibilité).
Faut-il faire attention à certaines fonctions ou caractéristiques en particulier concernant le logiciel? Quels sont les critères à cet égard?
Le logiciel doit être conçu de façon à permettre un traitement licite et sécurisé des données. S’il est connecté à d’autres systèmes ou à Internet, des mécanismes doivent protéger l’application et les données personnelles qu’elle contient des attaques extérieures. Lorsqu’il s’agit de données particulièrement sensibles, il faut s’assurer que seuls les collaborateurs qui en ont réellement besoin pour accomplir leurs tâches y aient accès (authentification forte, droits d’accès restreints, éventuellement chiffrage des données). Les données dont on n’a plus besoin devant être détruites, le logiciel doit pouvoir, d’un point de vue technique, les supprimer irrémédiablement. Si la suppression ne s’effectue pas automatiquement après l’expiration du délai de conservation, il faut définir une réglementation établissant qui se charge de la destruction des données et quand.
Existe-t-il pour les tâches spécifiques fréquentes des listes recensant les logiciels recommandés ou ne présentant aucun risque?
En tant qu’autorité de surveillance indépendante, nous ne recommandons pas de produits en particulier et ne tenons donc pas de listes. Il serait en outre difficile de qualifier un logiciel comme «ne présentant aucun risque», car une éventuelle vulnérabilité ne dépend jamais uniquement du logiciel, mais souvent aussi de sa configuration et, dans tous les cas, de l’utilisation qu’en fait la commune.
À qui les communes peuvent-elles adresser leurs questions en la matière?
Tout dépend de la législation cantonale: dans quelques rares cantons, notamment à Berne, les communes doivent avoir une autorité propre chargée de la protection des données. Dans d’autres cantons, les communes peuvent en avoir une ou s’adresser à l’autorité de surveillance cantonale, qui est aussi responsable de fournir des conseils en la matière.
Comme vous le savez, une nouvelle loi fédérale sur la protection des données est entrée en vigueur le 1er septembre 2023. Cela a-t-il des répercussions pour les communes?
La loi fédérale sur la protection des données (LPD) s’applique au traitement de données personnelles par les particuliers, dont font partie toutes les entreprises de droit privé, et par les organes fédéraux. Les tâches publiques des communes ne sont quant à elles pas soumises à la LPD, mais à la loi cantonale ad hoc. Les principes cités plus haut, à savoir la légalité, la proportionnalité et la sécurité des données, figurent également dans toutes les lois cantonales.
Les communes posent leurs questions au guide pratique du numérique
La commune de Dänikon (ZH) a posé sa question sur les outils et la protection des données en passant par le guide pratique du numérique. Ce service est proposé par l’association Ma commune, qui l’a mis sur pied en partenariat avec l’Administration numérique suisse et l’Association des communes suisses.