Le Bureau pour la surveillance de la protection des données a été confronté à cette situation dans les treize services régionaux du service psychologique pour enfants et adolescents. Lors d’un contrôle du nouveau système de gestion des affaires dudit service, il a constaté que la Direction de l’instruction publique avait changé l’environnement des postes de travail et que la modification du système d’exploitation qui en résultait entraînait l’abandon de la connexion au réseau chiffrée et sécurisée utilisée jusqu’alors. Aucun des participants n’en avait conscience. Il a fallu l’intervention du Bureau pour que la Direction de l’instruction publique résolve le problème.
Éviter à tout prix la boîte noire
Le Bureau constate de plus en plus souvent que les unités administratives ont de la peine à comprendre le fonctionnement des systèmes informatiques. Il cite plusieurs exemples : le système cantonal de gestion des affaires GEVER, qui permet l’archivage électronique des documents, la solution d’impression BE-Print, le poste de travail cantonal 2.x, les services en ligne. Alors que certains services se sentent déchargés de tâches informatiques exigeantes, d’autres ont le sentiment de perdre la maîtrise de leurs données. La boîte noire n’est pas un problème propre aux services informatiques centralisés du canton, le risque de perte de maîtrise étant ressenti aussi par les services qui ont délégué leurs tâches informatiques à des prestataires externes, comme la police l’a fait avec Swisscom par exemple.
Des responsabilités clairement définies
En vertu de la loi sur la protection des données, la responsabilité de la gestion des données incombe aux services de l’administration. Chacun d’eux répond des données qu’il traite dans le cadre de l’accomplissement de ses tâches. Il doit se faire aider par les services concernés, pour pouvoir prouver que ses pratiques sont conformes à la protection des données, comme l’exige du reste la législation européenne en préparation. Le Bureau a participé à la transposition des prescriptions européennes dans le droit cantonal.
L’infrastructure d’impression en cause
Mis à part un examen de la protection de base de l’infrastructure informatique de la police cantonale et des applications informatiques des écoles du niveau secondaire II, le Bureau a contrôlé l’infrastructure d’impression BE-Print. Il est apparu que la transmission chiffrée des données est lacunaire. De nombreux services ignorent qu’imprimer revient à transmettre des données au serveur d’un centre informatique situé dans le canton de Berne, ensuite renvoyées vers le poste d’impression local.