Il est prévu que la loi sur la protection des données (LCPD) révisée entre en vigueur le 1er septembre 2026. La principale nouveauté concerne plus de 1000 communes et autres collectivités de droit communal dans le canton de Berne: celles-ci n’auront désormais plus leur propre autorité de protection des données mais relèveront de la compétence de l’autorité cantonale (auparavant Bureau pour la surveillance de la protection des données). Des questions nous sont déjà posées, à l’heure actuelle, concernant la période transitoire. Nous les avons rassemblées et compétées et y avons apporté des réponses. La présente FAQ est de nature provisoire, sera disponible jusqu’à fin 2026 au moins et étoffée si nécessaire.
Oui. Comme la LCPD actuelle, la loi révisée s’applique à toutes les collectivités de droit communal. Après son entrée en vigueur, les collectivités comptant moins de 25 000 habitantes et habitants ou membres – soit aussi les communes bourgeoises, les paroisses, les syndicats de communes et les corporations de digues – relèveront de la compétence de l’autorité cantonale de protection des données. Seules les communes comptant plus de 25 000 habitantes et habitants (soit, actuellement, Berne, Bienne, Köniz et Thoune) conserveront leur propre autorité de protection des données.
Vous devez en principe vérifier tous les règlements qui régissent la surveillance de la protection des données. Dans certaines communes, il s’agit du règlement d’organisation, d’autres ont un règlement relatif à la protection des données. C’est surtout les compétences qu’il convient d’adapter. À compter de l’entrée en vigueur de la nouvelle LCPD, l’autorité cantonale de protection des données est responsable de toutes les collectivités de droit communal de moins de 25 000 habitantes et habitants ou membres. Les communes concernées doivent par conséquent radier tous les passages de leurs règlements qui désignent une autorité communale de surveillance de la protection des données (p. ex. l’organe de vérification des comptes). Les communes n’ayant pas de marge de manœuvre en matière de réglementation, un simple arrêté du conseil communal à cet égard suffit.
Exception faite de la question de la compétence, la nouvelle LCPD n’introduit pas de grands changements. Par mesure de sécurité, vous pouvez comparer votre règlement au projet de loi (projet soumis au référendum). Il n’y a pas d’urgence: le droit supérieur primera les dispositions de votre règlement qui ne seraient plus d’actualité.
Pas nécessairement. Depuis la révision de la loi cantonale sur l’information et l’aide aux médias en 2024, les communes ne sont plus tenues de disposer d’une ordonnance propre pour publier des données personnelles sur Internet. Une ordonnance selon le modèle proposé par l’Office des affaires communales et de l’organisation du territoire (OACOT) est toutefois plus détaillée et plus concrète que le droit cantonal et peut par conséquent être utile dans la pratique.
Non. Les réglementations relatives à la communication de renseignements (sous forme de listes) par le contrôle des habitantes et des habitants ne changent pas, elles sont simplement transférées dans un autre acte législatif (la loi sur l’établissement et le séjour des Suissesses et des Suisses). Contexte: la LCPD établit les principes de la protection des données. L’application de ces principes est réglée dans des lois et ordonnances spéciales. C’est la raison pour laquelle l’article 12 («Communication par le contrôle des habitants») n’avait pas sa place dans cette loi: il est à présent transféré dans une autre loi.
Non. Les dispositions relatives au registre des fichiers ne changent pas. Tous les fichiers qui contiennent des données personnelles devront continuer d’être inscrits dans le registre. La transparence est ainsi garantie et les personnes concernées peuvent savoir quelle autorité traite quel type de données les concernant et présenter une demande de renseignements ciblée au besoin. Les autorités des communes et des Églises nationales continuent aussi de tenir leur propre registre. La proposition du Conseil-exécutif, qui consistait à limiter les registres aux données sensibles, a été refusée par la majorité de la commission compétente du Grand Conseil et par la majorité du Grand Conseil.
Il n’est pas possible de le dire. En réalité, aucune commune ne doit s’attendre à des visites de contrôle régulières. Tout d’abord, les ressources en personnel de l’autorité cantonale de protection des données sont limitées. De plus, la planification des contrôles dépend de plusieurs facteurs (voir la question suivante). Enfin, nous travaillons en collaboration avec les préfectures, qui posent des questions relatives à la sécurité des données dans le cadre de leurs visites de contrôle.
Cela dépend du type de contrôle. Dans le cas des contrôles préalables, ce sont les communes elles-mêmes qui sont aux manettes: qu’elles prévoient un nouveau traitement électronique de données personnelles, l’introduction d’un nouveau logiciel ou une vidéosurveillance, elles doivent annoncer leur projet à l’autorité cantonale de protection des données en vue de la réalisation d’un contrôle préalable si
- le projet présente des risques élevés pour les personnes concernées en l’absence de mesures adéquates (p. ex. parce que des données sensibles sont traitées) ou que
- 1000 personnes ou plus sont concernées.
Nous recommandons une annonce aussi précoce que possible, la procédure de contrôle préalable pouvant nécessiter plusieurs mois.
Des audits (à savoir les contrôles qui concernent des logiciels déjà en service ou des traitements de données en cours) sont organisés en fonction des besoins et des risques. Pour donner un ordre de grandeur: jusqu’à présent, le BPD a réalisé une dizaine d’audits par année après des autorités cantonales et des hôpitaux. Il n’en réalisera probablement pas plus, étant donné que plus de 1000 collectivités de droit communal relèveront de sa compétence. La probabilité pour une commune de ne pas être soumise à un contrôle est par conséquent élevée.
Oui. La nouvelle LCPD exige de toutes les autorités qu’elles annoncent à l’autorité de protection des données les cas de violation de la sécurité des données. Il peut s’agir de courriels envoyés à un autre destinataire que prévu, d’un traitement illégal ou d’une fuite de données mais aussi d’un vol de données ou d’un dossier contenant des données personnelles oublié par erreur dans le train ou un café. Important: le but de ces annonces n’est pas la sanction. L’autorité de protection des données a plutôt pour vocation de prodiguer des conseils quant aux mesures devant être prises afin de limiter les dégâts et d’éviter de nouveaux cas.
Par ailleurs, les communes doivent soumettre leurs projets de règlements ou d’ordonnances qui ont des conséquences notables sur la protection des données (p. ex. parce qu’ils impliquent le traitement de données sensibles ou parce qu’ils prévoient une vidéosurveillance) à l’autorité de protection des données afin qu’elle prenne position à leur égard.
Non. Les autorités qui traitent des données restent responsables du respect des dispositions légales – même dans le cas où l’autorité de protection des données a réalisé un contrôle préalable. Les rapports de contrôle préalable élaborés par l’autorité de protection des données constituent, du point de vue juridique, des appréciations/recommandations – et non pas des autorisations entrées en force. En cas de problème, ils peuvent toutefois permettre de prouver que l’autorité concernée a rempli son devoir de diligence et n’a pas fait preuve de négligence.
L’autorité de protection des données planifie en principe les contrôles en fonction des besoins et de l’urgence. La nouvelle LCPD impliquant pour nous aussi de gros changements, toute aide est bienvenue. Si vous souhaitez qu’une visite de contrôle soit effectuée dans votre commune, vous pouvez volontiers nous l’annoncer. Nous ferons notre possible pour répondre à votre demande mais ne pouvons offrir aucune garantie.
Nous souhaitons tout d’abord vous remercier pour votre collaboration. Les informations que vous nous avez fournies constituent une aide précieuse pour planifier notre offre. Nous essayons de mettre au point les premiers outils et d’adapter notre site Internet en fonction des besoins de manière à ce qu’ils soient prêts au moment de l’entrée en vigueur de la nouvelle LCPD. Nous devons toutefois continuer d’accomplir nos tâches quotidiennes et nous n’avons pu engager du personnel supplémentaire qu’à partir de septembre. Nous vous demandons par conséquent de faire preuve de patience, si votre demande n’a pas (encore) été prise en considération. Nous allons aussi fixer des priorités et nous concen-trer sur les outils les plus demandés.
Oui, jusqu’à l’entrée en vigueur de la nouvelle LCPD. Le dernier rapport établi par votre autorité de surveillance doit couvrir la période allant jusqu’au 31 août 2026. À compter du 1er septembre, c’est l’autorité cantonale de protection des données qui sera compétente, si votre commune ou collectivité compte moins de 25 000 habitantes et habitants ou membres. Cette autorité établit un rapport d’activité à votre intention si cela est nécessaire – mais, en règle générale, elle ne le fait pas.
Si. Les préfectures et l’OACOT continueront de répondre aux questions de portée générale relatives à la protection des données – surtout en ce qui concerne leur domaine de compétence (droit communal).
Les citoyennes et les citoyens peuvent s’adresser directement à l’autorité cantonale de protection des données.
Vous avez une question qui ne figure pas dans la FAQ ou dont la réponse ne vous donne pas entière satisfaction? Contactez-nous!