La protection des données au centre d’un nouveau dispositif législatif

Plusieurs lois et ordonnances entrent en vigueur en 2026. Elles concernent la protection et la sécurité des données:

• le 1^er septembre, la loi cantonale sur la protection des données entièrement révisée (LCPD),
• le 1^er septembre, l’ordonnance cantonale sur la protection des données (OPD),
• le 1^er novembre, la loi sur la sécurité de l'information et la cybersécurité (LSIC)
• le 1^er novembre, l’ordonnance sur la sécurité de l'information et des données (OSID) 

ainsi que des instructions d’exécution.

Les données mentionnées reflètent l’état actuel de la planification. Elles ne seront contraignantes qu’à partir du moment où le Conseil-exécutif aura arrêté leur entrée en vigueur.

Les changements apportés aux textes législatifs ne modifient pas les prescriptions et obligations centrales du droit de la protection des données. Celles-ci sont désormais réglementées plus clairement et déplacées, dans certains cas, dans d’autres lois. La LCPD conserve sa validité pour toutes les autorités cantonales et communales ainsi que pour les personnes privées qui assument des tâches publiques (p. ex. hôpitaux ou établissements particuliers de la scolarité obligatoire). Un principe essentiel reste le même: toute autorité traitant ou faisant traiter des données personnelles dans le but d’accomplir ses tâches légales est responsable de la protection des données. En outre, elle prend les mesures d’ordre technique et organisationnel qui s’imposent pour garantir aux personnes concernées une sécurité des données adéquate par rapport au risque.

La révision de la LCPD vous concerne-t-elle? Nous attirons votre attention sur les points suivants:

• Le Bureau pour la surveillance de la protection des données est renommé autorité cantonale de protection des données. Celle-ci devient responsable de presque toutes les communes municipales, paroisses et communes bourgeoises ainsi que d’autres collectivités de droit public. Seules les communes municipales de Berne, Thoune, Köniz et Biel/Bienne ainsi que des collectivités et des associations comptant au moins 25 000 habitantes, habitants ou membres continuent à disposer de leur propre autorité de surveillance. Les Églises nationales et leurs unités régionales sont également dans ce cas de figure.
• Vous (ou le service compétent) devez nous annoncer toute violation de la sécurité des données représentant un risque élevé pour les personnes concernées. Une fois l’incident connu, cette annonce doit intervenir si possible dans les 72 heures.
• Pour toute ressource TIC n’ayant encore donné lieu à aucune analyse des besoins de protection ni concept SIPD, vous devez, dans un délai d’un an, procéder à une telle analyse. Si celle-ci révèle la nécessité de disposer d’un concept SIPD, celui-ci doit être élaboré dans les deux ans.
• En procédant aux analyses des besoins de protection, vous évaluez également les risques particuliers pour les objets à protéger liés à la collaboration avec des tiers mandatés (p. ex. des prestataires informatiques) et votre dépendance à cet égard. Vous décrivez ces risques dans vos concepts SIPD.

S’agissant de la sécurité des données, la LCPD renvoie aux principes de la loi sur la sécurité de l’information et la cybersécurité (LSIC), qui régit la protection des informations dans l’intérêt public. Par conséquent, il convient aussi de respecter les prescriptions de la nouvelle ordonnance sur la sécurité de l’information et des données (OSID) et des instructions d’exécution qui s’y rapportent. Nous précisons toutefois que les autorités ne sont pas toutes concernées par chacune des dispositions. Quelques-unes d’entre elles ne s’appliquent qu’à ce que l’on nomme les autorités cantonales, c’est-à-dire le Grand Conseil, l’autorité de protection des données, le Contrôle des finances, le Conseil-exécutif, l’administration cantonale, les autorités judiciaires et le Ministère public. Il s’agit avant tout de prescriptions portant sur l’organisation de la sécurité du canton. D’autres, en revanche, concernent toutes les entités soumises à la LCPD, et donc également les communes et les autres organisations chargées de tâches publiques. Les dispositions applicables varient en fonction des cas, selon que vous dépendez uniquement de la LCPD, uniquement de la LSIC ou alors des deux lois. Veuillez consulter les différentes lois et ordonnances et prendre contact avec nous en cas de doute.