Devoirs des autorités

Les autorités cantonales ont certaines obligations en matière de protection des données. Les premières d’entre elles sont présentées ci-après.

Dans le cadre de l’utilisation des technologies de l’information et de la télécommunication (TIC), le service responsable réalise une analyse de la sûreté de l’information et de la protection des données (SIPD) durant la phase d’analyse pré-liminaire. Il évalue la conformité du projet TIC à la législation de la protection des données et détermine à l’aide d’une classification du besoin de protection si le projet informatique présente des exigences poussées en matière de SIPD. 

S’il ressort de l’analyse SIPD qu’il n’existe pas d’exigences poussées, le service responsable s’assure de deux choses lors de la mise en service de l’application TIC: du respect des prescriptions déterminantes en matière de protection des données et de la garantie de la sécurité de l’information au minimum par la mise en œuvre des mesures de protection de base SIPD. Par contre, si l’analyse met en lumière des exigences SIPD poussées, il convient d’élaborer un concept SIPD au plus tard durant la phase de conception.

Si une autorité prévoit de traiter électroniquement les données personnelles d’un nombre important de personnes, elle soumet auparavant le traitement des données envisagé au Bureau pour la surveillance de la protection des données (BPD) en vue de sa prise de position selon les conditions prévues par la législation. Le traitement des données envisagé prend la forme d’un concept SIPD. Les modifications importantes concernant de tels traitements de données doivent aussi être soumises au BPD.

Les autorités transmettent au BPD les projets d’actes législatifs et d’autres mesures qui le concernent pour qu’il puisse prendre position. 

Le BPD publie sur Internet un registre des fichiers établis dans le canton, dans la commune ou une autre collectivité de droit communal, ou au sein de l’Église nationale ou de l’une de ses entités régionales. L’autorité responsable établit la partie du registre qui concerne ses fichiers selon les consignes du BPD et la met à jour.

Pour le moment, la législation n’impose la notification des violations de la protection des données que dans les domaines de la poursuite pénale et de l’exécution des peines. Toutefois, le BPD recommande aux autorités de lui communiquer immédiatement toutes les violations de ce type.