Obligations en matière de protection des données
Les autorités cantonales sont responsables de la protection des données. Elles ont certaines obligations. Les premières d’entre elles sont présentées ci-après.
Analyse SIPD et concept SIPD
Dans le cadre de l’utilisation des technologies de l’information et de la télécommunication (TIC), le service responsable réalise une analyse de la sûreté de l’information et de la protection des données (SIPD) durant la phase d’analyse pré-liminaire. Il évalue la conformité du projet TIC à la législation de la protection des données et détermine à l’aide d’une classification du besoin de protection si le projet informatique présente des exigences poussées en matière de SIPD.
S’il ressort de l’analyse SIPD qu’il n’existe pas d’exigences poussées, le service responsable s’assure de deux choses lors de la mise en service de l’application TIC: du respect des prescriptions déterminantes en matière de protection des données et de la garantie de la sécurité de l’information au minimum par la mise en œuvre des mesures de protection de base SIPD. Par contre, si l’analyse met en lumière des exigences SIPD poussées, il convient d’élaborer un concept SIPD au plus tard durant la phase de conception.
Contrôle préalable
Si une autorité prévoit de traiter électroniquement les données personnelles d’un nombre important de personnes, elle soumet auparavant le traitement des données envisagé au Bureau pour la surveillance de la protection des données (BPD) en vue de sa prise de position selon les conditions prévues par la législation. Le traitement des données envisagé prend la forme d’un concept SIPD. Les modifications importantes concernant de tels traitements de données doivent aussi être soumises au BPD.
Tout recours à la vidéosurveillance doit avoir fait l’objet d’un contrôle préalable auprès du BPD.
Transmission des projets d’actes législatifs et d’autres mesures liés à la protection des données
Les autorités transmettent au BPD les projets d’actes législatifs et d’autres mesures qui le concernent pour qu’il puisse prendre position.
Inscription des registres des fichiers établis
Le BPD publie sur Internet un registre des fichiers établis dans le canton, dans la commune ou une autre collectivité de droit communal, ou au sein de l’Église nationale ou de l’une de ses entités régionales. L’autorité responsable établit la partie du registre qui concerne ses fichiers selon les consignes du BPD et la met à jour.
Notification des violations de la protection des données
Pour le moment, la législation n’impose la notification des violations de la protection des données que dans les domaines de la poursuite pénale et de l’exécution des peines. Toutefois, le BPD recommande aux autorités de lui communiquer immédiatement toutes les violations de ce type.