Lexipedia

152.040.1

Ordonnance sur la protection des données

(OPD)

du 22.10.2008 (état au 01.11.2020)

Préambule

Le Conseil-exécutif du canton de Berne,

vu l’article 38 de la loi du 19 février 1986 sur la protection des données (LCPD)[1],

sur proposition de la Direction de la justice, des affaires communales et des affaires ecclésiastiques,

arrête:

1 Blocage des données

Art. 1

L’autorité responsable confirme par écrit la décision d’ordonner le blocage des données (art. 13 LCPD) à la personne qui le requiert.

La demande de blocage des données et la confirmation de celui-ci peuvent être faites par voie électronique, pour autant que l’autorité responsable ait pris des mesures adéquates afin

  1. d’assurer l’identification de la personne concernée et
  2. de protéger les données de la personne concernée de tout accès de tiers non autorisés lors du traitement de la demande.

2 Communication à l’étranger

Art. 2 Publication sous forme électronique

Si des données personnelles sont publiées au moyen de services d’information et de communication automatisés afin d’informer le public, l’autorité responsable s’assure que la base légale autorise également la communication de données à l’étranger.

Art. 3 Devoir d’information

Une fois les garanties au sens de l’article 14a, alinéa 2, lettre a LCPD annoncées à l’autorité de surveillance, le devoir d’information est réputé également rempli pour toutes les communications qui se basent sur les mêmes garanties pour autant que les catégories de destinataires, les finalités du traitement et les catégories de données communiquées soient similaires.

Le devoir d’information est également réputé rempli lorsque les données sont communiquées au moyen de contrats modèles ou de clauses standards établis ou reconnus par le Préposé fédéral à la protection des données et à la transparence et que l’autorité responsable informe l’autorité de surveillance qu’elle recourt à ces contrats modèles ou à ces clauses standards.

L’autorité responsable prend des mesures pour s’assurer que le ou la destinataire respecte les garanties.

3 Mesures techniques et organisationnelles

Art. 4 Principe

L’autorité responsable qui traite des données personnelles ou qui met à disposition un réseau télématique assure par des mesures techniques et organisationnelles la confidentialité, la disponibilité et l’exactitude des données (art. 17 LCPD). Elle protège notamment les systèmes contre les risques

  1. de destruction accidentelle ou non autorisée,
  2. de perte accidentelle,
  3. d’erreurs techniques,
  4. de falsification, vol ou utilisation illicite,
  5. de modification, copie, accès ou autre traitement non autorisés.

Les mesures doivent être appropriées. Elles tiennent compte en particulier des critères suivants:

  1. but du traitement des données,
  2. nature et étendue du traitement des données,
  3. évaluation des risques potentiels pour les personnes concernées,
  4. développement technique.

Les risques et les mesures font l’objet d’un examen périodique.

Art. 5 Mesures particulières

L’autorité responsable prend, en particulier lors de traitements électroniques de données personnelles, les mesures techniques et organisationnelles suivantes:

  1. contrôle des installations à l’entrée: les personnes non autorisées n’ont pas accès aux locaux et aux installations utilisées pour le traitement de données personnelles;
  2. contrôle des supports de données personnelles: les personnes non autorisées ne peuvent pas lire, copier, modifier ou éloigner des supports de données;
  3. contrôle du transport: les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de support de données;
  4. contrôle de communication: les destinataires auxquels des données personnelles sont communiquées à l’aide d’installations de transmission doivent pouvoir être identifiés;
  5. contrôle de mémoire: les personnes non autorisées ne peuvent ni introduire des données personnelles dans la mémoire ni prendre connaissance de données mémorisées, les modifier ou les effacer;
  6. contrôle d’utilisation: les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d’installations de transmission;
  7. contrôle d’accès: les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches;
  8. contrôle de l’introduction: l’identité des personnes introduisant des données personnelles dans le système, ainsi que les données introduites et le moment de leur introduction peuvent être vérifiés a posteriori.

Les fichiers doivent être organisés de manière à permettre à la personne concernée d’exercer ses droits d’accès et de rectification.

Art. 6 Journalisation

L’autorité responsable journalise les traitements automatisés de données personnelles particulièrement dignes de protection ou de données personnelles pour lesquelles il existe une obligation particulière de garder le secret lorsque les mesures préventives ne suffisent pas à garantir la protection des données.

Une journalisation est notamment nécessaire, lorsque, sans cette mesure, il ne serait pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées.

Les procès-verbaux de journalisation sont conservés durant une année et sous une forme répondant aux exigences de révision. Ils sont accessibles aux seuls organes chargés de vérifier l’application des dispositions de protection des données personnelles et ne peuvent être utilisés qu’à cette fin. Les prescriptions dérogatoires de la législation ou d’autorisations d’exploitation sont réservées.

4 Contrôle préalable

Art. 7 Définitions

Des moyens techniques présentent des risques particuliers pour les droits et les libertés des personnes concernées au sens de l’article 17a, alinéa 1, lettre d LCPD en particulier lorsque des données personnelles

  1. sont enregistrées sur des supports de données que la personne concernée porte sur elle;
  2. sont enregistrées sur des puces RFID (transpondeurs passifs d’identification par radiofréquence);
  3. sont transmises par l’intermédiaire de liaisons sans fil, pour autant qu’il ne s’agisse pas de liaisons radiotéléphoniques et de liaisons sans fil de terminaux de paiement dont la sûreté pour les transactions commerciales a déjà été examinée;
  4. sont recueillies avec des appareils d’enregistrement et de traitement de l’image.

Il en va de même lorsque

  1. des données personnelles particulièrement dignes de protection sont transférées par l’intermédiaire de réseaux publics;
  2. un accès limité à des données émanant d’une banque de données personnelles doit être octroyé à des particuliers par l’intermédiaire d’Internet.

Une modification est réputée importante au sens de l’article 17a, alinéa 2 LCPD en particulier lorsque

  1. les moyens ou le but du traitement des données se modifient considérablement ou que
  2. la modification remplit à elle seule les conditions d’un contrôle préalable.

La seule modification de l’étendue d’un traitement de données ne constitue pas une modification importante.

Art. 8 Renonciation au contrôle préalable

Les communes et d’autres collectivités de droit communal peuvent renoncer à un contrôle préalable si

  1. elles utilisent des systèmes ou des programmes de traitement des données pour lesquels il existe une certification au sens de l’article 11 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)[2] et que celle-ci porte aussi bien sur la sécurité informatique que sur la protection des données ou si
  2. le traitement des données, y compris les traitements des données archivées électroniquement, concerne moins de 500 personnes.

Art. 9 Délégation

Pour les projets informatiques du canton et les projets informatiques auxquels le canton octroie des indemnités en vertu de la législation spéciale, la Direction des finances réglemente, par une ordonnance de Direction,

  1. l’analyse de la sécurité informatique et de la protection des données,
  2. le contrôle préalable et la date à laquelle il est effectué,
  3. les consignes de sécurité informatique et de protection des données.

5 Registre des fichiers

Art. 10

Ne sont pas inscrits au registre les fichiers qui

  1. sont utilisés pendant deux ans au plus,
  2. sont conservés aux Archives de l’Etat ou aux archives communales ou
  3. sont accessibles au public sous la forme d’annuaires.

6 Droit d’accès

Art. 11 Modalités

Les renseignements sont fournis dans les 30 jours suivant la réception de la demande. Il en va de même pour une décision restreignant le droit d’accès (art. 21 et 22 LCPD). Si les renseignements ne peuvent pas être donnés dans les 30 jours, l’autorité responsable en avertit la personne requérante et lui indique le délai dans lequel interviendra la réponse.

La demande d’accès et la communication des renseignements demandés peuvent être faites par voie électronique, pour autant que l’autorité responsable prenne des mesures adéquates afin

  1. d’assurer l’identification de la personne concernée et
  2. de protéger les données de la personne concernée de tout accès de tiers non autorisés lors de la communication des renseignements.

Art. 12 Consultation de données de personnes décédées

La consultation des données d’une personne décédée est accordée lorsque la personne requérante justifie un intérêt à la consultation et qu’aucun intérêt prépondérant de proches de la personne décédée ou de tiers ne s’y oppose. Un intérêt est établi en cas de proche parenté, de mariage ou de partenariat enregistré avec la personne décédée. Des obligations particulières de garder le secret sont réservées.

7 Autorité de surveillance de la protection des données, organes de contact pour la protection des données

Art. 13 Documentation

Les autorités responsables communiquent à l’autorité de surveillance tous leurs projets législatifs et d’autres mesures au sens de l’article 34, alinéa 1, lettre k LCPD, qui concernent le traitement de données personnelles et la protection des données.

En matière de protection des données, les Directions et la Chancellerie d’Etat communiquent à l’autorité cantonale de surveillance leurs décisions et leurs décisions sur recours sous une forme anonymisée.

Art. 14 Communes, compétence en matière d’autorisation de dépenses

A moins que les communes et les autres collectivités de droit communal n’adoptent une réglementation dérogatoire, leurs autorités de surveillance disposent annuellement de la compétence en matière d’autorisation de dépenses suivante:

  1. 1000 francs pour les petites collectivités au sens de l’article 64a de l’ordonnance sur les communes[3],
  2. 5000 francs pour les communes de 10 000 habitants au plus et pour les autres collectivités de droit communal,
  3. 10 000 francs pour les communes de plus de 10 000 habitants.

Art. 15 Organe de contact pour la protection des données

La Chancellerie d’Etat et chaque Direction désignent au minimum un organe de contact pour la protection des données. Celuici a pour tâches de

  1. conseiller les unités administratives en matière de protection des données;
  2. transmettre les questions auxquelles il n’est pas en mesure de répondre à l’autorité cantonale de surveillance de la protection des données;
  3. soutenir les organes responsables ainsi que les utilisateurs;
  4. promouvoir l’information et la formation des collaborateurs;
  5. concourir à l’application des prescriptions relatives à la protection des données.

Si les Directions et la Chancellerie d’Etat ne désignent aucun autre organe, leurs services juridiques ou les juristes des offices assument la fonction d’organe de contact.

L’Office des affaires communales et de l’organisation du territoire de la Direction de l’intérieur et de la justice conseille les collectivités de droit communal sur les questions de protection des données d’ordre général. Pour les questions spécifiques, les conseils relèvent des services juridiques compétents des Directions et de la Chancellerie d’Etat ou des juristes des offices. L’autorité cantonale de surveillance de la protection des données demeure l’interlocutrice des services de surveillance de la protection des données des collectivités de droit communal. *

8 Procédure et protection juridique

Art. 16 Compétences des autorités de la juridiction administrative

Les compétences des autorités de la juridiction administrative sont régies en principe par les dispositions de la loi du 23 mai 1989 sur la procédure et la juridiction administratives[4].

Les décisions des établissements et des collectivités du canton et celles de personnes privées qui assument des tâches publiques cantonales sont susceptibles de recours auprès de la Direction qui assume la surveillance ou auprès de celle dont le champ d’activité est le plus proche de l’objet du dossier.

Les décisions des organes du Grand Conseil peuvent être déférées au plénum.

9. Dispositions finales

Art. 17 Modification d’actes législatifs

Les actes législatifs suivants sont modifiés:

1. Ordonnance du 26 octobre 1994 sur l’information du public (ordonnance sur l’information; OIn)[5]
2. Ordonnance du 26 juin 1996 sur les procédures de consultation et de corapport (OPC)[6]
3. Ordonnance du 18 octobre 1995 sur l’organisation et les tâches de la Direction de la justice, des affaires communales et des affaires ecclésiastiques (Ordonnance d’organisation JCE, OO JCE)[7]
4. Ordonnance du 22 février 1995 fixant les émoluments de l’administration cantonale (Ordonnance sur les émoluments; OEmo)[8]
5. Ordonnance du 30 novembre 2005 sur les soins hospitaliers (OSH)[9]

Art. 18 Entrée en vigueur

La présente ordonnance entre en vigueur le 1er janvier 2009.

Egress

Berne, le 22 octobre 2008

Au nom du Conseil-exécutif,

la présidente: Egger-Jenzer

le chancelier: Nuspliger

08-119

Tableau des modifications par date de décision

Décision Entrée en vigueur Elément Modification Référence ROB
22.10.2008 01.01.2009 Texte législatif première version 08-119
02.09.2020 01.11.2020 Art. 15 al. 3 modifié 20-091

Tableau des modifications par disposition

Elément Décision Entrée en vigueur Modification Référence ROB
Texte législatif 22.10.2008 01.01.2009 première version 08-119
Art. 15 al. 3 02.09.2020 01.11.2020 modifié 20-091