17.15
Vu l'article 22 de la loi du 25 novembre 1994 sur la protection des données (LPrD);
Vu les avis de la Commission cantonale de la protection des données et de la Commission informatique de l'Etat;
Sur la proposition de la Direction de la justice, de la police et des affaires militaires,
Le présent règlement fixe les principes généraux et les exigences minimales en matière de sécurité des données personnelles.
Il s'applique à tout traitement de données personnelles soumis à la loi sur la protection des données (LPrD).
Les dispositions spéciales fédérales ou cantonales relatives à la sécurité de certaines applications sont réservées.
Au sens du présent règlement, on entend par:
Pour le reste, les définitions figurant à l'article 3 LPrD s'appliquent.
Les données personnelles doivent être protégées contre toute atteinte à leur confidentialité et contre tout traitement non autorisé.
La protection doit être assurée lors de chaque phase du traitement des données, de la collecte à la destruction; elle doit être assurée à l'égard de toute personne, à l'intérieur comme à l'extérieur de l'administration.
La protection doit être harmonisée avec les mesures visant à assurer la sécurité des documents de l'administration en général, ainsi qu'avec les mesures prises à titre de sécurité informatique.
L'organe public qui traite des données personnelles est responsable de leur sécurité.
Après avoir procédé à une évaluation des risques encourus par les données traitées dans l'accomplissement de ses tâches (art. 8 et 9), il prescrit les mesures propres à assurer leur sécurité (art. 10 et 11).
Il vérifie régulièrement l'application, par les utilisateurs et utilisatrices, des mesures prescrites.
Les collaborateurs et collaboratrices qui traitent des données personnelles sont responsables de l'application des mesures prescrites par l'organe dont ils relèvent.
Lorsque les utilisateurs et utilisatrices sont des mandataires non soumis aux dispositions du présent règlement, leurs responsabilités en matière de sécurité sont définies dans le contrat mentionné à l'article 18 al. 2 LPrD.
Lorsque plusieurs organes publics traitent conjointement des données, la répartition des responsabilités en matière de sécurité entre le responsable du fichier et les participants au fichier doit figurer dans la déclaration du fichier (art. 19 al. 2 let. e LPrD).
Les responsabilités particulières en matière de sécurité informatique du Service de l'informatique et des télécommunications (ci-après: le SITel) ou du service informatique compétent sont réservées.
L'organe public évalue, pour chaque fichier, les risques d'atteinte à la confidentialité des données et les risques de traitement non autorisé; suivant les besoins, il évalue également les risques d'atteinte à l'intégrité et à la disponibilité des données.
Constituent notamment de tels risques:
L'organe public attribue à chaque fichier un degré de confidentialité, selon l'échelle suivante:
Il se fonde sur la nature des données personnelles traitées, sur le but, l'étendue et les formes du traitement, ainsi que sur les préjudices qu'un usage abusif des données peut causer aux personnes concernées.
Au besoin, l'attribution d'un degré de confidentialité peut également porter sur des données ou des catégories de données spécifiques.
L'organe public détermine, en fonction des tâches qu'elles sont appelées à exécuter, les personnes autorisées à accéder aux fichiers ainsi que l'étendue de leurs accès.
L'autorisation d'accès peut également, notamment lors d'un traitement informatisé des données, porter sur des données ou des catégories de données spécifiques.
L'organe public définit, en fonction de l'étendue des risques et du degré de confidentialité des données, les mesures organisationnelles et techniques appropriées; ces mesures peuvent porter aussi bien sur les personnes et les locaux que sur le matériel et la sécurité informatique.
Les mesures doivent être proportionnées aux circonstances, techniquement adaptées, économiquement supportables et applicables en pratique.
L'organe public réévalue périodiquement les risques et le choix des mesures, notamment en fonction des possibilités techniques nouvelles.
La sécurité des données personnelles figurant dans les archives intermédiaires doit être assurée.
Les documents et autres supports de données personnelles qui ne sont pas destinés à être versés aux archives sont détruits de façon appropriée. Toute possibilité de reconstitution des données classées confidentielles ou secrètes doit être écartée.
Les systèmes, applications et réseaux informatiques servant au traitement de données personnelles doivent répondre aux exigences standard de la sécurité informatique.
Ces exigences sont fixées dans la politique de sécurité des systèmes d'information prévue par les dispositions sur la gestion de l'informatique de l'Etat.
La politique de sécurité des systèmes d'information est mise à la disposition des communes. Elle a force obligatoire pour tous les systèmes communaux qui sont reliés au réseau de l'administration cantonale.
Lors d'un traitement informatisé de données, le SITel conseille et assiste les services et établissements de l'administration cantonale pour toute question relative à la sécurité des données personnelles. Les compétences particulières de l'Université et des hautes écoles appartenant à la Haute Ecole spécialisée de Suisse occidentale en matière informatique sont réservées.
Pour tout ce qui concerne la mise en œuvre de la politique de sécurité des systèmes d'information, les communes peuvent également bénéficier des conseils et de l'assistance du SITel. Celui-ci peut facturer les frais y relatifs.
Le SITel, l'Université et les hautes écoles appartenant à la Haute Ecole spécialisée de Suisse occidentale collaborent dans ce domaine avec l'Autorité cantonale de la transparence, de la protection des données et de la médiation.
Les exigences liées à la sécurité des données personnelles doivent être prises en considération dès la conception des applications et des fichiers.
Les coûts y relatifs doivent être intégrés dans la planification financière des applications.
L'accès aux systèmes informatiques permettant le traitement de données personnelles doit être protégé par un dispositif comprenant:
L'accès aux applications et/ou aux fichiers doit également être protégé par un tel dispositif:
Les responsables du système, de l'application ou des fichiers définissent les autorisations individuelles d'accès en fonction des tâches que les utilisateurs et utilisatrices sont appelés à exécuter. Ils désignent un organe chargé de l'administration des accès, qui gère les autorisations d'accès et règle les modalités de la procédure d'authentification sous leur responsabilité.
Lorsque les mesures préventives ne suffisent pas à garantir la sécurité des données personnelles, le traitement des données doit faire l'objet d'une procédure de journalisation.
Les applications et fichiers doivent permettre aux personnes d'exercer leur droit d'accès aux données les concernant (art. 23 à 25 LPrD), ainsi que leurs droits en cas de traitement illicite (droit à la rectification ou à la destruction des données ou droit à l'inscription d'une mention appropriée, art. 26 LPrD).
Les données personnelles classées confidentielles ou secrètes doivent être protégées par cryptage ou par d'autres mesures appropriées lors de leur transmission et de leur stockage.
S'il est impossible de ramener à un niveau raisonnable les risques posés par le réseau principal, le trafic des données doit être isolé de ce dernier par la création d'un réseau virtuel ou par une autre mesure adéquate.
Lors de la mise en place d'une procédure d'appel, les autorisations individuelles d'accès sont définies par le responsable du fichier, en accord avec les destinataires des données.
Le responsable du fichier veille à ce que les destinataires ne puissent pas modifier les données ni en entrer de nouvelles et qu'ils n'aient accès qu'aux données correspondant aux autorisations d'accès.
La procédure d'appel doit être documentée dans un règlement d'utilisation, qui précise notamment les personnes autorisées à accéder aux données, les données mises à leur disposition, la fréquence des interrogations, la procédure d'authentification, les autres mesures de sécurité ainsi que les mesures de contrôle. Une copie du règlement est transmise à l'autorité cantonale ou communale de surveillance en matière de protection des données.
Les dispositions de la présente section s'appliquent aussi au traitement de données effectué sur un réseau de type Internet ou Intranet.
En accord avec l'Autorité cantonale de la transparence, de la protection des données et de la médiation, le SITel et l'Université veillent à fournir aux utilisateurs et utilisatrices qui sont raccordés à ce type de réseau une information générale sur les risques qui y sont liés, notamment en ce qui concerne la messagerie électronique; cette information est également adressée aux communes.
Des mesures spéciales doivent être prises pour éviter toute atteinte à la confidentialité et tout traitement non autorisé lors de la sortie des données sur des appareils périphériques ainsi que lors des opérations de maintenance.
Lorsqu'un système ou une application informatique est doté d'une procédure de journalisation des événements, les fichiers de journalisation sont soumis aux règles de la protection des données, notamment en ce qui concerne la déclaration mentionnée à l'article 19 LPrD.
La conservation, l'exploitation et la destruction des fichiers de journalisation font l'objet d'instructions dans le concept de sécurité informatique prévu par les dispositions sur la gestion de l'informatique de l'Etat.
L'autorité supérieure contrôle l'application, par les organes publics qui lui sont subordonnés, des dispositions du présent règlement.
L'autorité cantonale ou communale de surveillance en matière de protection des données exerce la surveillance externe conformément aux articles 29 et suivants LPrD.
L'organe public contrôlé collabore avec l'autorité de surveillance et lui fournit tous les renseignements nécessaires, notamment ceux qui concernent l'évaluation des risques, la détermination des autorisations d'accès, la définition des mesures organisationnelles et techniques ainsi que les vérifications effectuées.
Les compétences en matière de contrôle de la sécurité informatique du SITel ou, le cas échéant, du service informatique compétent sont réservées.
Lorsque les contrôles effectués mettent au jour des lacunes dans la sécurité des données personnelles, le SITel ou le service informatique compétent en avise le ou la supérieur-e hiérarchique de l'organe public concerné ainsi que l'autorité cantonale ou communale de surveillance en matière de protection des données.
Les collaborateurs et collaboratrices qui, dans l'accomplissement de leurs tâches, constatent des lacunes dans la sécurité des données personnelles d'un autre organe public que celui dont ils relèvent en informent leur chef-fe de service, qui avise l'organe responsable des données.
Les communes qui sont dotées d'équipements et d'applications informatiques anciens et difficilement adaptables aux exigences de la sécurité informatique peuvent, jusqu'au remplacement de ces équipements et applications, se contenter de mesures d'ordre physique pour assurer la sécurité des données personnelles lors de traitements informatisés.
L'arrêté du 22 décembre 1987 concernant la gestion de l'informatique dans l'administration cantonale, l'enseignement et les établissements de l'Etat (RSF 122.96.11) est modifié comme il suit:
Le présent règlement entre en vigueur le 1er janvier 2000.
Il est publié dans la Feuille officielle, inséré dans le Bulletin des lois et imprimé en livrets.
| Adoption | Elément touché | Type de modification | Entrée en vigueur | Source (ROF depuis 2002) |
|---|---|---|---|---|
| 29.06.1999 | Acte | acte de base | 01.01.2000 | BL/AGS 1999 f 216 / d 219 |
| 14.11.2002 | Art. 7 | modifié | 01.01.2003 | 2002_120 |
| 14.11.2002 | Art. 15 | modifié | 01.01.2003 | 2002_120 |
| 14.11.2002 | Art. 22 | modifié | 01.01.2003 | 2002_120 |
| 14.11.2002 | Art. 27 | modifié | 01.01.2003 | 2002_120 |
| 03.12.2002 | Art. 15 | modifié | 01.01.2003 | 2002_132 |
| 03.12.2002 | Art. 22 | modifié | 01.01.2003 | 2002_132 |
| 14.12.2010 | Art. 15 | modifié | 01.01.2011 | 2010_144 |
| 14.12.2010 | Art. 22 | modifié | 01.01.2011 | 2010_144 |
| 03.11.2015 | Art. 14 | modifié | 03.11.2015 | 2015_111 |
| 03.11.2015 | Art. 15 | modifié | 03.11.2015 | 2015_111 |
| 04.06.2019 | Art. 13 | titre modifié | 01.07.2019 | 2019_043 |
| 04.06.2019 | Art. 13 al. 1 | modifié | 01.07.2019 | 2019_043 |
| 31.01.2022 | Art. 15 al. 3 | modifié | 01.01.2022 | 2022_010 |
| 31.01.2022 | Art. 22 al. 2 | modifié | 01.01.2022 | 2022_010 |
| Elément touché | Type de modification | Adoption | Entrée en vigueur | Source (ROF depuis 2002) |
|---|---|---|---|---|
| Acte | acte de base | 29.06.1999 | 01.01.2000 | BL/AGS 1999 f 216 / d 219 |
| Art. 7 | modifié | 14.11.2002 | 01.01.2003 | 2002_120 |
| Art. 13 | titre modifié | 04.06.2019 | 01.07.2019 | 2019_043 |
| Art. 13 al. 1 | modifié | 04.06.2019 | 01.07.2019 | 2019_043 |
| Art. 14 | modifié | 03.11.2015 | 03.11.2015 | 2015_111 |
| Art. 15 | modifié | 14.11.2002 | 01.01.2003 | 2002_120 |
| Art. 15 | modifié | 03.12.2002 | 01.01.2003 | 2002_132 |
| Art. 15 | modifié | 14.12.2010 | 01.01.2011 | 2010_144 |
| Art. 15 | modifié | 03.11.2015 | 03.11.2015 | 2015_111 |
| Art. 15 al. 3 | modifié | 31.01.2022 | 01.01.2022 | 2022_010 |
| Art. 22 | modifié | 14.11.2002 | 01.01.2003 | 2002_120 |
| Art. 22 | modifié | 03.12.2002 | 01.01.2003 | 2002_132 |
| Art. 22 | modifié | 14.12.2010 | 01.01.2011 | 2010_144 |
| Art. 22 al. 2 | modifié | 31.01.2022 | 01.01.2022 | 2022_010 |
| Art. 27 | modifié | 14.11.2002 | 01.01.2003 | 2002_120 |