La présente ordonnance régit les principes et la procédure de mise en œuvre de la sûreté de l’information et de la protection des données (SIPD) dans le cadre de l’utilisation des technologies de l’information et de la télécommunication (TIC) par l’administration cantonale.

La présente ordonnance s’applique aux projets, applications et composants des TIC.

Elle s’applique à l’ensemble de l’administration cantonale.

Lorsque des indemnités au sens de la loi du 16 septembre 1992 sur les subventions cantonales (LCSu)[3] sont octroyées pour des projets TIC dont les traitements de données sont soumis à la LCPD, les personnes requérantes sont tenues de se conformer soit aux dispositions matérielles de la présente ordonnance (art. 5 et instructions spécifiques prévues à l’art. 12) soit aux dispositions d’une norme SIPD établie, reconnue et équivalente.

Sont responsables de la SIPD les services qui, dans l’accomplissement de leurs tâches légales, traitent des données, en particulier des données personnelles, ou en confient le traitement à des tiers (services responsables).

Lorsque plusieurs services traitent conjointement des données, il convient de définir par écrit lequel d’entre eux assume la responsabilité principale de la SIPD.

Le service responsable veille à ce que toutes les applications TIC avec lesquelles sont traitées des données personnelles soient conformes aux prescriptions légales ou contractuelles déterminantes en matière de protection des données et à ce que la sûreté de l’information soit garantie de manière appropriée dans le traitement des données.

Le comité de projet de chaque projet TIC désigne un ou une responsable SIPD dans le cadre de l’organisation du projet.

Le service responsable réalise une analyse SIPD durant la phase d’analyse préliminaire pour évaluer la conformité du projet à la législation de la protection des données et détermine à l’aide d’une classification du besoin de protection si le projet informatique présente des exigences poussées en matière de SIPD.

S’il ressort de l’analyse SIPD qu’il n’existe pas d’exigences SIPD poussées, le service responsable s’assure, lors de la mise en service de l’application TIC, que les prescriptions déterminantes en matière de protection des données sont respectées et que la sûreté de l’information est garantie au minimum par la mise en oeuvre des mesures de protection de base SIPD.

Les demandes d’autorisation de crédit et les documents destinés au contrôle préalable des traitements de données (art. 17a LCPD) contiennent les documents SIPD élaborés, qui doivent avoir été visés par le ou la responsable SIPD du projet.

Si le projet présente des exigences SIPD poussées, la demande d'autorisation de crédit contient aussi une prise de position du Bureau cantonal pour la surveillance de la protection des données, qui évalue si la LCPD et les autres dispositions SIPD sont respectées (rapport de contrôle préalable).

Les documents SIPD soumis au Bureau cantonal pour la surveillance de la protection des données sont en même temps remis au ou à la déléguée cantonale à la sécurité informatique du canton (DSI BE, art. 10).

Lorsque des indemnités sont octroyées en faveur de projets assortis de conditions SIPD pour lesquels une autre norme SIPD a été choisie (art. 2, al. 3), les documents requis selon cette norme sont fournis à la place de l’analyse et du concept SIPD. Dans ce cas, les alinéas 2 et 3 s’appliquent indépendamment du fait que le projet présente ou non des exigences SIPD poussées. Les documents définissant la norme SIPD choisie doivent aussi être fournis sur demande.

En cas d’omission de l’analyse SIPD ou d’un concept SIPD actuel, ou s’il s’avère à l’examen que le projet informatique n’est pas conforme aux prescriptions en matière de protection des données ou qu’il ne garantit pas la sûreté de l’information, le mandant ne donne son feu vert pour la phase ultérieure du projet qu’à la condition que ces défauts soient corrigés, et la mise en service n’est pas autorisée avant que cette correction ait été effectuée.

La sûreté de l’information n’est pas garantie, en particulier, lorsque la mise en service de l’application TIC présente encore des risques jugés élevés en matière de sécurité.

Une analyse SIPD doit être réalisée pour toutes les applications TIC qui n’ont pas fait l’objet d’une telle analyse dans le cadre de l’étape de projet.

Pour les applications qui présentent un besoin de protection poussée du fait de la classification du besoin de protection, il convient de définir un concept SIPD comprenant notamment une analyse des risques et une planification contraignante des mesures à adopter pour éliminer les risques importants.

Les composants TIC sont les parties matérielles et immatérielles de l'infrastructure TIC utilisées par les applications pour le traitement électronique des données, par exemple les appareils avec ou sans fonctions de traitement propres, les processus ou les offres de prestations («services»).

Pour les composants TIC dont la sécurité informatique et la protection des données ne sont pas déjà intégrées au concept SIPD d’un projet ou d’une application, il convient de garantir au moins la protection de base SIPD.

Si le projet ou l’application pour lequel ou laquelle les composants sont utilisés révèle un besoin de protection plus poussé, le service responsable du projet ou de l’application prévoit les mesures de sécurité et de protection appropriées, ou s’accorde à ce sujet avec le service responsable des composants.

Les mesures de sécurité et de protection mises en œuvre font l’objet d’une documentation appropriée. Le Bureau cantonal pour la surveillance de la protection des données et le ou la DSI BE doivent pouvoir consulter la documentation sur demande.

Il incombe au Bureau cantonal pour la surveillance de la protection des données de surveiller que les dispositions sur la protection des données sont respectées et que la sûreté de l’information est garantie en ce qui concerne le traitement des données personnelles (art. 34 LCPD).

Il travaille conjointement avec le ou la DSI BE, qui l’assiste dans sa tâche de surveillance.

Il incombe au DSI BE ou à la DSI BE de surveiller que la sûreté de l’information est garantie dans les activités qui n’impliquent pas le traitement de données personnelles. Il ou elle peut être invitée à coopérer aux projets TIC en tant que conseiller ou conseillère.

Les services soumis à la présente ordonnance (art. 2, al. 2) remettent au Bureau pour la surveillance de la protection des données et au DSI BE ou à la DSI BE, pour information, leurs instructions en matière de SIPD une semaine au plus tard avant de les édicter. Le Bureau pour la surveillance de la protection des données et le ou la DSI BE doivent être dûment associés aux projets normatifs importants en matière de SIPD.

Les Directions et la Chancellerie d’Etat désignent un ou une responsable de la sécurité informatique (RSI BE) en tant que principale personne de contact du DSI BE ou de la DSI BE.

Les conditions générales SIPD au sens de l’alinéa 1, lettre d peuvent prévoir que les réglementations contractuelles doivent contenir au cas par cas les bases SIPD élaborées conformément à l’alinéa 1, lettres a à c.

L’OIO met à disposition des outils adéquats (explications, listes de contrôle, etc.) et fournit une offre de conseil et de formation appropriée.

La présente ordonnance entre en vigueur le 1er avril 2011.