Lexipedia

153.011.5

Ordonnance sur les données secondaires de communication

(ODSC)

du 20.11.2019 (état au 01.01.2024)

Préambule

Le Conseil-exécutif du canton de Berne,

vu l’article 12e, alinéa 1 de la loi sur le personnel du 16 septembre 2004 (LPers)[1],

sur proposition de la Direction des finances,

arrête:

1 Définitions

Art. 1

Au sens de la présente ordonnance, il est entendu par

  1. données administrées, les données personnelles qui sont enregistrées lors de l’utilisation de l’infrastructure électronique du canton et qui sont régulièrement utilisées, évaluées ou détruites volontairement;
  2. données non administrées, les données personnelles qui sont enregistrées lors de l'utilisation de l'infrastructure électronique du canton mais qui ne sont jamais ou pas régulièrement utilisées, évaluées ou détruites volontairement;
  3. exploitant du système, le service chargé de la gestion technique de l'infrastructure électronique du canton;
  4. autorité responsable, l’autorité qui est responsable de la protection des données.

2 Droits d’accès, conservation et destruction

Art. 2 Droits d'accès aux données

Seuls ont droit d'accéder aux données administrées

  1. l'autorité responsable,
  2. l’exploitant du système et les services prévus dans un concept SIPD conformément aux prescriptions sur la sécurité de l’information et la protection des données (SIPD), dans la mesure où l'autorité responsable leur en a confié le mandat ou a donné son accord.

L’accès aux données non administrées est exclusivement réservé à l’autorité qui utilise les appareils sur lesquels ces données sont enregistrées.

Art. 3 Conservation sécurisée des données

Les données doivent être conservées de manière sécurisée conformément aux prescriptions SIPD.

Art. 4 Durée de conservation et destruction des données administrées

Pour autant que les finalités de l’évaluation l'exigent, les données administrées peuvent être conservées comme suit:

  1. données concernant l'utilisation de l'infrastructure électronique au sens de l’article 12c, alinéa 1, lettre a LPers: deux ans au plus;
  2. données sur le temps de travail du personnel au sens de l’article 12c, alinéa 1, lettre b LPers: cinq ans au plus;
  3. données des systèmes de contrôle des accès, des locaux et des sites où se trouvent des bâtiments et des installations du canton et de ses établissements au sens de l’article 12c, alinéa 1, lettre c LPers: trois ans au plus;
  4. copies de sauvegarde au sens de l’article 12c, alinéa 2 LPers: jusqu’à l’archivage des données qui sont à leur source, mais deux ans au plus si celles-ci n’ont pas de valeur archivistique.

Elles doivent être détruites au plus tard trois mois après la fin de l’évaluation ou après le terme du délai de conservation prévu à l’alinéa 1.

Dans des cas particuliers, le Conseil-exécutif peut décider de prolonger la durée de conservation de certaines catégories de données résultant de l'utilisation de l'infrastructure électronique (al. 1, lit. b) pour assurer la sécurité des informations et des prestations. La Direction administrative de la magistrature peut prendre cette décision pour des données qui sont traitées à l'aide des applications spécialisées des autorités judiciaires et du Ministère public. *

Art. 5 Durée de conservation et destruction des données non administrées

La durée de conservation des données non administrées dépend de la capacité de stockage de l'appareil considéré, à moins qu'il ne soit techniquement possible de les détruire rapidement et automatiquement après leur utilisation.

L’autorité désignée à l’article 2, alinéa 2 doit détruire les données non administrées de manière irréversible au plus tard lorsque l'appareil sur lequel elles sont enregistrées est cédé ou éliminé.

Art. 6 Responsabilité de la conservation et de la destruction des données

La responsabilité de la conservation sécurisée des données et de leur destruction dans les délais incombe,

  1. pour les données administrées, à l’autorité responsable et, sur mandat de celle-ci ou avec son accord, à l’exploitant du système et aux services désignés dans un concept SIPD;
  2. pour les données non administrées, à l’autorité désignée à l’article 2, alinéa 2.

Art. 7 Traitement lié à des travaux techniques

Les personnes chargées de travaux techniques tels que la maintenance et la gestion de l'infrastructure électronique ne peuvent traiter les données que si l'accomplissement de ces travaux l'exige.

La sécurité de l’information doit être garantie.

3 Conditions régissant les évaluations

Art. 8 Evaluations ne se rapportant pas aux personnes (art. 12d, al. 1 LPers)

L’autorité responsable et, sur mandat de celle-ci ou avec son accord, l’exploitant du système et les services désignés dans un concept SIPD peuvent, dans les buts prévus par la loi, procéder de leur propre chef à des évaluations ne se rapportant pas aux personnes de données administrées.

L’autorité désignée à l’article 2, alinéa 2, peut, dans les buts prévus par la loi, procéder elle-même ou charger des tiers de procéder à des évaluations ne se rapportant pas aux personnes de données non administrées.

Ces évaluations peuvent être effectuées sans limite de temps ni de contenu.

Art. 9 Evaluations non nominales se rapportant aux personnes (art. 12d, al. 2 LPers)

L’autorité responsable et, sur mandat de celle-ci ou avec son accord, l’exploitant du système et les services désignés dans un concept SIPD peuvent, dans les buts prévus par la loi, procéder de leur propre chef, par sondage, à des évaluations non nominales se rapportant aux personnes de données administrées.

L’autorité désignée à l’article 2, alinéa 2, peut, dans les buts prévus par la loi, procéder elle-même ou charger des tiers de procéder, par sondage, à des évaluations non nominales se rapportant aux personnes de données non administrées.

Art. 10 Mandats d'évaluations nominales se rapportant aux personnes en cas d'utilisation abusive soupçonnée ou avérée (art. 12d, al. 3, lit. a LPers)

En cas de soupçon d’utilisation abusive ou d'abus avéré, l’autorité pour laquelle travaille l'utilisateur ou l’utilisatrice de l'infrastructure électronique procède elle-même ou charge des tiers de procéder à l'évaluation nominale se rapportant à cette personne de données administrées ou non administrées.

Il y a abus lorsque l'utilisation de l'infrastructure électronique enfreint les prescriptions de l'autorité ou de la législation par sa nature, son ampleur ou sa fréquence.

Si la personne concernée ne consent pas à l’évaluation, la direction de l’autorité doit l’autoriser.

Art. 11 Déroulement des évaluations nominales se rapportant aux personnes en cas d'utilisation abusive soupçonnée ou avérée (art. 12d, al. 3, lit. a LPers)

L’autorité chargée de l’évaluation nominale se rapportant à une personne vérifie au préalable

  1. que le soupçon concret d'utilisation abusive est motivé par écrit de manière suffisante ou que l'utilisation abusive est avérée, et
  2. que la personne concernée a été informée par écrit de l'existence d'un soupçon concret ou d'un abus avéré.

Si l’autorité chargée de l’évaluation nominale se rapportant à une personne refuse d'y procéder parce qu'elle estime que les conditions mentionnées à l'alinéa 1 ne sont pas remplies, l'autorité qui a donné le mandat peut demander l'avis du Bureau cantonal pour la surveillance de la protection des données.

L'évaluation nominale se rapportant à une personne de données non administrées ne peut avoir lieu que dans les délais fixés à l’article 4, alinéa 1, si la personne concernée ne consent pas à l'évaluation.

Art. 12 Evaluations nominales se rapportant aux personnes visant à analyser et remédier à des pannes et à prévenir des menaces concrètes (art. 12d, al. 3, lit. b LPers)

L’autorité responsable, l’exploitant du système et les services désignés dans un concept SIPD peuvent procéder de leur propre chef à une évaluation nominale se rapportant aux personnes de données administrées afin d’analyser et de remédier à des perturbations ou de parer à une menace concrète.

Une telle évaluation n’est autorisée que si elle est nécessaire pour rechercher la cause de la perturbation ou de la menace ou pour l'éliminer, notamment

  1. si l'utilisation de l'infrastructure électronique est impossible ou fortement restreinte en raison d'un défaut ou d'une panne ou parce que les utilisateurs et utilisatrices la sollicitent de manière inhabituelle, ou
  2. si l'infrastructure électronique ou les données risquent d'être endommagées de manière imminente (diffusion de programmes malveillants).

L’autorité désignée à l’article 2, alinéa 2 peut, aux mêmes conditions, procéder elle-même ou charger des tiers de procéder à une évaluation nominale se rapportant aux personnes de données non administrées.

Art. 13 Evaluations nominales se rapportant aux personnes concernant les prestations et le temps de travail individuel (art. 12d, al. 3, lit. c à e LPers)

L’autorité responsable peut procéder elle-même ou charger des tiers de procéder à une évaluation nominale se rapportant aux personnes de données administrées, notamment

  1. pour fournir des prestations indispensables;
  2. pour saisir les prestations effectuées par les prestataires techniques et les facturer ou
  3. pour contrôler le temps de travail des utilisateurs et des utilisatrices qui travaillent pour elle.

Art. 14 Absence de droit des utilisateurs et utilisatrices à une évaluation

Les utilisateurs et les utilisatrices de l'infrastructure électronique du canton n'ont aucun droit à une évaluation de leurs données personnelles au sens de la présente ordonnance.

4 Résultats des évaluations

Art. 15 Information sur les résultats des évaluations

Le service chargé de l’évaluation en présente les résultats à l’autorité qui en a donné le mandat.

En cas d’évaluation nominale se rapportant à une personne pour utilisation abusive soupçonnée ou avérée, l'autorité qui a donné le mandat informe la personne concernée des résultats.

Art. 16 Conservation et destruction des résultats des évaluations

Le service chargé de l’évaluation conserve de manière sécurisée les résultats et les données copiées aux fins de l’évaluation conformément aux prescriptions SIPD et les détruit au plus tard après une année.

5 Dispositions transitoires et dispositions finales

Art. 17 Disposition transitoire

Les systèmes TIC qui ne permettent pas de mettre en œuvre la présente ordonnance doivent être modifiés dans un délai de cinq ans à compter de son entrée en vigueur.

Art. 18 Modification d'actes législatifs

Les actes législatifs suivants sont modifiés:

  1. ordonnance exploratoire du 21 novembre 2018 sur l'annonce électronique des déménagements (OE eDéménagement)[2],
  2. ordonnance du 24 janvier 2018 sur les technologies de l’information et de la communication de l’administration cantonale (OTIC)[3],
  3. ordonnance du 12 mars 2008 sur l'harmonisation des registres officiels (OReg)[4],
  4. ordonnance du 18 octobre 1995 sur l'organisation et les tâches de la Direction des finances (OO FIN)[5],
  5. ordonnance du 18 mai 2005 sur le personnel (OPers)[6].

Art. 19 Entrée en vigueur

La présente ordonnance entre en vigueur le 1er janvier 2020.

Egress

Berne, le 20 novembre 2019

Au nom du Conseil-exécutif,

le président: Ammann

le chancelier: Auer

19-080

Tableau des modifications par date de décision

Décision Entrée en vigueur Elément Modification Référence ROB
20.11.2019 01.01.2020 Texte législatif première version 19-080
25.10.2023 01.01.2024 Art. 4 al. 3 modifié 23-068

Tableau des modifications par disposition

Elément Décision Entrée en vigueur Modification Référence ROB
Texte législatif 20.11.2019 01.01.2020 première version 19-080
Art. 4 al. 3 25.10.2023 01.01.2024 modifié 23-068