Protection des données: les principes-clés

La législation sur la protection des données définit des principes-clés qui doivent être respectés en tout temps et dont les plus importants sont la légalité, la proportionnalité et la sécurité des données.

Le principe de la légalité veut que tout traitement de données personnelles se fonde sur une base légale. Si, comme c’est souvent le cas, la loi ou le règlement communal ne contiennent aucune disposition précise concernant le traitement des données, ils doivent au moins prévoir une tâche publique dont l’accomplissement requiert le traitement de données personnelles.

Selon le principe de proportionnalité, seules les données nécessaires peuvent être saisies et traitées. La commune de Dänikon (ZH) aura certainement besoin des coordonnées d’un interlocuteur par association. En fonction du système de contributions, elle devra aussi connaître le nombre de membres actifs, mais n’aura pas besoin de leur nom ou d’autres informations les concernant. En outre, le personnel de la commune laisse des traces numériques dans le journal de l’application (ou log). Si ces informations permettent de déterminer qui a fait quoi et quand, elles sont considérées comme des données personnelles, qui peuvent uniquement être enregistrées et exploitées dans la mesure où cela est nécessaire au bon fonctionnement du logiciel.

Et enfin, la sécurité des données implique qu’on veille, par des mesures appropriées, à ce que les données ne soient pas accessibles à des personnes non autorisées (confidentialité), à ce qu’elles ne soient pas falsifiées (intégrité) et à ce qu’elles soient effectivement disponibles lorsqu’on en a besoin (disponibilité).

Le logiciel doit être conçu de façon à permettre un traitement licite et sécurisé des données. S’il est connecté à d’autres systèmes ou à Internet, des mécanismes doivent protéger l’application et les données personnelles qu’elle contient des attaques extérieures. Lorsqu’il s’agit de données particulièrement sensibles, il faut s’assurer que seuls les collaborateurs qui en ont réellement besoin pour accomplir leurs tâches y aient accès (authentification forte, droits d’accès restreints, éventuellement chiffrage des données). Les données dont on n’a plus besoin devant être détruites, le logiciel doit pouvoir, d’un point de vue technique, les supprimer irrémédiablement. Si la suppression ne s’effectue pas automatiquement après l’expiration du délai de conservation, il faut définir une réglementation établissant qui se charge de la destruction des données et quand.

Le 1^er septembre 2023, une nouvelle loi fédérale sur la protection des données (LPD) est entrée en vigueur. Les tâches publiques des communes ne sont pas soumises à la LPD, mais à la loi cantonale ad hoc. Les principes cités plus haut, à savoir la légalité, la proportionnalité et la sécurité des données, figurent également dans toutes les lois cantonales. Reste à mentionner à qui les communes peuvent adresser leurs questions en la matière: cela dépend de la législation cantonale: dans quelques rares cantons, notamment à Berne, les communes doivent avoir une autorité propre chargée de la protection des données. Dans d’autres cantons, les communes peuvent en avoir une ou s’adresser à l’autorité de surveillance cantonale, qui est aussi responsable de fournir des conseils en la matière.