Gestion - Sécurité des données

Est-ce que l’on doit prévoir des consultations surveillées de documents ? (la personne qui consulte un document pourrait faire des photos de données personnelles des requérants et du dossiers)

En transparence, la personne qui a fait la demande d’accès peut choisir le mode d’exercice qui lui convient, à moins que cela ne soit déraisonnable (art. 3 de l’ordonnance du 14 décembre 2010 sur l’accès aux documents officiels, OAD ; RSF 17.54). Lorsqu’une copie d’un document est soumise au droit d’auteur, l’organe public rend la personne qui a demandé l’accès attentive aux restrictions d’utilisation prévues par la législative y relative.

Comment traiter le risque de diffusion de données avec les sous-traitants ou auxiliaires de la commune ?

Il faut prévoir un contrat avec une clause de confidentialité et une interdiction de prévoir de la sous-traitance en cascade sans l’accord de la commune, et prendre les mesures nécessaires au contrôle du sous-traitant (art. 18 ss LPrD). Pour plus d’informations, vous pouvez consulter notre aide-mémoire. Le préposé valaisan à la protection des données et à la transparence a établi des modèles de contrats-types, qu’il convient d’adapter aux spécificités du canton de Fribourg.

Qui peut avoir accès aux archives et les prendre à l’extérieur pour consultation (uniquement le personnel communal ? Les Conseillers ? Les habitants ?)

Les archives sont ouvertes au public.

Le principe est que les archives sont publiques, sauf exceptions. Avant de devenir une archive publique, le document bénéficie d’un temps de protection. Durant ce temps, l’accès à de tels documents se fait selon la LInf. À la fin du délai de protection, la consultation d’archive est libre, sauf si le délai de protection a été prolongé. Il faut donc analyser les demandes au cas par cas.

Le délai de protection standard est de 30 ans (art. 15 al. 1 de la loi du 10 septembre 2015 sur l’archivage et les Archives de l’Etat, LArch ; RSF 17.6). Dans certains cas, il existe des délais de protection spéciaux plus long (art. 16 LArch).

Si une fuite de données a lieu, l’ensemble de la commune est-elle garante ou uniquement le responsable désigné ?

C’est le responsable du traitement (organe public) qui est responsable.

Sont réservés les dispositions des autres lois, par exemple la violation du secret médical ou de fonction (art. 320 ss CP). Les prétentions en dommages-intérêts et en réparation du tort moral des personnes concernées sont réservées (art. 35 LPrD), tout comme les dispositions de la LResp.

Partant du principe qu’une partie des échanges de données se fait par courrier électronique, quelles sont les données qu’il n’est plus possible d’échanger ?

Il convient de faire preuve de prudence avec les transmissions de données par courriels. Si des données sensibles sont envoyées, il est toujours possible de le faire par courrier. L’ATPrDM a publié un aide-mémoire à ce sujet, qui donne des conseils. Il est accessible ici.

Si une entente intercommunale est connectée au serveur d’une autre commune, des démarches doivent-elles être entreprises ?

Oui. Seules les données en lien avec la tâche accomplie doivent être accessibles. Il faut séparer les accès. Pour plus d’informations en lien avec l’externalisation ou la sous-traitance, vous pouvez consulter notre aide-mémoire.

Quel est le niveau hiérarchique du responsable du traitement au sein de la commune (est-ce que cela peut être un apprenti) ?

Le responsable du traitement est l’organe public qui traite les données. Nous conseillons de nommer comme personne de contact en protection des données une personne dans la commune qui dispose d’un contrat à durée indéterminée, afin qu’une meilleure continuité soit offerte. Au vu de la complexité du domaine, cette tâche nécessite une certaine expérience professionnelle. Pour les apprentis, nous dispensons des cours de base en protection des données.