Le logo du canton de BerneInformatique, organisation et marchés publics

Protection des données, sécurité de l’information et cybersécurité

Législation en cours de préparation

Avec la transformation numérique de l’administration, il est de plus en plus important de veiller à la sécurité de l’information et à la cybersécurité pour protéger les systèmes de l’administration contre la cybercriminalité, qui va croissante.

En août 2023, le Conseil-exécutif a donc transmis au Grand Conseil un projet de loi sur la sécurité de l’information et la cybersécurité (LSIC). Parmi ses nouveautés figurent des règles sur la gestion des risques, la classification des informations et d’outils TIC ainsi que le contrôle de sécurité relatif aux personnes (CSP). En outre, elle répond aux exigences de la loi fédérale du 18 décembre 2020 sur la sécurité de l'information au sein de la Confédération (loi sur la sécurité de l'information, LSI) pour la collaboration avec la Confédération. 

La LSIC ne s’applique aux communes et autres organisations autonomes chargées de tâches publiques que lorsque celles-ci traitent des informations classifiées par le canton ou par la Confédération ou qu’elles utilisent les outils informatiques de ceux-ci.

Il est prévu que la LSIC, comme l’ordonnance qui s’y rapporte, entre en vigueur au cours du deuxième semestre 2025.

Une nouvelle ordonnance sur la sécurité de l'information et des données (OSID) doit mettre en œuvre la LSIC et les prescriptions de sécurité de la loi sur la protection des données (LCPD), qui a été totalement révisée en même temps.

Il est prévu que la LSIC  et l'OSID entrent en vigueur début 2026. Au cours de l'année 2025, le canton élaborera, dans le cadre du projet IS@BE, les dispositions d'exécution nécessaires au niveau administratif, telles que les processus et les normes de sécurité.

Documents relatifs au processus législatif

Législation en vigueur

Jusqu'à l'entrée en vigueur de la LSIC, l'ordonnance de direction de la Direction des finances concernant la sûreté de l’information et la protection des données (OD SIPD) est déterminante pour la sécurité de l'information dans l'administration cantonale. Pour la sécurité des données personnelles, il convient en outre de respecter la législation sur la protection des données.

L’instruction sur la protection de base en matière de sécurité de l’information et de cybersécurité (IPSIC) fixe les exigences en matière de protection de base au sens de l’article 5, alinéa 4 OD SIPD pour les ressources TIC, les informations et les données personnelles des autorités cantonales en vue de garantir la sécurité de l’information et des données (entrée en vigueur prévue pour le 01.01.2025).

L’annexe 4 à l’IPSIC énonce les « Conditions générales du canton de Berne relatives à la sécurité de l’information et à la protection des données (CG SIDP BE) - Version 2024», qui doivent être utilisées comme partie intégrante du contrat pour les achats TIC de l'administration cantonale.

Des directives internes à l'administration sur la sécurité de l'information et la protection des données (SIPD) sont publiées sur l'Intranet de l'administration cantonale.

Sécurité de l'information et protection des données

Les autorités qui traitent des données personnelles ou en confient le mandat à des tiers garantissent la sécurité de l'information et la protection des données. Elles sont pour cela aidées par les responsables de la sécurité informatique (RSI BE) et les services juridiques des Directions, de la Chancellerie d'Etat et de la Justice.

L'OIO met à disposition le délégué ou la déléguée à la sécurité de l'information (DSI BE) du canton de Berne: celui-ci ou celle-ci prépare pour les autorités de la documentation, des outils et des conseils pour leur permettre de remplir leurs tâches en matière de sécurité.

La surveillance indépendante de la protection des données est confiée au Bureau pour la surveillance de la protection des données du canton de Berne, qui a établi une liste des bases légales en matière de protection des données.

Instructions et outils de l'OIO

Vous trouverez d'autres dispositions internes à l'administration sur le site intranet de l'OIO ou sur demande à ISDS-Beratung@be.ch.

Formation à la sécurité

BE-Secure

L'OIO forme les collaborateurs et collaboratrices  de l'administration cantonale dans le domaine de la cybersécurité, notamment par le biais du Web Based Training (WBT) BE-Secure. Celle-ci est accessible au public et peut être traitée par les collaborateurs des communes, les enseignants, les élèves et de nombreuses autres personnes.

Dans le WBT BE-Secure, vous apprenez que votre comportement contribue de manière importante à une meilleure sécurité. Grâce à la formation, vous vous entraînez à reconnaître les dangers tels que les courriels d'hameçonnage et à protéger votre vie privée.

Formation en ligne sur la sécurité de l'information pour les autorités

La Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP) met à la disposition des administrations cantonales et communales un portail d'apprentissage en ligne sur la sécurité de l'information pour les autorités. Au total, treize modules sont disponibles sur le portail, un module est encore en préparation. L'accès à ce portail est actuellement possible sans login. A l'ouverture du site, un questionnaire ne recueille que quelques informations anonymes (code postal et type d'organisation).

L'OIO attire l'attention sur le fait que les informations fournies par le portail de formation en ligne peuvent différer des directives cantonales. Néanmoins, le portail de formation permet aux collaborateurs des communes, aux enseignants, et à de nombreuses autres personnes d'améliorer leurs compétences et de mieux gérer les données sensibles. Les directives et dispositions cantonales continuent de s'appliquer.

Seite teilen