153.011.5
# Ordonnance sur les données secondaires de communication
(ODSC)
Du 20.11.2019 (état au 01.01.2024)

## 1 Définitions

### **Art. 1** {#art_1 omnilex-key=ch-lexwork-be--153.011.5--1}

1. Au sens de la présente ordonnance, il est entendu par
   a données administrées, les données personnelles qui sont enregistrées lors de l’utilisation de l’infrastructure électronique du canton et qui sont régulièrement utilisées, évaluées ou détruites volontairement;
   b données non administrées, les données personnelles qui sont enregistrées lors de l'utilisation de l'infrastructure électronique du canton mais qui ne sont jamais ou pas régulièrement utilisées, évaluées ou détruites volontairement;
   c exploitant du système, le service chargé de la gestion technique de l'infrastructure électronique du canton;
   d autorité responsable, l’autorité qui est responsable de la protection des données.

## 2 Droits d’accès, conservation et destruction

### **Art. 2** Droits d&#39;accès aux données {#art_2 omnilex-key=ch-lexwork-be--153.011.5--2}

1. Seuls ont droit d'accéder aux données administrées
   a l'autorité responsable,
   b l’exploitant du système et les services prévus dans un concept SIPD conformément aux prescriptions sur la sécurité de l’information et la protection des données (SIPD), dans la mesure où l'autorité responsable leur en a confié le mandat ou a donné son accord.
2. L’accès aux données non administrées est exclusivement réservé à l’autorité qui utilise les appareils sur lesquels ces données sont enregistrées.

### **Art. 3** Conservation sécurisée des données {#art_3 omnilex-key=ch-lexwork-be--153.011.5--3}

1. Les données doivent être conservées de manière sécurisée conformément aux prescriptions SIPD.

### **Art. 4** Durée de conservation et destruction des données administrées {#art_4 omnilex-key=ch-lexwork-be--153.011.5--4}

1. Pour autant que les finalités de l’évaluation l'exigent, les données administrées peuvent être conservées comme suit:
   a données concernant l'utilisation de l'infrastructure électronique au sens de l’article 12c, alinéa 1, lettre a LPers: deux ans au plus;
   b données sur le temps de travail du personnel au sens de l’article 12c, alinéa 1, lettre b LPers: cinq ans au plus;
   c données des systèmes de contrôle des accès, des locaux et des sites où se trouvent des bâtiments et des installations du canton et de ses établissements au sens de l’article 12c, alinéa 1, lettre c LPers: trois ans au plus;
   d copies de sauvegarde au sens de l’article 12c, alinéa 2 LPers: jusqu’à l’archivage des données qui sont à leur source, mais deux ans au plus si celles-ci n’ont pas de valeur archivistique.
2. Elles doivent être détruites au plus tard trois mois après la fin de l’évaluation ou après le terme du délai de conservation prévu à l’alinéa 1.
3. Dans des cas particuliers, le Conseil-exécutif peut décider de prolonger la durée de conservation de certaines catégories de données résultant de l'utilisation de l'infrastructure électronique (al. 1, lit. b) pour assurer la sécurité des informations et des prestations. La Direction administrative de la magistrature peut prendre cette décision pour des données qui sont traitées à l'aide des applications spécialisées des autorités judiciaires et du Ministère public.

### **Art. 5** Durée de conservation et destruction des données non administrées {#art_5 omnilex-key=ch-lexwork-be--153.011.5--5}

1. La durée de conservation des données non administrées dépend de la capacité de stockage de l'appareil considéré, à moins qu'il ne soit techniquement possible de les détruire rapidement et automatiquement après leur utilisation.
2. L’autorité désignée à l’article 2, alinéa 2 doit détruire les données non administrées de manière irréversible au plus tard lorsque l'appareil sur lequel elles sont enregistrées est cédé ou éliminé.

### **Art. 6** Responsabilité de la conservation et de la destruction des données {#art_6 omnilex-key=ch-lexwork-be--153.011.5--6}

1. La responsabilité de la conservation sécurisée des données et de leur destruction dans les délais incombe,
   a pour les données administrées, à l’autorité responsable et, sur mandat de celle-ci ou avec son accord, à l’exploitant du système et aux services désignés dans un concept SIPD;
   b pour les données non administrées, à l’autorité désignée à l’article 2, alinéa 2.

### **Art. 7** Traitement lié à des travaux techniques {#art_7 omnilex-key=ch-lexwork-be--153.011.5--7}

1. Les personnes chargées de travaux techniques tels que la maintenance et la gestion de l'infrastructure électronique ne peuvent traiter les données que si l'accomplissement de ces travaux l'exige.
2. La sécurité de l’information doit être garantie.

## 3 Conditions régissant les évaluations

### **Art. 8** Evaluations ne se rapportant pas aux personnes (art. 12d, al. 1 LPers) {#art_8 omnilex-key=ch-lexwork-be--153.011.5--8}

1. L’autorité responsable et, sur mandat de celle-ci ou avec son accord, l’exploitant du système et les services désignés dans un concept SIPD peuvent, dans les buts prévus par la loi, procéder de leur propre chef à des évaluations ne se rapportant pas aux personnes de données administrées.
2. L’autorité désignée à l’article 2, alinéa 2, peut, dans les buts prévus par la loi, procéder elle-même ou charger des tiers de procéder à des évaluations ne se rapportant pas aux personnes de données non administrées.
3. Ces évaluations peuvent être effectuées sans limite de temps ni de contenu.

### **Art. 9** Evaluations non nominales se rapportant aux personnes (art. 12d, al. 2 LPers) {#art_9 omnilex-key=ch-lexwork-be--153.011.5--9}

1. L’autorité responsable et, sur mandat de celle-ci ou avec son accord, l’exploitant du système et les services désignés dans un concept SIPD peuvent, dans les buts prévus par la loi, procéder de leur propre chef, par sondage, à des évaluations non nominales se rapportant aux personnes de données administrées.
2. L’autorité désignée à l’article 2, alinéa 2, peut, dans les buts prévus par la loi, procéder elle-même ou charger des tiers de procéder, par sondage, à des évaluations non nominales se rapportant aux personnes de données non administrées.

### **Art. 10** Mandats d&#39;évaluations nominales se rapportant aux personnes en cas d&#39;utilisation abusive soupçonnée ou avérée (art. 12d, al. 3, lit. a LPers) {#art_1 omnilex-key=ch-lexwork-be--153.011.5--10}

1. En cas de soupçon d’utilisation abusive ou d'abus avéré, l’autorité pour laquelle travaille l'utilisateur ou l’utilisatrice de l'infrastructure électronique procède elle-même ou charge des tiers de procéder à l'évaluation nominale se rapportant à cette personne de données administrées ou non administrées.
2. Il y a abus lorsque l'utilisation de l'infrastructure électronique enfreint les prescriptions de l'autorité ou de la législation par sa nature, son ampleur ou sa fréquence.
3. Si la personne concernée ne consent pas à l’évaluation, la direction de l’autorité doit l’autoriser.

### **Art. 11** Déroulement des évaluations nominales se rapportant aux personnes en cas d&#39;utilisation abusive soupçonnée ou avérée (art. 12d, al. 3, lit. a LPers) {#art_1 omnilex-key=ch-lexwork-be--153.011.5--11}

1. L’autorité chargée de l’évaluation nominale se rapportant à une personne vérifie au préalable
   a que le soupçon concret d'utilisation abusive est motivé par écrit de manière suffisante ou que l'utilisation abusive est avérée, et
   b que la personne concernée a été informée par écrit de l'existence d'un soupçon concret ou d'un abus avéré.
2. Si l’autorité chargée de l’évaluation nominale se rapportant à une personne refuse d'y procéder parce qu'elle estime que les conditions mentionnées à l'alinéa 1 ne sont pas remplies, l'autorité qui a donné le mandat peut demander l'avis du Bureau cantonal pour la surveillance de la protection des données.
3. L'évaluation nominale se rapportant à une personne de données non administrées ne peut avoir lieu que dans les délais fixés à l’article 4, alinéa 1, si la personne concernée ne consent pas à l'évaluation.

### **Art. 12** Evaluations nominales se rapportant aux personnes visant à analyser et remédier à des pannes et à prévenir des menaces concrètes (art. 12d, al. 3, lit. b LPers) {#art_1 omnilex-key=ch-lexwork-be--153.011.5--12}

1. L’autorité responsable, l’exploitant du système et les services désignés dans un concept SIPD peuvent procéder de leur propre chef à une évaluation nominale se rapportant aux personnes de données administrées afin d’analyser et de remédier à des perturbations ou de parer à une menace concrète.
2. Une telle évaluation n’est autorisée que si elle est nécessaire pour rechercher la cause de la perturbation ou de la menace ou pour l'éliminer, notamment
   a si l'utilisation de l'infrastructure électronique est impossible ou fortement restreinte en raison d'un défaut ou d'une panne ou parce que les utilisateurs et utilisatrices la sollicitent de manière inhabituelle, ou
   b si l'infrastructure électronique ou les données risquent d'être endommagées de manière imminente (diffusion de programmes malveillants).
3. L’autorité désignée à l’article 2, alinéa 2 peut, aux mêmes conditions, procéder elle-même ou charger des tiers de procéder à une évaluation nominale se rapportant aux personnes de données non administrées.

### **Art. 13** Evaluations nominales se rapportant aux personnes concernant les prestations et le temps de travail individuel (art. 12d, al. 3, lit. c à e LPers) {#art_1 omnilex-key=ch-lexwork-be--153.011.5--13}

1. L’autorité responsable peut procéder elle-même ou charger des tiers de procéder à une évaluation nominale se rapportant aux personnes de données administrées, notamment
   a pour fournir des prestations indispensables;
   b pour saisir les prestations effectuées par les prestataires techniques et les facturer ou
   c pour contrôler le temps de travail des utilisateurs et des utilisatrices qui travaillent pour elle.

### **Art. 14** Absence de droit des utilisateurs et utilisatrices à une évaluation {#art_1 omnilex-key=ch-lexwork-be--153.011.5--14}

1. Les utilisateurs et les utilisatrices de l'infrastructure électronique du canton n'ont aucun droit à une évaluation de leurs données personnelles au sens de la présente ordonnance.

## 4 Résultats des évaluations

### **Art. 15** Information sur les résultats des évaluations {#art_1 omnilex-key=ch-lexwork-be--153.011.5--15}

1. Le service chargé de l’évaluation en présente les résultats à l’autorité qui en a donné le mandat.
2. En cas d’évaluation nominale se rapportant à une personne pour utilisation abusive soupçonnée ou avérée, l'autorité qui a donné le mandat informe la personne concernée des résultats.

### **Art. 16** Conservation et destruction des résultats des évaluations {#art_1 omnilex-key=ch-lexwork-be--153.011.5--16}

1. Le service chargé de l’évaluation conserve de manière sécurisée les résultats et les données copiées aux fins de l’évaluation conformément aux prescriptions SIPD et les détruit au plus tard après une année.

## 5 Dispositions transitoires et dispositions finales

### **Art. 17** Disposition transitoire {#art_1 omnilex-key=ch-lexwork-be--153.011.5--17}

1. Les systèmes TIC qui ne permettent pas de mettre en œuvre la présente ordonnance doivent être modifiés dans un délai de cinq ans à compter de son entrée en vigueur.

### **Art. 18** Modification d&#39;actes législatifs {#art_1 omnilex-key=ch-lexwork-be--153.011.5--18}

1. Les actes législatifs suivants sont modifiés:
   a ordonnance exploratoire du 21 novembre 2018 sur l'annonce électronique des déménagements (OE eDéménagement),
   b ordonnance du 24 janvier 2018 sur les technologies de l’information et de la communication de l’administration cantonale (OTIC),
   c ordonnance du 12 mars 2008 sur l'harmonisation des registres officiels (OReg),
   d ordonnance du 18 octobre 1995 sur l'organisation et les tâches de la Direction des finances (OO FIN),
   e ordonnance du 18 mai 2005 sur le personnel (OPers).

### **Art. 19** Entrée en vigueur {#art_1 omnilex-key=ch-lexwork-be--153.011.5--19}

1. La présente ordonnance entre en vigueur le 1er janvier 2020.