23_INT_29 - Interpellation Denis Dumartheray et consorts au nom Au nom du groupe UDC - Protection des données personnelles (LPrD) – non-respect des dispositions de la Loi.
Séance du Grand Conseil du mardi 7 mars 2023, point 2.1 de l'ordre du jour
Texte déposé
À la suite des déboires des communes de Rolle et de Montreux, qui ont été victimes de cyberattaques en automne 2021, la Municipalité de Gilly a demandé des garanties à son fournisseur informatique d’applications-métier hébergées.
En effet, selon la Loi sur la protection des données (LPrD), chaque commune est considérée comme « Responsable de Traitement » et se doit de prendre les mesures nécessaires pour s’assurer de la conformité à la protection des données de ses sous-traitants.
A cet effet, une check-list pour « contrat de sous-traitance de solution informatique externalisée » est fournie par le Canton de Vaud via son site.
La commune de Gilly a initié une demande en ce sens en octobre 2021 auprès de son prestataire, qui n’a pas daigné fournir les documents requis par la Loi, malgré de multiples rappels.
Afin de faire avancer le dossier, la Municipalité a sollicité l’aide de la Préposée cantonale à la protection des données, dès décembre 2021.
Cela fait désormais 16 mois que nous nous battons en vain pour obtenir satisfaction auprès de notre fournisseur, qui est l’un des prestataires reconnus et implantés auprès de nombre de petites communes vaudoises.
Entre temps, le dossier a été clos et auprès de l’autorité cantonale et dénoncé auprès de l’autorité fédérales (ce qui est dans l’ordre des choses puisque ce prestataire est une entreprise privée dépendant donc directement du PFPDT, alors qu’une commune dépend directement de l’autorité cantonale).
Toutefois, la Préposée a également précisé « Finalement, nous nous permettons de vous rappeler qu’il appartient à la Commune de Gilly, en sa qualité de responsable du traitement, de prendre les mesures nécessaires pour s’assurer de la conformité à la protection des données. En cas de sous-traitance, le responsable du traitement demeure en effet le premier responsable du traitement des données à l’égard des personnes concernées. Or, la situation en souffrance est difficilement admissible sur le principe. Des mesures doivent être mises en place pour y remédier. »
Il est donc urgent que nous puissions tous agir pour obtenir les garanties écrites imposées par la LPrD conformément aux point 4 à 13 de la check-list pour « contrat de sous-traitance de solution informatique externalisée » fournie par le Canton, auprès des fournisseurs de services hébergés des communes vaudoises.
Va-t-on attendre une attaque de grande ampleur sur les serveurs des fournisseurs hébergeant les applications-métiers de communes vaudoises, comme vécue récemment par Winbiz, paralysant des milliers d’entreprises et mettant en danger les données personnelles de dizaines de milliers de personnes au bas mot, pour agir ?
Dès lors, j'ai l'honneur de poser les 2 questions suivantes:
- De quelle manière l’exécutif d’une commune de la taille de Gilly (1'480 habitants environ au 31.12.2022) peut-il remédier à cette situation, si l’Autorité cantonale est impuissante ?
- Comment le Conseil d’État peut-il soutenir les communes qui aujourd’hui sont dans le même cas de figure que la commune de Gilly afin d’obtenir le respect Loi du 11 septembre 2007 sur la protection des données personnelles ? (LPrD)
Conclusion
Souhaite développer
Liste exhaustive des cosignataires
Signataire | Parti |
---|---|
Pierre-Alain Favrod | UDC |
Nicolas Glauser | UDC |
Nicolas Bolay | UDC |
John Desmeules | PLR |
Didier Lohri | VER |
Yvan Pahud | UDC |
Fabien Deillon | UDC |
Stéphane Jordan | UDC |
Maurice Treboux | UDC |
Nicola Di Giulio | UDC |
Sylvain Freymond | UDC |
Théophile Schenker | VER |
Philippe Germain | PLR |
José Durussel | UDC |
Yann Glayre | UDC |
Fabrice Neyroud | UDC |
Fabrice Tanner | UDC |
Cédric Weissert | UDC |
Jean-François Thuillard | UDC |
Pierre-André Romanens | PLR |
Pierre-André Pernoud | UDC |
Thierry Schneiter | PLR |