23_INT_29 - Interpellation Denis Dumartheray et consorts au nom du groupe UDC - Protection des données personnelles (LPrD) – non-respect des dispositions de la Loi (Développement).
Séance du Grand Conseil du mardi 14 mars 2023, point 6 de l'ordre du jour
Texte déposé
À la suite des déboires des communes de Rolle et de Montreux, qui ont été victimes de cyberattaques en automne 2021, la Municipalité de Gilly a demandé des garanties à son fournisseur informatique d’applications-métier hébergées.
En effet, selon la Loi sur la protection des données (LPrD), chaque commune est considérée comme « Responsable de Traitement » et se doit de prendre les mesures nécessaires pour s’assurer de la conformité à la protection des données de ses sous-traitants.
A cet effet, une check-list pour « contrat de sous-traitance de solution informatique externalisée » est fournie par le Canton de Vaud via son site.
La commune de Gilly a initié une demande en ce sens en octobre 2021 auprès de son prestataire, qui n’a pas daigné fournir les documents requis par la Loi, malgré de multiples rappels.
Afin de faire avancer le dossier, la Municipalité a sollicité l’aide de la Préposée cantonale à la protection des données, dès décembre 2021.
Cela fait désormais 16 mois que nous nous battons en vain pour obtenir satisfaction auprès de notre fournisseur, qui est l’un des prestataires reconnus et implantés auprès de nombre de petites communes vaudoises.
Entre temps, le dossier a été clos et auprès de l’autorité cantonale et dénoncé auprès de l’autorité fédérales (ce qui est dans l’ordre des choses puisque ce prestataire est une entreprise privée dépendant donc directement du PFPDT, alors qu’une commune dépend directement de l’autorité cantonale).
Toutefois, la Préposée a également précisé « Finalement, nous nous permettons de vous rappeler qu’il appartient à la Commune de Gilly, en sa qualité de responsable du traitement, de prendre les mesures nécessaires pour s’assurer de la conformité à la protection des données. En cas de sous-traitance, le responsable du traitement demeure en effet le premier responsable du traitement des données à l’égard des personnes concernées. Or, la situation en souffrance est difficilement admissible sur le principe. Des mesures doivent être mises en place pour y remédier. »
Il est donc urgent que nous puissions tous agir pour obtenir les garanties écrites imposées par la LPrD conformément aux point 4 à 13 de la check-list pour « contrat de sous-traitance de solution informatique externalisée » fournie par le Canton, auprès des fournisseurs de services hébergés des communes vaudoises.
Va-t-on attendre une attaque de grande ampleur sur les serveurs des fournisseurs hébergeant les applications-métiers de communes vaudoises, comme vécue récemment par Winbiz, paralysant des milliers d’entreprises et mettant en danger les données personnelles de dizaines de milliers de personnes au bas mot, pour agir ?
Dès lors, j'ai l'honneur de poser les 2 questions suivantes:
- De quelle manière l’exécutif d’une commune de la taille de Gilly (1'480 habitants environ au 31.12.2022) peut-il remédier à cette situation, si l’Autorité cantonale est impuissante ?
- Comment le Conseil d’État peut-il soutenir les communes qui aujourd’hui sont dans le même cas de figure que la commune de Gilly afin d’obtenir le respect Loi du 11 septembre 2007 sur la protection des données personnelles ? (LPrD)
Conclusion
Souhaite développer
Liste exhaustive des cosignataires
Signataire | Parti |
---|---|
Pierre-Alain Favrod | UDC |
Nicolas Glauser | UDC |
Nicolas Bolay | UDC |
John Desmeules | PLR |
Didier Lohri | VER |
Yvan Pahud | UDC |
Fabien Deillon | UDC |
Stéphane Jordan | UDC |
Maurice Treboux | UDC |
Nicola Di Giulio | UDC |
Sylvain Freymond | UDC |
Théophile Schenker | VER |
Philippe Germain | PLR |
José Durussel | UDC |
Yann Glayre | UDC |
Fabrice Neyroud | UDC |
Fabrice Tanner | UDC |
Cédric Weissert | UDC |
Jean-François Thuillard | UDC |
Pierre-André Romanens | PLR |
Pierre-André Pernoud | UDC |
Thierry Schneiter | PLR |
Documents
Transcriptions
Visionner le débat de ce point à l'ordre du jourJe déclare mes intérêts : je suis syndic de la commune de Gilly. A la suite des déboires de certaines communes de notre canton et afin de se mettre à l’abri des pirates, la commune de Gilly a demandé à son prestataire, en octobre 2021, de fournir les documents requis par la loi selon la check-list fournie par le canton, mais sans succès. En décembre 2021, la commune a sollicité la préposée cantonale à la protection des données afin d’obtenir son soutien. Seize mois après avoir initié la démarche, rien n’a bougé, et le canton de rappeler qu’il appartient à la commune, en sa qualité de responsable du traitement des données, de prendre les mesures nécessaires. La préposée à la protection des données déclare son impuissance à obtenir les documents auprès des prestataires ! Seize mois pour nous renvoyer à notre point de départ, et à la Confédération ! Pour le district de Nyon, de très nombreuses communes sont concernées et certainement plusieurs centaines dans le canton.
La commune de Gilly a alerté les faîtières des communes – l’Union des communes vaudoises (UCV) et l’Association des communes vaudoises (AdCV) – sans réaction jusqu’à aujourd’hui. Je pensais pouvoir terminer sur une note positive, mais la séance qui devait avoir lieu demain et réunissant la préposée à la protection des données et les prestataires et la commune a été annulée hier en fin d’après-midi. Actuellement, je ne dispose d’absolument aucun motif concernant cette annulation !
Le postulat Yann Glayre que nous allons aborder dans la journée demande un soutien aux communes lorsqu’elles ont été « hackées ». Nous devons agir en amont dans le but d’éviter, ou au moins de minimiser, les risques. Allons-nous attendre que, comme avec Winbiz, 8800 entreprises soient dans l’impossibilité de travailler ?
Retour à l'ordre du jourL’interpellation est renvoyée au Conseil d’Etat qui y répondra dans un délai de trois mois.