Votre identité

Détail objet

Auteur

Denis Dumartheray

Date du dépôt

07.03.2023

Département pilote

CHAN(DPT)

Département en appui

DITS, DCIRH

Identifiant

23_INT_29

Commission

-

Délais réponse du CE

12.06.2023

Dernière décision du GC

Transmise au CE, 14.03.2023

Texte déposé

À la suite des déboires des communes de Rolle et de Montreux, qui ont été victimes de cyberattaques en automne 2021, la Municipalité de Gilly a demandé des garanties à son fournisseur informatique d’applications-métier hébergées.

 

En effet, selon la Loi sur la protection des données (LPrD), chaque commune est considérée comme « Responsable de Traitement » et se doit de prendre les mesures nécessaires pour s’assurer de la conformité à la protection des données de ses sous-traitants.

 

A cet effet, une check-list pour « contrat de sous-traitance de solution informatique externalisée » est fournie par le Canton de Vaud via son site.

 

La commune de Gilly a initié une demande en ce sens en octobre 2021 auprès de son prestataire, qui n’a pas daigné fournir les documents requis par la Loi, malgré de multiples rappels.

 

Afin de faire avancer le dossier, la Municipalité a sollicité l’aide de la Préposée cantonale à la protection des données, dès décembre 2021.

 

Cela fait désormais 16 mois que nous nous battons en vain pour obtenir satisfaction auprès de notre fournisseur, qui est l’un des prestataires reconnus et implantés auprès de nombre de petites communes vaudoises.

 

Entre temps, le dossier a été clos et auprès de l’autorité cantonale et dénoncé auprès de l’autorité fédérales  (ce qui est dans l’ordre des choses puisque ce prestataire est une entreprise privée dépendant donc directement du PFPDT, alors qu’une commune dépend directement de l’autorité cantonale).

 

Toutefois, la Préposée a également précisé « Finalement, nous nous permettons de vous rappeler qu’il appartient à la Commune de Gilly, en sa qualité de responsable du traitement, de prendre les mesures nécessaires pour s’assurer de la conformité à la protection des données. En cas de sous-traitance, le responsable du traitement demeure en effet le premier responsable du traitement des données à l’égard des personnes concernées. Or, la situation en souffrance est difficilement admissible sur le principe. Des mesures doivent être mises en place pour y remédier. »

 

Il est donc urgent que nous puissions tous agir pour obtenir les garanties écrites imposées par la LPrD conformément aux point 4 à 13 de la check-list pour « contrat de sous-traitance de solution informatique externalisée » fournie par le Canton, auprès des fournisseurs de services hébergés des communes vaudoises.

 

Va-t-on attendre une attaque de grande ampleur sur les serveurs des fournisseurs hébergeant les applications-métiers de communes vaudoises, comme vécue récemment par Winbiz, paralysant des milliers d’entreprises et mettant en danger les données personnelles de dizaines de milliers de personnes au bas mot, pour agir ?

 

Dès lors, j'ai l'honneur de poser les 2 questions suivantes: 

 

  • De quelle manière l’exécutif d’une commune de la taille de Gilly (1'480 habitants environ au 31.12.2022) peut-il remédier à cette situation, si l’Autorité cantonale est impuissante ?

 

  • Comment le Conseil d’État peut-il soutenir les communes qui aujourd’hui sont dans le même cas de figure que la commune de Gilly afin d’obtenir le respect Loi du 11 septembre 2007 sur la protection des données personnelles ? (LPrD)

Conclusion

Souhaite développer

Documents

LienTitre
  23_INT_29-Texte déposéIntervention parlementaire

Séances dont l'objet a été à l'ODJ

DateDécision
14.03.2023
07.03.2023

Liste exhaustive des cosignataires

SignataireParti
Pierre-Alain FavrodUDC
Nicolas GlauserUDC
Nicolas BolayUDC
John DesmeulesPLR
Didier LohriVER
Yvan PahudUDC
Fabien DeillonUDC
Stéphane JordanUDC
Maurice TrebouxUDC
Nicola Di GiulioUDC
Sylvain FreymondUDC
Théophile SchenkerVER
Philippe GermainPLR
José DurusselUDC
Yann GlayreUDC
Fabrice NeyroudUDC
Fabrice TannerUDC
Cédric WeissertUDC
Jean-François ThuillardUDC
Pierre-André RomanensPLR
Pierre-André PernoudUDC
Thierry SchneiterPLR

Partager la page