LOI sur les moyens d’identification électronique et le portail sécurisé des prestations en ligne de l’Etat
LOI 172.67 sur les moyens d’identification électronique et le portail sécurisé des prestations en ligne de l’Etat (LCyber) du 6 novembre 2018 LE GRAND CONSEIL DU CANTON DE VAUD vu le projet de loi présenté par le Conseil d'Etat décrète Chapitre I Dispositions générales
Art. 1 Objet
1 La présente loi fixe les conditions et la procédure de délivrance d'un moyen d'identification électronique par l'Etat ainsi que les conditions d'organisation, d'exploitation et d'utilisation du portail sécurisé des prestations en ligne de l'Etat (ci-après : le portail sécurisé).
Art. 2 Définitions
1 On entend par :
a. portail sécurisé : le dispositif global de communication électronique sécurisée que l'Etat met à disposition des usagers afin de leur permettre d'accéder à des prestations en ligne ;
b. prestations en ligne : les services offerts par l'Etat aux usagers par l'intermédiaire du portail sécurisé ;
c. moyen d'identification électronique : les éléments électroniques utilisés pour l'identification et l'authentification d'une personne physique ;
d. données d'identification personnelle : l'ensemble de données permettant à l'Etat de délivrer un moyen d'identification électronique, notamment les noms et prénoms, la date de naissance, la copie du document d'identité, l'adresse de domicile, l'adresse de courrier électronique, le numéro d'assuré AVS ;
e. usager : la personne physique ou l'entité disposant d'un numéro d'identification des entreprises au sens de la loi fédérale du 18 juin 2010 sur le numéro d'identification des entreprises [A] (ci-après : une entité disposant d'un IDE) qui bénéficie d'un accès au portail sécurisé ;
d'identifications personnelles et, pour l'usager entité disposant d'un IDE, le numéro d'identification de l'entreprise, sa raison de commerce ou son nom, son adresse du domicile ou de siège, le numéro d'assuré AVS, la date de naissance et l'adresse de courrier électronique des personnes habilitées à le représenter ;
g. données de contenu : les données intrinsèques aux demandes et communications, y compris aux décisions, transmises entre l'usager et l'Etat par le portail sécurisé ;
h. métadonnées : les données décrivant les caractéristiques formelles des données de contenu transitant sur le portail sécurisé, notamment leur auteur, titre, destinataire, date et heure. [A] Loi fédérale du 18.06.2010 sur le numéro d'identification des entreprises (RS 431.03)
Art. 3 Gratuité
1 La délivrance d'un moyen d'identification électronique par l'Etat et l'accès au portail sécurisé sont gratuits.
2 Un émolument peut être prélevé lorsque l'accès au portail sécurisé est effectué avec un autre moyen d'identification électronique que celui délivré par l'Etat. Chapitre II Autorités compétentes
Art. 4 Autorités compétentes
1 Le département en charge des systèmes d'information (ci-après : le département) [B] est l'autorité compétente pour exécuter la loi, notamment :
a. délivrer, gérer et désactiver des moyens d'identification électronique ;
b. octroyer l'accès au portail sécurisé à un usager ;
c. exercer la surveillance sur le portail sécurisé ;
d. assurer l'organisation administrative du portail sécurisé ;
e. développer l'infrastructure technique du portail sécurisé et en assurer la maintenance ;
f. assurer la sécurité du portail sécurisé ;
g. édicter les conditions d'utilisation du portail sécurisé ;
h. désigner les personnes agréées pour accéder aux données de l'usager conformément à l'article 13, alinéas 2 et 3 de la présente loi. ;
i. prononcer toute décision en application de la présente loi.
2 Le département peut confier l'exécution de ses tâches au service en charge des systèmes d'information (ci-après : le service) [B]
.
3 Le Conseil d'Etat peut prévoir que d'autres services et autorités cantonales concourent à la réalisation
Chapitre III Dispositions communes
Art. 5 Utilisation systématique du numéro d'assuré AVS
1 Afin de réaliser les tâches que leur confie la présente loi, les autorités compétentes au sens de l'article 4 sont autorisées à employer systématiquement le numéro d'assuré AVS :
a. des personnes sollicitant la délivrance par l'Etat d'un moyen d'identification électronique ;
b. des titulaires d'un moyen d'identification électronique délivré par l'Etat ;
c. des usagers.
Art. 6 Accès aux registres
1 Afin de permettre les vérifications d'identité et de pouvoirs de représentation nécessaires à l'exécution de la présente loi ainsi qu'un contrôle de sécurité continu des échanges par l'intermédiaire du portail sécurisé, les autorités compétentes au sens de l'article 4 peuvent accéder :
a. aux données figurant dans le registre cantonal des personnes, à l'exception de celles relatives à la détention dans un établissement pénitentiaire et à l'appartenance à une communauté religieuse ;
b. aux données figurant dans le registre cantonal des entreprises.
2 Les données désignées à l'alinéa 1 leur sont rendues accessibles par l'intermédiaire d'une procédure d'appel.
3 Le Conseil d'Etat peut autoriser l'accès à d'autres registres ou bases de données si cela se révèle nécessaire à l'exécution de la présente loi.
Art. 7 Devoir de sensibilisation
1 Au début de la procédure, les autorités compétentes au sens de l'article 4 sensibilisent quiconque sollicite un moyen d'identification électronique ou demande à être usager du portail sécurisé aux bonnes pratiques en matière de sécurité informatique et de protection des données personnelles. Chapitre IV Moyen d'identification électronique
Art. 8 Moyen d'identification électronique
1 Le Conseil d'Etat détermine les conditions personnelles à remplir et la procédure à suivre pour obtenir un moyen d'identification électronique délivré par l'Etat.
2 Il peut reconnaître des moyens d'identification électronique délivrés par d'autres fournisseurs publics ou concessionnés.
3 Le refus de délivrance d'un moyen d'identification électronique par l'Etat ou sa désactivation fait l'objet d'une décision.
1 Le titulaire d'un moyen d'identification électronique délivré par l'Etat doit le garder strictement confidentiel.
2 Il prend les mesures nécessaires et raisonnables au vu des circonstances pour en empêcher une utilisation abusive. Ces obligations lui sont rappelées lors de la délivrance d'un moyen d'identification électronique.
3 En cas d'utilisation abusive d'un moyen d'identification électronique délivré par l'Etat, ou s'il y a lieu de le craindre, les autorités compétentes au sens de l'article 4 peuvent le désactiver sans demande préalable du titulaire. Dans ce cas, les autorités compétentes en informent le titulaire. Chapitre V Portail sécurisé
Art. 10 Caractère facultatif
1 L'utilisation du portail sécurisé pour accéder à une prestation de l'Etat est facultative, sauf exception prévue par le Conseil d'Etat.
Art. 11 Accès et conditions d'utilisation
1 Le titulaire d'un moyen d'identification électronique et l'entité disposant d'un IDE, par l'intermédiaire des personnes habilitées à l'engager et titulaires d'un moyen d'identification électronique, peuvent demander à être usager du portail sécurisé.
2 Le Conseil d'Etat détermine la procédure et les conditions d'accès au portail sécurisé.
3 Si un usager viole les conditions d'utilisation du portail sécurisé, son accès peut être limité, suspendu ou révoqué.
4 Le refus, la limitation, la suspension ou la révocation de l'accès au portail sécurisé fait l'objet d'une décision. Chapitre VI Protection des données Section I Données liées à un moyen d'identification électronique et au portail sécurisé
Art. 12 Traitement des données
1 Les autorités compétentes au sens de l'article 4 sont autorisées à traiter :
a. les données d'identification personnelle ;
b. les données de compte ainsi que les données de contenu et les métadonnées liées à la gestion de l'accès des usagers au portail sécurisé ;
c. les données relatives à une procédure de refus ou de désactivation du moyen d'identification électronique délivré par l'Etat, ou relatives à une procédure de limitation, suspension ou révocation
3 Les données mentionnées à l'alinéa 1 sont détruites cinq ans après la désactivation du moyen d'identification électronique délivré par l'Etat ou le refus de la délivrance de celui-ci respectivement cinq ans après que l'accès de l'usager a pris fin. Section II Données transitant sur le portail sécurisé
Art. 13 Droits d'accès spécifiques
1 L'usager a accès aux données de compte, aux données de contenu et aux métadonnées le concernant durant leur durée de conservation.
2 Les personnes agréées au sens de l'article 4, alinéa 1, lettre h peuvent accéder aux données de compte et aux métadonnées de l'usager dans le cadre de leur fonction.
3 L'usager peut autoriser l'accès aux données de contenu le concernant aux personnes agréées au sens de l'article 4, alinéa 1, lettre h, notamment lorsqu'il doit être guidé dans l'utilisation du portail sécurisé ou qu'il signale au département une anomalie de fonctionnement ou de contenu. Un accord exprès est requis.
Art. 14 Traitement des données de l'usager sur le portail sécurisé
1 Les données de compte de l'usager sont conservées sur le portail sécurisé jusqu'à la fin de son accès.
2 Les données de contenu échangées entre l'usager et l'Etat et les métadonnées y relatives sont conservées sur le portail sécurisé durant le traitement par l'autorité concernée de la demande de prestation en ligne et pendant dix-huit mois après la clôture de la procédure mais au plus tard jusqu'à la fin de l'accès de l'usager. Les données de contenu et les métadonnées relatives aux décisions sont conservées sur le portail sécurisé dix-huit mois après leur notification mais au plus tard jusqu'à la fin de l'accès de l'usager.
3 Les données mentionnées aux alinéas 1 et 2 sont détruites sur le portail au terme de leur durée de conservation respective.
4 L'autorité concernée au sens de l'alinéa 2 statue sur les demandes de communication des données de contenu et des métadonnées y relatives. Chapitre VII Responsabilité
Art. 15 Responsabilité de l'Etat
1 L'Etat ne répond pas des dommages causés par l'impossibilité d'utiliser un moyen d'identification électronique qu'il a délivré ou d'accéder au portail sécurisé et de l'utiliser.
2 Au surplus, la loi du 16 mai 1961 sur la responsabilité de l'Etat, des communes et de leurs agents (LRECA) [C] s'applique. [C] Loi du 16.05.1961 sur la responsabilité de l'État, des communes et de leurs agents ( BLV 170.11)
1 L'usager supporte tous les risques résultant de l'utilisation par un tiers de son moyen d'identification électronique.
2 Il est seul responsable de la protection et du bon fonctionnement de son système informatique. Chapitre VIII Dispositions finales et transitoires
Art. 17 Dispositions d'application
1 Le Conseil d'Etat édicte les dispositions d'application de la présente loi.
Art. 18 Evaluation de la mise en œuvre
1 Le Conseil d'Etat soumettra au Grand Conseil un rapport d'évaluation concernant la mise en œuvre de la présente loi dans les 5 ans suivant son entrée en vigueur.
2 Ce rapport sera accompagné d'un projet de décret amenant des mesures si les objectifs de la loi tels que définis dans l'exposé des motifs ne sont pas atteints.
Art. 19 Disposition transitoire
1 Les conditions personnelles que doivent remplir les personnes physiques pour obtenir un moyen d'identification électronique délivré par l'Etat et celles pour devenir usager du portail sécurisé seront identiques pendant les trois années suivant l'entrée en vigueur de la présente loi.
Art. 20 Exécution et entrée en vigueur
1 Le Conseil d'Etat est chargé de l'exécution de la présente loi. Il en publiera le texte conformément à l'article 84, alinéa 1, lettre a) de la Constitution cantonale et en fixera, par voie d'arrêté, la date d'entrée en vigueur.
Feedback