Lexipedia

Weisungen über die Sicherheit der gemeinsamen Anwendungen (SGA) in den Bereichen AHV/IV/EO/EL/FamZLw/FamZ (Gültig ab 01.01.2015; Stand: 01.01.2026)

Directives sur la sécurité des applications communes (SAC) dans les domaines de

Valables dès le 1er janvier 2015

Etat: 1er janvier 2026

318.106.09 f SAC

01.26

Avant-propos

Conformément aux articles 49e et 50b, al. 1, LAVS, l’accès aux registres centraux des assurés et des prestations, notamment en ce qui concerne la sécurité, relève du Conseil fédéral. Le 4 juin 2010, le Conseil Fédéral a décidé une série de mesures dans le but de sécuriser les accès au réseau de la Confédération.

Conformément à l’article 63 al.3 LAVS, l’Office fédéral des assurances sociales (OFAS) veille notamment à l’utilisation rationnelle des installations techniques reliant les organes d’exécution du premier pilier, les caisses d’allocations familiales et la Centrale de compensation (CdC).

Conformément à l’article 176 al. 4 RAVS, l’Office fédéral des assurances sociales (OFAS) règle la collaboration entre les organes d’exécution du premier pilier, les caisses d’allocations familiales et la Centrale de compensation (CdC).

En vertu des éléments ci-dessus, les présentes directives arrêtent les principes généraux en matière de sécurité des applications communes qui bénéficient à l’ensemble des organes et qui sont mandatées par l’OFAS.

Cette première version des directives se concentre sur les accès aux applications communes.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Remarque préalable à la version du 1er janvier 2026 (Seules les modifications essentielles sont mentionnées.)

L’authentification à deux facteurs sera progressivement mise en place pour la connexion des autorités « AGOV », ce qui a donné lieu à l’ajout d’un nouveau chaptire 5.

Pour l’instant, cette modification ne concerne qu’un nombre limité d’utilisateurs qui utilisent des applications fonctionnant avec CH- Login en combinaison avec un Vasco-Token.

Le grand groupe d’utilisateurs, celui de Telezas3, devrait passe à « AGOV » en 2027.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Remarque préalable à la version du 1er juillet 2020 (Seules les modifications essentielles sont mentionnées.)

Sur la base de l’expérience et de l’évolution de l’exploitation des applications communes dans les domaines de l’AVS/AI/APG/PC/AFA/AF, les modifications suivantes ont été apportées par rapport à la version du 1er janvier 2017 :

– Cm. 1213 (nouveau): Reprise de la définition « plateforme de gestion des moyens d’authentification».

– Cm. 2313 (adaptation): Précision que les personnes de confiance doivent informer le RIO de la suppression de l’attribution d’un moyen d’authentification.

– Cm. 2325 (adaptation): Précision que la reprise d’un moyen d’authentification (départ d’un collaborateur ou changement de rôle), l’attribution à un utilisateur ou à une utilisatrice doit être supprimée.

– Cm. 3102 (adaptation): Il est possible de publier les adresses URL des services Web de la CdC sur Internet. Les accès à ces services WEB hors du réseau AVS/AI devient de ce fait possible.

– Cm. 3103 (adaptation): L’accès aux services WEB de la CdC à travers Internet nécessite une authentification machine (certificat sedex).

– Cm. 4215 (nouveau): L’OCMA vérifie régulièrement l'attribution des moyens d'authentification pour les noms d'utilisateurs supprimés et est autorisé à supprimer lui-même les attributions si nécessaires.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Avant-propos au supplément 2, valable dès le 1er janvier 2017

Les directives ont été adaptées suite à la mise en service de l’application ALPS (Applicable Legislation Portal Switzerland). Le centre de gestion centralisée des accès de la CdC (GECA) gère la liste des personnes de confiance pour toutes les applications communes.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Avant-propos au supplément 1, valable dès le 1er janvier 2016

L’organe central des moyens d’authentification a été remis à la Centrale de compensation. Les formulaires liés aux tâches des directives SAC ont été revus et simplifiés.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Abréviations

AF Allocations familiales

AFA Allocations familiales dans l’agriculture

AGOV « Authentification » et « Government »

ALPS Applicable Legislation Portal Switzerland

AVS Assurance-vieillesse et survivants

CCAOAI Circulaire sur le compte d’administration des offices AI

CdC Centrale de compensation

ChF TNI Chancellerie fédérale, Secteur Transformation numérique et gouvernance de l’informatique

DCMF Directives sur la comptabilité et les mouvements de fonds des caisses de compensation

ESP EESSI Swiss Plattform (auparavant RINA)

FIDO Fast Identity Online

GAIME Gestion Electronique des Documents de la CdC et de l’OAIE

GECA Centre de gestion centralisée des accès de la CdC

GUI Graphical User Interface

ICA Instance de coordination et d’autorisation

JiveX Application pour la gestion des radiographies, films (scanners VIDAR) ou CD par les offices AI

LAVS Loi fédérale sur l’AVS

OE Organe d’exécution

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

OCMA Organe central de gestion des moyens d’authentification

OFAS Office fédéral des assurances sociales

QoA Qualité de l'authentification

RAC Responsable d’application commune

RAVS Règlement sur l’assurance-vieillesse et survivants

RINA Reference Implementation for a National Application

RIO Registration Identification Officer

sedex sedex signifie « secure data exchange » ; il s’agit d’une plateforme de communication centrale pour la transmission asynchrone de données entre les applications métier des unités d’organisation de l’administration publique.

TEDAI Traitement Electronique des Dossiers AI

UPIC Unité de pilotage informatique de la Confédération

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Liste des documents valables en complément à ces directives

[1] Formulaire « Annonce de personne de confiance » [2] Formulaire « Annonce de Registration Identification Officer (RIO) » [3] Formulaire « Moyens d’authentification » [4] Formulaire « Demande à l’ICA » [5] Formulaire « Demande d’accès d’un administrateur ALPS CC »1

Les listes et formulaires valables sont disponibles sur le site Internet de l’OFAS (rubrique Application/eGov/Formulaires)

1 Directement disponible dans l’application ALPS ou peut être demandé à cette adresse e-mail :

alps@bsv.admin.ch EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Chapitre I

1. Champ d’application et définitions

1.1 Champ d’application

1101 En vertu des articles 49e, 50b, al. 1, 59, al.1, et 63, al. 3,

de la loi fédérale sur l'assurance-vieillesse et survivants (LAVS RS 831.10) ainsi que de l’article 176, al. 4, du règlement du 31 octobre 1947 sur l’assurance-vieillesse et survivants (RAVS, RS 831.101), de l’article 66 de la loi sur l’assurance-invalidité (LAI, RS 831.20) et de la décision du Conseil fédéral du 4 juin 2010 (authentification à deux facteurs), les présentes directives règlent les conditions- cadres pour la sécurité des applications communes dans les domaines de l’AVS/AI/APG/PC/AFA/AF.

1102 Les applications communes sont à disposition de

l’ensemble des organes d’exécution. La liste des applications communes (p.ex. ALPS) se trouve à l’annexe 1.

1103 Ces directives ne s’appliquent pas aux collaboratrices et

collaborateurs de l’administration fédérale qui disposent déjà d’un autre moyen d’authentification à deux facteurs.

1104 Les dispositions du chapitre V s’appliquent aux

applications qui utilisent AGOV.

1.2 Définitions

1201 Authentification à deux facteurs pour les personnes : se

compose, d’une part, d’un accès au moyen d’un support physique -ce que l’on détient- permettant d’accéder au réseau de la Confédération et, d’autre part, d’un nom d’utilisateur et d’un mot de passe -ce que l’on connaît- permettant d’accéder à une application.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

1201.1 En revanche, avec AGOV, des applications spécifiques2

sur le smartphone ou la clé de sécurité (communément appelée « clé FIDO ») remplacent le nom d’utilisateur et le mot de passe usuels, y compris l’authentification à deux facteurs.

1202 Authentification machine : réalisée par certificats pour

machines ainsi que par composants, permettant d’augmenter la sécurité des accès aux données. Pour l’authentification machine un certificat sedex est nécessaire.

1203 Moyen d’authentification3 : support physique remis à un(-e)

utilisateur(-trice), permettant d’effectuer une authentification à deux facteurs. Le ChF TNI définit le moyen d’authentification autorisé en fonction de la classification du degré de confidentialité des données d’applications.

1204 Moyen d’identification : document d’identité délivré par

l’autorité compétente, permettant d’identifier une personne. Le ChF TNI définit les moyens d’identification autorisés.

1205 Organe d’exécution (OE) : organe d’exécution des

assurances AVS, AI, APG, PC, AFA et AF.

1206 Personne de confiance : rôle d’une collaboratrice ou d’un

collaborateur de l’organe d’exécution. Elle est le point de contact des utilisateurs(-trices) d’un organe d’exécution et transmet les demandes (accès, mutations, etc.) au centre de gestion centralisée des accès de la CdC (GECA).

1207 Registration Information Officer (RIO) : rôle d’une

collaboratrice ou d’un collaborateur de l’organe d’exécution. Il ou elle est chargé(-e) de la gestion des moyens d’authentification à deux facteurs, i.e. de la commande de moyens d’authentification auprès de

2 L’application swiyu avec l’e-ID suisse et/ou l’application AGOV access

3 Le terme « moyen d’authentification » utilisé dans ce document se réfère toujours à une clé

VASCO (appareil qui transmet des codes uniques à durée de validité limitée) EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

l’organe central des moyens d’authentification et pour l’attribution, resp. révocation d’un moyen d’authentification à un(-e) utilisateur(-trice). Le rôle RIO n’est plus nécessaire pour les applications qui sont passées à AGOV.

1208 Responsable d’application commune (RAC): gère les

demandes d’accès et mutations à l’application commune dont il est en charge.

1209 Organe central des moyens d’authentification (OCMA) :

gère les demandes d’autorisations et les attributions des RIO. Il organise le support centralisé. Dès que toutes les applications sont passées à AGOV, l’OCMA n’est plus nécessaire.

1210 Instance de coordination et d’autorisation (ICA) : résout,

resp. règle les exceptions, les ambiguïtés et les cas non définis dans ces directives.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

1211 Centre de gestion centralisée des accès de la CdC

(GECA) : gère une liste de personnes de confiance, assume le rôle de RAC pour les applications communes de la CdC et organise le support central d’AGOV.

1212 Administrateur ALPS : gère l’attribution des accès ALPS,

l’organisation de la gestion des accès et est l’interlocuteur des utilisateurs pour l’application ALPS.

1213 Plateforme de gestion des moyens d'authentification :

Plateforme de gestion, avec laquelle les RIO peuvent attribuer ou bloquer les moyens d'authentification à un utilisateur ou à une utilisatrice ou supprimer leur attribution en cas de départ ou de changement de rôle.

1214 Authenticité : preuve d’identité

1215 Authentification : contrôle de l’identité par un système

informatique.

1216 Autorisation : attribution de droits sur la base d’une identité

vérifiée.

1217 Fast Identity Online (FIDO) : protocole proposant une

alternative sécurisée et conviviale au login traditionnel, avec nom d’utilisateur et mot de passe.

1218 Passkeys : données de connexion cryptographiques FIDO

qui sont liées au compte d’un utilisateur sur un site web ou dans une application. Les noms d’utilisateurs et les mots de passe deviennent inutiles. En lieu et place, l’utilisateur approuve la connexion en utilisant la même procédure que pour déverrouiller son appareil (par ex. données biométriques, PIN, dispositif de verrouillage).

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Chapitre II

2. Accès individuels

2.1 Principe

2.1.1 Utilisateurs(-trices)

2101 La liste des applications communes (voir annexe 1)

renseigne sur les applications qui nécessitent une authentification à deux facteurs et sur celles qui n’en nécessitent pas (p.ex. ALPS).

2102 Pour les applications nécessitant une authentification à

deux facteurs, les utilisateurs(-trices) font une demande auprès de leur personne de confiance pour accéder aux différentes applications communes. Ils reçoivent un nom d’utilisateur(-trice) et un mot de passe ou un lien d’invitation transmis par la personne de confiance pour l’accès individuel aux applications communes.

2103 Après avoir été identifiés par le RIO, les utilisateurs(-trices)

reçoivent leur moyen d’authentification.

2.1.2 Personne de confiance

2111 Chaque organe d’exécution (OE) désigne au moins deux et

au maximum dix personnes de confiance, conformément à l’autonomie garantie par l’article 59 al.1 LAVS. Une permanence pendant les heures usuelles de travail doit être assurée.

2112 Chaque personne de confiance doit être sous contrat d’un

organe d’exécution. La personne de confiance est désignée par la direction de l’OE. Les deux parties signent le formulaire et le transmettent au GECA.

2113 Tout changement concernant une personne de confiance

doit être communiqué au GECA.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

2.1.3 Registration Identification Officer (RIO)

2121 Chaque organe d’exécution désigne au moins deux et au

maximum dix Registration Identification Officers (RIO) conformément à l’autonomie garantie par l’article 59 al.1 LAVS. Une permanence pendant les heures usuelles de travail doit être assurée.

2122 Lorsque la responsabilité de plusieurs organes d’exécution

(OE) est portée par une même direction, celle-ci peut nommer des RIO avec une responsabilité portant sur l’ensemble de ses entités. Le groupe d’entités doit être annoncé à l’ICA au moyen du formulaire "Demande à l’ICA" [4].

2123 Chaque RIO doit être sous contrat d’un organe d’exécution

(OE). Le RIO est un (-e) utilisateur (-trice) identifié (-e) et désigné (-e) par la direction de l’OE. Les deux parties signent le formulaire "Annonce de Registration Identification Officer (RIO)" [2] et le transmettent à l’OCMA.

2124 L’organe d’exécution peut étendre la responsabilité de son

RIO à une entité tierce (p.ex. fournisseur). L’extension de la responsabilité doit être demandée à l’ICA au moyen du formulaire "Demande à l’ICA" [4].

2125 Toute demande concernant une désignation, mutation ou

révocation du rôle de RIO doit être communiquée à l’OCMA au moyen du formulaire "Annonce de Registration Identification Officer (RIO)" [2].

2.1.4 Administrateur ALPS

2131 Chaque caisse de compensation AVS désigne au moins

deux et au maximum dix Administrateurs ALPS conformément à l’autonomie garantie par l’article 59 al.1 LAVS.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

2132 L’attribution du rôle administrateur ALPS est demandée

pour la première fois par la personne de confiance (cm 2102).

2133 Chaque administrateur ALPS ainsi qu’une personne de

confiance signent les conditions générales d’utilisation intégrées dans le formulaire [5]. Les deux parties signent le formulaire [5] et le transmettent au GECA.

2.1.5 Occupation des rôles

2141 Les rôles de personne de confiance, d’administrateur

ALPS et de RIO peuvent être assignés à une même collaboratrice ou à un même collaborateur.

2.2 Règles d’identification

2201 Le RIO identifie les utilisateurs(-trices) de son organe

d’exécution ou d’une entité tierce (cm 2124) sur la base d’un document d’identité officiel (passeport ou carte d’identité) non expiré lors de l’identification, assorti d’une photo. Il conserve une photocopie ou un enregistrement électronique du document d’identification. Celui-ci contient le prénom, le nom, la photo et la date de naissance de l’utilisateur(-trice), ainsi que le numéro et la date d’expiration du document d’identité. La photocopie ou l’enregistrement électronique est conservé jusqu’à la destruction du dossier personnel.

2202 Si un(-e) utilisateur(-trice) ne possède pas de document

d’identité officiel valable, il s’agit d’un cas particulier qui fait l’objet d’une procédure d’exception à valider par l’ICA.

2203 Lors de chaque réception d’un moyen d’authentification, le

RIO doit identifier l’utilisateur(-trice).

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

2.3 Tâches et obligations

2.3.1 Tâches et obligations des utilisateurs(-trices)

2301 Les tâches et obligations suivantes se réfèrent aux

applications communes nécessitant une authentification à deux facteurs.

2302 Les utilisateurs(-trices) activent le moyen d‘authentification

personnel avec un lien reçu par email.

2303 Le nom d’utilisateur(-trice), le mot de passe et le moyen

d’authentification sont personnels et confidentiels.

2.3.2 Tâches et obligations de la personne de

confiance

2311 La personne de confiance est seule habilitée à déposer

une demande d’accès auprès du GECA. Elle spécifie les droits d’accès des utilisateurs(-trices) aux applications communes et informe le RIO de l’attribution de droits d’accès lorsque l’authentification à deux facteurs est requise.

2312 Les demandes d’accès sont à effectuer au moyen des

formulaires mis à disposition par la GECA.

2313 En cas de nouvelle attribution, de départ de l’utilisateur(-

trice) ou en cas de changement de rôle, la personne de confiance doit annoncer la mutation au GECA et la communiquer au RIO dans les 15 jours lorsque l’authentification à deux facteurs est requise ou si l’attribution du moyen d’authentification doit être supprimée.

2.3.3 Tâches et obligations du RIO

2321 Le RIO est responsable de l’identification des utilisateurs(-

trices) auxquels il remet un moyen d’authentification. Pour cela, il applique les règles d’identification (cm 2201-2203). EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

2322 Il enregistre le numéro de la pièce d’identité ainsi que son

type dans l’application de gestion des moyens d’authentification.

2323 Il gère une liste (au niveau des utilisateurs(-trices)) des

moyens d’authentification attribués, inactifs (non-attribués), desactivés, défectueux et perdus.

2324 Il attribue les moyens d’authentification aux utilisateurs(-

trices).

2325 Il récupère les moyens d’authentification qui ne sont plus

attribués à un(-e) utilisateur(-trice) (départ ou changement de rôle), supprime sur la plateforme de gestion des moyens d’authentification l’attribution du moyen d’authentification à l’utilisateur ou l’utilisatrice et informe la personne de confiance de cette restitution. Les moyens d’authentification dont l’attribution à un utilisateur ou à une utilisatrice a été supprimé, peuvent à nouveau être attribués dans le cadre d’une authentification à double- facteur à d’autres utilisateurs.

2326 Il signale toute perte ou toute défectuosité d’un moyen

d’authentification à l’OCMA au moyen du formulaire "Moyens d’authentification" [3].

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

2327 Il veille à une destruction écologique (point de collecte des

piles) des moyens d’authentification défectueux dans les

90 jours.

2328 Les autres cas et exceptions sont réglés par l’ICA.

2329 Le RIO commande des moyens d’authentification auprès

de l’OCMA au moyen du formulaire "Moyens d’authentification" [4].

2330 Le RIO confirme à l’OCMA la réception des moyens

d’authentification au moyen du formulaire "Moyens d’authentification" [3].

2.3.4 Tâches et obligations de l’administrateur ALPS

2341 L’administrateur ALPS gère les comptes utilisateurs ALPS,

les ouvre, les clôture et les modifie lorsque cela est nécessaire. Il informe la personne de confiance de tout changement concernant les comptes utilisateurs.

2342 L’administrateur ALPS informe les utilisateurs de

l’application ALPS dont il est responsable des conditions générales d’utilisation à respecter et qu’il a lui-même acceptées et signées (cm 2133).

3. Authentification machine

3.1 Principe

3101 Les accès machines aux applications communes ne

nécessitent pas d’authentification à deux facteurs.

3102 Les accès aux applications communes peuvent se faire

soit par le réseau Internet soit par le réseau AVS/AI (en respect des directives sur le raccordement au réseau (DRR)).

3103 Pour l’authentification machine (services WEB), le certificat

sedex est utilisé. EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Chapitre III

4. Organe centraux

4.1 Responsable d’application commune (RAC)

4.1.1 Principe

4101 Chaque RAC est l’organe de contact entre une application

commune particulière et les personnes de confiance.

4102 Il est l’interlocuteur des personnes de confiance.

4103 Pour chaque application commune selon la liste en

annexe 1, un RAC doit être défini par l’organe responsable et annoncé à l’ICA.

4104 Chaque RAC met à disposition les formulaires

nécessaires. Toute modification de structure de formulaire doit être soumise à la validation de l’ICA.

4.1.2 Tâches et obligations

4111 Le RAC gère les droits d’accès d’utilisateurs (-trices) à une

application commune particulière. La demande est déposée par la personne de confiance.

4112 Le RAC met en place une organisation de support, à

valider par l’ICA.

4113 Le RAC contrôle au moins tous les six mois les accès de

tous les utilisateurs de l’application commune dont il est responsable. Les accès utilisateurs inactifs depuis plus de

12 mois seront effacés par la GECA sur demande de la

personne de confiance.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

4.2 Organe central des moyens d’authentification

(OCMA)

4.2.1 Principe

4201 L’organe central des moyens d’authentification assume la

fonction d’organe de coordination entre le fournisseur de moyens d’authentification et les RIO.

4202 Le rôle de l’OCMA est exercé par la CdC

4.2.2 Tâches

4211 L’OCMA valide les RIO en les activant et les désactivant

dans l’application de gestion des moyens d’authentification dans un délai d’un jour ouvrable après réception de la demande.

4212 Il s’assure que les moyens d’authentification commandés

sont remis aux organes d’exécution (OE).

4213 Il gère un inventaire des moyens d’authentification remis

au niveau des OE et des groupes d’entités.

4214 Il met en place une organisation de support, à valider par

l’ICA.

4215 L’OCMA vérifie tous les 6 mois si un moyen

d'authentification est toujours attribué aux noms d'utilisateur supprimés. Si tel est le cas, l’OCMA demande au RIO responsable de supprimer l'attribution du moyen d'authentification conformément au Cm. 2325. L’OCMA est autorisé à supprimer les attributions des moyens d'authentification à des noms d'utilisateur supprimés.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

4.3 Instance de coordination et d’autorisation (ICA)

4.3.1 Principe

4301 Le rôle d’instance de coordination et d’autorisation (ICA)

est exercé par l’OFAS (egov@bsv.admin.ch).

4302 Elle peut déléguer ses tâches.

4.3.2 Tâches

4311 Elle valide les demandes des RAC, de GECA, de l’OCMA

et des organes d’exécution conformément à ces directives.

4312 Sur demande, elle règle les cas particuliers.

4313 L’ICA contrôle au moins auprès des organes d’exécution

(OE) :

  • Le nombre de RIO

  • La liste des utilisateurs (-trices) autorisés

  • Les copies des pièces d’identité des utilisateurs (-trices) autorisés

  • La liste des moyens d’authentification activés et inactivés

4314 L’ICA contrôle au moins auprès de GECA:

  • La liste des personnes de confiance

  • La gestion des mutations des personnes de confiances

4315 L’ICA contrôle au moins auprès de l’organe central des

moyens d’authentification (OCMA) :

  • La liste des RIO

  • La gestion des mutations des RIO

  • L‘inventaire des commandes des moyens d’authentification

4316 L’ICA peut définir d’autres aspects à contrôler.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

4.4. Centre de gestion centralisée des accès (GECA)

4.4.1. Principe

4411 En plus de ses tâches de RAC pour les applications

communes de la CdC et le support d’AGOV, la GECA gère la liste des personnes de confiance des organes d’exécution pour toutes les applications communes de la liste en annexe 1.

4412 Le rôle de GECA est exercé par la CdC (access-

center@zas.admin.ch).

4.4.2. Tâches

4421 La GECA gère la liste des personnes de confiance des

organes d’exécution.

4422 La GECA reçoit toutes les demandes d’accès aux

applications communes de la liste en annexe 1.

4423 La GECA vérifie que la demande d’accès a bien été

déposée par une personne de confiance.

4424 La GECA transmet ensuite les demandes d’accès, lorsque

l’application commune n’est pas de sa compétence, aux RAC compétents.

4425 La GECA organise le support central d’AGOV.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Chapitre V (AGOV)

5. Accès personnel

5.1 Principe

5101 Les utilisateurs demandent l’accès à une application

commune en s’adressant à une personne de confiance.

5102 Lors de l’accès à une application qui requiert au minimum

AGOVaq3004, une vérification (payante) par vidéo doit être réalisée.

5103 Les coûts de la vérification par vidéo doivent être payés

avec un moyen de paiement en ligne courant avant le début de la vérification. L’organisation du paiement et ses modalités incombent à l’organe d’exécution (OE).

5104 Si aucun smartphone n’est utilisé, l’utilisateur reçoit une clé

FIDO sans formalités particulières de l’OE.

5105 Les OE se procurent eux-mêmes les clés FIDO selon les

dispositions d’acquisition (chap. 5.3.3).

5.2 Règles d’identification par vidéo

5201 La vérification d’identité de l’utilisateur est réalisé par

vidéo. À cet effet, AGOV met à disposition la solution « IDnow »5.

5202 Les conditions d’une identification par vidéo sont les

suivantes : • Elle est possible pour les personnes domiciliées en Suisse ou à l’étranger.

4 Niveau de protection de l’administration fédérale : https://www.eiam.swiss/?c=eiam!qoa&l=fr

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

• Elle est valable cinq ans.

• Les documents suivants peuvent devoir être présentés lors de la vérification d’identité par vidéo :

o cartes d’identité et passeports, selon la liste des pays ;

o ne sont pas acceptés : permis de séjour suisses ;

o ne sont pas non plus acceptés : d’autres documents tels que le permis de conduire, le SwissPass, la carte d’étudiant, etc. ;

o le titulaire de compte AGOV doit procéder en personne à la vérification par vidéo. Aucune autre personne ne peut le remplacer lors de cette procédure.

5203 Si un utilisateur ne dispose pas d’un document d’identité

officiel valable, la vérification par vidéo ne peut être réalisée et l’accès à l’application correspondante n’est pas possible. Une procédure d’exception, telle que celle décrite au ch. 2202, n’existe pas dans le cas d’AGOV.

5.3 Tâches et obligations

5.3.1 Tâches et obligations des utilisateurs

5311 Un login AGOV est personnel. Il est interdit de le

transmettre à une ou plusieurs autres personnes.

5312 Les comptes AGOV sont individuels et représentent une

unique personne physique, indépendamment du fait qu’elle agisse pour son propre compte via le login AGOV ou pour le compte, par exemple, d’une personne morale. La responsabilité de la bonne utilisation du login AGOV, des applications liées et des transactions qui y sont effectuées incombe à la personne physique. Autrement dit, cette personne est également tenue de conserver les facteurs de login correspondants (application AGOV access ou clé

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

de sécurité) en toute sécurité et de les utiliser de manière appropriée.

5.3.2 Tâches de l’organe d’exécution

5321 Les coûts payés par l’OE pour une vérification par vidéo ou

une clé FIDO peuvent être comptabilisés sous les comptes d’administration suivants de chacun des fonds concernés :

Caisses de compensation AVS selon les DCMF :

212.3291 Coûts d’acquisition des clés FIDO (login officiel

des autorités AGOV)

212.3292 Coûts liés à l’identification vidéo (login officiel

des autorités AGOV)

Offices AI selon la CCAOAI :

380.5391 Coûts d’acquisition des clés FIDO (login officiel

des autorités AGOV)

380.5392 Coûts liés à l’identification vidéo (login officiel

des autorités AGOV)

5322 Dans le cas des caisses d’allocations familiales

indépendantes, les coûts liés à la mise en œuvre de la vérification par vidéo et à l’acquisition des clés FIDO sont à la charge de la caisse d’allocations familiales concernée.

5.3.3 Dispositions d’acquisition

5331 Les dispositions d’acquisition ne concernent que les clés

FIDO dont les frais d’acquisition sont remboursés par les fonds de compensation ou le GECA.

5332 Le prix d’acquisition d’une clé FIDO s’élève à 30 francs au

plus (TVA incluse, hors frais d’envoi). L’ICA peut accorder une autorisation exceptionnelle pour l’acquisition de clés FIDO plus coûteuses.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Les clés FIDO doivent être remises uniquement aux utilisateurs d’un OE ayant besoin d’un accès à une application AGOV. Toute remise d’une clé FIDO à une personne privée ou qui n’utilise pas AGOV est interdite.

5334 L’acquisition et la conservation (réserve) sont limitées à

10 % de l’effectif d’un OE.

5335 Le remboursement des frais d’acquisition est contrôlé par

l’OFAS. Chaque OE doit pouvoir prouver en tout temps ses frais d’acquisition.

6. Entrée en vigueur

6001 Les présentes directives entrent en vigueur au 1er janvier

2017.

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Annexe 1

Type Nom

Application CdC ACOR

Application CdC Escal

Application CdC RaFAM

Application CdC RPC

Application CdC Sumex

Application CdC SWAP

Application CdC NRA

Application CdC NRR

Application CdC GAIME

Application CdC JiveX

Application CdC TEDAI

Application OFAS ALPS

Application OFAS eRegress

Application OFAS ESP

EDI BSV | Directives sur la sécurité des applications communes (SAC) dans les domaines de

Weisungen über die Sicherheit der gemeinsamen Anwendungen (SGA) in den Bereichen AHV/IV/EO/EL/FamZLw/FamZ (Gültig ab 01.01.2015; Stand: 01.01.2026) | Lexipedia | Lexipedia