AS 2011 6093
Ordonnance sur l'informatique et la télécommunication dans l'administration fédérale
Ordonnance sur l’informatique et la télécommunication dans l’administration fédérale (Ordonnance sur l’informatique dans l’administration fédérale, OIAF)
du 9 décembre 2011
Le Conseil fédéral suisse, vu les art. 43 et 47 de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)1, arrête:
Chapitre 1 Dispositions générales
Art. 1 Objet La présente ordonnance règle les tâches et les compétences relatives au pilotage et à la gestion de l’utilisation des technologies de l’information et de la communication (TIC) au sein de l’administration fédérale.
Art. 2 Champ d’application 1 La présente ordonnance s’applique aux unités administratives de l’administration fédérale centrale au sens de l’art. 7 de l’ordonnance du 25 novembre 1998 sur l’organisation du gouvernement et de l’administration (OLOGA)2. 2 Les autorités et offices mentionnés ci-après peuvent, sous réserve d’autres disposi- tions d’organisation contenues dans le droit fédéral, s’engager par le biais d’un accord à respecter la présente ordonnance et les directives fondées sur celle-ci: a. les unités décentralisées de l’administration fédérale au sens de l’art. 7a OLOGA; b. les autres autorités fédérales; c. les organisations et les personnes de droit public ou privé extérieures à l’administration fédérale auxquelles sont confiées des tâches administratives de la Confédération (art. 2, al. 4, LOGA); d. les institutions proches de la Confédération qui poursuivent un but d’intérêt public et veulent recourir aux services des fournisseurs internes visés au chap. 5, section 3.
RS 172.010.58
2008-1009 6093
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
Art. 3 Définitions
1 Une stratégie en matière de TIC comporte les éléments suivants:
a. une stratégie de base, qui définit les grandes lignes des principes applicables aux TIC, l’orientation générale et le développement planifié des TIC; b. des notions de base concernant les aspects organisationnels et techniques (architectures), qui définissent les objectifs visés; c. un plan directeur, qui décrit les changements nécessaires pour atteindre les objectifs visés sur les plans temporel et matériel.
2 Le pilotage des TIC comprend la conception, l’édiction et l’actualisation des
stratégies en matière de TIC en tant que conditions cadres, de même que l’édiction et l’actualisation des directives concernant les TIC qui en découlent et qui leur sont subordonnées.
3 On entend par gestion des TIC l’accomplissement des tâches opérationnelles par
les bénéficiaires de prestations (gestion des besoins, acquisition, projets, contrôle de gestion, gestion de portefeuilles, gestion des accords de niveau de service, etc.) dans le respect des directives en vigueur.
4 Les directives subordonnées à la stratégie en matière de TIC sont:
a. les processus en matière de TIC; b. l’architecture des TIC; c. les normes applicables aux TIC; d. les directives sur la sécurité en matière de TIC; e. le contrôle de gestion des TIC. 5 Les processus en matière de TIC déterminent la manière dont les tâches liées aux TIC doivent être accomplies. 6 L’architecture des TIC détermine les composants des TIC et leur articulation en appui aux processus d’affaires. 7 Les normes applicables aux TIC découlent de l’architecture des TIC, et on déter- mine par leur biais, du point de vue de la rentabilité, de l’interopérabilité, de la souplesse et de la sécurité, les fonctions, les interfaces et les produits informatiques qui doivent être élaborés ou utilisés de façon similaire. 8 La sécurité en matière de TIC comprend des mesures visant à protéger l’intégrité et la disponibilité des systèmes de TIC, de même que la confidentialité, l’intégrité, la disponibilité et la traçabilité des données sauvegardées, traitées et transférées dans ces systèmes. 9 Le contrôle de gestion des TIC comprend la collecte, le traitement, la vérification et l’interprétation d’informations servant au pilotage et à la gestion de l’utilisation des TIC. 10 Un service standard est une prestation en matière de TIC gérée de manière centra- lisée, fréquemment utilisée dans l’administration fédérale et répondant à des exigen- ces identiques ou similaires des bénéficiaires de prestations.
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
11 La sûreté de l’information comprend des mesures visant à protéger des infrastruc- tures vitales telles que les systèmes d’approvisionnement en énergie, les systèmes logistiques et le système de santé.
Chapitre 2 Principes du pilotage et de la gestion des TIC
Art. 4 Objectifs Les TIC sont conçues et utilisées de manière à fournir un appui optimal aux proces- sus d’affaires des unités administratives. Ce faisant, les principes d’opportunité, de rentabilité et de sécurité doivent être respectés.
Art. 5 Pilotage de l’utilisation des TIC
1 Le Conseil fédéral définit la stratégie de la Confédération en matière de TIC.
2 Le Département fédéral des finances (DFF) veille à la mise en œuvre de la stra- tégie de la Confédération en matière de TIC. 3 Dans leurs domaines respectifs, les départements et la Chancellerie fédérale règlent le pilotage et la gestion des TIC, dans le cadre des directives en vigueur.
Art. 6 Bases légales, protection des données et sécurité des informations L’utilisation des TIC présuppose: a. que les bases légales suffisantes existent déjà ou seront créées; b. que la protection des données relatives aux personnes concernées est garan- tie; c. que la sûreté intégrale de l’information est garantie.
Art. 7 Stratégies pour une société de l’information Les projets et applications en matière de TIC doivent répondre aux objectifs et aux directives de la Stratégie du Conseil fédéral pour une société de l’information.
Art. 8 Coordination et documentation 1 Lors de la mise en œuvre des stratégies et des directives en matière de TIC, les responsables des projets et des applications veillent à la coordination organisation- nelle et méthodologique. 2 Ils veillent notamment à ce que soit consignée, sous une forme actualisée et pour chaque projet ou application, la façon dont sont pris en compte les conditions pré- vues à l’art. 6 ainsi que les objectifs et les directives prévus à l’art. 7.
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
Art. 9 Acquisition des prestations 1 Les départements et la Chancellerie fédérale, ou les unités administratives, gèrent l’utilisation des TIC dans leurs domaines respectifs. 2 Après consultation des bénéficiaires de prestations concernés et des fournisseurs de prestations internes concernés et en vertu d’analyses de marché et d’analyses compa- ratives externes, le département ou la Chancellerie fédérale décide: a. si une prestation en matière de TIC doit être fournie en interne ou acquise à l’extérieur; b. auprès de quel fournisseur interne la prestation en matière de TIC sera acquise le cas échéant. 3 Le Conseil fédéral décide du modèle de marché pour ce qui est des services stan- dard.
4 Les dispositions de la législation sur les marchés publics sont réservées.
Chapitre 3 Sécurité en matière de TIC et Etat-major spécial chargé de la sûreté de l’information
Art. 10 Protection des moyens et données en matière de TIC 1 Les unités administratives sont responsables de la protection de leurs systèmes et applications en matière de TIC et des données à protéger (objets à placer sous pro- tection). 2 Elles examinent régulièrement les objets à placer sous protection et prennent les mesures de sécurité nécessaires.
Art. 11 Rapports et communication 1 Toute unité administrative, organisation ou personne soumise à la présente ordon- nance et ayant connaissance d’événements en rapport avec la sécurité des objets à placer sous protection en informe: a. l’Unité de pilotage informatique de la Confédération (UPIC); b. le délégué à la sécurité informatique de son département ou de la Chancelle- rie fédérale. 2 En fin d’année, les départements et la Chancellerie fédérale font rapport à l’UPIC sur la mise en œuvre des mesures de sécurité.
3 Sur la base de ces rapports, l’UPIC informe chaque année le Conseil fédéral de
l’état de la sécurité en matière de TIC.
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
Art. 12 Etat-major spécial chargé de la sûreté de l’information
1 Le DFF institue un état-major spécial chargé de la sûreté de l’information,
composé de représentants de l’administration fédérale, des cantons et des milieux économiques. 2 L’état-major spécial assiste les organes dirigeants suprêmes de la politique et de l’économie lors de crises déclenchées par d’importantes perturbations affectant les infrastructures de l’information. 3 Le délégué au pilotage informatique de la Confédération en assure la présidence.
4 L’état-major spécial élabore un règlement interne qui définit les détails de son organisation et de son travail.
Chapitre 4 Participation de la Confédération à l’harmonisation des applications spécialisées de police
Art. 13 1 Les services de la Confédération qui gèrent des applications spécialisées de police collaborent avec les cantons afin d’harmoniser ces applications. 2 Les modalités de cette collaboration, notamment la création d’organes communs à la Confédération et aux cantons, sont fixées dans une convention conclue avec les cantons.
3 En vertu de la présente ordonnance et conformément à la convention avec les
cantons, les départements concernés peuvent conclure des conventions d’exécution pour les différents projets. Ce faisant, ils veillent à respecter les directives de la présente ordonnance. 4 Ils informent les organes communs des projets en cours et futurs dans le domaine des applications spécialisées de police et veillent à ce que ces dernières soient conformes aux décisions prises par les organes communs.
Chapitre 5 Organisation et compétences Section 1 Organes
Art. 14 Conseil fédéral Le Conseil fédéral: a. définit la stratégie de la Confédération en matière de TIC; b. définit les services standard et leurs modèles de marché; c. surveille la mise en œuvre de la stratégie de la Confédération en matière de TIC par le biais du contrôle de gestion et fixe des mesures si nécessaire;
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
d. décide dans quels domaines il convient d’édicter ou d’adapter des directives concernant les TIC; e. édicte des instructions sur la sécurité en matière de TIC; f. décide, dans le cadre du processus budgétaire, de l’attribution aux projets en matière de TIC de ressources budgétisées de manière centralisée; g. décide en cas de divergences entre les départements, la Chancellerie fédérale et l’UPIC; h. autorise les dérogations à ses directives.
Art. 15 Conférence des secrétaires généraux 1 La Conférence des secrétaires généraux (CSG) évalue les dossiers sur les TIC au niveau de la Confédération du point de vue de la gestion opérationnelle des affaires (intérêt des processus d’affaires sous l’angle des TIC).
2 Elle participe notamment à la préparation des affaires importantes du Conseil
fédéral relatives aux TIC.
Art. 16 Département fédéral des finances
1 Le DFF élabore la stratégie de la Confédération en matière de TIC.
2 Il édicte des ordonnances administratives dans le cadre de ses tâches.
Art. 17 Unité de pilotage informatique de la Confédération
1 L’UPIC a notamment pour tâches:
a. de préparer les affaires du Conseil fédéral relatives aux TIC et d’exécuter les mandats qui en résultent et que lui confie le Conseil fédéral; b. de prendre acte des exigences des départements et de la Chancellerie fédé- rale, et de proposer au DFF, à l’intention du Conseil fédéral, les services standard correspondants, y compris le modèle de marché et la définition des rôles pour l’acquisition des prestations. Ce faisant, elle apporte la preuve de leur utilité économique; c. de gérer les services informatiques standard. Elle assume notamment la ges- tion des exigences, la planification, la responsabilité du service demandeur ou – lorsqu’il s’agit de bénéficiaires de prestations internes – les acquisi- tions, la planification des versions, la réglementation du financement général et le contrôle de la qualité des prestations fournies ainsi que la gestion des contrats; d. de définir les directives concernant les TIC au niveau de la Confédération, dans le cadre de la stratégie en matière de TIC définie par le Conseil fédéral. Elle recense à cet effet les exigences des départements et de la Chancellerie fédérale. Elle est responsable de la gestion financière des TIC au niveau de la Confédération, ainsi que des instruments d’aide au pilotage et à la gestion
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
des TIC, notamment en matière de contrôle de gestion des TIC et de gestion de portefeuille des TIC; e. de décider de dérogations aux directives qu’elle a édictées; f. de statuer sur les propositions des départements, de la Chancellerie fédérale et des unités administratives relatives aux réglementations particulières concernant l’octroi de droits et de mandats importants du point de vue de la sécurité, notamment en rapport avec les pare-feu, les droits d’accès et les privilèges. En cas de risque pour l’administration fédérale, elle décide de mesures de sécurité spécifiques en matière de TIC; g. d’enquêter, en qualité d’expert et sur mandat d’un département ou de la Chancellerie fédérale, sur des événements supposés ou avérés en rapport avec la sécurité; h. de désigner le délégué à la sécurité informatique de la Confédération; i. de diriger la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) en collaboration avec le service de renseignements de la Confédération; j. de conduire des programmes en matière de TIC; k. d’assurer la direction opérationnelle de la cyberadministration suisse; l. de diriger le «Service des technologies de l’information dans les marchés publics» (art. 21 de l’O du 22 nov. 2006 sur l’organisation des marchés pu- blics de la Confédération3). 2 Elle collabore avec les cantons, les organisations pertinentes, les milieux économi- ques et des partenaires étrangers; elle représente la Confédération dans les organisa- tions concernées. 3 Elle institue des organes dans le cadre de ses tâches. Les départements et la Chan- cellerie fédérale désignent leurs représentants, qui doivent répondre aux exigences et disposer des connaissances spécialisées nécessaires.
4 Elle peut déléguer des décisions de portée mineure concernant notamment des
dérogations à ses directives concernant les TIC, des exigences quant à l’exploitation des TIC ou le déroulement de projets et de programmes: a. aux départements et à la Chancellerie fédérale; b. à des organisations de programme ou de projet.
Art. 18 Conseil de l’informatique de la Confédération
1 Le Conseil de l’informatique de la Confédération (CI) se compose du délégué au
pilotage des TIC (art. 20a de l’O du 17 fév. 2010 sur l’organisation du Département fédéral des finances4) et d’un représentant nommément désigné de chaque départe- ment et de la Chancellerie fédérale. Le délégué en assure la présidence.
3 RS 172.056.15 4 RS 172.215.1
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
2 Un représentant de l’Administration fédérale des finances (AFF), du Préposé
fédéral à la protection des données et à la transparence (PFPDT), des fournisseurs de prestations internes et des Services du Parlement peut y participer avec voix consul- tative. Il est possible de faire appel à d’autres personnes à titre consultatif si néces- saire. 3 Le CI est l’organe consultatif de l’UPIC pour les affaires relatives aux TIC nécessi- tant l’accord des départements et de la Chancellerie fédérale, notamment pour l’édiction de directives et l’approbation de dérogations à leur application.
Art. 19 Comité pour la sécurité informatique 1 Le Comité pour la sécurité informatique (C-SI) comprend les délégués à la sécurité informatique des départements et de la Chancellerie fédérale. 2 Un représentant du Contrôle fédéral des finances (CDF), du PFPDT et des Services du Parlement peut y participer avec voix consultative. Il est possible de faire appel à d’autres personnes à titre consultatif si nécessaire. 3 Le C-SI est dirigé par le délégué à la sécurité informatique de la Confédération.
4 Il est l’organe consultatif de l’UPIC pour toutes les questions de sécurité relatives aux TIC.
Art. 20 Comité de pilotage des processus de soutien 1 Le Comité de pilotage des processus de soutien (CPPS) se compose d’un représen- tant de l’UPIC et d’un représentant: a. de l’AFF; b. de l’Office fédéral des constructions et de la logistique (OFCL); c. de l’Office fédéral du personnel (OFPER); d. d’armasuisse (Logistique & Immobilier DDPS).
2 Le représentant de l’UPIC en assure la présidence.
3 Un représentant de l’Office fédéral de l’informatique et de la télécommunication et un représentant de la Base d’aide au commandement (BAC) y participent avec voix consultative.
4 Il coordonne les décisions entre l’AFF, l’OFPER, l’OFCL, la logistique et
l’immobilier du DDPS et l’UPIC en matière d’appui, par les TIC, des processus de soutien utilisés dans l’ensemble de l’administration fédérale pour les finances, le personnel, les constructions, la logistique et la gestion immobilière.
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
Section 2 Bénéficiaires de prestations
Art. 21 Principes 1 Les bénéficiaires de prestations sont les unités et les services mentionnés à l’art. 2.
2 Les bénéficiaires de prestations sont responsables du respect des directives
concernant les TIC et des décisions du Conseil fédéral, du DFF, de l’UPIC et des départements ou de la Chancellerie fédérale dans leurs domaines de compétences respectifs.
Art. 22 Tâches des bénéficiaires de prestations 1 Les bénéficiaires de prestations utilisent les TIC de manière économique et établis- sent un budget en conséquence. 2 Ils concluent des accords de projets et des conventions de prestations avec les fournisseurs de prestations et établissent un portefeuille de leurs études, projets et applications (portefeuille des TIC). 3 Ils garantissent, par un contrôle de gestion approprié, que les services des échelons supérieurs disposent en tout temps des informations nécessaires à la gestion et au pilotage.
Section 3 Fournisseurs de prestations internes
Art. 23 Principes
1 Chaque département dispose d’un fournisseur de prestations interne au plus.
2 Les fournisseurs de prestations internes sont responsables du respect des directives concernant les TIC et des décisions du Conseil fédéral, du DFF, de l’UPIC et des départements ou de la Chancellerie fédérale dans leurs domaines de compétences respectifs.
Art. 24 Tâches des fournisseurs de prestations internes 1 Les fournisseurs de prestations internes fournissent aux bénéficiaires les presta- tions en matière de TIC conformément aux accords de projets et conventions de prestations conclus. 2 Ils tiennent une comptabilité analytique complète et présentent à l’UPIC, périodi- quement et de manière transparente, les coûts et recettes relatifs aux services stan- dard. 3 Ils garantissent la fourniture opérationnelle des services standard pour lesquels ils assument les rôles définis par le Conseil fédéral dans le modèle de marché. Dans ce contexte, ils sont responsables de l’exploitation, y compris la coordination opéra- tionnelle avec les autres fournisseurs de prestations nécessaires.
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
Section 4 Acquisition de prestations en matière de TIC auprès de fournisseurs externes
Art. 25 Procédure 1 La procédure d’acquisition des prestations en matière de TIC auprès de fournis- seurs externes est régie par: a. la loi du 16 décembre 1994 sur les marchés publics5; b. l’ordonnance du 11 décembre 1995 sur les marchés publics6; c. l’ordonnance du 22 novembre 2006 sur l’organisation des marchés publics de la Confédération7; d. l’ordonnance du 5 décembre 2008 concernant la gestion de l’immobilier et la logistique de la Confédération8; 2 En cas d’acquisitions de prestations auprès d’un fournisseur externe, les directives concernant les TIC font partie intégrante du dossier d’appel d’offres. 3 Le bénéficiaire des prestations vérifie de façon appropriée le respect des directives concernant les TIC par le fournisseur externe.
Art. 26 Contrats-types Pour l’acquisition de prestations en matière de TIC auprès de fournisseurs externes, l’adjudicateur se conforme aux contrats-types existants.
Chapitre 6 Gestion financière des TIC et audit de l’informatique
Art. 27 Gestion financière des TIC
1 La budgétisation et la comptabilisation des ressources affectées aux TIC
s’effectuent en principe de manière décentralisée, conformément aux dispositions de la loi du 7 octobre 2005 sur les finances9. 2 L’UPIC gère des ressources budgétisées de manière centralisée pour la fourniture de services standard. En règle générale, l’exploitation des services standard est budgétisée de manière décentralisée par les bénéficiaires de prestations et leur est facturée en fonction des prestations acquises. Les bénéficiaires de prestations tien- nent compte des aspects quantitatifs et qualitatifs des services standard dans le cadre des accords de niveau de service (conventions de prestations).
5 RS 172.056.1 6 RS 172.056.11 7 RS 172.056.15 8 RS 172.010.21 9 RS 611.0
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
3 L’UPIC gère des ressources budgétisées de manière centralisée pour des projets
informatiques qui, selon la planification, ne peuvent pas être financés par les unités administratives. 4 Elle gère des ressources budgétisées de manière centralisée pour des projets non planifiables.
Art. 28 Audit de l’informatique 1 L’audit de l’informatique obéit aux principes de la surveillance financière au sein de la Confédération.
2 Il est effectué par le CDF.
3 Les départements et la Chancellerie fédérale peuvent proposer au CDF certains
objets pour l’audit de l’informatique.
Chapitre 7 Dispositions finales
Art. 29 Abrogation et modification du droit en vigueur 1 L’ordonnance du 26 septembre 2003 sur l’informatique dans l’administration fédé- rale10 est abrogée.
2 La modification du droit en vigueur est réglée dans l’annexe.
Art. 30 Entrée en vigueur La présente ordonnance entre en vigueur le 1er janvier 2012.
9 décembre 2011 Au nom du Conseil fédéral suisse: La présidente de la Confédération, Micheline Calmy-Rey La chancelière de la Confédération, Corina Casanova
10 RO 2003 3687, 2007 3401, 2010 635, 2011 4491
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
Annexe (art. 29, al. 2)
Modification du droit en vigueur
Les ordonnances suivantes sont modifiées comme suit:
1. Ordonnance du 25 novembre 1998 sur l’organisation du
gouvernement et de l’administration11
L’annexe 1, let. B, ch. V est complétée comme suit:
V. Eidgenössisches Finanzdepartement (EFD) Département fédéral des finances (DFF) Dipartimento federale delle finanze (DFF) Departament federal da finanzas (DFF)
1. Unités de l’administration fédérale centrale:
…
1.9 Informatiksteuerungsorgan des Bundes (ISB)
Unité de pilotage informatique de la Confédération (UPIC) Organo direzione informatica della Confederazione (ODIC) Organ da direcziun informatica da la Confederaziun (ODIC)
2. Ordonnance du 22 novembre 2006 sur l’organisation des marchés
publics de la Confédération12
Remplacement d’expressions Aux art. 8, al. 4, 17, al. 2, et 21, al. 2, le terme «Unité de stratégie informatique de la Confédération» est remplacé par «Unité de pilotage informatique de la Confédéra- tion».
11 RS 172.010.1 12 RS 172.056.15
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
3. Ordonnance du 17 février 2010 sur l’organisation du
Département fédéral des finances13
Art. 5, titre et let. g Abrogé Le Secrétariat général (SG) assume les fonctions définies à l’art. 42 LOGA et les tâches principales suivantes: g. il fournit des prestations administratives au Secrétariat d’Etat aux questions financières internationales (SFI) et à l’Unité de pilotage informatique de la Confédération (UPIC).
Titre précédant l’art. 20a Section 9 Unité de pilotage informatique de la Confédération
1 L’UPIC est une unité administrative au sens de l’art. 7, al. 1, let. d, en relation avec l’art. 7, al. 2, OLOGA.
2 Elle est dirigée par le délégué au pilotage informatique.
3 Elle poursuit les buts suivants:
a. créer les conditions d’une utilisation efficace, adéquate, économique, axée sur l’utilisateur et sûre des technologies de l’information et de la communi- cation au sein de l’administration fédérale; b. encourager, grâce au recours aux technologies de l’information et de la communication par les gouvernements et les administrations publiques de toute la Suisse, une administration efficace, proche des citoyens et des milieux économiques; c. favoriser l’exploitation sûre d’infrastructures informatiques importantes en Suisse. 4 Dans la poursuite de ses objectifs, l’UPIC assume en particulier les tâches et les fonctions énumérées dans l’ordonnance du 9 décembre 2011 sur l’informatique dans l’administration fédérale14.
13 RS 172.215.1 14 RS 172.010.58
Ordonnance sur l’informatique dans l’administration fédérale RO 2011
4. Ordonnance du 5 avril 2006 sur les finances de la Confédération15
Art. 18, al. 3
3 L’Administration des finances édicte, conjointement avec l’Office du personnel
(OFPER) et l’Unité de pilotage informatique de la Confédération (UPIC), des ins- tructions techniques relatives à la procédure applicable aux demandes budgétaires.
Art. 22, al. 1 1 L’Administration des finances, l’UPIC et l’Office du personnel vérifient si les demandes budgétaires des unités administratives sont conformes aux principes mentionnés à l’art. 12, al. 4, LFC, ainsi qu’aux directives et exigences au sens des art. 18 et 21.
15 RS 611.01