La présente loi règle la création et la gestion du guichet de cyberadministration de l'Etat (ci-après: le guichet virtuel) ainsi que les prérequis techniques et les principes généraux de la cyberadministration cantonale.

Le guichet virtuel vise à rendre les opérations administratives plus aisées et plus économiques pour les usagers et usagères et plus efficientes pour l'administration en fournissant un point d'accès central aux prestations électroniques.

Les communes (y compris les établissements communaux et les associations de communes) participent aux solutions informatiques de la cyberadministration conformément aux dispositions de l'article 33.

Leur sont en outre applicables les dispositions de la section 4 sur l'externalisation ainsi que, dans la mesure fixée par l'article 7, les dispositions de la section 2 sur le guichet virtuel.

L'implication de certaines communes dans la phase pilote de mise en œuvre et d'exploitation du Référentiel cantonal est définie par le Conseil d'Etat.

La fourniture de prestations par le biais du guichet virtuel est assurée de manière progressive en fonction des projets retenus conformément à la réglementation de la gestion de l'informatique et des télécommunications dans l'administration cantonale.

Le guichet virtuel indique quelles autorités administratives offrent des prestations par le biais du guichet virtuel, quelles sont ces prestations, quelles transactions peuvent ou doivent être réalisées par ce biais et quels outils et standards informatiques doivent être utilisés.

Les traitements de données personnelles nécessaires en vue de la délivrance de la prestation ou du service demandé requièrent le consentement libre et éclairé de la personne concernée. Ils sont soumis à la législation sur la protection des données.

Lorsque le consentement a été donné en vue d'une prestation périodique, la personne concernée a la possibilité de retirer son consentement en tout temps et sans motif.

La preuve du consentement donné est conservée et doit pouvoir être démontrée en tout temps.

Les données traitées par le guichet virtuel sont conservées pendant une durée limitée. Le Conseil d'Etat règle les détails.

L'utilisation du guichet virtuel est gratuite.

Un émolument peut toutefois être prévu dans le contrat d'utilisation lorsqu'une catégorie d'usagers ou d'usagères a accès à des prestations particulières occasionnant des frais aux autorités administratives.

Un émolument peut aussi être prélevé pour un droit d'accès supplémentaire ou une intervention technique particulière.

Les émoluments relatifs aux prestations elles-mêmes sont dus conformément à la législation applicable.

Le Conseil d'Etat peut, par voie d'ordonnance, prévoir certains avantages financiers afin d'encourager le recours au guichet virtuel.

Sur la base de conventions de droit administratif passées avec l'Etat, les communes (y compris les établissements communaux et les associations de communes) peuvent offrir leurs propres prestations par le biais du guichet virtuel.

Les conventions définissent en particulier la participation des communes aux frais d'investissement et de fonctionnement du guichet virtuel.

Sur la base d'une convention de droit administratif passée avec l'Etat, d'autres fournisseurs peuvent être autorisés à fournir des prestations par le biais du guichet virtuel, notamment lorsque celles-ci sont en lien avec des procédures administratives.

La convention définit en particulier les prestations concernées et la participation de l'organe tiers aux frais d'investissement et de fonctionnement du guichet virtuel. Elle rappelle en outre les exigences de la législation en matière de protection des données.

Les collectivités publiques ne répondent pas des dommages, directs ou indirects, résultant soit de l'incapacité d'accéder au guichet virtuel ou d'utiliser celui-ci, soit de la falsification de données par de tierces personnes. Le cas d'acte illicite de leurs agents et agentes demeure réservé.

La responsabilité pour le traitement des données personnelles est régie par la législation sur la protection des données.

Les autres fournisseurs de prestations (art. 8) sont seuls responsables des données fournies et des dommages qui pourraient en résulter.

Les usagers et usagères sont responsables de leur propre système informatique, notamment de sa protection contre des actions malveillantes.

Ils supportent toutes les conséquences de l'utilisation de leurs droits d'accès par une tierce personne à qui ils ont communiqué leurs moyens d'identification et d'authentification.

Le guichet de cyberadministration et les applications qu'il supporte sont préréglés pour assurer par défaut que seules les données personnelles nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

La personne concernée peut consentir à un traitement élargi de ses données afin de bénéficier de services et/ou de prestations supplémentaires.

Le Conseil d'Etat peut décider de participer à une organisation intercantonale dans le but de partager des compétences et de développer des solutions communes relatives au guichet virtuel. Il peut lui déléguer des tâches dans ce domaine.

La personne qui souhaite procéder à une transaction par le biais du guichet virtuel doit disposer des droits correspondant à son rôle dans la procédure concernée, des moyens d'authentification et, le cas échéant, d'identification nécessaires. L'accès est en outre subordonné à l'acceptation d'un contrat d'utilisation, passé par voie électronique ou par écrit.

Afin d'identifier cette personne et de lui attribuer l'accès à des prestations, les organes chargés de la gestion du guichet virtuel ou de la solution concernée utilisent le Référentiel cantonal (art. 17ss) ainsi que les informations existant dans les registres et bases de données pertinents.

En cas de représentation légale ou contractuelle, l'accès aux données et aux informations relatives à la personne représentée et le droit d'agir en son nom par le biais du guichet virtuel sont, en outre, subordonnés à la justification des pouvoirs de représentation auprès de l'organe chargé de la gestion du guichet virtuel.

En cas de représentation contractuelle, la procuration définit clairement l'étendue des pouvoirs de représentation, et en particulier les prestations concernées. Elle peut être révoquée en tout temps.

Le Référentiel cantonal est un ensemble de données communes à plusieurs applications, qui ne contient que des données personnelles non sensibles au sens de la législation sur la protection des données ou dont l'utilisation dans le Référentiel a été dûment autorisée. Il contient également les données nécessaires à l'exploitation du guichet.

Les données de base sont des informations non sensibles et d'utilité générale, comme des informations sur les organes des collectivités publiques (noms et adresses des communes et des unités administratives, etc.), des adresses postales, la liste des pays ainsi que des nomenclatures standardisées (titres civils, genres, nationalités, types de personnes morales, etc.).

La gestion des registres et des bases de données repose sur les autorisations prévues par la législation spéciale. L'article 35 de la présente loi demeure réservé.

L'identificateur est un numéro non signifiant et immuable qui est attribué à une unique personne physique ou morale à des fins d'identification.

Un numéro qui n'est plus utilisé ne doit pas être attribué à une autre personne.

L'utilisation du numéro AVS à d'autres fins que celles qui sont décrites à l'alinéa 1 est prohibée. En particulier, il est interdit de faire usage du numéro AVS comme moyen d'apparier des données entre elles à des fins de profilage ou d'investigation. Les lois spéciales sont réservées.

Dans la mesure où une loi fédérale ou cantonale autorise d'autres organes publics ou des tiers à traiter cette donnée, le numéro AVS peut leur être communiqué par voie d'appel.

Le numéro AVS est protégé contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées, adaptées à l'évolution des technologies disponibles et conformes aux exigences du droit fédéral.

L'Autorité cantonale de la transparence, de la protection des données et de la médiation est consultée sur le choix des mesures à mettre en place.

L'utilisation des numéros IDE et REE à d'autres fins que celles qui sont décrites à l'alinéa 1 est prohibée. En particulier, il est interdit de faire usage des numéros IDE et REE comme moyen d'apparier des données entre elles à des fins de profilage ou d'investigation. Les lois spéciales sont réservées.

Les numéros IDE et REE peuvent être communiqués par voie d'appel à d'autres organes publics ou à des tiers dans la mesure où le droit fédéral le permet et conformément aux conditions posées par celui-ci.

Les numéros IDE et REE sont protégés contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées, adaptées à l'évolution des technologies disponibles et conformes aux exigences du droit fédéral.

Le Référentiel cantonal contient également les éventuelles mentions concernant la fiabilité des données et les restrictions de l'accès aux données.

La présente loi autorise le traitement par voie d'appel des données du Référentiel cantonal si l'application appelante bénéficie d'une base légale autorisant le traitement de ces données.

Des mesures de sécurité protègent les données personnelles contre toute atteinte à leur confidentialité et contre tout traitement non autorisé. Elles garantissent notamment qu'une application n'accède qu'aux données personnelles nécessaires pour la fourniture de la prestation requise.

Le Conseil d'Etat désigne l'organe responsable du Référentiel cantonal, qui a qualité de responsable du fichier au sens de la législation sur la protection des données.

L'organe responsable est autorisé à utiliser de manière systématique les numéros AVS, IDE et REE conformément à la présente loi.

Le traitement électronique de données et la gestion d'outils informatiques peuvent être externalisés aux conditions de la présente section.

Le traitement de données qui font l'objet d'une obligation légale ou contractuelle de garder le secret ne peut être externalisé que si la confidentialité à l'égard du sous-traitant est assurée de manière que ce dernier ne puisse avoir accès à leur contenu.

Lorsque le sous-traitant doit impérativement avoir accès aux données pour des raisons techniques, le contrat d'externalisation fixe les exigences particulières nécessaires, en particulier l'engagement du sous-traitant de n'accéder au contenu des données qu'avec le consentement exprès de l'autorité administrative qui procède à l'externalisation et l'obligation de tenir un journal des accès.

L'intégrité, l'authenticité, la disponibilité et la confidentialité du patrimoine informationnel concerné par une externalisation ainsi que la pérennité de sa conservation et de son exploitation doivent être garanties par des mesures organisationnelles et techniques appropriées et adaptées à l'évolution des technologies disponibles.

Lorsque l'externalisation concerne des données indispensables au fonctionnement de l'administration, la continuité des activités externalisées doit, en cas d'incident, être garantie par un dispositif adéquat.

Au sein de l'administration cantonale, la responsabilité de la mise en œuvre et du suivi des règles de la présente section est assumée conjointement par l'autorité administrative et par le service en charge de l'informatique[1]. Sont réservés les cas dans lesquels l'autorité administrative gère de manière autonome tout ou partie de ses systèmes informatiques.

Lorsque l'externalisation concerne plusieurs autorités différentes au sein d'une même collectivité publique, une autorité principalement responsable est désignée. L'alinéa 2 s'applique pour le surplus.

Le Conseil d'Etat adopte la stratégie cantonale de cyberadministration en tenant compte de la stratégie suisse en ce domaine.

Dans toute la mesure du possible, les communes (y compris les établissements communaux et les associations de communes) utilisent, pour fournir leurs propres prestations informatiques, les mêmes solutions techniques que l'Etat.

L'Etat et les communes règlent par des conventions de droit administratif les questions liées à la création et à l'exploitation des solutions mutualisées, dans la mesure où ces questions ne sont pas réglées par une loi.

L'Etat peut imposer aux communes l'utilisation des solutions qu'il développe et gère à ses propres frais; les communes sont préalablement entendues. Dans ce cas, les communes supportent d'ordinaire leurs frais d'équipement, de formation et de connexion ainsi que d'éventuels travaux qu'elles délégueraient à des tiers.

Lorsque les nouvelles solutions imposées par l'Etat entrent en conflit avec celles qui ont déjà été mises en place par une ou des communes, l'Etat doit en tenir compte et assurer gratuitement un transfert de données efficace et fiable.

L'accès aux prestations électroniques fournies par l'Etat et les communes est en principe subordonné à l'utilisation par les usagers et usagères d'un moyen d'identification électronique.

Pour certaines prestations, l'Etat peut imposer l'utilisation d'un moyen d'identification électronique déterminé qui doit répondre au niveau d'exigences prévu pour les prestations concernées; les frais d'utilisation sont alors pris en charge par l'Etat.

L'Etat peut mettre en place des autorités d'enregistrement qui procèdent gratuitement à la vérification de l'identité des personnes détentrices du ou des moyens d'identification électronique choisis. D'entente avec l'Etat, les communes peuvent également offrir ce service.

Le Conseil d'Etat règle les modalités par voie d'ordonnance.

Dans le but d'expérimenter l'intégration de nouveaux processus électroniques et/ou de nouvelles technologies dans le fonctionnement et l'organisation de l'administration, le Conseil d'Etat est autorisé par le biais d'une ordonnance pilote à déroger temporairement et de manière limitée à une règle de droit qui entrerait en conflit avec la poursuite de l'expérimentation.

Le traitement automatisé de données personnelles dans des projets pilotes est en outre régi par la loi sur la protection des données, en particulier son article 22.

L'organe responsable transmet, au plus tard deux ans après la mise en œuvre de la phase d'essai, un rapport d'évaluation au Conseil d'Etat. Dans ce rapport, il lui propose la poursuite ou l'interruption de l'expérimentation.

Si le Conseil d'Etat autorise la poursuite de l'expérimentation, il engage immédiatement la procédure législative visant à adopter les bases légales formelles nécessaires. Il transmet au Grand Conseil un projet de loi, en principe, dans un délai de cinq ans suivant le début du projet pilote.

Dans la mesure où elle est exigée, l'article 35 vaut base légale au sens de l'article 54 de la Constitution cantonale sur l'accomplissement de tâches par des tiers pour toute la durée du projet.

Des essais pilotes peuvent également être menés par les communes aux mêmes conditions. La réalisation d'un essai pilote doit être prévue dans un règlement de portée générale.

Pour autant que besoin, les contrats d'externalisation conclus avant l'entrée en vigueur de la présente loi sont adaptés aux exigences de la section relative à l'externalisation lors de leur renouvellement, mais au plus tard dans un délai de cinq ans.

Les modalités de la gestion du consentement prévu à l'article 5 et de l'utilisation des moyens d'identification électronique mentionnés à l'article 34 sont mises en œuvre progressivement, mais au plus tard dans un délai de trois ans.