Lexipedia

AS 2023 738

Ordonnance sur les systèmes de gestion des données d’identification et les services d’annuaires de la Confédération (OIAM)

Préambule

Le Conseil fédéral suisse

arrête:

I

L’ordonnance du 19 octobre 2016 sur les systèmes de gestion des données d’identification et les services d’annuaires de la Confédération1 est modifiée comme suit:

Préambule

vu les art. 26 et 84, al. 1, de la loi du 18 décembre 2020 sur la sécurité de l’information (LSI)2,
vu la loi fédérale du 17 mars 2023 sur l’utilisation de moyens électroniques pour l’exécution des tâches des autorités (LMETA)3,
vu la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)4,
vu l’art. 27, al. 5 et 6, de la loi du 24 mars 2000 sur le personnel de la Confédération5,
vu l’art. 186 de la loi fédérale du 3 octobre 2008 sur les systèmes d’information de l’armée et du DDPS6,

Art. 2 Champ d’application

1 Les art. 24 et 25 LSI ainsi que la présente ordonnance s’appliquent:

  • a. aux unités de l’administration fédérale centrale au sens de l’art. 7 de l’ordonnance du 25 novembre 1998 sur l’organisation du gouvernement et de l’administration (OLOGA)7;

  • b. à l’armée.

2 L’application de la présente ordonnance aux unités de l’administration fédérale décentralisée visées à l’art. 2, al. 3, LOGA et aux organisations visées à l’art. 2, al. 4, LOGA est régie par l’art. 2, al. 2, let. b, et al. 3, de l’ordonnance du 8 novembre 2023 sur la sécurité de l’information (OSI)8.

Art. 5 Systèmes IAM

1 Les organes de la Confédération suivants sont responsables des systèmes IAM de l’administration fédérale centrale ci-après:

  • a. le secteur Transformation numérique et gouvernance de l’informatique de la Chancellerie fédérale (secteur TNI de la ChF), pour:

    1. tous les systèmes IAM proposés comme services standard et tous les systèmes IAM relevant explicitement du secteur TNI de la ChF, y compris leur mise à la disposition des cantons et des communes ainsi que d’organisations et de personnes de droit public ou de droit privé conformément à l’art. 11, al. 3, LMETA,

    2. le système IAM des processus de soutien en matière de finances, d’acquisition, de gestion immobilière et de logistique, y compris le raccordement aux services d’informatique en nuage (cloud);

  • b. la Direction des ressources du Département fédéral des affaires étrangères (DFAE), pour le système IAM exploité par l’unité Informatique DFAE;

  • c. le Secrétariat général du Département fédéral de la défense, de la protection de la population et des sports, pour les systèmes IAM exploités par le Groupement Défense (Groupement D);

  • d. l’Administration fédérale des finances, pour le système IAM de gestion des systèmes d’assurances sociales du premier pilier et de soutien à leurs processus exploité par la Centrale de compensation;

  • e. le Secrétariat général du Département fédéral de l’économie, de la formation et de la recherche (DEFR), pour le système IAM exploité par le Centre de services informatiques du DEFR (ISCeco);

  • f. l’Office fédéral des routes, pour son système IAM de gestion des équipements d’exploitation et de sécurité des routes nationales.

2 Ils veillent à ce que le traitement des données personnelles figurant dans les systèmes IAM dont ils sont responsables soit contrôlé au moins tous les quatre ans par un organe externe.

3 Les organes suivants sont responsables des systèmes IAM ci-après:

  • a. le Groupement D, pour les systèmes IAM de l’armée;

  • b. les unités administratives concernées, pour les systèmes IAM des unités de l’administration fédérale décentralisée;

  • c. les organisations concernées, pour les systèmes IAM des organisations visées à l’art. 2, al. 4, LOGA.

4 Les autorités visées à l’art. 2, al. 1, let. a et c à e, LSI auxquelles la présente ordonnance s’applique en vertu de l’art. 84, al. 3, LSI déterminent quels organes de la Confédération sont responsables dans leur domaine.

5 La responsabilité du système en aval, et en particulier de l’accès à celui-ci, continue d’incomber au service technique responsable du système.

Art. 6, let. b, ch. 3

Les organes de la Confédération responsables des services d’annuaires extérieurs aux systèmes IAM sont:

  • b. pour les autres annuaires, les fournisseurs de prestations informatiques qui exploitent ces systèmes, à savoir:

    1. le Groupement D,

Art. 7, let. b

Les personnes concernées font valoir leurs droits relatifs aux systèmes IAM et aux services d’annuaires auprès des organes suivants:

  • b. droit de rectification et de suppression:

    1. auprès du service du personnel de leur unité administrative ou de leur organisation ou auprès du service chargé de gérer leurs données,

    2. dans le cas de l’art. 9, let. b: auprès des organes responsables.

Art. 9, let. b

Les données concernant les personnes suivantes peuvent être traitées dans les systèmes IAM en plus des données au sens de l’art. 8:

  • b. particuliers et représentants d’organisations qui accèdent à des systèmes d’information mis à disposition par la Confédération ou, pour l’exécution du droit cantonal, par les cantons et les communes ainsi que par des organisations et personnes de droit public ou de droit privé, tels que les applications de cyberadministration.

Art. 11, al. 2 et 3

2 Aucun profilage au sens de l’art. 5, let. f et g, de la loi fédérale du 25 septembre 2020 sur la protection des données9 ne peut être effectué dans ces systèmes.

3 En l’absence d’une base légale particulière en la matière, aucune donnée sensible ne peut être traitée dans ces systèmes. Fait exception le traitement de données biométriques par les systèmes IAM à des fins d’identification des personnes visées aux art. 8 et 9, let. a, en fonction du risque (art. 20, al. 2, LSI).

Art. 12, al. 4

4 Ils peuvent obtenir automatiquement les données de personnes externes auprès des systèmes IAM externes raccordés aux systèmes IAM de la Confédération conformément aux art. 21 à 24.

Art. 13, al. 4, let. a

4 Les données peuvent être transmises de manière automatisée à d’autres systèmes d’information internes à l’administration fédérale, dans lesquels elles sont reprises et harmonisées, à condition que le système concerné:

  • a. dispose d’une base légale prévoyant le traitement des données à transmettre et d’un règlement de traitement au sens de l’art. 6 de l’ordonnance du 31 août 2022 sur la protection des données (OPDo)10, et

Art. 14, al. 2

2 Les dispositions de l’art. 20, al. 2, LSI relatives à la destruction des données biométriques sont réservées.

Titre précédant l’art. 18

Section 6Mesures de protection des systèmes IAM et des services d’annuaires

Art. 18, al. 1 et 2

1 Les exploitants internes et externes d’éléments d’un système IAM ou d’un service d’annuaires doivent avoir des instructions écrites sur la sécurité de l’information et la gestion des risques. En particulier, chaque organe responsable d’un système ou d’un service d’annuaires en vertu de la présente ordonnance établit un règlement de traitement conformément à l’art. 6 OPDo11.

2 Les systèmes IAM et les services d’annuaires qui ne sont pas gérés par des organes visés à l’art. 2 ou sur mandat de ces derniers peuvent être raccordés à des systèmes IAM ou des services d’annuaires internes à l’administration fédérale uniquement s’ils respectent les exigences minimales concernant la sécurité de l’information.

Art. 20 Système global IAM

Les systèmes IAM de la Confédération peuvent être reliés entre eux et aux systèmes IAM externes visés à l’art. 21 pour former un système global.

Art. 21, phrase introductive et let. a

Les systèmes IAM externes ci-après peuvent être raccordés aux systèmes IAM de la Confédération afin que les personnes gérées dans ces systèmes externes puissent accéder aux ressources de celle-ci, pour autant que les conditions et les procédures énoncées aux art. 22 et 23 soient respectées et que leurs exploitants s’engagent à respecter la présente ordonnance et les prescriptions qui en découlent ou, dans le cas des cantons, que ces derniers garantissent une sécurité de l’information au moins équivalente:

  • a. systèmes IAM comprenant des collaborateurs cantonaux et communaux au sens de l’art. 9, let. a, et systèmes IAM de la Principauté de Liechtenstein;

Art. 24, al. 1, let. a

1 Les systèmes IAM de la Confédération peuvent être raccordés en qualité de fournisseurs de données d’identification et d’authentification à un système IAM externe ou à une fédération d’identités externe aux conditions suivantes:

  • a. le raccordement sert à octroyer aux personnes visées aux art. 8 ou 9 un accès:

    1. à des systèmes d’information qui sont gérés par un exploitant externe sur mandat de la Confédération ou à des systèmes d’information tiers dont elles ont besoin pour exécuter leurs tâches légales, ou

    2. à des systèmes d’information qui sont mis à disposition, pour l’exécution du droit cantonal, par les cantons et les communes ainsi que par des organisations et personnes de droit public ou de droit privé, tels que les applications de cyberadministration.

II

L’annexe est remplacée par la version ci-jointe.

III

La présente ordonnance entre en vigueur le 1er janvier 2024.

8 novembre 2023

Au nom du Conseil fédéral suisse:

Le président de la Confédération, Alain Berset
Le chancelier de la Confédération, Walter Thurnherr

Annexe

(art. 11 et 13, al. 1 et 2)

Catégories de données

Remarque préliminaire: pour la signification des astérisques (*), voir l’art. 11, al. 4.

Services d’annuaires

Systèmes IAM avec des personnes au sens des art. 8 et 9, let. a

Systèmes IAM avec des personnes au sens de l’art. 9, let. b

  • a. Données relatives à la personne

  1. Nom*

x

x

x

  1. Prénoms*

x

x

x

  1. Date de naissance

x

x

  1. Lieu de naissance

x

  1. Nationalité

x

  1. Sexe

x

x

  1. Civilité*

x

x

x

  1. Titre*

x

x

x

  1. Initiales*

x

x

x

  1. Identificateurs personnels locaux

x

x

x

  1. Profession*

x

x

x

  1. Langue de correspondance*

x

x

x

  1. Caractéristiques biométriques personnelles particulières, en particulier scan de l’iris, rétine, scan des veines, empreinte digitale, empreinte palmaire, caractéristiques de la forme du visage et profil de la voix

x

  1. Photo du visage

x

x

x

  1. Numéro AVS

x

x

x

  • b. Données relatives au rapport avec l’employeur / le mandant

  1. Rapports de travail (interne/externe)*

x

x

  1. Informations relatives à l’unité d’organisation et aux postes de travail*

x

x

x

  1. Futur rattachement à une unité d’organisation

x

x

  1. Catégorie de personnel

x

  1. Numéro personnel (y c. cantonal)

x

x

  1. Fonction*

x

x

  1. Poste*

x

x

  1. Identification du système d’information du personnel (source)

x

x

  1. Date d’entrée et date de départ

x

x

  1. Numéro de pièce d’identité et/ou de badge

x

x

x

  • c. Données de contact

  1. Lieu de travail et adresse postale professionnelle*

x

x

x

  1. Adresse postale privée

x

  1. Numéro du bureau*

x

x

  1. Composantes de l’adresse professionnelle* telles qu’adresse électronique*, numéro de téléphone*, numéro de fax*, adresse VoIP*

x

x

x

  1. Composantes de l’adresse externe* (pour les collaborateurs et les mandataires*) ou de l’adresse privée

x

x

x

  • d. Données concernant les fonctions professionnelles

  1. Indications issues des registres professionnels officiels (médecin, personne habilitée à dresser des actes authentiques, avocat, etc.)

x

x

  1. Fonction selon le registre du commerce et d’autres registres des représentations

x

x

  • e. Données techniques

  1. Appareils, raccordements, systèmes, applications, etc.

x

x

x

  1. Composantes de l’adresse, numéros d’identification, etc.

x

  1. Langue du système des appareils, des raccordements, etc.

x

x

x

  1. Clés publiques des certificats numériques*

x

x

x

  1. Groupes d’autorisations

x

x

x

  1. Noms pour la connexion aux systèmes informatiques

x

x

x

  1. Mots de passe (sécurisés cryptographiquement)

x

x

  1. Dernière ouverture de session

x

x

  1. Échecs lors d’ouvertures de session

x

x

  1. Statut (actif/passif)

x

x

  1. Qualité de l’authentification

x

x

  • f. Données relatives au contrôle de sécurité relatif aux personnes, si celui-ci a abouti à une déclaration de sécurité sans réserve ou si l’autorité décisionnelle a rendu une décision positive

  1. Degré de contrôle

x

  1. Durée de validité de la déclaration de sécurité

x