Lexipedia

172.67.1

Règlement d'application de la loi du 6 novembre 2018 sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat (RLCyber)

du 7 octobre 2020

Préambule

LE CONSEIL D'ÉTAT DU CANTON DE VAUD

vu le préavis du Département des infrastructures et des ressources humaines

arrête

chapitre_i_dispositions_g_n_rales Chapitre I Dispositions générales

Art. 1 Objet

Le présent règlement a pour objet l'application de la loi du 6 novembre 2018 sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat (ci-après LCyber)A.

Art. 2 Autorités compétentes (art. 4 LCyber)

Le département en charge des systèmes d'information (ci-après: le département)B exécute le présent règlement. Il peut déléguer ses compétences et ses tâches au service en charge des systèmes d'information (ci-après: le service)B.

Toute entité publique ou concessionnée désignée par décision du Conseil d'Etat concourt à la réalisation de la procédure de délivrance du moyen d'identification électronique délivré par l'Etat (ci-après: MIE) et d'accès au portail sécurisé.

Le département établit des directives concernant les exigences minimales de sécurité, de formation et de protection de données personnelles applicables à la procédure de délivrance d'un MIE et d'accès au portail sécurisé.

Art. 2a Reconnaissance de fournisseurs publics ou concessionnés (art. 8 LCyber)

Le Conseil d'Etat reconnaît par décision les moyens d'identification électronique délivrés par d'autres fournisseurs publics ou concessionnés.

Cette décision liste les fournisseurs publics ou concessionnés de moyens d'identification électronique reconnus.

chapitre_ii_conditions_et_proc_dure_d_obtention_d_un_mie Chapitre II Conditions et procédure d'obtention d'un MIE

Art. 3 Conditions personnelles (art. 8 LCyber)

Toute personne âgée de 15 ans au moins peut obtenir un MIE si elle:

  1. est détentrice d'un numéro AVS;
  2. dispose d'une adresse de courrier électronique personnelle, et;
  3. dispose d'un moyen d'identification au sens de l'art. 2a ou d'un numéro de téléphone portable personnel.

Art. 4 Demande en ligne (art. 8 et 11 LCyber)

La demande d'un MIE est initiée auprès du service à la première connexion au portail sécurisé via un moyen d'identification au sens de l'art. 2a ou d'un formulaire électronique.

Une fois la demande initiée, le demandeur reçoit une requête de validation de sa demande du service. Lors de cette validation, le demandeur indique, en fonction des données requises pour le moyen d'identification utilisé, son numéro AVS, sa date de naissance, son adresse de courrier électronique personnelle et son numéro de téléphone portable personnel.

A réception de la demande au moyen d'un formulaire électronique, le département délivre un code personnel et secret à l'adresse de courrier électronique indiquée par le demandeur, valable 90 jours.

La demande vaut en outre demande d'accès au portail sécurisé à titre personnel.

Art. 5 Identification (art. 8 LCyber)

Une fois le code personnel et secret obtenu, le demandeur se rend personnellement auprès d'une autorité désignée à l'article 2, alinéa 2 ou du département pour être identifié. Le département peut également offrir la possibilité de s'identifier par vidéo, sans déplacement en personne.

Le demandeur se munit de son code personnel et secret et,

  1. pour les ressortissants suisses, d'un document d'identité suisse valable au sens de la loi fédérale du 22 juin 2001 sur les documents d'identités des ressortissants suisses (LDI; RS 143.1); ou
  2. pour les personnes de nationalité étrangère, d'une pièce de légitimation valable et reconnue au sens de l'article 13 alinéa 1, de la loi fédérale du 16 décembre 2005 sur les étrangers et l'intégration (LEI; RS 142.20)C ou d'un titre de séjour valable délivré par une autorité suisse de police des étrangers.

Si l'identification est établie, le département délivre un MIE.

L'accord du représentant légal est nécessaire pour les personnes qui n'ont pas l'exercice des droits civils.

Le service règle les modalités de vérification de l'accord du représentant légal dans les conditions d'utilisation.

Art. 6 Renouvellement de l'identification (art. 8 LCyber)

L'identification d'une personne physique est valable 5 ans.

Avant l'échéance de cette durée, le département invite le titulaire d'un MIE à demander son renouvellement. La procédure d'identification de l'article 5 est applicable par analogie au renouvellement de l'identification du titulaire d'un MIE.

Art. 7 Désactivation du MIE (art. 8 LCyber)

Le titulaire d'un MIE peut en tout temps demander sa désactivation. Il adresse sa demande au département, par voie électronique ou se rend personnellement auprès d'une préfecture, muni d'une des pièces mentionnées à l'article 5, alinéa 2, lettre a ou b.

A l'échéance de la durée de validité de l'identification, le MIE est bloqué temporairement pendant 6 mois, puis, en l'absence de renouvellement de l'identification du titulaire dans ce délai, il est désactivé.

Le MIE est désactivé au décès du titulaire.

Les décisions du département fondées sur l'article 8 alinéa 3, LCyberA sont réservées.

La désactivation du MIE entraîne la fin de tous les accès du titulaire au portail sécurisé.

chapitre_iii_conditions_et_proc_dure_d_acc_s_au_portail_s_curis Chapitre III Conditions et procédure d'accès au portail sécurisé

Art. 8 Accès au portail sécurisé (art. 11 LCyber)

Le titulaire d'un MIE accède au portail sécurisé dès la délivrance de ce MIE, sans demande supplémentaire.

L'entité disposant d'un numéro d'identification des entreprises (ci-après: IDE) au sens de la loi fédérale du 18 juin 2010 sur le numéro d'identification des entreprises (LIDE; RS 431.03)D qui souhaite accéder au portail sécurisé adresse une demande électronique au moyen d'un formulaire électronique. Elle agit par l'intermédiaire d'une personne physique titulaire d'un MIE et disposant de pouvoirs de représentation pour demander un accès au portail sécurisé et gérer cet accès (ci-après le référent).

Art. 9 Demande d'accès pour l'entité disposant d'un IDE (art. 11 LCyber)

Le référent indique le numéro d'identification des entreprises de l'entité disposant d'un IDE qu'il représente ainsi que le fondement de ses pouvoirs de représentation. Le département définit les documents permettant d'attester des pouvoirs de représentation du référent.

Le référent fait en outre valider ses pouvoirs de représentation par les autorités compétentes au sens de l'article 2.

Une fois les pouvoirs de représentation validés, le département délivre, par courrier postal, un code personnel et secret, valable 90 jours, à l'adresse de l'entité disposant d'un IDE. Le référent de l'entité disposant d'un IDE finalise la demande en indiquant ce code personnel et secret sur le portail sécurisé.

Si les conditions d'accès sont remplies, le département octroie l'accès au portail sécurisé à l'entité disposant d'un IDE. Le référent est associé à l'entité disposant d'un IDE.

Art. 10 Procédure d'authentification et accès au portail sécurisé (art. 11 LCyber)

L'authentification de l'usager est nécessaire pour accéder au portail sécurisé. Elle est requise lors de chaque connexion au portail sécurisé.

L'authentification a lieu au moyen du MIE.

chapitre_iv_utilisation_du_portail_s_curis Chapitre IV Utilisation du portail sécurisé

Art. 11 Compte usager (art. 11 LCyber)

Toute personne physique titulaire d'un MIE et toute entité disposant d'un IDE qui bénéficie d'un accès au portail sécurisé dispose d'un compte usager.

Si le titulaire du MIE dispose d'un accès à plusieurs comptes usager, il indique à chaque connexion à quel compte il souhaite accéder. L'authentification effectuée lors d'une connexion au portail sécurisé permet d'accéder à un seul compte à la fois.

Après 30 mois sans connexion au portail sécurisé, l'usager est avisé que son compte sera désactivé dans un délai de 6 mois. En l'absence de nouvelle connexion du titulaire dans ce délai, le compte est désactivé.

Art. 12 Conditions d'utilisation du portail sécurisé (art. 11 LCyber)

Le département édicte les conditions d'utilisation du portail sécurisé. Il peut les modifier en tout temps. La modification entre en vigueur dès sa publication sur le portail sécurisé.

A sa première connexion, l'usager est informé des droits et obligations liés à l'utilisation du portail sécurisé qui découlent de la législation et des conditions d'utilisation en vigueur.

Art. 13 Rôle du référent de l'entité disposant d'un IDE (art. 11 LCyber)

Le référent est responsable de la gestion de l'accès au portail sécurisé de l'entité disposant d'un IDE.

Il lui incombe de définir les rôles des éventuels titulaires d'un MIE qui doivent disposer d'un accès au compte usager et aux données de l'entité disposant d'un IDE, et notamment de:

  1. désigner et révoquer les personnes autorisées à agir pour le compte de l'entité disposant d'un IDE en définissant pour chacune les prestations en ligne auxquelles elles ont accès;
  2. désigner et révoquer les représentants de l'entité disposant d'un IDE et définir leurs pouvoirs de représentation en précisant pour chacun les prestations en ligne auxquelles ils ont accès;
  3. déléguer les tâches mentionnées aux lettres a et b.

Les rôles définis sur le portail sécurisé sont limités aux seules actions effectuées sur celui-ci.

La création des rôles sur le portail sécurisé n'équivaut pas à une confirmation de la validité des rapports de représentation concernés.

Art. 14 Changement de référent (art. 11 LCyber)

L'entité disposant d'un IDE peut en tout temps demander un changement de référent. Elle adresse sa demande au département, par voie électronique. Le département définit les documents permettant d'attester des pouvoirs de représentation du référent.

L'entité disposant d'un IDE précise dans sa demande si le référent inscrit précédemment doit conserver ou non son accès au compte de l'entité IDE.

Le département procède au changement de référent une fois les pouvoirs de représentation validés par les autorités compétentes au sens de l'article 2.

Art. 15 Représentation en ligne (art. 11 LCyber)

L'usager peut autoriser par voie électronique un ou plusieurs autres usagers à le représenter et à accéder aux prestations en ligne du portail sécurisé en son nom et pour son compte.

Le représenté détermine l'étendue des pouvoirs de représentation et, en particulier, les prestations en ligne et les données auxquelles il donne accès au représentant ainsi que le destinataire des communications électroniques.

Il peut modifier ou révoquer ces autorisations en tout temps.

Chaque autorité concernée définit, pour les prestations en ligne qu'elle offre, si elle admet la représentation en ligne, dans le cadre technique prévu par le service.

Art. 16 Obligations de l'usager (art. 11 LCyber)

L'usager est tenu de garder à jour sur le portail sécurisé ses données de compte, son adresse de courrier électronique de contact, la liste de ses représentants autorisés ainsi que l'étendue des pouvoirs de représentation de chacun d'entre eux.

La même obligation vaut pour le référent s'agissant des données de compte relatives à l'entité disposant d'un IDE, de son adresse de courrier électronique de contact et des rôles accordés aux personnes autorisées et représentants conformément à l'article 13.

Le référent est également tenu d'annoncer la radiation de l'entité disposant d'un IDE du registre IDE.

chapitre_v_fin_de_l_acc_s_au_portail_s_curis Chapitre V Fin de l'accès au portail sécurisé

Art. 17 Personne physique (art. 11 LCyber)

L'usager peut en tout temps renoncer à son accès au portail sécurisé. Il adresse sa renonciation au département, par voie électronique, ou se rend personnellement auprès d'une préfecture muni d'une des pièces mentionnées à l'article 5, alinéa 2, lettre a ou b.

L'accès de l'usager prend fin au décès de celui-ci.

La fin de l'accès de l'usager personne physique entraîne la désactivation du MIE de son titulaire.

Art. 18 Entité disposant d'un numéro IDE (art. 11 LCyber)

Le référent de l'entité disposant d'un IDE peut annoncer en tout temps que l'entité renonce à son accès. Il adresse une renonciation au département, par voie électronique ou se rend personnellement auprès d'une préfecture muni d'une des pièces mentionnées à l'article 5, alinéa 2, lettre a ou b.

Lorsque l'accès du référent prend fin, le département en informe l'entité disposant d'un IDE et requiert la désignation d'un nouveau référent. Elle lui impartit un délai pour désigner un nouveau référent. Si l'entité IDE ne désigne pas de nouveau référent dans ce délai, le département révoque l'accès de l'entité disposant d'un IDE.

L'accès de l'usager prend fin au moment de l'annonce de radiation de l'entité disposant d'un IDE du registre IDE par le référent ou, en l'absence d'une telle annonce, après trois ans d'inactivité du compte usager.

Art. 19 Effets sur les procédures en cours (art. 11 LCyber)

Si la fin de l'accès intervient au cours d'une procédure, l'autorité concernée poursuit la procédure sans recourir au portail sécurisé, par voie non-électronique. Les réglementations spéciales sont réservées.

chapitre_vi_protection_des_donn_es Chapitre VI Protection des données

Art. 20 Devoir d'informer (art. 12 LCyber)

Le département informe le titulaire d'un MIE et l'usager des données personnelles collectées au moment de la demande d'obtention d'un MIE ainsi qu'à la première connexion de l'usager au portail.

Art. 21 Droit d'accès spécifiques sur le portail sécurisé (art. 13 LCyber)

Les personnes agréées au sens de l'article 4, alinéa 1, lettre h LCyber pour accéder aux données de compte, aux métadonnées et aux données de contenu des usagers sur le portail sécurisé sont soumises à un engagement de confidentialité concernant l'accès aux données des usagers.

Tout accès aux données d'un usager est consigné par le service pendant une durée de 18 mois (historique des accès).

En cas de demande d'un usager visant à consulter l'historique des accès à ses données, le département lui communique cet historique sans mention de l'identité des personnes agréées au sens de l'article 4, alinéa 1, lettre h LCyberA qui ont accédé aux données.

Art. 22 Dérogation en matière de protection des données

Après consultation du Préposé cantonal à la protection des données, le département peut autoriser le traitement de données personnelles par le service si cela paraît indispensable pour réaliser un essai pilote ou préparer une application pendant la procédure d'adoption ou d'adaptation de la base légale nécessaire à un tel traitement.

Le service transmet, au plus tard deux ans après la mise en œuvre de la phase d'essai, un rapport d'évaluation au département. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.

chapitre_vii_dispositions_finales_et_transitoires Chapitre VII Dispositions finales et transitoires

Art. 23 Moyens d'identification électronique conférés aux représentants de communes avant l'entrée en vigueur de la LCyber

Les MIE délivrés par le service aux représentants des communes avant l'entrée en vigueur de la LCyberA sont reconnus avoir été délivrés valablement, sous réserve du respect par leur titulaire des conditions personnelles de l'article 3.

L'accord du représentant légal est nécessaire pour les personnes qui n'ont pas l'exercice des droits civils au moment de l'entrée en vigueur du présent règlement.

L'identification de leur titulaire doit être renouvelée dans un délai de 5 ans depuis la délivrance du MIE. La procédure des articles 5 et 6 est applicable par analogie.

Art. 24 Exécution

Le département est chargé de l'exécution du présent règlement qui entre en vigueur le au 1er décembre 2020.