# LOI 172.67 sur les moyens d’identification électronique et le portail sécurisé des prestations en ligne de l’Etat

du 6 novembre 2018

## Préambule

LE GRAND CONSEIL DU CANTON DE VAUD
vu le projet de loi présenté par le Conseil d'Etat
décrète

### Art. 1 - Objet {#art_1 omnilex-key=ch-vd-blv--172.67--1}

1 La présente loi fixe les conditions et la procédure de délivrance d'un moyen d'identification électronique par l'Etat ainsi que les conditions d'organisation, d'exploitation et d'utilisation du portail sécurisé des prestations en ligne de l'Etat (ci-après : le portail sécurisé).

### Art. 2 - Définitions {#art_2 omnilex-key=ch-vd-blv--172.67--2}

1 On entend par :

### Art. 3 - Gratuité {#art_3 omnilex-key=ch-vd-blv--172.67--3}

1 La délivrance d'un moyen d'identification électronique par l'Etat et l'accès au portail sécurisé sont gratuits.

2 Un émolument peut être prélevé lorsque l'accès au portail sécurisé est effectué avec un autre moyen d'identification électronique que celui délivré par l'Etat.

### Art. 4 - Autorités compétentes {#art_4 omnilex-key=ch-vd-blv--172.67--4}

1 Le département en charge des systèmes d'information (ci-après : le département)[B] est l'autorité compétente pour exécuter la loi, notamment :

2 Le département peut confier l'exécution de ses tâches au service en charge des systèmes d'information (ci-après : le service)[B].

3 Le Conseil d'Etat peut prévoir que d'autres services et autorités cantonales concourent à la réalisation de la procédure de délivrance des moyens d'identification électroniques et d'accès au portail sécurisé.

### Art. 5 - Utilisation systématique du numéro d'assuré AVS {#art_5 omnilex-key=ch-vd-blv--172.67--5}

1 Afin de réaliser les tâches que leur confie la présente loi, les autorités compétentes au sens de l'article 4 sont autorisées à employer systématiquement le numéro d'assuré AVS :

### Art. 6 - Accès aux registres {#art_6 omnilex-key=ch-vd-blv--172.67--6}

1 Afin de permettre les vérifications d'identité et de pouvoirs de représentation nécessaires à l'exécution de la présente loi ainsi qu'un contrôle de sécurité continu des échanges par l'intermédiaire du portail sécurisé, les autorités compétentes au sens de l'article 4 peuvent accéder :

2 Les données désignées à l'alinéa 1 leur sont rendues accessibles par l'intermédiaire d'une procédure d'appel.

3 Le Conseil d'Etat peut autoriser l'accès à d'autres registres ou bases de données si cela se révèle nécessaire à l'exécution de la présente loi.

### Art. 7 - Devoir de sensibilisation {#art_7 omnilex-key=ch-vd-blv--172.67--7}

1 Au début de la procédure, les autorités compétentes au sens de l'article 4 sensibilisent quiconque sollicite un moyen d'identification électronique ou demande à être usager du portail sécurisé aux bonnes pratiques en matière de sécurité informatique et de protection des données personnelles.

### Art. 8 - Moyen d'identification électronique {#art_8 omnilex-key=ch-vd-blv--172.67--8}

1 Le Conseil d'Etat détermine les conditions personnelles à remplir et la procédure à suivre pour obtenir un moyen d'identification électronique délivré par l'Etat.

2 Il peut reconnaître des moyens d'identification électronique délivrés par d'autres fournisseurs publics ou concessionnés.

3 Le refus de délivrance d'un moyen d'identification électronique par l'Etat ou sa désactivation fait l'objet d'une décision.

### Art. 9 - Devoirs du titulaire d'un moyen d'identification électronique {#art_9 omnilex-key=ch-vd-blv--172.67--9}

1 Le titulaire d'un moyen d'identification électronique délivré par l'Etat doit le garder strictement confidentiel.

2 Il prend les mesures nécessaires et raisonnables au vu des circonstances pour en empêcher une utilisation abusive. Ces obligations lui sont rappelées lors de la délivrance d'un moyen d'identification électronique.

3 En cas d'utilisation abusive d'un moyen d'identification électronique délivré par l'Etat, ou s'il y a lieu de le craindre, les autorités compétentes au sens de l'article 4 peuvent le désactiver sans demande préalable du titulaire. Dans ce cas, les autorités compétentes en informent le titulaire.

### Art. 10 - Caractère facultatif {#art_1 omnilex-key=ch-vd-blv--172.67--10}

1 L'utilisation du portail sécurisé pour accéder à une prestation de l'Etat est facultative, sauf exception prévue par le Conseil d'Etat.

### Art. 11 - Accès et conditions d'utilisation {#art_1 omnilex-key=ch-vd-blv--172.67--11}

1 Le titulaire d'un moyen d'identification électronique et l'entité disposant d'un IDE, par l'intermédiaire des personnes habilitées à l'engager et titulaires d'un moyen d'identification électronique, peuvent demander à être usager du portail sécurisé.

2 Le Conseil d'Etat détermine la procédure et les conditions d'accès au portail sécurisé.

3 Si un usager viole les conditions d'utilisation du portail sécurisé, son accès peut être limité, suspendu ou révoqué.

4 Le refus, la limitation, la suspension ou la révocation de l'accès au portail sécurisé fait l'objet d'une décision.

### Art. 12 - Traitement des données {#art_1 omnilex-key=ch-vd-blv--172.67--12}

1 Les autorités compétentes au sens de l'article 4 sont autorisées à traiter :

2 Elles limitent le traitement des données mentionnées à l'alinéa 1 à ce qui est strictement nécessaire à la réalisation des tâches qui leurs sont assignées par la loi.

3 Les données mentionnées à l'alinéa 1 sont détruites cinq ans après la désactivation du moyen d'identification électronique délivré par l'Etat ou le refus de la délivrance de celui-ci respectivement cinq ans après que l'accès de l'usager a pris fin.

### Art. 13 - Droits d'accès spécifiques {#art_1 omnilex-key=ch-vd-blv--172.67--13}

1 L'usager a accès aux données de compte, aux données de contenu et aux métadonnées le concernant durant leur durée de conservation.

2 Les personnes agréées au sens de l'article 4, alinéa 1, lettre h peuvent accéder aux données de compte et aux métadonnées de l'usager dans le cadre de leur fonction.

3 L'usager peut autoriser l'accès aux données de contenu le concernant aux personnes agréées au sens de l'article 4, alinéa 1, lettre h, notamment lorsqu'il doit être guidé dans l'utilisation du portail sécurisé ou qu'il signale au département une anomalie de fonctionnement ou de contenu. Un accord exprès est requis.

### Art. 14 - Traitement des données de l'usager sur le portail sécurisé {#art_1 omnilex-key=ch-vd-blv--172.67--14}

1 Les données de compte de l'usager sont conservées sur le portail sécurisé jusqu'à la fin de son accès.

2 Les données de contenu échangées entre l'usager et l'Etat et les métadonnées y relatives sont conservées sur le portail sécurisé durant le traitement par l'autorité concernée de la demande de prestation en ligne et pendant dix-huit mois après la clôture de la procédure mais au plus tard jusqu'à la fin de l'accès de l'usager. Les données de contenu et les métadonnées relatives aux décisions sont conservées sur le portail sécurisé dix-huit mois après leur notification mais au plus tard jusqu'à la fin de l'accès de l'usager.

3 Les données mentionnées aux alinéas 1 et 2 sont détruites sur le portail au terme de leur durée de conservation respective.

4 L'autorité concernée au sens de l'alinéa 2 statue sur les demandes de communication des données de contenu et des métadonnées y relatives.

### Art. 15 - Responsabilité de l'Etat {#art_1 omnilex-key=ch-vd-blv--172.67--15}

1 L'Etat ne répond pas des dommages causés par l'impossibilité d'utiliser un moyen d'identification électronique qu'il a délivré ou d'accéder au portail sécurisé et de l'utiliser.

2 Au surplus, la loi du 16 mai 1961 sur la responsabilité de l'Etat, des communes et de leurs agents (LRECA)[C] s'applique.

### Art. 16 - Responsabilité de l'usager {#art_1 omnilex-key=ch-vd-blv--172.67--16}

1 L'usager supporte tous les risques résultant de l'utilisation par un tiers de son moyen d'identification électronique.

2 Il est seul responsable de la protection et du bon fonctionnement de son système informatique.

### Art. 17 - Dispositions d'application {#art_1 omnilex-key=ch-vd-blv--172.67--17}

1 Le Conseil d'Etat édicte les dispositions d'application de la présente loi.

### Art. 18 - Evaluation de la mise en œuvre {#art_1 omnilex-key=ch-vd-blv--172.67--18}

1 Le Conseil d'Etat soumettra au Grand Conseil un rapport d'évaluation concernant la mise en œuvre de la présente loi dans les 5 ans suivant son entrée en vigueur.

2 Ce rapport sera accompagné d'un projet de décret amenant des mesures si les objectifs de la loi tels que définis dans l'exposé des motifs ne sont pas atteints.

### Art. 19 - Disposition transitoire {#art_1 omnilex-key=ch-vd-blv--172.67--19}

1 Les conditions personnelles que doivent remplir les personnes physiques pour obtenir un moyen d'identification électronique délivré par l'Etat et celles pour devenir usager du portail sécurisé seront identiques pendant les trois années suivant l'entrée en vigueur de la présente loi.

### Art. 20 - Exécution et entrée en vigueur {#art_2 omnilex-key=ch-vd-blv--172.67--20}

1 Le Conseil d'Etat est chargé de l'exécution de la présente loi. Il en publiera le texte conformément à l'article 84, alinéa 1, lettre a) de la Constitution cantonale et en fixera, par voie d'arrêté, la date d'entrée en vigueur.