172.67.1•RÈGLEMENT 172.67.1 d'application de la loi du 6 novembre 2018 sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat
172.67.1RLCyberRegulation1 déc. 2020
du 7 octobre 2020
LE CONSEIL D'ÉTAT DU CANTON DE VAUD vu le préavis du Département des infrastructures et des ressources humaines arrête
1 Le présent règlement a pour objet l'application de la loi du 6 novembre 2018 sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat (ci-après LCyber)[A].
1 Le département en charge des systèmes d'information (ci-après : le département)[B] exécute le présent règlement. Il peut déléguer ses compétences et ses tâches au service en charge des systèmes d'information (ci-après : le service)[B].
2 Toute entité publique ou concessionnée désignée par décision du Conseil d'Etat concourt à la réalisation de la procédure de délivrance du moyen d'identification électronique délivré par l'Etat (ci-après : MIE) et d'accès au portail sécurisé.
3 Le département établit des directives concernant les exigences minimales de sécurité, de formation et de protection de données personnelles applicables à la procédure de délivrance d'un MIE et d'accès au portail sécurisé.
1 Le Conseil d'Etat reconnaît par décision les moyens d'identification électronique délivrés par d'autres fournisseurs publics ou concessionnés.
2 Cette décision liste les fournisseurs publics ou concessionnés de moyens d'identification électronique reconnus.
1 Toute personne âgée de 15 ans au moins peut obtenir un MIE si elle :
1 La demande d'un MIE est initiée auprès du service à la première connexion au portail sécurisé via un moyen d'identification au sens de l'art. 2a ou d'un formulaire électronique.
2 Une fois la demande initiée, le demandeur reçoit une requête de validation de sa demande du service. Lors de cette validation, le demandeur indique, en fonction des données requises pour le moyen d'identification utilisé, son numéro AVS, sa date de naissance, son adresse de courrier électronique personnelle et son numéro de téléphone portable personnel.
3 A réception de la demande au moyen d'un formulaire électronique, le département délivre un code personnel et secret à l'adresse de courrier électronique indiquée par le demandeur, valable 90 jours.
4 La demande vaut en outre demande d'accès au portail sécurisé à titre personnel.
1 Une fois le code personnel et secret obtenu, le demandeur se rend personnellement auprès d'une autorité désignée à l'article 2, alinéa 2 ou du département pour être identifié. Le département peut également offrir la possibilité de s'identifier par vidéo, sans déplacement en personne.
2 Le demandeur se munit de son code personnel et secret et,
3 Si l'identification est établie, le département délivre un MIE.
4 L'accord du représentant légal est nécessaire pour les personnes qui n'ont pas l'exercice des droits civils.
5 Le service règle les modalités de vérification de l'accord du représentant légal dans les conditions d'utilisation.
1 L'identification d'une personne physique est valable 5 ans.
2 Avant l'échéance de cette durée, le département invite le titulaire d'un MIE à demander son renouvellement. La procédure d'identification de l'article 5 est applicable par analogie au renouvellement de l'identification du titulaire d'un MIE.
1 Le titulaire d'un MIE peut en tout temps demander sa désactivation. Il adresse sa demande au département, par voie électronique ou se rend personnellement auprès d'une préfecture, muni d'une des pièces mentionnées à l'article 5, alinéa 2, lettre a ou b.
2 A l'échéance de la durée de validité de l'identification, le MIE est bloqué temporairement pendant 6 mois, puis, en l'absence de renouvellement de l'identification du titulaire dans ce délai, il est désactivé.
3 Le MIE est désactivé au décès du titulaire.
4 Les décisions du département fondées sur l'article 8 alinéa 3, LCyber[A] sont réservées.
5 La désactivation du MIE entraîne la fin de tous les accès du titulaire au portail sécurisé.
1 Le titulaire d'un MIE accède au portail sécurisé dès la délivrance de ce MIE, sans demande supplémentaire.
2 L'entité disposant d'un numéro d'identification des entreprises (ci-après : IDE) au sens de la loi fédérale du 18 juin 2010 sur le numéro d'identification des entreprises (LIDE ; RS 431.03)[D] qui souhaite accéder au portail sécurisé adresse une demande électronique au moyen d'un formulaire électronique. Elle agit par l'intermédiaire d'une personne physique titulaire d'un MIE et disposant de pouvoirs de représentation pour demander un accès au portail sécurisé et gérer cet accès (ci-après le référent).
1 Le référent indique le numéro d'identification des entreprises de l'entité disposant d'un IDE qu'il représente ainsi que le fondement de ses pouvoirs de représentation. Le département définit les documents permettant d'attester des pouvoirs de représentation du référent.
2 Le référent fait en outre valider ses pouvoirs de représentation par les autorités compétentes au sens de l'article 2.
3 Une fois les pouvoirs de représentation validés, le département délivre, par courrier postal, un code personnel et secret, valable 90 jours, à l'adresse de l'entité disposant d'un IDE. Le référent de l'entité disposant d'un IDE finalise la demande en indiquant ce code personnel et secret sur le portail sécurisé.
4 Si les conditions d'accès sont remplies, le département octroie l'accès au portail sécurisé à l'entité disposant d'un IDE. Le référent est associé à l'entité disposant d'un IDE.
1 L'authentification de l'usager est nécessaire pour accéder au portail sécurisé. Elle est requise lors de chaque connexion au portail sécurisé.
2 L'authentification a lieu au moyen du MIE.
1 Toute personne physique titulaire d'un MIE et toute entité disposant d'un IDE qui bénéficie d'un accès au portail sécurisé dispose d'un compte usager.
2 Si le titulaire du MIE dispose d'un accès à plusieurs comptes usager, il indique à chaque connexion à quel compte il souhaite accéder. L'authentification effectuée lors d'une connexion au portail sécurisé permet d'accéder à un seul compte à la fois.
3 Après 30 mois sans connexion au portail sécurisé, l'usager est avisé que son compte sera désactivé dans un délai de 6 mois. En l'absence de nouvelle connexion du titulaire dans ce délai, le compte est désactivé.
1 Le département édicte les conditions d'utilisation du portail sécurisé. Il peut les modifier en tout temps. La modification entre en vigueur dès sa publication sur le portail sécurisé.
2 A sa première connexion, l'usager est informé des droits et obligations liés à l'utilisation du portail sécurisé qui découlent de la législation et des conditions d'utilisation en vigueur.
1 Le référent est responsable de la gestion de l'accès au portail sécurisé de l'entité disposant d'un IDE.
2 Il lui incombe de définir les rôles des éventuels titulaires d'un MIE qui doivent disposer d'un accès au compte usager et aux données de l'entité disposant d'un IDE, et notamment de :
3 Les rôles définis sur le portail sécurisé sont limités aux seules actions effectuées sur celui-ci.
4 La création des rôles sur le portail sécurisé n'équivaut pas à une confirmation de la validité des rapports de représentation concernés.
1 L'entité disposant d'un IDE peut en tout temps demander un changement de référent. Elle adresse sa demande au département, par voie électronique. Le département définit les documents permettant d'attester des pouvoirs de représentation du référent.
2 L'entité disposant d'un IDE précise dans sa demande si le référent inscrit précédemment doit conserver ou non son accès au compte de l'entité IDE.
3 Le département procède au changement de référent une fois les pouvoirs de représentation validés par les autorités compétentes au sens de l'article 2.
1 L'usager peut autoriser par voie électronique un ou plusieurs autres usagers à le représenter et à accéder aux prestations en ligne du portail sécurisé en son nom et pour son compte.
2 Le représenté détermine l'étendue des pouvoirs de représentation et, en particulier, les prestations en ligne et les données auxquelles il donne accès au représentant ainsi que le destinataire des communications électroniques.
3 Il peut modifier ou révoquer ces autorisations en tout temps.
4 Chaque autorité concernée définit, pour les prestations en ligne qu'elle offre, si elle admet la représentation en ligne, dans le cadre technique prévu par le service.
1 L'usager est tenu de garder à jour sur le portail sécurisé ses données de compte, son adresse de courrier électronique de contact, la liste de ses représentants autorisés ainsi que l'étendue des pouvoirs de représentation de chacun d'entre eux.
2 La même obligation vaut pour le référent s'agissant des données de compte relatives à l'entité disposant d'un IDE, de son adresse de courrier électronique de contact et des rôles accordés aux personnes autorisées et représentants conformément à l'article 13.
3 Le référent est également tenu d'annoncer la radiation de l'entité disposant d'un IDE du registre IDE.
1 L'usager peut en tout temps renoncer à son accès au portail sécurisé. Il adresse sa renonciation au département, par voie électronique, ou se rend personnellement auprès d'une préfecture muni d'une des pièces mentionnées à l'article 5, alinéa 2, lettre a ou b.
2 L'accès de l'usager prend fin au décès de celui-ci.
3 La fin de l'accès de l'usager personne physique entraîne la désactivation du MIE de son titulaire.
1 Le référent de l'entité disposant d'un IDE peut annoncer en tout temps que l'entité renonce à son accès. Il adresse une renonciation au département, par voie électronique ou se rend personnellement auprès d'une préfecture muni d'une des pièces mentionnées à l'article 5, alinéa 2, lettre a ou b.
2 Lorsque l'accès du référent prend fin, le département en informe l'entité disposant d'un IDE et requiert la désignation d'un nouveau référent. Elle lui impartit un délai pour désigner un nouveau référent. Si l'entité IDE ne désigne pas de nouveau référent dans ce délai, le département révoque l'accès de l'entité disposant d'un IDE.
3 L'accès de l'usager prend fin au moment de l'annonce de radiation de l'entité disposant d'un IDE du registre IDE par le référent ou, en l'absence d'une telle annonce, après trois ans d'inactivité du compte usager.
1 Si la fin de l'accès intervient au cours d'une procédure, l'autorité concernée poursuit la procédure sans recourir au portail sécurisé, par voie non-électronique. Les réglementations spéciales sont réservées.
1 Le département informe le titulaire d'un MIE et l'usager des données personnelles collectées au moment de la demande d'obtention d'un MIE ainsi qu'à la première connexion de l'usager au portail.
1 Les personnes agréées au sens de l'article 4, alinéa 1, lettre h LCyber pour accéder aux données de compte, aux métadonnées et aux données de contenu des usagers sur le portail sécurisé sont soumises à un engagement de confidentialité concernant l'accès aux données des usagers.
2 Tout accès aux données d'un usager est consigné par le service pendant une durée de 18 mois (historique des accès).
3 En cas de demande d'un usager visant à consulter l'historique des accès à ses données , le département lui communique cet historique sans mention de l'identité des personnes agréées au sens de l'article 4, alinéa 1, lettre h LCyber[A] qui ont accédé aux données.
1 Après consultation du Préposé cantonal à la protection des données, le département peut autoriser le traitement de données personnelles par le service si cela paraît indispensable pour réaliser un essai pilote ou préparer une application pendant la procédure d'adoption ou d'adaptation de la base légale nécessaire à un tel traitement.
2 Le service transmet, au plus tard deux ans après la mise en œuvre de la phase d'essai, un rapport d'évaluation au département. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.
1 Les MIE délivrés par le service aux représentants des communes avant l'entrée en vigueur de la LCyber[A] sont reconnus avoir été délivrés valablement, sous réserve du respect par leur titulaire des conditions personnelles de l'article 3.
2 L'accord du représentant légal est nécessaire pour les personnes qui n'ont pas l'exercice des droits civils au moment de l'entrée en vigueur du présent règlement.
3 L'identification de leur titulaire doit être renouvelée dans un délai de 5 ans depuis la délivrance du MIE. La procédure des articles 5 et 6 est applicable par analogie.
1 Le département est chargé de l'exécution du présent règlement qui entre en vigueur le au 1er décembre 2020.
{
"legislation": {
"act": {
"id": "ea555a48-8342-4036-9f8a-4e25267057b3",
"cote": "172.67.1",
"titre": "RÈGLEMENT d'application de la loi du 6 novembre 2018 sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat",
"statut": "EN_VIGUEUR",
"categorie": "CONSOLIDE",
"importance": "MAJEUR",
"abreviation": "RLCyber",
"dateAdoption": "07.10.2020",
"dateCaducite": null,
"titreComplet": "RÈGLEMENT du 07.10.2020 d'application de la loi du 6 novembre 2018 sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat (RLCyber; BLV 172.67.1)",
"dateAbrogation": null,
"dateReferendum": null,
"dateDecisionCcst": null,
"dateMiseEnVigueur": "01.12.2020",
"dateDelaiReferendum": null,
"titreCompletSansCote": "RÈGLEMENT du 07.10.2020 d'application de la loi du 6 novembre 2018 sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat (RLCyber)",
"dateMiseEnVigueurVersion": "01.12.2020"
},
"cote": "172.67.1",
"actId": "ea555a48-8342-4036-9f8a-4e25267057b3",
"categorie": "CONSOLIDE",
"selectedVersion": {
"htmlId": "9d7d7b23-9b2c-41bb-a9ca-d79ca8556b19",
"versionType": "ACTUELLE",
"versionDateMiseEnVigueur": "01.04.2026"
}
},
"content": {
"cote": "172.67.1",
"actId": "ea555a48-8342-4036-9f8a-4e25267057b3",
"htmlId": "9d7d7b23-9b2c-41bb-a9ca-d79ca8556b19"
}
}