LOI 172.67 sur les moyens d’identification électronique et le portail sécurisé des prestations en ligne de l’Etat

du 6 novembre 2018

Préambule

LE GRAND CONSEIL DU CANTON DE VAUD vu le projet de loi présenté par le Conseil d'Etat décrète

Art. 1 - Objet

1 La présente loi fixe les conditions et la procédure de délivrance d'un moyen d'identification électronique par l'Etat ainsi que les conditions d'organisation, d'exploitation et d'utilisation du portail sécurisé des prestations en ligne de l'Etat (ci-après : le portail sécurisé).

Art. 2 - Définitions

1 On entend par :

Art. 3 - Gratuité

1 La délivrance d'un moyen d'identification électronique par l'Etat et l'accès au portail sécurisé sont gratuits.

2 Un émolument peut être prélevé lorsque l'accès au portail sécurisé est effectué avec un autre moyen d'identification électronique que celui délivré par l'Etat.

Art. 4 - Autorités compétentes

1 Le département en charge des systèmes d'information (ci-après : le département)[B] est l'autorité compétente pour exécuter la loi, notamment :

2 Le département peut confier l'exécution de ses tâches au service en charge des systèmes d'information (ci-après : le service)[B].

3 Le Conseil d'Etat peut prévoir que d'autres services et autorités cantonales concourent à la réalisation de la procédure de délivrance des moyens d'identification électroniques et d'accès au portail sécurisé.

Art. 5 - Utilisation systématique du numéro d'assuré AVS

1 Afin de réaliser les tâches que leur confie la présente loi, les autorités compétentes au sens de l'article 4 sont autorisées à employer systématiquement le numéro d'assuré AVS :

Art. 6 - Accès aux registres

1 Afin de permettre les vérifications d'identité et de pouvoirs de représentation nécessaires à l'exécution de la présente loi ainsi qu'un contrôle de sécurité continu des échanges par l'intermédiaire du portail sécurisé, les autorités compétentes au sens de l'article 4 peuvent accéder :

2 Les données désignées à l'alinéa 1 leur sont rendues accessibles par l'intermédiaire d'une procédure d'appel.

3 Le Conseil d'Etat peut autoriser l'accès à d'autres registres ou bases de données si cela se révèle nécessaire à l'exécution de la présente loi.

Art. 7 - Devoir de sensibilisation

1 Au début de la procédure, les autorités compétentes au sens de l'article 4 sensibilisent quiconque sollicite un moyen d'identification électronique ou demande à être usager du portail sécurisé aux bonnes pratiques en matière de sécurité informatique et de protection des données personnelles.

Art. 8 - Moyen d'identification électronique

1 Le Conseil d'Etat détermine les conditions personnelles à remplir et la procédure à suivre pour obtenir un moyen d'identification électronique délivré par l'Etat.

2 Il peut reconnaître des moyens d'identification électronique délivrés par d'autres fournisseurs publics ou concessionnés.

3 Le refus de délivrance d'un moyen d'identification électronique par l'Etat ou sa désactivation fait l'objet d'une décision.

Art. 9 - Devoirs du titulaire d'un moyen d'identification électronique

1 Le titulaire d'un moyen d'identification électronique délivré par l'Etat doit le garder strictement confidentiel.

2 Il prend les mesures nécessaires et raisonnables au vu des circonstances pour en empêcher une utilisation abusive. Ces obligations lui sont rappelées lors de la délivrance d'un moyen d'identification électronique.

3 En cas d'utilisation abusive d'un moyen d'identification électronique délivré par l'Etat, ou s'il y a lieu de le craindre, les autorités compétentes au sens de l'article 4 peuvent le désactiver sans demande préalable du titulaire. Dans ce cas, les autorités compétentes en informent le titulaire.

Art. 10 - Caractère facultatif

1 L'utilisation du portail sécurisé pour accéder à une prestation de l'Etat est facultative, sauf exception prévue par le Conseil d'Etat.

Art. 11 - Accès et conditions d'utilisation

1 Le titulaire d'un moyen d'identification électronique et l'entité disposant d'un IDE, par l'intermédiaire des personnes habilitées à l'engager et titulaires d'un moyen d'identification électronique, peuvent demander à être usager du portail sécurisé.

2 Le Conseil d'Etat détermine la procédure et les conditions d'accès au portail sécurisé.

3 Si un usager viole les conditions d'utilisation du portail sécurisé, son accès peut être limité, suspendu ou révoqué.

4 Le refus, la limitation, la suspension ou la révocation de l'accès au portail sécurisé fait l'objet d'une décision.

Art. 12 - Traitement des données

1 Les autorités compétentes au sens de l'article 4 sont autorisées à traiter :

2 Elles limitent le traitement des données mentionnées à l'alinéa 1 à ce qui est strictement nécessaire à la réalisation des tâches qui leurs sont assignées par la loi.

3 Les données mentionnées à l'alinéa 1 sont détruites cinq ans après la désactivation du moyen d'identification électronique délivré par l'Etat ou le refus de la délivrance de celui-ci respectivement cinq ans après que l'accès de l'usager a pris fin.

Art. 13 - Droits d'accès spécifiques

1 L'usager a accès aux données de compte, aux données de contenu et aux métadonnées le concernant durant leur durée de conservation.

2 Les personnes agréées au sens de l'article 4, alinéa 1, lettre h peuvent accéder aux données de compte et aux métadonnées de l'usager dans le cadre de leur fonction.

3 L'usager peut autoriser l'accès aux données de contenu le concernant aux personnes agréées au sens de l'article 4, alinéa 1, lettre h, notamment lorsqu'il doit être guidé dans l'utilisation du portail sécurisé ou qu'il signale au département une anomalie de fonctionnement ou de contenu. Un accord exprès est requis.

Art. 14 - Traitement des données de l'usager sur le portail sécurisé

1 Les données de compte de l'usager sont conservées sur le portail sécurisé jusqu'à la fin de son accès.

2 Les données de contenu échangées entre l'usager et l'Etat et les métadonnées y relatives sont conservées sur le portail sécurisé durant le traitement par l'autorité concernée de la demande de prestation en ligne et pendant dix-huit mois après la clôture de la procédure mais au plus tard jusqu'à la fin de l'accès de l'usager. Les données de contenu et les métadonnées relatives aux décisions sont conservées sur le portail sécurisé dix-huit mois après leur notification mais au plus tard jusqu'à la fin de l'accès de l'usager.

3 Les données mentionnées aux alinéas 1 et 2 sont détruites sur le portail au terme de leur durée de conservation respective.

4 L'autorité concernée au sens de l'alinéa 2 statue sur les demandes de communication des données de contenu et des métadonnées y relatives.

Art. 15 - Responsabilité de l'Etat

1 L'Etat ne répond pas des dommages causés par l'impossibilité d'utiliser un moyen d'identification électronique qu'il a délivré ou d'accéder au portail sécurisé et de l'utiliser.

2 Au surplus, la loi du 16 mai 1961 sur la responsabilité de l'Etat, des communes et de leurs agents (LRECA)[C] s'applique.

Art. 16 - Responsabilité de l'usager

1 L'usager supporte tous les risques résultant de l'utilisation par un tiers de son moyen d'identification électronique.

2 Il est seul responsable de la protection et du bon fonctionnement de son système informatique.

Art. 17 - Dispositions d'application

1 Le Conseil d'Etat édicte les dispositions d'application de la présente loi.

Art. 18 - Evaluation de la mise en œuvre

1 Le Conseil d'Etat soumettra au Grand Conseil un rapport d'évaluation concernant la mise en œuvre de la présente loi dans les 5 ans suivant son entrée en vigueur.

2 Ce rapport sera accompagné d'un projet de décret amenant des mesures si les objectifs de la loi tels que définis dans l'exposé des motifs ne sont pas atteints.

Art. 19 - Disposition transitoire

1 Les conditions personnelles que doivent remplir les personnes physiques pour obtenir un moyen d'identification électronique délivré par l'Etat et celles pour devenir usager du portail sécurisé seront identiques pendant les trois années suivant l'entrée en vigueur de la présente loi.

Art. 20 - Exécution et entrée en vigueur

1 Le Conseil d'Etat est chargé de l'exécution de la présente loi. Il en publiera le texte conformément à l'article 84, alinéa 1, lettre a) de la Constitution cantonale et en fixera, par voie d'arrêté, la date d'entrée en vigueur.