FF 2023 www.fedlex.admin.ch La version électronique signée fait foi
Loi fédérale sur l'identité électronique et d'autres moyens de preuves électroniques
Projet
(Loi sur l'e-ID, LeID) du ...
L'Assemblée fédérale de la Confédération suisse, vu les art. 38, al. 1, 81 et 121, al. 1, de la Constitution1, vu le message du Conseil fédéral du 22 novembre 20232, arrête:
Section 1
Objet et but
Art. 1 1
2
La présente loi fixe les règles applicables: a.
à l'infrastructure mise à disposition par la Confédération servant à émettre, révoquer, vérifier, conserver et présenter des moyens de preuves électroniques (infrastructure de confiance);
b.
aux rôles et aux responsabilités relatifs à la mise à disposition et à l'utilisation de cette infrastructure;
c.
au moyen électronique émis par la Confédération permettant l'identification des personnes physiques (e-ID) et à d'autres moyens de preuves électroniques.
Elle vise: a.
1 2
à garantir que les mesures techniques et organisationnelles liées à l'émission et à l'utilisation des moyens de preuves électroniques sont appropriées au type de traitement des données et à son étendue et propres à limiter le risque que ce traitement présente pour la personnalité et les droits fondamentaux des personnes concernées, en particulier par la mise en oeuvre des principes suivants: 1. la protection des données dès la conception et par défaut, 2. la sécurité des données,
RS 101 FF 2023 2842
2023-3234
FF 2023 2843
L sur l'e-ID
3.
4.
FF 2023 2843
la minimisation des données, l'enregistrement décentralisé des données;
b.
à garantir que des moyens de preuves électroniques peuvent être émis et utilisés en toute sécurité par des personnes privées et des autorités;
c.
à garantir que l'e-ID et l'infrastructure de confiance correspondent au dernier état de la technique et aux exigences de l'accessibilité aux personnes handicapées;
d.
à assurer que l'évolution technologique liée aux moyens de preuves électroniques n'est pas restreinte inutilement.
Section 2
Infrastructure de confiance
Art. 2
Registre de base
L'Office fédéral de l'informatique et de la télécommunication (OFIT) met à disposition un registre de base accessible au public, qui contient des données nécessaires pour: 1
a.
vérifier si les moyens de preuves électroniques ont été modifiés ultérieurement, telles que les clés cryptographiques et les identifiants;
b.
vérifier si les moyens de preuves électroniques et l'identifiant concerné proviennent de l'émetteur inscrit dans le registre de base;
c.
inscrire au registre de confiance une personne qui émet des moyens de preuves électroniques (émetteur) ou qui les vérifie (vérificateur);
d.
vérifier si un moyen de preuve électronique a été révoqué.
Les émetteurs et les vérificateurs peuvent inscrire les données les concernant au registre de base.
2
Le registre de base ne contient pas de données relatives à chaque moyen de preuve électronique, à l'exception de celles qui concernent leur révocation.
3
Les données qui concernent la révocation de moyens de preuves électroniques ne doivent pas permettre de tirer des conclusions sur l'identité du titulaire ou sur le contenu du moyen de preuve.
4
Les données personnelles générées lors de la consultation du registre de base peuvent être: 5
3
a.
enregistrées dans les buts prévus à l'art. 57l, let. b, ch. 1 à 3, de la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration (LOGA)3; le Conseil fédéral règle le délai de conservation;
b.
analysées sans rapport avec des personnes et dans les buts prévus à l'art. 57l, let. b, ch. 1 à 3, LOGA;
RS 172.010
2 / 14
L sur l'e-ID
FF 2023 2843
c.
analysées en rapport avec des personnes mais de manière non nominale dans le but prévu à l'art. 57n, let. a, LOGA, et
d.
analysées en rapport avec des personnes de manière nominale dans les buts prévus à l'art. 57o, al. 1, let. a et b, LOGA.
Art. 3
Registre de confiance
L'OFIT met à disposition un registre de confiance accessible au public, qui contient des données utiles à: 1
a.
la vérification de l'identité indiquée par un émetteur ou un vérificateur;
b.
l'utilisation sûre des moyens de preuves électroniques.
Il est responsable de l'exactitude des informations contenues dans le registre de confiance.
2
Sur demande d'une autorité fédérale, cantonale ou communale, l'OFIT confirme, à l'aide du registre de confiance, qu'un identifiant inscrit au registre de base lui appartient.
3
Le Conseil fédéral peut aussi prévoir que l'OFIT, sur demande d'un émetteur ou d'un vérificateur privé, confirme qu'un identifiant lui appartient.
4
5
L'OFIT inscrit au registre de confiance les confirmations des identifiants.
Les données personnelles générées lors de la consultation du registre de confiance peuvent être enregistrées et analysées selon les exigences prévues à l'art. 2, al. 5.
6
Le Conseil fédéral règle la fourniture d'autres informations qui permettent d'assurer l'utilisation sûre des moyens de preuves électroniques, telles que les données relatives à la manière dont les moyens de preuves électroniques sont utilisés et les données permettant d'établir qui est autorisé à émettre et à vérifier un certain type de moyen de preuve électronique.
7
Art. 4
Émission
Quiconque souhaite émettre un moyen de preuve électronique peut le faire à l'aide de l'infrastructure de confiance.
1
Outre les données déterminées par l'émetteur, le moyen de preuve électronique doit comporter des données requises pour la vérification de l'authenticité et de l'intégrité, telle une signature électronique.
2
Art. 5
Révocation
Les émetteurs peuvent révoquer les moyens de preuves électroniques qu'ils ont émis.
Art. 6
Forme et conservation des moyens de preuves électroniques
Le titulaire du moyen de preuve électronique reçoit ce dernier sous la forme d'un paquet de données.
1
2
Il peut le conserver par les moyens techniques de son choix.
3 / 14
L sur l'e-ID
Art. 7
FF 2023 2843
Application pour la conservation et la présentation des moyens de preuves électroniques
L'OFIT met à disposition une application permettant au titulaire de moyens de preuves électroniques de les recevoir, de les conserver, de les présenter et de créer des copies de sécurité.
1
Le Conseil fédéral peut prévoir que l'OFIT met à disposition un système dans lequel le titulaire peut déposer les copies de sécurité de ses moyens de preuves électroniques conservées dans leur application visée à l'al. 1. L'OFIT s'assure que les copies sont protégées de l'accès par des tiers.
2
Le Conseil fédéral fixe les mesures à prendre en cas d'inactivité prolongée dans le système, notamment lorsque les copies de sécurité ne sont pas mises à jour ou ne sont pas utilisées par les titulaires.
3
Art. 8 1
Application pour la vérification des moyens de preuves électroniques
L'OFIT met à disposition une application permettant de vérifier la validité de l'e-ID.
Le Conseil fédéral peut prévoir que cette application permet également de vérifier la validité d'autres moyens de preuves électroniques.
2
Art. 9
Présentation des moyens de preuves électroniques
Lorsqu'il présente un moyen de preuve électronique, son titulaire doit pouvoir déterminer quels éléments de ce dernier et quelles informations en découlant sont transmis au vérificateur.
1
Lorsqu'un moyen de preuve électronique est présenté ou vérifié, son émetteur n'en a pas connaissance.
2
Dans le cadre de l'exploitation du registre de base et du registre de confiance, l'OFIT n'a pas connaissance du contenu des moyens de preuves électroniques présentés, et, hormis sur la base des données générées lors de la consultation desdits registres, il ne peut pas tirer des conclusions sur l'utilisation des moyens de preuves ou sur les autorités et personnes privées concernées.
3
Art. 10
Signalement de cyberattaques contre les émetteurs et les vérificateurs
L'émetteur et le vérificateur signalent au Centre national pour la cybersécurité toute cyberattaque visant leurs systèmes.
Art. 11 1
Code source de l'infrastructure de confiance
L'OFIT publie le code source des éléments suivants de l'infrastructure de confiance: a.
le registre de base;
b.
le registre de confiance;
4 / 14
L sur l'e-ID
FF 2023 2843
c.
l'application pour la conservation et la présentation des moyens de preuves électroniques et le système des copies de sécurité correspondant;
d.
l'application pour la vérification des moyens de preuves électroniques.
L'OFIT ne publie pas le code source ou une partie de celui-ci si la sécurité informatique l'exige.
2
Section 3
E-ID
Art. 12
Forme
L'e-ID est émise par l'Office fédéral de la police (fedpol) sous la forme d'un moyen de preuve électronique, à l'aide de l'infrastructure de confiance.
Art. 13
Conditions personnelles
Remplit les conditions personnelles pour obtenir une e-ID quiconque, au moment de l'émission de cette dernière: a.
est titulaire d'un des documents suivants: 1. un document d'identité valable au sens de la loi du 22 juin 2001 sur les documents d'identité (LDI)4, 2. un titre de séjour valable au sens de la législation fédérale sur les étrangers, l'intégration et l'asile, 3. une carte de légitimation valable au sens de la législation sur l'État hôte;
b.
a fait la demande d'un des documents visés à la let. a et remplit les conditions applicables à l'émission de ce document.
Art. 14 1
4
Contenu
L'e-ID contient les données suivantes concernant la personne: a.
le nom officiel;
b.
les prénoms;
c.
la date de naissance;
d.
le sexe;
e.
le lieu d'origine;
f.
le lieu de naissance;
g.
la nationalité;
h.
la photographie;
i.
le numéro AVS.
RS 143.1
5 / 14
L sur l'e-ID
2
FF 2023 2843
Elle contient les données additionnelles suivantes: a.
le numéro;
b.
la date d'émission;
c.
la date d'expiration;
d.
des indications relatives au document qui a été utilisé lors de la procédure d'émission de l'e-ID, notamment le type et la date d'expiration du document;
e.
des indications relatives à la procédure d'émission.
Elle peut contenir des mentions supplémentaires, notamment le nom du représentant légal, le nom d'alliance, le nom reçu dans un ordre religieux, le nom d'artiste ou le nom de partenariat et la mention de signes particuliers, si ces mentions figurent sur le document d'identité qui a été utilisé lors de la procédure d'émission.
3
Art. 15
Demande
1
Quiconque souhaite obtenir une e-ID doit en faire la demande à fedpol.
2
Il peut demander l'émission simultanée de plusieurs e-ID.
Les mineurs et les personnes sous curatelle de portée générale doivent produire l'autorisation de leur représentant légal.
3
Art. 16 1
Vérification de l'identité
La personne pour qui l'e-ID est demandée fait vérifier son identité: a.
en ligne auprès de fedpol, ou
b.
en personne auprès de services ou d'autorités compétents désignés par les cantons en Suisse et par le Conseil fédéral à l'étranger.
À des fins de vérification de l'identité de la personne, son visage est comparé avec la photographie enregistrée dans: 2
a.
le système d'information relatif aux documents d'identité (ISA) visé à l'art. 11 LDI5;
b.
le système d'information central sur la migration (SYMIC) visé à l'art. 1 de la loi fédérale du 20 juin 2003 sur le système d'information commun aux domaines des étrangers et de l'asile6;
c.
le système d'information Ordipro du Département fédéral des affaires étrangères visé à l'art. 1 de la loi fédérale du 18 décembre 2020 sur le traitement des données personnelles par le Département fédéral des affaires étrangères7.
fedpol peut collecter des données biométriques pour effectuer la comparaison prévue à l'al. 2.
3
5 6 7
RS 143.1 RS 142.51 RS 235.2
6 / 14
L sur l'e-ID
Art. 17
FF 2023 2843
Émission
fedpol émet l'e-ID si: a.
les conditions visées à l'art. 13 sont remplies, et que
b.
l'identité de la personne pour qui l'e-ID est demandée a pu être vérifiée.
Art. 18
Révocation
fedpol révoque immédiatement l'e-ID: a.
si le titulaire en fait la demande;
b.
si, s'agissant des mineurs et des personnes sous curatelle de portée générale, le représentant légal en fait la demande;
c.
s'il existe un soupçon fondé d'utilisation abusive ou d'obtention frauduleuse de l'e-ID;
d.
s'il apprend: 1. que le document utilisé lors de la procédure d'émission de l'e-ID a été retiré, ou 2. que le titulaire est décédé;
e.
si une nouvelle e-ID est émise pour la même personne.
Art 19
Procédures
Le Conseil fédéral règle les procédures suivantes liées à l'e-ID: a.
le dépôt de la demande d'émission;
b.
la vérification de l'identité;
c.
l'émission;
d.
la révocation.
Art. 20
Durée de validité
La durée de validité de l'e-ID est limitée. Elle est fixée par le Conseil fédéral.
Art. 21
Devoirs de diligence du titulaire
Le titulaire d'une e-ID prend les mesures nécessaires et raisonnablement exigibles pour empêcher toute utilisation abusive de son e-ID.
1
2
S'il soupçonne que son e-ID est utilisée abusivement, il le signale à fedpol sans délai.
7 / 14
L sur l'e-ID
Art. 22
FF 2023 2843
Devoir de diligence du vérificateur
Le vérificateur peut demander la transmission des données personnelles contenues dans l'e-ID lorsque: 1
a.
la vérification de l'identité ou d'un aspect de l'identité du titulaire est prévue par la législation, ou que
b.
la fiabilité de la transaction en dépend, notamment pour prévenir des fraudes et des vols d'identité.
En cas de violation des exigences prévues à l'al. 1, l'OFIT l'indique dans le registre de confiance et peut exclure le vérificateur du registre de confiance.
2
Art. 23
Obligation d'accepter l'e-ID
Toute autorité ou tout organisme qui accomplit des tâches publiques doit accepter l'e-ID lorsqu'il recourt à l'identification électronique en exécution du droit fédéral.
Art. 24
Alternative à la présentation d'une e-ID
Quiconque accepte l'e-ID ou une partie de l'e-ID comme moyen de preuve doit également accepter l'un des documents visés à l'art. 13 si le titulaire se présente en personne.
Art. 25
Système d'information pour l'émission et la révocation des e-ID
1
fedpol gère un système d'information pour l'émission et la révocation des e-ID.
2
Le système d'information contient: a.
les données visées à l'art. 14, al. 2, concernant les e-ID demandées et émises;
b.
les données relatives à la procédure d'émission qui sont nécessaires à des fins d'assistance technique et de statistique ou d'enquête concernant l'obtention frauduleuse ou l'utilisation abusive d'une e-ID;
c.
des indications relatives à la révocation des e-ID.
Il accède aux données visées à l'art. 14, al 1, via une interface avec les systèmes d'information suivants: 3
8 9
a.
ISA;
b.
SYMIC;
c.
le registre informatisé de l'état civil visé à l'art. 39 du code civil8;
d.
le registre central des assurés visé à l'art. 71, al. 4, de la loi fédérale du 20 décembre 1946 sur l'assurance-vieillesse et survivants9;
e.
Ordipro.
RS 210 RS 831.10
8 / 14
L sur l'e-ID
FF 2023 2843
Les données obtenues via ces interfaces sont traitées exclusivement dans le but d'émettre et de révoquer une e-ID. Elles ne sont pas conservées dans le système d'information.
4
Art. 26
Conservation et destruction des données
Les données ci-dessous contenues dans le système d'information sont détruites à l'expiration des délais suivants: 1
a.
pour les données concernant les e-ID demandées et émises et les indications relatives à la révocation des e-ID: 20 ans à partir de la date de la demande ou de l'émission de l'e-ID;
b.
pour les données relatives à la procédure d'émission, y compris les données biométriques visées à l'art. 16, al. 3, qui sont nécessaires à des fins d'enquête concernant l'obtention frauduleuse d'une e-ID: 5 ans après la date d'expiration de l'e-ID.
Toutes les autres données sont détruites 90 jours après leur enregistrement dans le système.
2
3
Les dispositions fédérales relatives à l'archivage sont réservées.
Section 4
Accessibilité aux personnes handicapées
Art. 27 fedpol s'assure que la procédure d'obtention de l'e-ID est accessible aux personnes handicapées.
1
L'OFIT s'assure que les applications visées aux art. 7 et 8 sont accessibles aux personnes handicapées.
2
Les autorités utilisant l'infrastructure de confiance pour émettre et vérifier des moyens de preuves électroniques s'assurent que leurs procédures d'obtention et l'utilisation desdits moyens sont accessibles aux personnes handicapées.
3
Le Conseil fédéral fixe les mesures à prendre pour garantir l'accessibilité aux personnes handicapées.
4
Section 5
Assistance technique
Art. 28 fedpol et l'OFIT offrent un service d'assistance technique aux utilisateurs dans le cadre de l'émission de l'e-ID et de l'utilisation de l'infrastructure de confiance.
9 / 14
L sur l'e-ID
Section 6
FF 2023 2843
Progrès technique
Art. 29 Si, en raison du progrès technique, cela est nécessaire afin d'atteindre les buts de la présente loi, le Conseil fédéral peut compléter par des éléments supplémentaires l'infrastructure de confiance et le système d'information pour l'émission et la révocation des e-ID.
1
Dans la mesure où les nouvelles dispositions visées à l'al. 1 prévoient le traitement de données sensibles ou nécessitent une base légale formelle pour d'autres motifs, l'ordonnance du Conseil fédéral devient caduque: 2
a.
si, dans un délai de deux ans après son entrée en vigueur, le Conseil fédéral n'a pas soumis à l'Assemblée fédérale un projet établissant la base légale de son contenu;
b.
si le projet du Conseil fédéral est rejeté par l'Assemblée fédérale, ou
c.
si la base légale prévue entre en vigueur.
Section 7
Émoluments
Art. 30 L'OFIT perçoit des émoluments auprès des émetteurs et des vérificateurs pour les données qu'ils inscrivent au registre de base et pour les données dont ils demandent l'inscription au registre de confiance.
1
2
Les autorités communales et cantonales ne paient pas d'émoluments.
Les personnes pour qui une e-ID est demandée ne paient pas d'émoluments pour l'émission et la révocation de l'e-ID.
3
Les cantons peuvent prévoir que le service compétent perçoit des émoluments pour les prestations fournies sur place.
4
5
Le Conseil fédéral règle les émoluments conformément à l'art. 46a LOGA10.
Section 8
Traités internationaux
Art. 31 Le Conseil fédéral peut conclure seul des traités internationaux pour faciliter l'utilisation et la reconnaissance juridique des e-ID suisses à l'étranger ainsi que la reconnaissance des e-ID étrangères en Suisse.
1
Il édicte les dispositions nécessaires à l'exécution des traités internationaux portant sur les objets énumérés à l'al. 1.
2
10
RS 172.010
10 / 14
L sur l'e-ID
FF 2023 2843
Section 9
Dispositions finales
Art. 32
Dispositions d'exécution
Le Conseil fédéral édicte les dispositions d'exécution, en particulier sur: a.
le format des moyens de preuves électroniques;
b.
les normes et protocoles applicables aux processus de communication des données, notamment lors de l'émission et de la présentation des moyens de preuves électroniques;
c.
les éléments et le fonctionnement du registre de base, du registre de confiance, de l'application pour la conservation et la présentation des moyens de preuves électroniques et de l'application pour la vérification de moyens de preuves électroniques;
d.
les justificatifs à fournir pour l'inscription au registre de confiance;
e.
les mesures techniques et organisationnelles à prendre pour garantir la protection et la sécurité des données lors de la mise à disposition, l'exploitation et de l'utilisation de l'infrastructure de confiance;
f.
les éléments, les interfaces et le fonctionnement du système d'information pour l'émission et la révocation des e-ID.
Art. 33
Modification d'autres actes
La modification d'autres actes est réglée en annexe.
Art. 34
Disposition transitoire
L'obligation d'accepter l'e-ID (art. 23) doit être respectée au plus tard deux ans après l'entrée en vigueur de ladite disposition.
1
Le Conseil fédéral peut prévoir une mise à disposition échelonnée de l'infrastructure de confiance et de l'e-ID durant au maximum deux ans suivant l'entrée en vigueur de la présente loi; peuvent notamment être concernés: 2
a.
les fonctionnalités de l'application visée à l'art. 7;
b.
le nombre d'e-ID émises en ligne;
c.
la vérification de l'identité visée à l'art. 16, al. 1, let. b.
Art. 35
Référendum et entrée en vigueur
1
La présente loi est sujette au référendum.
2
Le Conseil fédéral fixe la date de l'entrée en vigueur.
11 / 14
L sur l'e-ID
FF 2023 2843
Annexe (art. 33)
Modification d'autres actes Les actes mentionnés ci-après sont modifiés comme suit:
1. Loi fédérale du 20 juin 2003 sur le système d'information commun aux domaines des étrangers et de l'asile11 Art. 9, al. 1, let. c, ch. 7bis, et 2, let. c, ch. 3 Le SEM peut permettre aux autorités et services ci-après d'accéder en ligne aux données relevant du domaine des étrangers qu'il a traitées ou fait traiter dans le système d'information: 1
c.
les autorités fédérales compétentes dans le domaine de la sûreté intérieure, exclusivement pour qu'elles puissent procéder à l'identification de personnes dans le cadre: 7bis. de l'accomplissement des tâches qui leur incombent en vertu de la loi du ... sur l'e-ID12,
Le SEM peut permettre aux autorités et services ci-après d'accéder en ligne aux données relevant du domaine de l'asile qu'il a traitées ou fait traiter dans le système d'information: 2
c.
les autorités fédérales compétentes dans le domaine de la sûreté intérieure: 3. pour qu'elles puissent accomplir les tâches qui leur incombent en vertu de la loi sur l'e-ID;
2. Loi du 22 juin 2001 sur les documents d'identité13 Art. 1, al. 3, 2e phrase 3
... Ces personnes peuvent être de nationalité étrangère.
Art. 11, al. 2, 2e phrase 2
... Il sert aussi à accomplir ces tâches dans le cadre de la loi du ... sur l'e-ID14.
11 12 13 14
RS 142.51 RS ...
RS 143.1 RS ...
12 / 14
L sur l'e-ID
FF 2023 2843
3. Code civil15 Art. 43a, al. 4, ch. 9 Les autorités suivantes peuvent accéder en ligne aux données nécessaires à la vérification de l'identité d'une personne: 4
9.
le service fédéral chargé de l'émission de l'e-ID en vue de l'accomplissement des tâches qui lui incombent en vertu de la loi du ... sur l'e-ID16.
4. Loi fédérale du 11 avril 1889 sur la poursuite pour dettes et la faillite17 Art. 33a, al. 2bis Si l'acte est transmis par voie électronique via une plateforme de la Confédération, une e-ID au sens de la loi du ... sur l'e-ID18 peut être présentée en lieu et place de la signature électronique qualifiée. Le Conseil fédéral désigne les plateformes qui peuvent être utilisées à cet effet.
2bis
5. Loi fédérale du 19 juin 2015 sur le dossier électronique du patient19 Art. 7
Moyen d'identification électronique
Les personnes suivantes doivent disposer d'un moyen d'identification électronique sûr pour traiter des données dans le dossier électronique: 1
a.
les patients;
b.
les professionnels de la santé.
Le Conseil fédéral fixe les exigences auxquelles les moyens d'identification doivent satisfaire et en règle la procédure d'émission.
2
Art. 11, let. c Doivent être certifiés par un organisme reconnu: c.
15 16 17 18 19
les éditeurs privés de moyens d'identification.
RS 210 RS ...
RS 281.1 RS ...
RS 816.1
13 / 14
L sur l'e-ID
FF 2023 2843
6. Loi du 18 mars 2016 sur la signature électronique20 Art. 9, al. 4, 1re phrase et 4bis Le Conseil fédéral désigne les documents de nature à prouver l'identité des personnes qui demandent un certificat et, le cas échéant, à justifier de leurs qualités spécifiques. ...
4
Si une personne présente une e-ID au sens de la loi du ... sur l'e-ID21 comme preuve de son identité, elle n'est pas tenue de se présenter en personne. Le Conseil fédéral peut prévoir que les personnes qui prouvent leur identité d'une autre manière avec le degré de fiabilité nécessaire en sont également exemptées.
4bis
7. Loi fédérale du 17 mars 2023 sur l'utilisation des moyens électroniques pour l'exécution des tâches des autorités22 Art. 11, al. 3bis La Chancellerie fédérale exploite, à titre de moyen informatique au sens des al. 1 à 3, un système d'authentification des personnes physiques à l'aide de l'e-ID au sens de la loi du ... sur l'e-ID23.
3bis
20 21 22 23
RS 943.03 RS ...
RS 172.019 RS ...
14 / 14