FF 2019 Volume 40 P. 6227

Délai référendaire: 16 janvier 2020

Loi fédérale sur les services d'identification électronique (LSIE) du 27 septembre 2019

L'Assemblée fédérale de la Confédération suisse, vu les art. 95, al. 1, 96, al. 1, et 97, al. 1, de la Constitution1, vu le message du Conseil fédéral du 1er juin 20182, arrête:

Section 1

Dispositions générales

Art. 1

Objet et but

1

2

La présente loi règle: a.

le contenu, l'établissement, l'utilisation, le blocage et la révocation des moyens électroniques utilisés pour l'identification d'une personne physique qui sont reconnus au sens de la présente loi (e-ID);

b.

la reconnaissance et la surveillance des fournisseurs de services d'identification électronique (fournisseurs d'identité);

c.

l'identification par l'Etat des titulaires d'une e-ID et la fourniture des données d'identification personnelle aux fournisseurs d'identité;

d.

les droits et les obligations des titulaires d'une e-ID;

e.

les droits et les obligations des exploitants d'un service utilisateur.

Elle vise: a.

à promouvoir une identification sûre dans le cadre des transactions électroniques entre personnes privées et entre personnes privées et autorités;

RS ...

1 RS 101 2 FF 2018 4031 2018-0292

6227

Services d'identification électronique. LF

FF 2019

b.

à protéger la personnalité et les droits fondamentaux des personnes dont les données font l'objet d'un traitement, et

c.

à assurer la normalisation et l'interopérabilité des e-ID.

La loi et les ordonnances qui s'y rapportent respectent le principe de la neutralité technologique.

3

Art. 2

Définitions

Au sens de la présente loi, on entend par: a.

système e-ID: un système électronique géré par un fournisseur d'identité pour l'établissement, la gestion et l'utilisation des e-ID;

b.

service utilisateur: une application informatique permettant aux titulaires d'une e-ID de s'identifier via un système e-ID.

Section 2

E-ID: établissement, types, contenu, blocage et révocation

Art. 3

Conditions personnelles

1

Peuvent demander une e-ID les personnes suivantes: a.

tout ressortissant suisse qui, au moment de l'établissement de l'e-ID, est titulaire d'un document d'identité suisse valable au sens de la loi du 22 juin 2001 sur les documents d'identité3;

b.

tout étranger: 1. qui, au moment de l'établissement de l'e-ID, est titulaire d'une pièce de légitimation valable et reconnue au sens de l'art. 13, al. 1, de la loi fédérale du 16 décembre 2005 sur les étrangers et l'intégration4 ou d'une carte de légitimation valable au sens de la législation sur l'Etat hôte, ou 2. dont l'identité a pu, au moment de l'établissement de l'e-ID, être déterminée de façon fiable dans le cadre d'une procédure spéciale d'identification.

Le Conseil fédéral détermine les procédures qui permettent de vérifier les documents d'identité des ressortissants suisses ainsi que les documents de légitimation et l'identité des étrangers.

2

Art. 4

Niveau de garantie

Peuvent être établies des e-ID offrant des niveaux de garantie faible, substantiel ou élevé. Ces niveaux de garantie se caractérisent par les degrés de fiabilité suivants: 1

3 4

RS 143.1 RS 142.20

6228

Services d'identification électronique. LF

2

FF 2019

a.

faible: réduction du risque d'utilisation abusive ou d'altération de l'identité;

b.

substantiel: protection élevée contre le risque d'utilisation abusive ou d'altération de l'identité;

c.

élevé: protection la plus élevée possible contre le risque d'utilisation abusive ou d'altération de l'identité.

Le niveau de garantie est déterminé: a.

par le processus d'établissement de l'e-ID et par les exigences applicables à son utilisation;

b.

par la gestion du système e-ID, en particulier la mise à jour des données d'identification personnelle.

Une e-ID d'un niveau de garantie donné peut être utilisée pour des services utilisateurs qui requièrent un niveau de garantie inférieur.

3

Le Conseil fédéral réglemente les différents niveaux de garantie et en particulier les exigences minimales d'identification, en tenant compte de l'état actuel de la technique.

4

Art. 5

Données d'identification personnelle

Une e-ID d'un niveau de garantie faible contient les données d'identification personnelle suivantes: 1

a.

le numéro d'enregistrement de l'e-ID;

b.

le nom d'état civil;

c.

les prénoms;

d.

la date de naissance.

Une e-ID d'un niveau de garantie substantiel contient en outre les données d'identification personnelle suivantes: 2

a.

le sexe;

b.

le lieu de naissance;

c.

la nationalité.

Une e-ID d'un niveau de garantie élevé contient en outre la photographie enregistrée dans le système d'information visé à l'art. 24.

3

Dans la mesure où il en a besoin pour accomplir les tâches que lui confie la présente loi, l'Office fédéral de la police (fedpol) peut ajouter aux données d'identification personnelle des informations supplémentaires concernant la dernière mise à jour des données dans le système d'information visé à l'art. 24.

4

Art. 6

Procédure d'établissement

Quiconque souhaite obtenir une e-ID en fait la demande à fedpol par l'intermédiaire d'un fournisseur d'identité. La vérification initiale de l'identité demandée peut être effectuée par le service responsable de l'établissement de docu1

6229

Services d'identification électronique. LF

FF 2019

ments d'identité au sens de l'art. 4 de la loi du 22 juin 2001 sur les documents d'identité5.

fedpol communique au fournisseur d'identité les données d'identification personnelle visées à l'art. 5 si le requérant: 2

a.

remplit les conditions personnelles visées à l'art. 3;

b.

a été identifié conformément au niveau de garantie demandé;

c.

consent à la communication de ces données.

Il journalise les communications de données effectuées dans le cadre de la procédure d'établissement.

3

Le fournisseur d'identité associe les données d'identification personnelle à l'e-ID et établit l'e-ID à l'intention du requérant.

4

Le Conseil fédéral précise les modalités de la procédure d'établissement, notamment en ce qui concerne: 5

a.

son déroulement;

b.

les données d'identification personnelle utilisées pour l'identification.

Art. 7

Mise à jour des données d'identification personnelle

Le fournisseur d'identité met à jour les données d'identification personnelle qu'il gère, par une requête automatique adressée à fedpol et fondée sur le numéro d'enregistrement de l'e-ID: a.

une fois par an, pour les e-ID d'un niveau de garantie faible;

b.

une fois par trimestre, pour les e-ID d'un niveau de garantie substantiel;

c.

une fois par semaine, pour les e-ID d'un niveau de garantie élevé.

Art. 8

Utilisation systématique du numéro AVS pour l'échange de données

Lorsqu'il échange des données par voie électronique avec les registres de personnes visés à l'art. 24, al. 3, fedpol utilise systématiquement le numéro AVS au sens de l'art. 50c de la loi fédérale du 20 décembre 1946 sur l'assurance-vieillesse et survivants6 (numéro AVS) afin d'identifier les personnes.

1

Il peut permettre à l'exploitant d'un service utilisateur d'accéder en ligne au numéro AVS d'une personne lorsque ce dernier en a besoin pour l'identifier, pour autant que cet exploitant soit habilité à l'utiliser systématiquement.

2

Art. 9

Traitement des données

Un fournisseur d'identité ne peut traiter les données d'identification personnelle communiquées par fedpol qu'aussi longtemps que l'e-ID n'a pas été révoquée, et uniquement pour procéder aux identifications prévues par la présente loi.

1

5 6

RS 143.1 RS 831.10

6230

Services d'identification électronique. LF

FF 2019

Pour les e-ID d'un niveau de garantie substantiel, il peut utiliser la photographie enregistrée dans le système d'information visé à l'art. 24 uniquement dans le cadre de la procédure d'établissement.

2

Les catégories de données suivantes sont conservées séparément les unes des autres, de sorte que leur sécurité respective puisse être garantie même si la sécurité de l'une d'entre elles est compromise: 3

a.

les données d'identification personnelle visées à l'art. 5;

b.

les données concernant l'utilisation de l'e-ID;

c.

les autres données.

Art. 10 1

Système e-ID subsidiaire de la Confédération

Si les objectifs visés à l'art. 1, al. 2, ne peuvent être atteints: a.

le Conseil fédéral peut charger une unité administrative de gérer un système e-ID et d'établir ce type d'e-ID, ou

b.

la Confédération peut prendre des participations dans des entreprises spécialisées dans ce domaine.

Les dispositions applicables aux fournisseurs d'identité s'appliquent à l'unité administrative concernée.

2

Art. 11

Blocage et révocation

Le fournisseur d'identité bloque immédiatement l'e-ID s'il y a lieu de craindre qu'un tiers puisse accéder à une e-ID ou s'il est informé de la perte d'une e-ID ou d'un soupçon d'utilisation abusive d'une e-ID. Il vérifie l'information avant de procéder au blocage.

1

2

Il informe immédiatement le titulaire de l'e-ID du blocage.

fedpol invalide le numéro d'enregistrement de l'e-ID en cas de décès du titulaire de l'e-ID.

3

4

Le fournisseur d'identité révoque les e-ID qui contiennent le numéro invalidé.

5

Le Conseil fédéral arrête les modalités du blocage et de la révocation.

Section 3

Titulaires d'une e-ID

Art. 12 Le titulaire d'une e-ID prend les mesures nécessaires et raisonnablement exigibles au vu des circonstances pour empêcher toute utilisation abusive de son e-ID.

1

Si une identification du niveau de garantie faible est utilisée pour une application informatique au sens de l'art. 2, let. b, un accès sans e-ID doit aussi être possible pour cette application. Le Conseil fédéral peut prévoir des exceptions.

2

6231

Services d'identification électronique. LF

Section 4

Fournisseurs d'identité

Art. 13

Reconnaissance

FF 2019

Tout fournisseur d'identité qui souhaite établir des e-ID au sens de la présente loi doit obtenir une reconnaissance de la Commission fédérale des e-ID (EIDCOM).

L'EIDCOM octroie la reconnaissance après consultation du Préposé fédéral à la protection des données et à la transparence (PFPDT).

1

2

3

Est reconnu tout fournisseur d'identité: a.

qui est inscrit au registre du commerce; aucune inscription n'est nécessaire pour les unités administratives de la Confédération, des cantons et des communes;

b.

qui offre la garantie que les personnes responsables des systèmes e-ID ne présentent pas un danger pour la sécurité;

c.

qui emploie du personnel possédant les connaissances, l'expérience et les qualifications nécessaires;

d.

qui offre la garantie que les systèmes e-ID qu'il gère répondent aux conditions prévues pour chaque niveau de garantie;

e.

qui conserve et traite les données des systèmes e-ID en Suisse conformément au droit suisse;

f.

qui dispose d'une assurance suffisante pour couvrir la responsabilité visée à l'art. 32 ou qui présente des sûretés financières équivalentes;

g.

qui offre la garantie qu'il respectera le droit applicable, notamment la présente loi et ses dispositions d'exécution.

La reconnaissance est octroyée pour une durée de trois ans.

Le Conseil fédéral précise les conditions à remplir pour obtenir la reconnaissance, notamment: 4

a.

les conditions techniques et les conditions de sécurité requises ainsi que leur contrôle;

b.

la couverture d'assurance nécessaire et les sûretés financières équivalentes;

c.

les normes et les protocoles techniques applicables aux systèmes e-ID et le contrôle régulier de ces derniers.

Art. 14

Expiration de la reconnaissance

La reconnaissance expire lorsque le fournisseur d'identité cesse son activité ou que la faillite est ouverte contre lui. Les systèmes e-ID sont insaisissables et ne tombent pas dans la masse en faillite.

1

Le fournisseur d'identité annonce à l'EIDCOM la cessation programmée de son activité, en indiquant la procédure prévue en ce qui concerne les e-ID qu'il a établies.

2

6232

Services d'identification électronique. LF

FF 2019

Les systèmes e-ID d'un fournisseur d'identité qui cesse son activité ou contre lequel une faillite a été ouverte peuvent être repris par un autre fournisseur d'identité reconnu. Le produit de la reprise tombe dans la masse en faillite.

3

Les données du titulaire d'une e-ID qui n'a pas consenti à cette reprise doivent être détruites.

4

Si aucun autre fournisseur d'identité ne reprend les systèmes e-ID, l'EIDCOM ordonne soit leur reprise sans contrepartie financière par la Confédération, soit la destruction des données qu'ils contiennent.

5

Art. 15 1

Obligations

Le fournisseur d'identité est soumis aux obligations suivantes: a.

il s'assure du fonctionnement correct et de la gestion sûre du système e-ID;

b.

il établit les e-ID pour toutes les personnes qui remplissent les conditions visées à l'art. 3;

c.

il organise le système e-ID de sorte que la validité de toutes les e-ID qu'il a établies puisse être vérifiée en tout temps selon une procédure usuelle, de façon fiable et gratuitement;

d.

il organise le système e-ID de sorte que les personnes handicapées ne soient pas victimes d'une inégalité de traitement lorsqu'elles déposent une demande d'e-ID;

e.

il respecte les conditions de sécurité visées à l'art. 13, al. 2, let. d;

f.

il effectue la mise à jour des données d'identification personnelle conformément à l'art. 7;

g.

il signale à fedpol les erreurs dans les données d'identification personnelle qui lui ont été signalées ou qu'il a lui-même découvertes;

h.

il signale à l'EIDCOM les incidents de sécurité concernant un système e-ID ou l'utilisation d'une e-ID qui lui ont été signalés ou qu'il a lui-même découverts;

i.

il requiert le consentement exprès du titulaire de l'e-ID pour la première communication des données d'identification personnelle à un exploitant d'un service utilisateur;

j.

il accorde au titulaire de l'e-ID un accès en ligne aux données générées par l'utilisation de l'e-ID et à ses données d'identification personnelle visées à l'art. 5;

k.

il détruit après six mois les données générées par l'utilisation de l'e-ID;

l.

il établit les modèles des accords qu'il conclura avec les exploitants d'un service utilisateur et les soumet au PFPDT;

m. il signale à l'EIDCOM toutes les modifications programmées de son système e-ID et de son activité commerciale qui sont susceptibles de remettre en cause le respect des exigences prévues à l'art. 13 et des obligations prévues aux let. a à l.

6233

Services d'identification électronique. LF

FF 2019

Il met en place un service client qui permette de recevoir et de traiter les notifications de problèmes techniques ou de perte d'une e-ID.

2

Le Conseil fédéral précise les modalités de la conception du système e-ID ainsi que celles de la communication des informations visées à l'al. 1, let. g, h et m et à l'art. 14, al. 2.

3

Art. 16

Communication et utilisation des données

Un fournisseur d'identité peut uniquement communiquer aux exploitants d'un service utilisateur les données d'identification personnelle: 1

a.

qui offrent le niveau de garantie requis;

b.

qui sont nécessaires pour l'identification de la personne concernée, et

c.

à la communication desquelles le titulaire de l'e-ID a consenti.

Il ne peut communiquer à un tiers ni les données d'identification personnelle visées à l'art. 5, ni les données générées par l'utilisation de l'e-ID, ni les profils basés sur ces dernières; il ne peut utiliser ces données à des fins autres que la mise en oeuvre des obligations visées à l'art. 15. Le traitement de données par un tiers au sens de l'art. 10a de la loi fédérale du 19 juin 1992 sur la protection des données7 est réservé.

2

Il ne peut communiquer le numéro d'enregistrement de l'e-ID qu'aux autorités ou autres organismes qui accomplissent des tâches publiques.

3

Art. 17

Accessibilité des e-ID

Si plus de la moitié des e-ID établies le sont par un même fournisseur d'identité ou plus de 60 % par deux fournisseurs d'identité et s'il y a lieu de penser que, de manière répétée, des requérants qui remplissaient les conditions visées à l'art. 3 n'ont pas pu obtenir un type d'e-ID de grande diffusion, l'EIDCOM oblige lesdits fournisseurs à rendre ce type d'e-ID accessible à tous aux mêmes conditions.

Art. 18

Interopérabilité

Les fournisseurs d'identité reconnaissent mutuellement leurs systèmes e-ID et garantissent leur interopérabilité.

1

Pour ce qui est de leur indemnisation réciproque, ils sont considérés comme puissants sur le marché au sens de l'art. 2 de la loi fédérale du 20 décembre 1985 concernant la surveillance des prix (LSPr)8, et les prix qu'ils appliquent entre eux ne sont pas considérés comme la conséquence d'une concurrence efficace au sens de l'art. 12 LSPr.

2

Le Conseil fédéral édicte les dispositions techniques; il définit notamment les interfaces.

3

7 8

RS 235.1 RS 942.20

6234

Services d'identification électronique. LF

Art. 19

FF 2019

Mesures de surveillance et retrait de la reconnaissance

Si un fournisseur d'identité enfreint la présente loi, ses dispositions d'exécution ou les obligations que l'EIDCOM lui a imposées, notamment s'il ne remplit plus les conditions de la reconnaissance, l'EIDCOM ordonne les mesures nécessaires pour rétablir l'état conforme au droit en lui fixant un délai approprié.

1

Elle peut retirer la reconnaissance au fournisseur d'identité si celui-ci ne rétablit pas l'état conforme au droit dans le délai fixé.

2

3

Le Conseil fédéral réglemente la procédure de retrait de la reconnaissance.

Section 5

Exploitants d'un service utilisateur

Art. 20

Accord avec un fournisseur d'identité

Quiconque souhaite exploiter un service utilisateur doit conclure un accord avec un fournisseur d'identité. L'accord fixe en particulier: a.

les niveaux de garantie applicables;

b.

les processus techniques et organisationnels à respecter.

Art. 21

Utilisation du numéro d'enregistrement de l'e-ID

L'exploitant d'un service utilisateur peut utiliser le numéro d'enregistrement de l'e-ID pour identifier des personnes.

Art. 22

Obligation d'accepter les e-ID

Doivent accepter toute e-ID du niveau de garantie requis: a.

tout exploitant d'un service utilisateur;

b.

toute autorité ou tout organisme qui accomplit des tâches publiques lorsqu'il recourt à l'identification électronique en exécution du droit fédéral.

Section 6

Rôle de l'Office fédéral de la police

Art. 23

Tâches et obligations

fedpol associe le numéro d'enregistrement de l'e-ID aux données d'identification personnelle visées à l'art. 5 et les transmet au fournisseur d'identité.

1

Il garantit que le fournisseur d'identité puisse vérifier en tout temps de façon fiable la validité du numéro d'enregistrement de l'e-ID au moyen d'une procédure usuelle.

2

Le Conseil fédéral détermine les normes et les protocoles techniques applicables à la communication des données et arrête la procédure à suivre pour les cas où plusieurs registres de personnes transmettraient des données contradictoires.

3

6235

Services d'identification électronique. LF

Art. 24 1

2

FF 2019

Système d'information

fedpol gère un système d'information qui contient notamment: a.

les données journalisées relatives à la procédure d'établissement des e-ID visée à l'art. 6;

b.

les données d'identification personnelle visées à l'art. 5, leur origine et les informations concernant leur mise à jour;

c.

les numéros AVS.

Le système d'information doit permettre: a.

la réception des demandes et des déclarations de consentement des requérants;

b.

l'exécution automatisée des tâches de fedpol dans le cadre de l'établissement des e-ID;

c.

la mise à jour des données d'identification personnelle prévue à l'art. 7;

d.

la vérification de la validité du numéro d'enregistrement de l'e-ID prévue à l'art. 23, al. 2.

Pour obtenir et mettre en concordance les données d'identification personnelle visées à l'art. 5, il communique par une interface électronique avec les registres de personnes suivants: 3

a.

le système d'information relatif aux documents d'identité de fedpol;

b.

le système d'information central sur la migration (SYMIC) du Secrétariat d'Etat aux migrations;

c.

le registre informatisé de l'état civil (Infostar) de l'Office fédéral de la justice;

d.

le système d'information Ordipro du Département fédéral des affaires étrangères;

e.

le registre central des assurés (CdC UPI) de la Centrale de compensation.

Le Conseil fédéral arrête les mesures techniques et organisationnelles à prendre pour assurer la sécurité du traitement et de la communication des données d'identification personnelle.

4

Section 7 Commission fédérale des e-ID Art. 25

Organisation

Le Conseil fédéral institue la Commission fédérale des e-ID (EIDCOM). Elle est formée de cinq à sept membres. Le Conseil fédéral nomme les membres et désigne le président et le vice-président.

1

Les membres doivent être des experts indépendants. Ils ne peuvent ni appartenir à des organes de personnes morales ou d'autorités qui exercent des activités de four2

6236

Services d'identification électronique. LF

FF 2019

nisseur d'identité, ni être sous contrat de prestations avec de telles personnes morales ou autorités.

L'EIDCOM est rattachée administrativement au Département fédéral de justice et police (DFJP) et dispose de son propre secrétariat.

3

Elle n'est soumise à aucune directive du Conseil fédéral ou du DFJP lorsqu'elle prend des décisions. Elle est indépendante des autorités administratives.

4

5

Elle peut associer fedpol à l'exécution de la présente loi et lui donner des instructions.

Elle édicte un règlement d'organisation et de fonctionnement et le soumet à l'approbation du Conseil fédéral.

6

Les coûts de l'EIDCOM sont couverts par des émoluments. Le Conseil fédéral fixe les modalités.

7

Art. 26

Tâches et compétences

L'EIDCOM surveille le respect de la présente loi. Elle prend les mesures et rend les décisions nécessaires à l'exécution de la présente loi et de ses dispositions d'exécution.

1

2

Elle est notamment compétente pour: a.

reconnaître les fournisseurs d'identité, assurer leur surveillance, ordonner des mesures et retirer les reconnaissances;

b.

publier une liste des fournisseurs d'identité et de leurs systèmes e-ID;

c.

trancher les litiges sur des questions d'accès à une e-ID ou d'interopérabilité.

Elle observe et surveille l'évolution des fournisseurs d'identité et de leurs systèmes e-ID en vue d'assurer une offre sûre, diversifiée et abordable de prestations d'identification électronique.

3

Elle propose le cas échéant au Conseil fédéral des mesures appropriées pour assurer l'offre de prestations d'identification électronique.

4

Elle informe le public sur son activité et présente un rapport d'activité annuel au Conseil fédéral.

5

Art. 27

Tâches du secrétariat

Le secrétariat prépare les affaires de l'EIDCOM, mène les procédures et prend avec la présidence les décisions de procédure. Il fait des propositions à l'EIDCOM et exécute ses décisions.

1

Il établit des préavis et conseille les titulaires d'une e-ID, les services officiels et les entreprises sur les questions se rapportant à la présente loi.

2

Il traite directement avec les fournisseurs d'identité, les autorités et les tiers et rend des décisions de manière autonome dans les cas où le règlement lui délègue cette compétence.

3

Si la situation l'exige, il peut intervenir dans l'exploitation d'un fournisseur d'identité; il en informe sans délai l'EIDCOM.

4

6237

Services d'identification électronique. LF

5

Il représente l'EIDCOM devant les tribunaux fédéraux et cantonaux.

6

L'EIDCOM peut déléguer d'autres tâches au secrétariat.

Art. 28

FF 2019

Personnel du secrétariat

Le Conseil fédéral désigne le directeur du secrétariat. L'EIDCOM engage le reste de son personnel.

1

Les rapports de service sont régis par la législation applicable au personnel de l'administration fédérale.

2

Art. 29

Secret de fonction et secrets d'affaires

L'EIDCOM ne doit révéler aucun secret de fonction ni secret d'affaires.

Art. 30

Traitement de données personnelles

L'EIDCOM gère un système d'information pour la reconnaissance et la surveillance des fournisseurs d'identité, qui contient notamment: 1

a.

les données, les documents et les preuves fournis par les fournisseurs d'identité dans le cadre de la procédure de reconnaissance;

b.

les informations visées aux art. 14, al. 2, et 15, al. 1, let. h et m;

c.

les mesures de surveillance.

Dans le cadre de l'accomplissement de ses tâches légales, elle peut traiter des profils de la personnalité et des données personnelles, y compris des données sensibles concernant des poursuites et sanctions pénales.

2

Section 8

Emoluments

Art. 31 fedpol et l'EIDCOM perçoivent des émoluments de la part des fournisseurs d'identité pour leurs décisions et autres prestations.

1

Aucun émolument n'est perçu pour le traitement des demandes concernant la validité des numéros d'enregistrement de l'e-ID visées à l'art. 23, al. 2.

2

Le Conseil fédéral réglemente la perception des émoluments conformément à l'art. 46a de la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration9. Pour fixer le montant des émoluments perçus en contrepartie de la communication des données d'identification personnelle, il peut notamment tenir compte du fait qu'il s'agit de la première communication ou d'une mise à jour des données d'identification personnelle, et du fait que l'établissement et l'utilisation de l'e-ID sont gratuits ou non pour le bénéficiaire.

3

9

RS 172.010

6238

Services d'identification électronique. LF

Section 9

FF 2019

Responsabilité

Art. 32 Les responsabilités respectives du titulaire de l'e-ID, de l'exploitant d'un service utilisateur et du fournisseur d'identité sont régies par le code des obligations10.

1

La responsabilité de la Confédération est régie par la loi du 14 mars 1958 sur la responsabilité11.

2

Section 10

Dispositions finales

Art. 33

Dispositions transitoires

Dans les trois ans qui suivent l'entrée en vigueur de la présente loi et sur demande d'un fournisseur d'identité, l'EIDCOM reconnaît les moyens d'identification électronique que ce dernier a établis: 1

a.

comme e-ID du niveau de garantie faible: 1. si leur titulaire remplit les conditions visées à l'art. 3, 2. si leur titulaire a donné son consentement, et 3. si le numéro du document d'identité, le nom d'état civil, les prénoms et la date de naissance correspondent aux données d'identification personnelle enregistrées dans le système d'information visé à l'art. 24;

b.

comme e-ID du niveau de garantie substantiel si, en outre, l'identification a eu lieu dans le cadre d'une procédure qui est soumise par la loi à des règles et à une surveillance et qui garantit un niveau de sécurité comparable aux procédures prévues par la présente loi.

Quiconque possède un certificat qualifié valable au sens de l'art. 2, let. h, de la loi du 18 mars 2016 sur la signature électronique12 peut, dans les trois ans qui suivent l'entrée en vigueur de la présente loi et si les conditions visées à l'al. 1, let. a, ch. 1 et 3, sont remplies, demander à un fournisseur d'identité qu'il établisse à son intention, sans nouvelle vérification de son identité, une e-ID d'un niveau de garantie substantiel.

2

3

Dans le cadre de la reconnaissance au sens de l'art. 13, l'EIDCOM tient compte, jusqu'à trois ans après l'entrée en vigueur de la présente loi, des certifications obtenues par les éditeurs de moyens d'identification selon la loi fédérale du 19 juin 2015 sur le dossier électronique du patient13.

4

Le Conseil fédéral arrête les modalités de la procédure d'établissement.

10 11 12 13

RS 220 RS 170.32 RS 943.03 RS 816.1

6239

Services d'identification électronique. LF

Art. 34

FF 2019

Modification d'autres actes

La modification d'autres actes est réglée en annexe.

Art. 35

Référendum et entrée en vigueur

1

La présente loi est sujette au référendum.

2

Le Conseil fédéral fixe la date de l'entrée en vigueur.

Conseil national, 27 septembre 2019

Conseil des Etats, 27 septembre 2019

La présidente: Marina Carobbio Guscetti Le secrétaire: Pierre-Hervé Freléchoz

Le président: Jean-René Fournier La secrétaire: Martina Buol

Date de publication: 8 octobre 201914 Délai référendaire: 16 janvier 2020

14

FF 2019 6227

6240

Services d'identification électronique. LF

FF 2019

Annexe (art. 34)

Modification d'autres actes Les actes mentionnés ci-après sont modifiés comme suit:

1. Loi fédérale du 20 juin 2003 sur le système d'information commun aux domaines des étrangers et de l'asile15 Art. 9, al. 1, let. c, et 2, let. c, ch. 3 Le SEM peut permettre aux autorités et services ci-après d'accéder en ligne aux données relevant du domaine des étrangers qu'il a traitées ou fait traiter dans le système d'information: 1

c.

les autorités fédérales compétentes dans les domaines de la police, exclusivement pour qu'elles puissent procéder à l'identification de personnes dans le cadre: 1. de l'échange d'informations de police, 2. des enquêtes de la police de sûreté ou de la police judiciaire, 3. des procédures d'extradition, 4. de l'entraide judiciaire et de l'assistance administrative, 5. de la délégation de la poursuite et de la répression d'une infraction, 6. de la lutte contre le blanchiment d'argent, le trafic de stupéfiants et le crime organisé, 7. du contrôle des pièces de légitimation, 8. de l'attribution des données d'identification personnelle et de leur mise à jour au sens de la loi fédérale du 27 septembre 2019 sur les services d'identification électronique (LSIE)16, 9. des recherches de personnes disparues, 10. du contrôle des entrées dans le système de recherches informatisées visé à l'art. 15 de la loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération (LSIP)17;

Il peut permettre aux autorités et services ci-après d'accéder en ligne aux données relevant du domaine de l'asile qu'il a traitées ou fait traiter dans le système d'information: 2

c.

15 16 17

les autorités fédérales compétentes dans le domaine de la police: 3. pour qu'elles puissent accomplir les tâches que leur attribue la LSIE;

RS 142.51 RS ...

RS 361

6241

Services d'identification électronique. LF

FF 2019

2. Loi du 22 juin 2001 sur les documents d'identité18 Art. 1, al. 3, 2e phrase 3

... Ces personnes peuvent être de nationalité étrangère.

Art. 11, al. 1, phrase introductive (ne concerne que le texte allemand) et let. k ainsi que 2 L'Office fédéral de la police exploite un système d'information. Ce système contient les données personnelles qui figurent sur le document d'identité et celles qui y sont enregistrées ainsi que: 1

k.

2

le numéro AVS au sens de la loi fédérale du 20 décembre 1946 sur l'assurance-vieillesse et survivants19.

Le traitement des données sert: a.

à établir des documents d'identité;

b.

à éviter l'établissement non autorisé des documents d'identité;

c.

à éviter tout usage abusif des documents d'identité;

d.

à établir et à mettre à jour les moyens d'identification électronique conformément à la loi fédérale du 27 septembre 2019 sur les services d'identification électronique20.

Art. 12, al. 2, let. g Pour accomplir les tâches qui leur incombent de par la loi, les autorités et organes suivants sont habilités à consulter en ligne les données du système d'information: 2

g.

la Direction consulaire du Département fédéral des affaires étrangères, en vue de l'identification des personnes.

Art. 14

Interdiction de tenir des fichiers parallèles

La tenue de fichiers parallèles est interdite. Sont autorisés:

18 19 20 21

a.

la conservation provisoire des formules de demande par l'autorité d'établissement;

b.

le traitement par l'Office fédéral de la police de données d'identification personnelle au sens de la loi fédérale du 27 septembre 2019 sur les services d'identification électronique21, au moyen notamment du système d'information prévu à l'art. 24 de ladite loi, et le traitement de ces données par les fournisseurs d'identité.

RS 143.1 RS 831.10 RS ...

RS ...

6242

Services d'identification électronique. LF

FF 2019

3. Code civil22 Art. 43a, al. 4, ch. 9 Les autorités suivantes peuvent accéder en ligne aux données nécessaires à la vérification de l'identité d'une personne: 4

9.

l'Office fédéral de la police, en vue de l'accomplissement des tâches que lui attribue la loi fédérale du 27 septembre 2019 sur les services d'identification électronique23.

4. Loi fédérale du 20 décembre 1946 sur l'assurance-vieillesse et survivants24 Art. 50a, al. 1, let. bquater Dans la mesure où aucun intérêt privé prépondérant ne s'y oppose, les organes chargés d'appliquer la présente loi ou d'en contrôler ou surveiller l'application peuvent communiquer des données, en dérogation à l'art. 33 LPGA25: 1

bquater. à l'Office fédéral de la police, en vue de l'accomplissement des tâches que lui attribue la loi fédérale du 27 septembre 2019 sur les services d'identification électronique26;

5. Loi du 18 mars 2016 sur la signature électronique27 Art. 9, al. 1bis Si une personne apporte la preuve de son identité au moyen d'une e-ID d'un niveau de garantie substantiel au sens de la loi fédérale du 27 septembre 2019 sur les services d'identification électronique28, elle n'est pas tenue de se présenter en personne.

1bis

22 23 24 25 26 27 28

RS 210 RS ...

RS 831.10 RS 830.1 RS ....

RS 943.03 RS ...

6243

Services d'identification électronique. LF

6244

FF 2019