La présente ordonnance régit les compétences, le traitement et la publication de données personnelles ainsi que les exigences concernant la sécurité de l'information pour les systèmes de gestion des données d'identification (systèmes IAM¹), les services d'annuaires et la base centralisée des identités de la Confédération.

¹ La présente ordonnance s'applique aux unités de l'administration fédérale centrale au sens de l'art. 7 de l'ordonnance du 25 novembre 1998 sur l'organisation du gouvernement et de l'administration (OLOGA)¹.

² Les autorités et services suivants peuvent, sous réserve d'autres dispositions du droit fédéral en matière d'organisation, s'engager par une convention à respecter la présente ordonnance et les prescriptions qui en découlent:

a.

les unités de l'administration fédérale décentralisée au sens de l'art. 7a OLOGA;

b.

d'autres autorités fédérales;

c.

des organisations et des personnes de droit public ou privé qui sont extérieures à l'administration fédérale, mais auxquelles des tâches de l'administration fédérale peuvent être confiées (art. 2, al. 4, LOGA);

d.

des institutions proches de la Confédération qui poursuivent un but d'intérêt public, si leurs systèmes sont reliés à ceux de l'administration fédérale.

¹ Un système IAM sert à gérer conjointement des données sur l'identité et les autorisations de personnes, de machines et de systèmes pour les mettre, sur demande, à la disposition des systèmes en aval et d'autres systèmes IAM.

² Les systèmes en aval sont des applications techniques ou des dispositifs permettant d'accéder à des informations, des moyens informatiques, des locaux et d'autres infrastructures.

³ Placé en amont, le système IAM vérifie l'identité et certains critères d'accès des personnes, des machines et des systèmes qui souhaitent accéder à un système en aval; il transmet à ce dernier les résultats de la vérification afin que celui-ci puisse délivrer les autorisations.

Un service d'annuaires sert à gérer des informations sur les utilisateurs des infrastructures de la Confédération pour pouvoir identifier les personnes et administrer les appareils, les raccordements, les coordonnées et les éléments similaires qui leur ont été attribués.

¹ Les organes de la Confédération responsables des systèmes IAM sont:

a.

l'Unité de pilotage informatique de la Confédération (UPIC), pour tous les systèmes IAM proposés comme services standard ou tous les systèmes IAM relevant explicitement de l'UPIC;

b.

la Direction des ressources du Département fédéral des affaires étrangères (DFAE), pour le système IAM exploité par l'unité Informatique DFAE;

c.¹

le Secrétariat général du Département fédéral de la défense, de la protection de la population et des sports, pour le système IAM exploité par la Base d'aide au commandement (BAC) de l'armée suisse;

d.

le Secrétariat général du Département fédéral de l'économie, de la formation et de la recherche (DEFR), pour le système IAM exploité par le Centre de services informatiques du DEFR (ISCeco).

² Le service technique compétent demeure responsable du système en aval, et en particulier de l'accès à celui-ci.

Les organes de la Confédération responsables des services d'annuaires extérieurs aux systèmes IAM sont:

a.

pour les services standard, l'UPIC;

b.

pour les autres annuaires, les fournisseurs de prestations informatiques qui exploitent ces systèmes, à savoir:

1.

l'unité Informatique DFAE de la Direction des ressources du DFAE,

2.

le Centre de services informatiques (CSI) du Département fédéral de justice et police (DFJP),

3.

la BAC,

4.

l'Office fédéral de l'informatique et de la télécommunication (OFIT),

5.

l'ISCeco.

Les personnes concernées font valoir leurs droits relatifs aux systèmes IAM et aux services d'annuaires auprès des organes suivants:

a.

droit d'accès: auprès des organes responsables;

b.

droit de rectification et de suppression: auprès du service du personnel de leur unité administrative ou de leur organisation ou auprès du service chargé de gérer leurs données.

¹ Les données concernant les personnes suivantes peuvent être traitées dans les systèmes IAM et les services d'annuaires:

a.

membres de l'administration fédérale centrale au sens de l'art. 7 OLOGA¹;

b.

membres de l'administration fédérale décentralisée au sens de l'art. 7a OLOGA;

c.

membres de l'Assemblée fédérale et des Services du Parlement au sens du titre 4, chap. 7, de la loi du 13 décembre 2002 sur le Parlement²;

d.

personnes élues par l'Assemblée fédérale au sens de l'art. 168 de la Constitution³;

e.

membres du Tribunal fédéral, du Tribunal administratif fédéral, du Tribunal pénal fédéral et du Tribunal fédéral des brevets, sauf disposition contraire de la législation;

f.

membres du Ministère public de la Confédération au sens des art. 7 à 22 de la loi du 19 mars 2010 sur l'organisation des autorités pénales (LOAP)⁴;

g.

membres du Secrétariat de l'Autorité de surveillance du Ministère public de la Confédération au sens de l'art. 27, al. 2, LOAP;

h.⁵

les militaires et les membres de la protection civile.

² Peuvent en outre être traitées les données concernant les membres des entreprises suivantes, pour autant que ceux-ci soient régulièrement en contact avec des organes au sens de l'al. 1:

a.

Chemins de fer fédéraux;

b.

La Poste Suisse;

c.

RUAG;

d.

Caisse nationale suisse d'assurance en cas d'accidents.

³ Par ailleurs, les données concernant les personnes suivantes peuvent être traitées dans les systèmes IAM et les services d'annuaires:

a.

personnes externes exerçant une activité pour des organes au sens des al. 1 ou 2;

b.

personnes externes qui, pour d'autres motifs, ont accès à des informations, des moyens informatiques, des locaux et d'autres infrastructures de l'administration fédérale.

Les données concernant les personnes suivantes peuvent être traitées dans les systèmes IAM en plus des données au sens de l'art. 8:

a.

membres d'autorités cantonales ou communales, si ces personnes utilisent des systèmes d'information mis à disposition par la Confédération;

b.

particuliers et représentants d'organisations qui accèdent à des systèmes d'information mis à disposition par la Confédération, tels que les applications de cyberadministration.

Les données des membres d'autorités cantonales ou communales et d'autres entreprises liées à la Confédération que celles mentionnées à l'art. 8, al. 2, qui utilisent un certificat numérique de la Confédération peuvent être traitées dans les services d'annuaires en plus des données au sens de l'art. 8.

¹ Les données personnelles énumérées dans l'annexe peuvent être traitées dans les systèmes IAM, les services d'annuaires et la base centralisée des identités visée à l'art. 13.

² Aucun profil de la personnalité ne peut être traité dans ces systèmes.

³ En l'absence d'une base légale particulière en la matière, aucune donnée sensible ne peut être traitée dans ces systèmes.

⁴ Les données assorties d'un astérisque dans l'annexe concernant des personnes mentionnées à l'art. 8 peuvent être publiées dans un service d'annuaires qui est accessible à toutes les personnes y figurant.

¹ Les systèmes IAM et les services d'annuaires peuvent obtenir automatiquement les données relatives aux personnes gérées dans le système d'information pour la gestion des données du personnel (IGDP) au sens de l'art. 34 de l'ordonnance du 22 novembre 2017 concernant la protection des données personnelles du personnel de la Confédération¹.²

² Ils peuvent obtenir automatiquement auprès des organes concernés au sens de l'art. 8 les données des personnes ne figurant pas dans IGDP³, dans la mesure où ces groupes de personnes ont besoin d'accéder à des systèmes d'information ou à d'autres ressources de la Confédération.

³ Ils peuvent obtenir automatiquement auprès des systèmes d'information concernés les données des personnes externes qui accèdent régulièrement aux ressources de la Confédération.

¹ L'OFIT exploite une base centralisée des identités pour distribuer les données des utilisateurs aux différents systèmes IAM et services d'annuaires. Toutes les données personnelles mentionnées dans l'annexe peuvent être traitées dans cette base. L'UPIC est l'organe responsable au sein de la Confédération.

² IGDP transmet régulièrement à la base centralisée des identités les données mentionnées dans l'annexe, pour autant que ces dernières soient disponibles. Toute obtention automatique de données personnelles depuis IGDP est réalisée grâce à ce distributeur, à l'exception de l'obtention directe des données de base du personnel dans l'environnement SAP pour les systèmes SAP autorisés.

³ Les données personnelles au sens de l'art. 8, al. 1, let. c, et 3, sont transmises aux Services du Parlement pour y être reprises et harmonisées.

⁴ Les données peuvent être transmises de manière automatisée à d'autres systèmes d'information internes à l'administration fédérale, dans lesquels elles sont reprises et harmonisées, à condition que le système concerné:

a.

dispose d'une base légale et d'un règlement de traitement au sens de l'art. 21 de l'ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD)¹, et

b.

ait été annoncé au Préposé fédéral à la protection des données et à la transparence ou ne doive pas être déclaré en vertu de l'art. 18 OLPD.

⁵ Les données nécessaires à la publication de l'Annuaire fédéral au sens de l'art. 5 de l'ordonnance du 29 octobre 2008 sur l'organisation de la Chancellerie fédérale² sont transmises régulièrement à cette dernière.

¹ Lorsqu'une personne n'est plus soumise à la présente ordonnance, ses données figurant dans les systèmes IAM et les services d'annuaires sont détruites au plus tard après deux ans.

² Les dispositions de l'art. 2a LSIA relatives à la destruction de données biométriques sont réservées.¹

¹ Si un système d'information auparavant autonome est raccordé à un système IAM et si la vérification de l'identité et de certains critères d'accès des personnes est confiée à ce dernier, les données personnelles correspondantes peuvent être importées dans le système IAM.

² Il faut gérer dans le système IAM, pour chaque système d'information en aval, une liste des données personnelles pouvant être communiquées à ce dernier en vertu de la présente ordonnance et des bases légales du système en aval.

Le système IAM authentifie les personnes, les machines ou les systèmes qui demandent l'accès à un système d'information en aval; il vérifie les données d'identification requises ainsi que d'autres caractéristiques et attestations nécessaires et transmet au système en aval le résultat de la vérification, avec les données d'identification, les caractéristiques et les attestations déterminées.

¹ Si un système d'information de la Confédération est géré par un exploitant externe sur mandat de celle-ci ou si les personnes visées à l'art. 8, al. 1 ou 3, let. a, doivent accéder à des systèmes d'information tiers, les données personnelles requises à cet effet peuvent être communiquées de manière automatisée à l'exploitant externe à partir des systèmes d'information concernant le personnel, de la base centralisée des identités ou des systèmes IAM.

² Pour ce faire, le service qui est responsable du système d'information confié à un exploitant externe ou qui a besoin d'accéder à un système d'information tiers établit une demande écrite précisant les personnes concernées et la transmet, par l'intermédiaire du conseiller à la protection des données compétent, à l'organe de la Confédération responsable du système d'information fournissant les données requises.

³ Dans la demande, le service responsable au sens de l'al. 2 s'engage par écrit à respecter la législation fédérale sur la protection des données, à utiliser ces dernières exclusivement dans le but prévu et à les protéger conformément à l'état de la technique. Un droit d'inspection doit être accordé à l'organe de la Confédération responsable du système d'information fournissant les données requises.

⁴ Les personnes concernées doivent être informées au préalable.

¹ Les exploitants internes et externes d'éléments d'un système IAM doivent avoir des instructions clairement documentées sur la sécurité de l'information et la gestion des risques. En particulier, chaque organe responsable d'un système au sens de la présente ordonnance établit un règlement de traitement conformément à l'art. 21 OLPD¹.

² Les systèmes IAM qui ne sont pas gérés par des organes au sens de l'art. 2 ou sur mandat de ces derniers peuvent être raccordés à des systèmes IAM internes à l'administration fédérale uniquement s'ils respectent les exigences minimales prédéfinies concernant la sécurité de l'information.

³ L'organe compétent ou l'UPIC peut demander le respect d'exigences plus élevées et des certifications précises afin d'accorder l'accès à certains systèmes d'information.

⁴ L'UPIC fixe dans des directives les exigences en matière de sécurité et les procédures à respecter.

¹ Pour vérifier l'identité de la personne demandeuse, l'émetteur d'un moyen d'identification peut exiger la présentation d'un passeport, d'une carte d'identité suisse ou d'une pièce d'identité reconnue pour entrer en Suisse.

² Il peut enregistrer une photo ou la signature de la personne ou utiliser des photos ou signatures figurant déjà dans le système pour les comparer avec la pièce d'identité.

³ Les données utilisées pour l'identification sont enregistrées avec celles du moyen d'identification. Si les exigences en matière de sécurité propres au moyen d'identification l'exigent, une copie des pièces d'identité ayant servi à l'identification peut également être sauvegardée.

Les systèmes IAM de l'administration fédérale peuvent être reliés entre eux et avec les systèmes IAM des Services du Parlement ou de l'armée pour former un système global.

Les systèmes IAM externes ci-après peuvent être raccordés aux systèmes IAM de la Confédération afin que les personnes gérées dans ces systèmes externes puissent accéder aux ressources de celle-ci, pour autant que les conditions et les procédures énoncées aux art. 22 et 23 soient respectées:

a.

systèmes IAM comprenant des collaborateurs cantonaux et communaux au sens de l'art. 9, let. a;

b.

systèmes IAM reconnus par l'UPIC qui sont destinés à la fédération d'identités dans le cadre de la cyberadministration;

c.

fédérations d'identités ou systèmes IAM étrangers dont le raccordement mutuel est prévu dans un traité international, ou

d.

registres des attributs qui mettent à disposition des données relatives à des fonctions professionnelles selon l'annexe, let. b.

¹ Le service compétent adresse à l'organe de la Confédération responsable en vertu de l'art. 5 une demande de raccordement d'un système IAM externe à un système IAM de la Confédération.

² La demande comprend notamment:

a.

le but du raccordement;

b.

les bases légales et les autres réglementations relatives au système à raccorder;

c.

une description technique du système à raccorder;

d.

les preuves du respect des exigences concernant la sécurité de l'information au sens de l'art. 18, al. 2 ou 3;

e.

l'avis favorable du département compétent;

f.

l'avis favorable d'au moins un service responsable d'un système en aval auquel le système IAM à raccorder permettra d'accéder.

¹ L'organe de la Confédération responsable d'un système IAM de la Confédération est chargé de statuer sur la demande.

² Si le système IAM externe est relié aussi à d'autres systèmes IAM de la Confédération par le système auquel il est directement raccordé, l'approbation de la demande requiert l'accord de l'UPIC.

³ L'organe de la Confédération responsable conclut la convention avec le service demandeur, informe l'UPIC et mandate le fournisseur de prestations concerné en vue du raccordement.

⁴ Les demandes de modification ou de déconnexion sont traitées de manière analogue aux demandes de raccordement.

¹ Les systèmes IAM de la Confédération peuvent être raccordés en qualité de fournisseurs de données d'identification et d'authentification à un système IAM externe ou à une fédération d'identités externe aux conditions suivantes:

a.

le raccordement sert à octroyer aux personnes visées aux art. 8 ou 9 un accès à des systèmes d'information qui sont gérés par un exploitant externe sur mandat de la Confédération ou à des systèmes d'information tiers dont elles ont besoin pour pouvoir exécuter leurs tâches légales;

b.

la Confédération et l'exploitant du système d'information bénéficiaire concluent une convention régissant les relations sur le plan juridique, organisationnel et technique;

c.

la connexion est configurée de façon à permettre uniquement un accès aux systèmes d'information prédéfinis.

² L'UPIC fixe dans des directives les exigences à respecter en matière de sécurité, en accord avec l'organe responsable du système IAM correspondant, et vérifie régulièrement si ces exigences sont satisfaites.

³ Il est également possible de participer à une fédération internationale d'identités sur la base d'un traité international, à condition que le respect des exigences concernant la sécurité de l'information soit garanti.

¹ Le système IAM consigne les authentifications et la publication de données d'identification dans un procès-verbal uniquement pour la durée et dans la mesure nécessaires à une exploitation sûre et ordonnée de ses propres systèmes et de ceux en aval.

² Les données des procès-verbaux sont détruites au plus tard après deux ans. Elles ne sont pas archivées.

³ Demeurent réservés l'établissement d'un procès-verbal plus détaillé, une conservation plus longue ou un archivage des procès-verbaux concernant les accès à un système d'information précis en raison d'une base légale particulière.

¹ Les exploitants des systèmes IAM de la Confédération peuvent communiquer au service responsable du système en aval concerné les données des procès-verbaux concernant les authentifications et la publication de données d'identification.

² A cet effet, une demande écrite mentionnant le but et les bases légales doit être adressée à l'organe responsable du système IAM par l'intermédiaire du conseiller à la protection des données compétent. La livraison des données peut faire l'objet d'une convention mentionnant les mêmes informations entre l'organe responsable du système en aval et l'exploitant du système IAM.

³ En vertu des principes en vigueur pour l'acquisition de prestations informatiques au sein de la Confédération, la livraison des données peut être payante.

Des statistiques d'accès peuvent être établies pour les besoins du service responsable du système IAM ou du système d'information en aval. Les données personnelles doivent être anonymisées.

¹ Tout organe responsable d'un système IAM, d'un service d'annuaires ou d'un autre système d'information en vertu de la présente ordonnance tient un inventaire:

a.

de ses systèmes IAM et services d'annuaires;

b.

des systèmes d'information à partir desquels des données sont obtenues automatiquement;

c.

des systèmes d'information auxquels des données sont transmises automatiquement;

d.

de tous les systèmes IAM auxquels est relié son propre système IAM.

² Les preuves et les documents importants, en particulier les demandes établies en vertu de la présente ordonnance, doivent être conservés au moins jusqu'à l'expiration de leur durée de validité.

L'UPIC édicte les directives administratives et techniques concernant la mise en place et l'exploitation des systèmes IAM de la Confédération.

L'ordonnance du 6 décembre 2013 sur les services d'annuaires de la Confédération exploités par l'OFIT¹ est abrogée.

La présente ordonnance entre en vigueur le 1^er janvier 2017