Suivi du #GCVD: Exposé des motifs et projets de loi sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat (LCyber) et modifiant la loi du 28 octobre 2008


#1

Point #10: Exposé des motifs et projets de loi sur les moyens d’identification électronique et le portail sécurisé des prestations en ligne de l’Etat (LCyber) et modifiant la loi du 28 octobre 2008 sur la procédure administrative (LPA-VD) et Projet de décret accorda (51)

https://www.vd.ch/toutes-les-autorites/grand-conseil/prochaine-seance/seance-du-mardi-6-novembre-2018/expose-des-motifs-et-projets-de-loi-sur-les-moyens-didentification-electronique-et-le-portail-securise-des-prestations-en-ligne-de-letat-lcyber-et-modifiant-la-loi-du-28-octobre-2008-sur-la-procedure-administrative-lpa-vd-et-projet-de-decret-accorda/

Ces document comprennent le texte adopté par le CE, les discussions de la commission ainsi qu’un tableau-miroir présentant le texte avant et après les discussions en commission. Ces projets de loi concernent l’avancement des travaux de réalisation d’une cyberadministration cantonale, avec en point de mire des problématiques de sécurité des données, de leur contrôle et de l’accès des citoyens à ces services ainsi qu’à leurs propres données.

Le premier projet de loi concerne les moyens d’identifications (Projet de loi sur les moyens d’identification électronique et le portail sécurisé des prestations en ligne de l’État (Projet LCyber)), c’est-à-dire les infrastructures et les procédures à mettre en place afin d’assurer un service efficace, mais sécurisé et accessible à tous les citoyens. Le principal but est de prévenir une fracture numérique au sein de la population. Cependant, les guichets “physiques” continueront d’exister, pour les citoyens qui ne sont pas encore à l’aise avec les moyens électroniques ou qui ne disposent pas des outils nécessaires pour utiliser une cyberadministration. La discussion a surtout porté sur les conditions d’obtention d’un moyen d’identification électronique (MIE). Voici la liste des éléments nécessaires pour cette procédure:

  • Communication du numéro AVS, du courriel et de la date de naissance de l’administré ;
  • Vérifications de la connexion par le RCPers (contrôle du recensement) ;
  • Demande d’un numéro de téléphone portable et envoi d’un code par courriel ;
  • Présentation de l’administré auprès du guichet de l’administration pour la remise d’un identifiant ;
  • Envoi d’un lien URL à l’administré pour l’activation du compte
  • Finalisation de l’identification par la saisie d’un code envoyé par SMS.

Comme l’ont relevé des membres de la commission, on voit tout de suite où cette procédure pourrait poser problème: il est obligatoire d’avoir un téléphone portable et de savoir s’en servir correctement.[Commentaire personnel: Certes, la majorité de la population dispose de cette technologie, mais il n’est pas sûr que tout le monde arrive à comprendre ce fonctionnement. Par ailleurs, on sait aujourd’hui que la communication par SMS n’est de loin pas la plus sûre.] Un autre député a demandé s’il était prévu d’utiliser des logiciels libres. Le CE a répondu que ces solutions seront privilégiées chaque fois qu’une alternative libre sera disponible. [Commentaire personnel:Cela signifie que les autorités vaudoises n’entendent pas investir dans le développement de solutions libres, ce qui est dommage, compte tenu de l’existence d’institutions publiques avec des compétences reconnues mondialement, qui pourraient probablement s’en occuper.] La préposée à la protection des données a aussi été consultée et elle a relevé la nécessité d’assurer des communications très sécurisées entre les diverses bases de données de la cyberadministration pour éviter de que des informations confidentielles, comme les numéros AVS des citoyens ne se baladent dans la nature.

Au cours de l’examen des articles de la loi, les députés de la commission ont émis un certain nombre de commentaires, notamment concernant les questions d’usages frauduleux ou d’erreurs/négligences de la part des usagers qui pourraient ensuite être exploitées dans des entreprises frauduleuses. La commission demande donc que soit introduit des recommandations quant à la nécessité de sensibiliser les usagers aux questions de sécurité et aux bonnes pratiques. En effet, la loi prévoit de tenir les usagers pour responsables de leur MIE et donc des conséquences potentielles qui pourraient survenir à la suite d’un usage frauduleux. Pour les membres de la commission, il est donc essentiel d’aider les citoyens à comprendre le fonctionnement de ces outils et d’attirer leur attention sur les mesures de sécurité de base à prendre.

Une autre question a été relevée au sujet de la possibilité pour l’Etat de reconnaître des MIE fournies par des entreprises privées. La Confédération n’ayant pas encore statué sur cette question, un député demande que seules des entités publiques soient autorisées à fournir des MIE personnels.

Par ailleurs, les députés se soucient des situations où un usager peut être amené à autoriser l’accès à ses données à des fonctionnaires de l’État au cas où ils auraient remarqué une anomalie ou se trouverait en difficulté dans l’usage de ces outils.

La commission note aussi la volonté du DRHI d’utiliser des moyens de communication plus sécurisés que le courriel, notamment en restant dans le système de la plateforme pour les accusés de réception et la vérification de l’identité des correspondants.

Suite à ces discussions et aux modifications apportées au projet de loi qui leur a été soumis, les membres de la commission ont voté à l’unanimité l’autorisation pour le CE d’entrer en matière sur ce projet de loi.

Commentaire personnel: A mon sens, il faudra suivre ces travaux de près, car c’est la sécurité des données de l’ensemble des usagers su service public vaudois qui est en jeu, sans compter la transformation profonde de la relation entre l’État et ses citoyens.