rsGE B 4 23.01: Règlement sur l'administration en ligne (RAeL)

vu les articles 18A et 46, alinéas 1 et 2, de la loi sur la procédure administrative, du 12 septembre 1985,

Art. 1 Objet du règlement

¹ Le présent règlement contient les dispositions d'exécution de la loi sur l'administration en ligne, du 23 septembre 2016 (ci-après : la loi), et de la loi sur la procédure administrative, du 12 septembre 1985, concernant la communication électronique en matière non contentieuse.

² Il s'inscrit dans le cadre de la stratégie des systèmes d'information et de communication du Conseil d'Etat.

Art. 2 Contenu de la convention (art. 2, al. 2, de la loi)

Les conventions spéciales au sens de l'article 2, alinéa 2, de la loi doivent prévoir :

b) les services en ligne du site Internet officiel de l'Etat sur lequel elles portent, les prestations techniques fournies et leur niveau de service;

Art. 3 Définitions

a) authentification : procédure qui consiste à vérifier et prouver, au moyen des données retenues lors de la procédure d'identification, l'identité d'un usager avant de lui autoriser l'accès à son compte usager;

b) authentification faible (ou simple) : authentification qui repose sur un seul facteur associé à l'identifiant de l'usager, tel qu'un mot de passe;

c) authentification forte : authentification qui repose sur au moins 2 facteurs associés à l'identifiant de l'usager, tels qu'un mot de passe et un code à usage unique;

d) empreinte numérique : nombre que l'on établit à partir d'un document ou d'un message pour permettre aux tiers, respectivement à son destinataire, de vérifier son intégrité;

e) identification : procédure permettant d'établir de manière sûre une correspondance entre l'identité physique et l'identité numérique d'un usager et de l'associer à des données qui lui sont propres, en vue de l'authentifier par la suite;

f) office concerné : office chargé de délivrer la prestation sur le fond; en cas de prestation délivrée par plusieurs offices, il s'agit de l'autorité directrice, autrement dit de l'office qui pilote la procédure;

g) référentiel de données : ensemble de données faisant autorité pour un ou plusieurs systèmes d'information et de communication de l'Etat; les plateformes communes dématérialisées sont assimilables à des référentiels de données;

h) section utile : partie de l'espace usager permettant de limiter l'accès des tiers autorisés aux seuls documents et données correspondant au champ de leur pouvoir. Ce dernier correspond, par défaut, aux échanges effectués dans le cadre d'un service en ligne;

i) service anonyme : service en ligne dont l'accès n'est pas soumis à une inscription préalable;

j) service en ligne : service rendu par un canal numérique à un usager suite à une inscription via le site Internet officiel de l'Etat, y compris lorsque la prestation est fournie en dehors du site Internet officiel de l'Etat;

k) transaction en ligne : service rendu par un canal numérique rendu disponible à un usager suite à une inscription via le site Internet officiel de l'Etat, y compris lorsque la prestation est rendue sans ouvrir une session sur le site Internet officiel de l'Etat, et qui suppose une interaction entre l'usager et l'administration cantonale. Les échanges d'informations entre administration et administré qui n'engagent pas juridiquement ce dernier ne constituent pas une transaction en ligne au sens du présent règlement.

² Les notions d'" office " et de " systèmes d'information et de communication " sont identiques à celles données par le règlement sur l'organisation et la gouvernance des systèmes d'information et de communication, du 26 juin 2013.

³ Les entités désignées à l'article 2, alinéas 2 et 3, de la loi sont assimilées à des offices.

Art. 4 Canaux numériques de communication

¹ La communication numérique entre administration et administrés peut être effectuée par les canaux suivants :

d) applications de partage de données pour téléphones intelligents (" smartphones ");

² Il en est de même entre l'administration et les entités désignées à l'article 2, alinéas 2 et 3, de la loi.

Art. 5 Choix du canal numérique de communication et des conditions d'accès à un service (art. 18, al. 2, lettre a, de la loi; art. 46, al. 2, de la loi sur la procédure administrative, du 12 septembre 1985)

¹ L'office concerné, d'entente avec l'office cantonal des systèmes d'information et du numérique, détermine le canal numérique de communication (art. 4), et, lorsqu'il opte pour l'espace usager, la procédure d'authentification adéquate (art. 27) ainsi que, de manière plus générale, le niveau et les mesures de protection applicables (art. 24, al. 3).

² Ce choix se fait suite à une analyse du traitement envisagé et des risques, compte tenu des canaux à disposition et dans le respect des lois, règlements et directives en vigueur.

³ L'analyse des risques doit tenir compte du type (canal d'information, service en ligne - transactionnel ou non), et du contenu de communication désirés (simples informations, notification de décisions administratives, commandes, etc.), de la confidentialité due aux informations susceptibles d'être échangées, du cercle des destinataires ciblés et des besoins de l'office concerné. Si la communication peut aboutir à la notification d'une décision administrative, l'analyse des risques doit également évaluer la nécessité concrète de prouver la date de la notification de la décision.

⁴ Lorsqu'il concerne un service en ligne transactionnel ou la notification d'une décision administrative, le canal numérique de communication doit en outre avoir été expressément accepté par l'administré.

a) soit par toute acceptation du canal de notification au sens de l'article 9, alinéa 4, pour l'envoi de toute information;

b) soit par la création d'un compte simplifié (art. 6), pour l'envoi de toute information par un des canaux renseignés.

Art. 6 Compte simplifié

¹ Un compte simplifié peut être créé pour permettre à l'administré et à l'administration de se communiquer certaines informations en accédant de manière limitée à la section utile de l'espace usager qui lui est propre.

² La création de ce compte simplifié se fait selon une procédure d'inscription allégée, sans identification formelle, par laquelle l'administré indique ses nom et prénom, ainsi que son mot de passe, tout en renseignant les coordonnées correspondant aux canaux par lesquels il accepte d'être contacté, telles que son adresse de messagerie ou son numéro de téléphone mobile.

³ Les éventuels documents à transmettre à l'administré de manière simplifiée lui sont communiqués par un lien envoyé par le canal renseigné, activable par son mot de passe.

⁴ La liste des services accessibles de manière facilitée grâce au compte simplifié est communiquée aux administrés à travers le site Internet officiel de l'Etat, avec indication des canaux disponibles pour accéder à ces services. Sont également indiquées les coordonnées auxquelles les administrés peuvent atteindre les offices concernés.

Art. 7 Compte usager (art. 7 de la loi)

a) ceux dont le titulaire est une personne physique agissant pour son propre compte;

b) ceux dont le titulaire est une personne morale et qui permettent à une ou plusieurs personnes physiques d'agir en son nom; à ce titre, toute entité publique ou privée pouvant bénéficier d'un service en ligne est assimilée à une personne morale;

c) ceux dont le titulaire agit en tant que mandataire sous seing privé d'une personne physique;

d) ceux dont le titulaire agit en tant que représentant légal d'une personne physique.

² La personne morale titulaire d'un compte usager doit désigner au moins un représentant.

Art. 8 Espace usager (art. 7 de la loi)

¹ L'espace usager permet au titulaire du compte usager y afférent d'accéder aux documents et données relatifs aux prestations auxquelles il est inscrit; l'espace usager contient ses demandes numériques en cours, ainsi que leur statut.

² L'espace usager est cloisonné de façon à limiter l'accès des représentants, des responsables solidaires d'une obligation ou des co-titulaires d'un avantage à sa seule section utile. En l'absence d'élection de domicile en faveur du représentant, ce dernier et le représenté bénéficient d'un accès à la même section utile du compte usager du représenté.

³ En application du principe édicté par l'article 7, alinéa 6, de la loi, les entités définies à l'article 2 de la loi n'ont pas accès aux documents provisoires ou inachevés des usagers. Sont réservés les cas où l'usager a donné son accord exprès.

⁴ L'office cantonal des systèmes d'information et du numérique peut supprimer le compte des usagers qui ne l'ont pas utilisé durant une période précisée dans les conditions générales d'utilisation des services en ligne. Les usagers en sont avertis par courriel, à l'adresse de contact enregistrée dans le compte usager et dans le respect du préavis indiqué dans les conditions générales d'utilisation.

Art. 9 Notification électronique (art. 18, al. 2, lettre b, de la loi; art. 18A de la loi sur la procédure administrative, du 12 septembre 1985)

¹ La notification électronique des décisions administratives ne peut avoir lieu que pour les usagers - le cas échéant leurs représentants - ayant fait l'objet d'une procédure d'identification formelle (art. 26).

² La notification électronique des décisions administratives est faite alternativement : en cas de représentation avec élection de domicile, au seul représentant; dans tous les autres cas, aux seuls destinataires de la décision.

³ Lorsqu'une décision doit être notifiée à plusieurs personnes, elle ne peut l'être par voie numérique qu'à celles d'entre elles qui en ont accepté le principe.

⁴ L'administré marque son acceptation au sens de l'article 46, alinéa 2, de la loi sur la procédure administrative, du 12 septembre 1985 :

a) soit par la création d'un compte simplifié (art. 6) et le renseignement, à titre de canal spécifique de notification, d'une adresse électronique, pour toute décision notifiée via cette adresse;

b) soit par l'envoi d'une demande en ligne, pour toute notification de décision y relative via le canal proposé par défaut par l'office concerné;

c) soit par élection de domicile auprès d'un représentant titulaire d'un compte représentant; c'est alors le canal accepté par le représentant qui s'applique.

⁵ Vaut notification au sens de la loi sur la procédure administrative, du 12 septembre 1985, la communication des décisions qui est effectuée :

a) soit par envoi d'un lien activable par mot de passe et transmis à travers le canal numérique spécifiquement renseigné à cet effet dans le compte simplifié;

c) soit par tout autre mode de notification numérique proposé par l'office concerné et accepté expressément par la personne notifiée.

⁶ Toute notification par dépôt dans l'espace usager est signalée dans le même temps aux personnes notifiées par un message envoyé par le canal qu'elles auront renseigné sur leur compte. L'envoi de ce message, à pur titre d'information, ne vaut pas notification au sens du présent article.

⁷ La date de notification d'une décision de l'administration correspond alternativement :

a) lorsque la décision est transmise par envoi d'un lien activable par mot de passe, à la date d'activation par l'intéressé (soit le destinataire de la décision, soit, en cas de domicile élu, le représentant) du lien permettant d'accéder à la décision, mais au plus tard 7 jours après la transmission du lien;

b) lorsque la décision est déposée sur l'espace usager, à la date de son ouverture par l'intéressé (soit le destinataire de la décision ou toute autre personne ayant accès à sa section utile, soit, en cas de domicile élu, le représentant ou toute autre personne ayant accès à sa section utile), mais au plus tard 7 jours après le dépôt sur l'espace usager;

c) lorsque la décision est transmise par un autre mode de notification numérique, par la réalisation du fait décrit dans la procédure applicable comme générateur de la notification.

⁸ L'office concerné, les autorités judiciaires et le destinataire de la décision - le cas échéant son représentant - peuvent vérifier en ligne la date de la notification de cette dernière.

⁹ La décision est rendue sous forme d'un fichier réputé non modifiable, enregistré dans un format standard; elle peut être visée via une fonction d'empreinte numérique si la preuve de l'intégrité de la décision le justifie.

¹⁰ Lorsque des documents sont annexés à une décision, ils sont visés ne varietur, via une fonction d'empreinte numérique. L'empreinte numérique est rendue visible par l'apposition d'un signe graphique ne varietur sur le document visé. Le signe graphique n'a toutefois aucune valeur légale et son absence ne peut pas supprimer les effets de l'empreinte numérique.

Art. 10 Conditions générales d'utilisation du site Internet officiel de l'Etat (art. 13 de la loi)

¹ Les conditions générales d'utilisation du site Internet officiel de l'Etat, accessibles depuis ce dernier, s'appliquent à toute personne physique naviguant sur le site Internet officiel de l'Etat.

² Le seul fait de naviguer sur le site Internet officiel de l'Etat constitue un acte concluant d'acceptation des conditions générales d'utilisation du site.

³ L'Etat est en droit de modifier, en tout temps et sans préavis, les conditions générales d'utilisation du site Internet officiel de l'Etat.

⁴ Les modifications des conditions générales d'utilisation du site entrent en vigueur pour toutes les personnes naviguant sur le site Internet officiel de l'Etat dès leur publication sur ce dernier.

Art. 11 Conditions générales d'utilisation des services en ligne (art. 6 de la loi)

¹ Les conditions générales d'utilisation peuvent prévoir, en plus d'une partie générale applicable à l'ensemble des services en ligne, une partie spécifique propre aux transactions proposées par un office particulier.

² Les conditions générales d'utilisation informent l'usager inscrit à une transaction en ligne :

d) des aspects de sécurité relatifs à la protection de sa sphère privée et du service en ligne.

³ L'Etat est en droit de modifier, en tout temps et sans préavis, les conditions générales d'utilisation ainsi que tout document complémentaire afférent aux services en ligne.

⁴ Toute modification des conditions générales d'utilisation est communiquée aux administrés sur le site Internet officiel de l'Etat.

Art. 12 Conditions générales de vente (art. 6 de la loi)

¹ Lorsque la délivrance d'une prestation est soumise au paiement d'un montant, la transaction en ligne correspondante peut permettre le paiement en ligne sécurisé de la prestation.

² Les conditions générales de vente règlent les conditions de paiement en ligne de ces prestations, et leur acceptation est expressément requise avant tout paiement en ligne demandé à l'usager.

³ Le refus des conditions générales de vente par l'usager met seulement fin à la demande formulée en ligne.

⁴ Une fois le paiement effectué, la prestation est délivrée à travers le canal prédéfini par l'office concerné.

⁵ Lorsque cela est nécessaire, notamment pour assurer la sécurité de l'information, l'Etat est en droit de modifier, en tout temps et sans préavis, les conditions générales de vente en publiant sur le site Internet officiel de l'Etat les nouvelles conditions applicables.

Art. 13 Formalités d'accès aux transactions en ligne (art. 6 de la loi)

¹ L'accès aux transactions en ligne nécessitant une identification formelle de l'administré est soumis à une inscription sur le site Internet officiel de l'Etat. Cette dernière requiert :

² Toute modification des conditions générales d'utilisation est soumise pour acceptation à l'administré qui y est soumis au moment de lancer une nouvelle demande.

³ Les informations d'ordre technique figurent dans un mode d'emploi et ne sont pas sujettes à acceptation de l'utilisateur d'un service en ligne.

⁴ L'acceptation des conditions générales d'utilisation entraîne la reconnaissance par l'usager de la validité et de la force probante des échanges et engagements pris en ligne. Les modes de notification spécifiques exigés par la loi sont réservés.

⁵ Le refus par l'usager d'une nouvelle version des conditions générales d'utilisation entraîne l'impossibilité pour lui d'accéder à toute fonction du compte usager, hormis la consultation de son espace usager durant la durée limitée indiquée dans les conditions générales d'utilisation. A l'issue de ce délai, l'accès à l'espace usager est supprimé; il incombe à l'usager de sauvegarder d'ici là son contenu.

⁶ Par défaut, les demandes numériques en cours suivent leur voie par le mode alternatif de communication mis en place par l'office concerné. Si l'usager en fait la demande, les demandes en cours sont classées; l'usager, s'il désire les réintroduire, doit dans ce cas le faire selon le mode alternatif de communication mis en place par l'office concerné.

⁷ L'inscription aux transactions en ligne n'est pas ouverte aux personnes pourvues d'un représentant légal, mais ce dernier peut effectuer l'inscription pour son représenté. Font exception les services de l'école en ligne délivrés par le département chargé de l'instruction publique. L'office cantonal des systèmes d'information et du numérique peut s'assurer auprès de l'autorité compétente que l'usager n'est pas sous curatelle.

⁸ L'ouverture d'un compte dont le titulaire est une personne morale (art. 7, al. 1, lettre b) nécessite l'identification à la fois d'un de ses organes au sens du code des obligations et de la ou des personnes physiques qu'il désigne pour gérer le compte de l'entité.

Art. 14 Formalités de demande et de délivrance des transactions en ligne (art. 4 de la loi)

¹ La personne physique titulaire d'un compte usager est inscrite par défaut à l'ensemble des transactions en ligne disponibles; certaines peuvent faire l'objet d'une procédure particulière d'authentification.

² Quant à la personne morale titulaire d'un compte usager, elle ne peut être inscrite à un service en ligne que si elle désigne la ou les personnes physiques habilitées à agir en son nom dans ce cadre.

³ Les prestations rendues en ligne ne sont pas facturées à un prix supérieur aux prestations obtenues au guichet ou par courrier postal.

⁴ Toute demande et toute délivrance de prestation font l'objet d'une collecte d'information au sens de l'article 29.

Art. 15 Désinscription d'une transaction en ligne (art. 4, al. 1, de la loi)

¹ L'usager peut en tout temps se désinscrire de tout ou partie des transactions en ligne, sans préjudice d'une réinscription future, sauf en cas d'abus.

² La désinscription d'une transaction en ligne entraîne, pour les demandes numériques en cours y relatives, les mêmes effets que le refus par l'usager des conditions générales d'utilisation (art. 13, al. 5 et 6).

³ La demande de suppression du compte usager par son titulaire entraîne les mêmes effets que le refus par l'usager des conditions générales d'utilisation (art. 13, al. 5 et 6).

⁴ Le décès d'un représentant en ligne personne physique est signifié à ses représentés, leur ouvrant la possibilité de désigner un nouveau représentant dans les délais indiqués. Il en est de même en cas de radiation d'un représentant en ligne personne morale.

⁵ Le décès du titulaire personne physique d'un autre type de compte suspend les demandes en cours, jusqu'à décision sur la suite à y donner par les héritiers ou successeurs.

⁶ La radiation d'un titulaire de compte personne morale entraîne les mêmes effets qu'une demande de suppression du compte usager.

⁷ Les héritiers et les successeurs peuvent en règle générale obtenir sur demande copie de l'information et des documents contenus dans l'espace usager pendant toute leur durée de conservation, à condition qu'ils justifient d'un intérêt digne de protection selon les règles applicables en matière de protection des données personnelles.

Art. 16 Principes de la représentation en ligne volontaire des administrés (art. 9 de la loi)

¹ Les administrés peuvent se faire représenter par un tiers pour obtenir des prestations en ligne.

³ Les conditions générales d'utilisation précisent le cercle des représentants agréés pour chaque office offrant des services en ligne.

⁴ C'est le représentant désigné qui gère la procédure pour son représenté et qui est considéré comme partie prenante de la transaction en ligne.

⁵ Le cas échéant, les modalités possibles de la représentation ou de la délégation (art. 17, al. 5) sont indiquées par l'office concerné dans les conditions générales d'utilisation.

a) pour les usagers personne physique, l'ensemble des services en ligne d'un office;

⁷ Un même représentant peut représenter un administré auprès de plusieurs offices concernés.

Art. 17 Constitution et modification de la représentation en ligne volontaire (art. 9 de la loi)

¹ Les administrés peuvent désigner de trois manières différentes leur représentant, ainsi que les modalités et le cadre de la représentation :

b) s'ils ne sont pas titulaires d'un compte usager, selon le mode alternatif de communication mis en place par l'office concerné;

c) en confirmant auprès de l'office concerné le lien de représentation annoncé par le représentant lui-même; la confirmation peut se faire par simple acte concluant. Dans ce cas, la représentation entraîne élection de domicile en faveur du représentant.

² La modification ou la suppression des droits volontaires de représentation peut s'effectuer en tout temps, de la même manière que leur constitution, sous réserve de dispositions contraires de la loi, du présent règlement ou des conditions générales d'utilisation.

³ La modification ou la suppression des droits volontaires de représentation prend effet :

a) dans les cas visés à l'alinéa 1, lettre a, à l'instant de leur modification ou de leur suppression sur le compte usager;

b) dans les cas visés à l'alinéa 1, lettre b, lorsque l'office concerné a opéré la modification ou la suppression dans le système, mais avec effet rétroactif à la date de réception de l'avis par l'office;

c) dans les cas visés à l'alinéa 1, lettre c, lorsque l'office concerné reçoit la confirmation de la part du représenté ou dès la survenance de l'acte concluant, mais avec effet rétroactif à la date de l'annonce par le représentant.

⁴ Suite à la répudiation de son mandat par le représentant ou à la suppression de son compte, les demandes en cours s'y rapportant continuent d'être traitées en ligne si le représenté désigne un nouveau représentant titulaire d'un compte ou s'il décide de traiter lui-même la suite de la demande depuis son propre compte. A défaut, la demande se poursuit selon le mode alternatif de communication mis en place par l'office concerné.

⁵ En cas de changement de représentant au bénéfice d'une élection de domicile, lorsque des demandes numériques sont pendantes, copie des documents et informations déposés sur le compte de l'ancien représentant est transmise sur le compte de la personne désignée par le représenté (al. 4). Les documents transmis à l'ancien représentant ne sont pas détruits.

⁶ Si l'office concerné l'autorise dans les conditions générales d'utilisation, un représentant au bénéfice d'une élection de domicile peut par délégation permettre à des tiers d'accéder aux documents déposés sur son propre espace usager.

⁷ Lorsque l'usager atteint la majorité civile, la représentation légale sur le compte est supprimée d'office.

⁸ En cas de retrait de la capacité civile, le compte de représentation peut être créé par le curateur. De même, la représentation est supprimée en cas de recouvrement de la capacité civile.

Art. 18 Inclusion numérique (art. 13, al. 2, de la loi)

¹ L'Etat applique dans la mesure de ses moyens les standards en vigueur d'accessibilité à Internet (norme WAI3 ou eCH-0059) afin d'assurer aux usagers souffrant d'un handicap l'accès au site Internet officiel de l'Etat et aux services en ligne.

² Les données relatives aux administrés doivent être enregistrées dans les alphabets latins (standard ISO 8859), de bout en bout de la chaîne de traitement.

Art. 19 Données publiques ouvertes (art. 10 de la loi)

¹ La classification des données générées par l'Etat est réglementée par voie de directive.

² Seules les données classifiées comme " publiques " peuvent être qualifiées de données publiques ouvertes. Aucune donnée produite par l'Etat ne peut être qualifiée d'ouverte ou de publique sans avoir été expressément classifiée comme telle.

³ Dans le cadre de sa communication et des services en ligne, l'Etat favorise l'usage des données publiques ouvertes et leur exploitabilité dans le sens d'un intérêt public et général.

⁴ L'Etat assure en son sein la protection de ces données contre toute modification ou suppression non autorisée afin d'assurer leur intégrité et leur exactitude.

⁵ Les tiers qui utilisent les données publiques ouvertes ou les modifient restent soumis à une licence spécifique édictée par l'Etat. Ils doivent s'assurer que tous ceux qui réutilisent ces données aient connaissance de cette licence. La licence prévoit des sanctions en cas de violation de ses termes sous forme de suppression du droit d'utilisation et de restitution des avantages indus qui ont pu être obtenus de la sorte.

⁶ Toute réutilisation des données publiques ouvertes qui viserait à les relier de manière directe ou indirecte à une personne physique déterminée ou déterminable est interdite. L'Etat peut supprimer le droit d'utilisation, de réutilisation, de distribution et de modification des données lorsqu'un risque d'identification des personnes est apparu.

Art. 20 Signature électronique (art. 12 de la loi)

Le défaut d'exigence concernant la forme écrite ou la signature manuscrite ne s'oppose pas à la nécessité d'une empreinte numérique ou d'une signature électronique au sens de la loi fédérale sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques, du 18 mars 2016, sur les documents ou les messages dont il est nécessaire de vérifier l'intégrité, respectivement l'authenticité.

Art. 21 Site Internet officiel de l'Etat (art. 13 de la loi)

¹ Le site Internet officiel de l'Etat est le portail d'accès à l'ensemble des services en ligne. Il diffuse en outre toutes les informations utiles de nature à faciliter la réalisation par les usagers des démarches administratives. Il constitue la référence en matière de communication institutionnelle numérique.

² Le site Internet officiel de l'Etat répond aux moyens de communication numériques conformes à l'état de l'art. Il respecte notamment les normes de compatibilité mobiles, les principes d'inclusion numérique au sens de l'article 18 et les règles applicables en matière de protection des données personnelles.

³ Les choix de l'office concerné en matière de canal principal et alternatif de communication pour les services qu'il met en ligne sont indiqués sur le site Internet officiel de l'Etat. Le guichet ou la voie postale constituent le mode alternatif de communication par défaut.

Art. 22 Mise à disposition des services en ligne (art. 18, al. 2, lettre a, de la loi)

¹ De manière générale, l'Etat peut mettre à disposition des usagers de nouveaux services en ligne, modifier des services en ligne existants ou les supprimer.

² Un catalogue des services en ligne est disponible à l'attention des usagers sur le site Internet officiel de l'Etat.

³ Le catalogue des services en ligne est basé sur le recensement des besoins des usagers.

⁴ Lors de la mise à disposition d'un nouveau service en ligne, l'Etat communique toute information utile sur son objectif, ses avantages, ses éventuelles restrictions, ainsi que ses modalités d'autorisation d'accès et d'usage.

⁵ Les conditions et les modalités particulières d'utilisation d'un service en ligne figurent en détail dans les conditions générales d'utilisation.

Art. 23 Suppression des transactions en ligne (art. 18, al. 2, lettre a, de la loi)

¹ La suppression d'une transaction en ligne n'entraîne ni la suppression des demandes en cours, ni celle des documents déposés dans l'espace usager en lien avec le service en ligne en question.

² Les conditions et les modalités particulières de la suppression d'un service en ligne figurent en détail dans les conditions générales d'utilisation.

Art. 24 Sécurité de l'information (art. 15, al. 2, 2^e phrase, de la loi)

¹ Les mesures de protection du site Internet officiel de l'Etat sont cohérentes avec les grands principes de la sécurité de l'information et les responsabilités des parties prenantes définis par le règlement sur l'organisation et la gouvernance des systèmes d'information et de communication, du 26 juin 2013, la politique de sécurité de l'information de l'Etat et les directives traitant de la classification des informations.

² L'office cantonal des systèmes d'information et du numérique édicte les règles opérationnelles adaptées et veille à leur mise en œuvre. Il applique la politique de sécurité de l'information de l'Etat dans son domaine de compétence défini par le règlement sur l'organisation et la gouvernance des systèmes d'information et de communication, du 26 juin 2013; il est appuyé par les organes départementaux compétents qui expriment leurs besoins, notamment en termes d'accès aux données personnelles.

³ Le niveau et les mesures de protection de chaque service en ligne sont établis en considération du niveau de classification des données concernées, tout en veillant à la cohérence du dispositif.

Art. 25 Système de gestion de la protection des données (art. 14 de la loi; art. 18, al. 2, lettre b, de la loi)

¹ Le système de gestion de la protection des données est aligné avec le système de gestion des risques de l'Etat. Il s'inscrit dans le système de gestion de la sécurité de l'information défini dans la politique de sécurité de l'information de l'Etat.

² Le système de gestion de la protection des données est en outre appliqué par l'office cantonal des systèmes d'information et du numérique.

³ Le stockage et l'échange des informations à travers Internet, notamment les traces collectées en application de l'article 29, font l'objet de mesures de protection contre les incidents et la malveillance, en particulier contre tout accès non autorisé, leur modification ou leur suppression indues. On entend par " collecte des traces " l'enregistrement automatisé des données relatives à l'usage du système, et notamment à la succession des opérations exécutées.

⁴ Ces mesures doivent être conformes à l'état de l'art et adaptées à la classification de l'information traitée.

⁵ Les décisions formelles et leurs éventuelles annexes sont stockées dans le coffre-fort électronique des systèmes d'information de l'Etat.

⁶ Lorsque l'administration le juge nécessaire (art. 34), les tiers peuvent s'assurer de l'intégrité d'une attestation ou de tout autre type de document depuis le site Internet officiel de l'Etat sans être titulaires d'un compte, par un procédé préservant la confidentialité de l'intéressé.

Art. 26 Procédure d'identification (art. 15, al. 2, 2^e phrase, de la loi)

¹ L'identification formelle d'une personne physique se fait en principe une seule fois, en particulier à l'occasion de l'ouverture d'un compte usager. Elle permet d'associer ce compte au responsable de son usage.

² La procédure d'identification applicable est décrite dans les conditions générales d'utilisation.

³ Par la suite, l'usager peut accéder au service en ligne concerné après s'être authentifié.

Art. 27 Procédure d'authentification (art. 15, al. 2, 2^e phrase, de la loi; art. 6, al. 1, de la loi)

¹ L'accès à une transaction en ligne se fait en principe au moyen d'une authentification forte.

² Les détails de la procédure et des moyens d'authentification retenus sont décrits dans les conditions générales d'utilisation.

³ L'autorisation d'accès se fait dans le respect des droits (lecture, écriture, suppression) accordés au titulaire d'un compte.

⁴ L'authentification n'est effectuée qu'une seule fois par session, au cours de laquelle l'usager peut accéder à toutes les transactions en ligne auxquelles il s'est inscrit.

Art. 28 Gestion de l'information (art. 18, al. 2, lettre b, de la loi)

¹ Les données traitées par les services en ligne doivent utiliser les référentiels de données existants.

² La gestion de l'accès aux référentiels de données doit être configurée de manière à éviter tout croisement des données permettant d'élaborer des profils de personnalité.

³ La consolidation des données de plusieurs transactions en ligne n'est possible que si une loi l'autorise pour les prestations correspondantes.

⁴ L'administré doit être informé des destinataires des données qu'il confie à un office avant de valider leur transmission à ce dernier.

Art. 29 Collecte d'information (art. 15, al. 2, 2^e phrase, de la loi)

¹ L'office cantonal des systèmes d'information et du numérique met en place, dans le respect du cadre légal et réglementaire, les mesures nécessaires à la collecte des traces relatives aux activités liées aux services en ligne afin notamment de détecter les fraudes et actes malveillants, d'identifier en cas de nécessité l'auteur et la date d'une action, ou d'assurer la qualité et la sécurité de son site Internet officiel.

² Cette collecte se fait par l'enregistrement d'éléments, incluant un horodatage, qui visent à attribuer des actions et des décisions à un acteur (imputabilité) dans le cadre des transactions en ligne.

³ L'Etat s'assure de ce que tous les flux de documents déposés dans les espaces usager soient horodatés de manière précise et non modifiable.

⁴ Dans le cadre des échanges entre usager et administration sur le site Internet officiel de l'Etat, seules font foi les données collectées par les systèmes d'information et de communication de l'Etat. En cas de contestation, la date de réception d'une communication entre usager et administration ou de la notification d'une décision (art. 9) est établie par les données d'horodatage collectées par les systèmes d'information et de communication de l'Etat.

⁵ Les données techniques collectées sont conservées et peuvent être consultées auprès de l'office cantonal des systèmes d'information et du numérique. Leur durée de conservation est précisée dans les conditions générales d'utilisation.

⁶ L'Etat peut établir des statistiques d'usage anonymes dans le but de maintenir et d'améliorer ses prestations.

Art. 30 Communication des données relatives à un usager entre offices (art. 18, al. 2, lettre b, de la loi)

¹ Lorsqu'un service en ligne nécessite la collaboration de plusieurs offices, ceux-ci sont habilités à se communiquer les informations pertinentes pour la délivrance de la prestation lorsqu'une loi le prévoit ou dans la mesure où l'usager a donné son accord, notamment lors de son autorisation d'accès ou par l'envoi de sa requête.

² Entre offices, l'accès à distance des informations utiles est préféré à la remise de copies à chaque fois que cela est possible.

³ Seul l'office qui est l'auteur des données ou qui est le dépositaire originel des données fournies par les usagers peut les transmettre à d'autres offices ou à des tiers.

⁴ Lorsqu'un tiers qui veut accéder à des données s'adresse à un office qui y a accès, l'office dépositaire requis transmet sa demande à l'office auteur des données.

⁵ Les offices qui ont accès à une plateforme commune dématérialisée désignent l'office qui remplit le rôle d'office dépositaire original des données.

⁶ En cas de recours contre une décision rendue par un office sur la base de données dont un autre office est l'auteur ou le dépositaire originel, ce dernier assiste l'office à l'origine de la décision contestée s'il y a lieu de prouver l'exactitude des données transmises.

⁷ Tout transfert récurrent ou massif (sans filtre) de données entre offices nécessite l'adoption d'une convention écrite, précisant ses conditions et les modalités concrètes de la communication, décrivant les données transmises et stipulant ce qui justifie la transmission selon la loi sur l'information du public, l'accès aux documents et la protection des données personnelles, du 5 octobre 2001.

⁸ Lorsque l'office concerné désire communiquer avec une instance de préavis, cette dernière doit être titulaire d'un compte usager; elle est dans ce cadre considérée comme un office.

Art. 31 Plateformes développées ou gérées par des tiers

¹ Un office peut utiliser une plateforme développée ou gérée par une autre entité publique suisse.

² D'autres plateformes peuvent être utilisées, sur décision spécifique du comité de suivi (art. 32), pour autant qu'elles respectent les exigences de la loi et des règles de sécurité applicables (art. 24). Dans ce cas, les modalités d'utilisation de la plateforme par les administrés sont réglées par des conditions générales validées par le département, d'entente avec l'office cantonal des systèmes d'information et du numérique.

³ Les prestations en ligne gérées par un tiers doivent être au moins accessibles par un lien depuis le site Internet officiel de l'Etat.

Art. 32 Coordination des services en ligne (art. 3 et art. 18, al. 2, lettre b, de la loi)

¹ La coordination nécessaire à favoriser une mise en œuvre efficiente des buts visés par la loi est assurée, au sein de l'administration cantonale, par le comité de suivi du site Internet officiel de l'Etat (ci-après : comité de suivi).

b) 2 représentants de l'office cantonal des systèmes d'information et du numérique;

³ Le comité de suivi rend compte de ses activités à la délégation du Conseil d'Etat au numérique.

⁴ Le comité de suivi agit en collaboration étroite avec les personnes responsables au sein des institutions visées à l'article 2, alinéas 2 et 3, de la loi.

⁵ Le comité de suivi est le dépositaire des conventions spéciales au sens de l'article 2, alinéa 2, de la loi.

Art. 33 Gestion des conditions générales d'utilisation et des conditions générales de vente (art. 18, al. 2, lettre c, de la loi)

¹ Les conditions générales d'utilisation et les conditions générales de vente sont mises à jour régulièrement.

² Le comité de suivi coordonne l'amélioration des mises à jour des conditions générales d'utilisation et des conditions générales de vente, notamment sur la base des demandes émanant des départements.

³ Les conditions générales d'utilisation sont soumises pour validation à l'office qui propose la transaction en ligne concernée, alors que les conditions générales de vente le sont par les départements dont les offices offrent des prestations payantes.

⁴ La validation finale et la publication en ligne des versions des conditions générales d'utilisation et des conditions générales de vente relèvent de la compétence du comité de suivi.

Art. 34 Mise en œuvre technique (art. 18, al. 2, lettre a, de la loi)

¹ En coordination avec les offices concernés, l'office cantonal des systèmes d'information et du numérique met en place les services numériques requis par le présent règlement.

² L'Etat maintient les applications du site Internet officiel de l'Etat dans le respect de la proportionnalité en termes notamment de coûts, de maintenance et de ressources humaines.

Art. 35 Obligations de l'usager (art. 16, al. 3, de la loi)

¹ Le titulaire de l'espace usager est responsable de la mise à jour constante des représentants qu'il a déclarés dans le système.

² L'usager qui change de représentant doit régler avec son ancien représentant le sort des documents transmis par l'administration à ce dernier dans le cadre de son mandat; l'administration ne supprime pas elle-même les documents transmis sur le compte usager d'un ancien représentant (art. 17, al. 5).

³ L'usager qui reçoit de la part de l'administration en ligne un accusé de réception concernant un courriel ou un document qu'il n'a pas envoyé doit le signaler immédiatement par courriel à l'office qui le lui a envoyé.

Art. 36 Obligations du représentant de l'usager (art. 17 de la loi)

Le représentant peut se voir refuser d'intervenir en sa qualité dans le cadre de l'administration en ligne :

b) par l'office cantonal des systèmes d'information et du numérique s'il ne respecte pas les mesures de sécurité mises en place par l'administration sur le site Internet officiel de l'Etat.

Art. 37 Obligations des personnes morales inscrites (art. 16, al. 3, de la loi)

Les personnes morales titulaires d'un compte sont responsables de la création, de la modification et de la suppression de leurs représentants et du choix des services accessibles à ces derniers.

Art. 38 Clause abrogatoire

a) le règlement relatif aux déclarations d'impôt établies à l'aide d'outils informatiques, du 26 septembre 2006;

Art. 39 Entrée en vigueur

Le présent règlement entre en vigueur le lendemain de sa publication dans la Feuille d'avis officielle.

Art. 40 Disposition transitoire

L'administration dispose d'un délai de 5 ans à compter de l'entrée en vigueur du présent règlement pour mettre en place les services numériques requis par celui-ci.

RSG Intitulé	Date d'adoption	Entrée en vigueur
B 4 23.01 R sur l'administration en ligne	26.06.2019	03.07.2019
Modification : néant