Déclaration de protection des données pour l'Infrastructure de Confiance Public Beta

1. Remarques générales

L’administration fédérale accorde de l’importance à la protection de vos données. Elle ne collecte que les données personnelles qui sont absolument nécessaires à l’accomplissement de ses tâches (économie des données). Les données enregistrées sont gérées avec diligence et protégées contre toute forme d’abus.

L’art. 13 de la Constitution fédérale ainsi que le droit de la protection des données garantissent à chacun le respect de la vie privée et la protection contre l’emploi abusif de données personnelles. Les sites Internet et les services en ligne de l’administration fédérale sont conformes à ces dispositions.

2. Introduction

Dans la présente déclaration de protection des données, l’Office fédéral de l’informatique et de la télécommunication (OFIT) explique dans quelle mesure, à quelles fins et à quelles conditions il traite des données personnelles dans le cadre de l’utilisation du registre de base et du registre de confiance. L’OFIT traite les données entrantes soit lui-même, en se conformant à la présente déclaration de protection des données, soit en les transmettant à des tiers.

La législation suisse sur la protection des données réglemente le traitement de données personnelles par l’administration fédérale. Elle s’applique au traitement des données en lien avec l’exploitation des systèmes d’information qui permettent d’établir et de vérifier les moyens de preuve électroniques de l’infrastructure de confiance de la Confédération. Le traitement des données par l’OFIT dans ce cadre repose sur la loi sur l’e-ID (LeID).

3. Champ d’application

La présente déclaration de protection des données s’applique au traitement des données en lien avec le registre de base et le registre de confiance nécessaires à l’infrastructure de confiance de Public Beta. Ci-après, le produit concret correspondant au registre de base sera désigné par le terme « beta base registry », tandis que le terme « beta trust registry » qualifiera le registre de confiance.

4. Responsable

Le traitement des données décrit dans le présent document relève de la responsabilité de :

l’Office fédéral de l’informatique et de la télécommunication OFIT
3003 Berne
Suisse
T +41 58 463 25 11
info@bit.admin.ch

5. Traitement des données et but du beta base registry et du beta trust registry

L’OFIT met à disposition du public un registre de base, qui contient des données nécessaires pour :

  • vérifier si un moyen de preuve électronique a été modifié ultérieurement, tel que les clés cryptographiques et les identifiants ;
  • vérifier si un moyen de preuve électronique et l’identifiant concerné proviennent de l’émetteur inscrit dans le registre de base ;
  • inscrire au registre de confiance une personne qui émet des moyens de preuves électroniques (émetteur) ou qui les vérifie (vérificateur) ;
  • vérifier si un moyen de preuve électronique a été révoqué.

Le registre de base ne contient pas de données relatives à chaque moyen de preuve électronique, à l’exception de celles qui concernent leur révocation. Les données qui concernent la révocation de moyens de preuves électroniques ne doivent pas permettre de tirer des conclusions sur l’identité du titulaire ou sur le contenu du moyen de preuve.

L’OFIT met à disposition un registre de confiance, qui contient des données utiles à :

  • la vérification de l’identité indiquée par un émetteur ou un vérificateur ;
  • l’utilisation sûre des moyens de preuves électroniques.

Lorsque vous utilisez les registres, l’OFIT traite les données personnelles suivantes :

  • Nom
  • Prénom
  • Adresse électronique
  • Adresse IP

6. Opérations de traitement (enregistrement) intervenant dans le cadre de l’inscription au registre :

6.1 Enregistrement dans le beta base registry (technical trust)

Toute personne peut inscrire son organisation sur l’application swiyu Trust Infrastructure, accessible depuis l’ePortal, en indiquant le nom de son organisation ainsi qu’une adresse électronique. Elle accède ensuite à l’application Portail de libre-service API, où elle peut s’abonner aux API beta base registry et beta status registry. La demande de publication de la clé cryptographique publique associée à l’identifiant décentralisé (DID) est autorisée dans le controller, puis enregistrée dans beta base registry.

6.2 Enregistrement dans le beta trust registry au moyen d’une déclaration de confiance (human trust)

Toute personne peut demander que son organisation soit inscrite dans le beta trust registry au moyen de l’application swiyu Trust Infrastructure, accessible depuis l’ePortal. Elle doit alors impérativement s’être enregistrée dans le beta base registry en suivant la procédure décrite au ch. 6.1. Elle doit enfin communiquer à l’OFIT, par la méthode de contact indiquée dans l’application swiyu Trust Infrastructure, les données nécessaires à l’établissement d’une déclaration de confiance (DID de l’organisation dans le beta base registry, nom de l’organisation, logo, adresse électronique).

7. Traitement des données personnelles

Ne sont traitées sur les sites de la Confédération que les données nécessaires à leur utilisation et à leur convivialité et, le cas échéant, les données que vous choisissez de fournir. Les données personnelles ne sont conservées que le temps de remplir le but pour lequel elles ont été collectées. Des exigences légales ou d'autres obligations peuvent entraîner un délai de conservation plus long.

8. Transmission des données

Afin d’atteindre les buts décrits dans la présente déclaration de protection des données, il peut être nécessaire de transmettre vos données personnelles à d’autres autorités ou prestataires. Il s’agit des catégories de destinataires suivantes :

  • prestataires externes ;
  • fournisseurs ;
  • autorités ;
  • tribunaux, le cas échéant.

La mise à disposition de notifications des systèmes informatiques et leur lecture par l’ePortal s’effectuent via les serveurs de l’administration fédérale.

9. Lieu du traitement des données

Vos données personnelles sont stockées et traitées exclusivement en Suisse.

10. Sécurité des données

Afin de protéger les données contre des accès non autorisés, des pertes ou des utilisations abusives, l’OFIT prend des mesures de sécurité adéquates, de nature technique (p. ex. chiffrement, journalisation, contrôles d’accès, limitations d’accès, sécurité des données, solutions concernant la sécurité des technologies informatiques et des réseaux, etc.) et de nature organisationnelle (p. ex. directives aux collaborateurs, contrats de confidentialité, contrôles, etc.).

Sites Internet : Pour les sites que vous consultez, l’administration fédérale utilise une communication de données chiffrée fondée sur le protocole TLS en lien avec le niveau de chiffrement le plus élevé que votre navigateur propose. Vous pouvez reconnaître les pages chiffrées au symbole de clé ou de cadenas dans la barre d’adresse de votre navigateur.

Traitement général des données : L’administration fédérale applique des mesures de sécurité techniques et organisationnelles pour protéger les données traitées contre les manipulations accidentelles ou intentionnelles, les pertes partielles ou totales, les destructions et les accès non autorisés. Ces mesures correspondent à l’état actuel de la technique.

11. Vos droits concernant vos données personnelles

Vous avez les droits suivants relatifs aux données personnelles vous concernant :

  • le droit de savoir quelles données personnelles nous enregistrons et comment nous les traitons ;
  • le droit de vous faire remettre ou transmettre une copie de vos données personnelles dans un format courant ;
  • le droit de faire rectifier vos données personnelles ;
  • le droit de faire effacer vos données personnelles ;
  • le droit de vous opposer au traitement de vos données personnelles.

Veuillez noter que ces droits sont soumis à des conditions et des exceptions légales. Dans la mesure où la loi le permet, l’administration fédérale peut être en droit de refuser vos demandes visant à l’exercice de ces droits. Vous avez également le droit d’adresser un recours à l’autorité de surveillance compétente en matière de protection des données.

12. Modifications

L’OFIT peut adapter la présente déclaration de protection des données à tout moment et sans préavis, notamment s’il modifie sa méthode de traitement des données ou si de nouvelles normes juridiques s’appliquent. La version la plus récente publiée ou la version valable pour la période concernée fait foi.