GRAND CONSEIL de la République et canton de Genève PL 13698 Projet présenté par le Conseil d’Etat Date de dépôt : 1er octobre 2025 Projet de loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes (LSARDP) (B 4 24) (Mise en œuvre du principe once only) Le GRAND CONSEIL de la République et canton de Genève, vu la loi fédérale sur l'harmonisation des registres des habitants et d'autres registres officiels de personnes, du 23 juin 2006; vu l’article 10, alinéa 3bis, de la loi fédérale sur la statistique fédérale, du 9 octobre 1992; vu l’ordonnance fédérale sur le Registre fédéral des bâtiments et des logements, du 9 juin 2017; vu les articles 9, alinéas 2 à 4, 21, 21A et 133, alinéas 1 et 2, de la constitution de la République et canton de Genève, du 14 octobre 2012, décrète ce qui suit : Chapitre I Dispositions générales Art. 1 Objet 1 La présente loi introduit et met en œuvre l’objectif de simplification administrative au sein des institutions publiques en faveur des particuliers et des entreprises. 2 A ce titre, elle fixe les principes et règles visant à réutiliser les données et documents déjà en possession des institutions publiques et dote ces dernières des outils de gestion et référentiels de données personnelles de référence nécessaires à l’allègement des démarches administratives. ATAR ROTO PRESSE – 80 ex. – 10.25 PL 13698 2/73 Art. 2 Buts La présente loi a pour buts : a) de simplifier les démarches administratives pour les personnes physiques, les personnes morales et les entreprises (ci-après : usagères et usagers); b) de définir les obligations réciproques des institutions publiques et des usagères et usagers pour l’allègement des démarches administratives; c) de mettre à la disposition des institutions publiques visées à l’article 4, alinéas 1 et 2, des données personnelles de référence fiables, actuelles et exactes, relatives aux usagères et usagers pour une délivrance efficace, efficiente et rapide des prestations; d) d'instituer des référentiels cantonaux de données personnelles de référence des personnes physiques, des personnes morales et des entreprises, et de définir les échanges de données entre institutions publiques nécessaires à la mise en œuvre de la simplification administrative; e) d’autoriser l’échange spontané ou sur requête entre les institutions publiques et les autorités responsables du traitement des données personnelles de référence des personnes physiques, des personnes morales et entreprises, aux seules fins de garantir l’unicité, l’exactitude, l’actualité et la complétude de leurs données. Art. 3 Coordination 1 En vue de favoriser une mise en œuvre efficace et efficiente des politiques publiques, la poursuite des différents buts visés par la présente loi s’effectue de manière coordonnée avec : a) la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, s’agissant en particulier de son titre III traitant de la protection des données personnelles; b) la loi instituant les numéros d’identification personnels communs, du 20 septembre 2013; c) la loi d'application de la loi fédérale sur l'harmonisation des registres des habitants et d'autres registres officiels de personnes, du 3 avril 2009; d) la loi sur le séjour et l’établissement des Confédérés, du 28 août 2008; e) la loi sur l’exercice des compétences du Conseil d’Etat et l’organisation de l’administration, du 16 septembre 1993; f) la loi sur l’administration en ligne, du 23 septembre 2016; g) la loi sur les archives publiques, du 1er décembre 2000; h) la loi sur l'inspection et les relations du travail, du 12 mars 2004; i) la loi sur le revenu déterminant unifié, du 19 mai 2005. 3/73 PL 13698 Cette coordination est assurée par : a) une organisation adéquate au sein des institutions visées à l’article 4; b) un devoir de concertation réciproque des institutions visées à l’article 4, sous la responsabilité de l’autorité ou des autorités responsables désignées des référentiels cantonaux des données personnelles de référence; c) la consultation du préposé cantonal à la protection des données et à la transparence. 3 Le Conseil d’Etat édicte les dispositions d’application de la présente loi. 2 Art. 4 Champ d’application 1 La présente loi s’applique aux institutions publiques et aux commissions qui leur sont rattachées (ci-après : institutions publiques). On entend par institutions publiques au sens de la présente loi : a) le Conseil d’Etat; b) l'administration cantonale. 2 Les dispositions des chapitres I, III et IV s’appliquent également aux institutions publiques que sont : a) les communes, leurs administrations, ainsi que les groupements intercommunaux; b) les institutions, établissements et corporations de droit public cantonaux et communaux, ainsi que leurs administrations; c) sur désignation du Conseil d’Etat, les personnes physiques ou morales et organismes chargés de remplir des tâches de droit public cantonal ou communal, dans les limites de l’accomplissement desdites tâches, aux seules fins de leur conférer un accès aux référentiels cantonaux des données de référence des personnes et de concourir à la tenue et à la mise à jour desdites données. 3 Sans préjudice de leur autonomie, les institutions publiques visées à l’alinéa 2 peuvent également appliquer les dispositions relatives à la simplification administrative prévues au chapitre II, moyennant le respect des dispositions du chapitre IV. Art. 5 Définitions 1 Les définitions contenues dans la législation fédérale sur l’harmonisation des registres des habitants et d’autres registres officiels de personnes, ainsi que celles portant sur le registre fédéral des bâtiments et des logements, sont déclarées applicables par la présente loi. PL 13698 4/73 Les définitions contenues à l’article 4 de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, sont déclarées applicables par la présente loi. 3 Pour le surplus, dans le cadre de la présente loi et de son règlement d’application, on entend par : a) référentiel cantonal, la plateforme électronique centralisée chargée de collecter, de gérer et de mettre à disposition des institutions publiques des données personnelles de référence fiables et de qualité relatives aux personnes physiques ou aux personnes morales et aux entreprises; b) données personnelles de référence, un ensemble limité de données personnelles de base non sensibles se rapportant à une personne physique ou à une personne morale de droit privé ou de droit public ou à une entreprise servant à plusieurs entités administratives et qui sont nécessaires à leur identification sûre, univoque, actuelle et exacte, ainsi qu’aux échanges, correspondances et transactions en ligne avec ces personnes; c) coffre-fort numérique, la plateforme électronique centralisée chargée de collecter, de gérer et de mettre à disposition des documents et des données personnelles complémentaires auprès d’institutions publiques selon les modalités définies par les usagères et usagers; d) données personnelles complémentaires, un ensemble non délimité de données personnelles complémentaires aux données personnelles de référence relatives à l’usagère ou à l’usager, possiblement sensibles, ne pouvant être librement partagées entre institutions publiques, sauf si l’intéressée ou l’intéressé y a consenti expressément. e) application métier, un programme ou un ensemble de programmes informatiques conçus spécifiquement pour répondre aux besoins fonctionnels et opérationnels d’une ou d’institutions publiques chargées d’assurer la délivrance d’une ou de prestations, conformément au cadre légal applicable, intégrant généralement des règles de gestion, des données personnelles, ainsi que des processus automatisés destinés à faciliter, rationaliser et contrôler le traitement des tâches confiées. 2 5/73 PL 13698 Chapitre II Simplification administrative Section 1 Principes et règles Art. 6 Remise une seule fois des données personnelles et des documents nécessaires et collecte des autres données personnelles et des documents par l’institution publique 1 Dans la mesure où le cadre légal n’y fait pas obstacle et si l’organisation et l’environnement de travail le permettent, les institutions publiques visées à l’article 4, alinéa 1 : a) ne sollicitent qu’une seule fois les données personnelles et documents nécessaires pour la délivrance de la prestation qui leur incombe; b) collectent elles-mêmes au besoin les données personnelles de référence nécessaires auprès des référentiels cantonaux institués par la présente loi; c) collectent elles-mêmes auprès des autres institutions publiques les données personnelles et documents nécessaires ainsi que les prestations accessoires nécessaires à la délivrance de la prestation requise uniquement si les usagères et usagers y consentent et autant que le prescrivent ou l’autorisent les législations fédérale et cantonale; d) veillent dans ce cadre à limiter les données qu'elles récoltent à celles qui sont nécessaires, adéquates et pertinentes. 2 Les usagères et usagers ne disposent d’aucun droit à l’obtention de prestations selon les modalités simplifiées prévues à l’alinéa 1. Le Conseil d’Etat définit le périmètre des prestations après concertation avec les institutions publiques concernées. Art. 7 Consentement des usagères et usagers à la quête des données personnelles et des documents auprès d’autres institutions publiques 1 La quête auprès d’autres institutions publiques des données personnelles et documents nécessaires à la délivrance de la prestation par l’institution requise, prévue par l’article 6, alinéa 1, lettre c, requiert le consentement préalable des usagères et usagers, qui ne vaut que pour une durée limitée. Ce consentement doit être exprès en cas de traitement de données personnelles sensibles. Le Conseil d’Etat règle les dispositions d’exécution. 2 Au surplus, les règles relatives au consentement des personnes prévues par l’article 36, alinéas 4 et 5, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 [loi 13347, du 3 mai 2024], sont applicables. PL 13698 6/73 Art. 8 Devoirs réciproques de collaboration des usagères et usagers avec les institutions publiques – Principe de la bonne foi Les usagères et usagers sont tenus de signaler spontanément ou sur requête les données erronées les concernant et de demander, s’il y a lieu, de procéder à leur rectification auprès des institutions publiques chargées de veiller à leur bonne tenue, leur mise à jour et leur complétude. Art. 9 Prestations sujettes à émolument – Paiement d’avance 1 Dans la mesure où le cadre légal n’y fait pas obstacle et si l’organisation et l’environnement de travail le permettent, les institutions publiques cantonales visées à l’article 4, alinéa 1, requises de délivrer une prestation impliquant la délivrance préalable d’autres prestations accessoires d’autres institutions publiques cantonales, soumises à émolument ou frais, se chargent de réclamer le paiement du montant total dû par l’usagère ou l’usager. 2 Les institutions publiques sont fondées à exiger le paiement à l’avance pour la prestation demandée, ou au plus tard lors de sa délivrance, sauf si une loi ou un règlement en dispose autrement. 3 Si le montant ne peut être déterminé d’avance, les institutions publiques peuvent demander une ou des avances de frais. Section 2 Art. 10 Coffre-fort numérique Mise à disposition de documents et données personnelles complémentaires à une ou plusieurs institutions publiques déterminées 1 En complément des données personnelles de référence contenues dans les référentiels cantonaux visés aux articles 13 et 14, les usagères et usagers peuvent, selon leur libre choix, tenir à disposition d’une ou de plusieurs institutions publiques dans un coffre-fort numérique : a) des documents b) des données personnelles complémentaires qui répondent à leurs besoins administratifs, selon un périmètre, des finalités et une durée limitée de diffusion qu’elles et ils définissent librement. 2 Les documents et données personnelles complémentaires visés à l’alinéa 1 sont conservés selon les conditions définies par les usagères et usagers. 7/73 PL 13698 Selon leur libre choix, les usagères et usagers peuvent : a) consentir à la réutilisation par d'autres institutions publiques des documents et données personnelles complémentaires qu’elles ou ils ont fournis, ainsi que des documents et données personnelles complémentaires produits à l’occasion de la délivrance d’une prestation; b) définir le cercle des institutions publiques autorisées à accéder aux documents et données personnelles complémentaires, pour des prestations déterminées ou des finalités déterminées et reconnaissables; c) limiter l’utilisation dans le temps des documents et données personnelles complémentaires. 4 Au surplus, les règles relatives aux conditions du consentement prévues à l’article 36, alinéas 4 et 5, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 [loi 13347, du 3 mai 2024], sont applicables. 5 Dans le coffre-fort numérique : a) les personnes physiques sont identifiées à l’aide des données prévues à l’article 13, alinéa 3, lettres a à g; b) les personnes morales et les entreprises sont identifiées à l’aide des données prévues à l’article 14, alinéa 3, lettres a, c, et g. 3 Art. 11 Accès aux documents et données personnelles complémentaires contenus dans le coffre-fort numérique 1 Seules les institutions publiques visées à l’article 4 peuvent accéder aux documents et aux données personnelles complémentaires fournis par les usagères et usagers, cela : a) dans les limites du cadre d’utilisation prévu par l’article 10 et de la portée du consentement donné par les usagères et usagers; b) dans la mesure où la consultation de ces documents et données est nécessaire et qu’elle s’inscrit dans l'accomplissement de leurs tâches légales. 2 Les institutions publiques confèrent à leur personnel l’accès aux documents et données personnelles complémentaires selon la nécessité de leur traitement et conformément au principe de proportionnalité. 3 Le droit fédéral est réservé. PL 13698 8/73 Art. 12 Révocation du consentement et effacement des documents et données personnelles complémentaires 1 Les usagères et usagers peuvent en tout temps et sans motif procéder à ou demander la modification ou l’effacement dans le coffre-fort numérique des documents et des données personnelles complémentaires. 2 En tous les cas, le décès des personnes physiques ou la radiation des personnes morales et des entreprises entraîne l’effacement des documents et des données personnelles contenus dans le coffre-fort numérique. Emploi des documents et données personnelles complémentaires tenus à disposition des institutions publiques 3 Les documents et données personnelles complémentaires fournis librement par les usagères et usagers ayant servi à alimenter les institutions publiques pour les prestations délivrées sont conservés dans les applications métier respectives ou dossiers physiques des institutions publiques, conformément au cadre légal régissant leurs activités. Chapitre III Art. 13 Référentiels cantonaux des personnes physiques, des personnes morales et des entreprises Référentiel cantonal des personnes physiques – données personnelles de référence 1 Il est institué un référentiel cantonal des données personnelles de référence des personnes physiques. 2 Ce référentiel est constitué de l’ensemble des données personnelles de référence des personnes physiques identifiées auprès des institutions publiques visées à l’article 4, en fonction des nécessités de traitement de celles-ci. Il est alimenté par les bases de données des applications métier de ces institutions, sauf si une loi ou un règlement l’interdit, et est mis à jour sous la responsabilité de la ou des autorités prévues à l’article 25, alinéa 1. 3 L'enregistrement des personnes physiques dans le référentiel cantonal des personnes physiques contient les données personnelles de référence suivantes : a) données de base de l’identité; b) numéro AVS; c) numéro d’identification personnel commun; d) sexe; e) état civil; f) adresse de domicile; 9/73 PL 13698 g) en lien avec le domicile de la personne, les références du bâtiment et du logement au sens de la législation fédérale sur le registre fédéral des bâtiments et des logements; h) en cas d’arrivée : date, commune ou Etat de provenance; i) en cas de départ : date, commune ou Etat de destination; j) en cas de déménagement dans la commune : date; k) données de contact telles que numéros de téléphone et adresses électroniques; l) nationalité; m) numéro d’identification personnel commun de la conjointe ou du conjoint, ou de la ou du partenaire enregistré; n) numéro d’identification personnel commun de la personne qui représente la personne concernée. 4 Le Conseil d’Etat établit par voie réglementaire : a) le contenu des rubriques prévues à l’alinéa 3; b) le cercle des institutions publiques ayant accès au référentiel cantonal des personnes physiques, établi conformément à l’article 15, alinéa 1, et le niveau d’accès aux données personnelles de référence en fonction des nécessités de traitement. Art. 14 Référentiel cantonal des personnes morales et des entreprises 1 Il est institué un référentiel cantonal des personnes morales et des entreprises. 2 Ce référentiel est constitué de l’ensemble des données personnelles de référence des personnes morales et des entreprises identifiées auprès des institutions publiques visées à l’article 4, en fonction des nécessités de traitement de celles-ci. Il est alimenté par les bases de données des applications métier de ces institutions, sauf si une loi ou un règlement l’interdit, et il est mis à jour sous la responsabilité de la ou des autorités visées à l’article 25, alinéa 1. 3 L'enregistrement d'une personne morale ou d'une entreprise dans le référentiel cantonal des personnes morales et des entreprises comprend les données suivantes : a) raison sociale, nom ou enseigne, et adresses; b) données de contact telles que numéros de téléphone et adresses électroniques; c) numéro d’identification personnel commun de la personne morale ou de l’entreprise; d) en lien avec le siège ou l’adresse de la personne morale ou de l’entreprise, les références du bâtiment et du logement au sens de la PL 13698 10/73 législation fédérale sur le registre fédéral des bâtiments et des logements; e) date de fondation et cas échéant de dissolution de la personne morale, respectivement la date de création et cas échéant de cessation de l’entreprise; f) numéro d’identification personnel commun des membres des organes ou des représentantes ou représentants de la personne morale concernée; g) numéro unique d'identification des entreprises (ci-après : numéro IDE) au sens de la loi fédérale sur le numéro d'identification des entreprises, du 18 juin 2010, numéro d'enregistrement non significatif (numéro REE) au sens de l'article 10 de la loi fédérale sur la statistique fédérale, du 9 octobre 1992, et numéro d’identification du répertoire des entreprises (numéro REG) au sens de la loi sur l'inspection et les relations du travail, du 12 mars 2004. 4 Le Conseil d’Etat établit par voie réglementaire : a) le contenu des rubriques prévues à l’alinéa 3; b) le cercle des institutions publiques ayant accès au référentiel cantonal des personnes morales et des entreprises, établi conformément à l’article 15, alinéa 1, et le niveau d’accès aux données personnelles de référence en fonction des nécessités de traitement. Art. 15 Accès aux données personnelles de référence 1 Seules les institutions publiques visées à l’article 4 de la présente loi ont accès aux données personnelles de référence contenues dans les référentiels cantonaux, aux conditions prévues par l’article 36, alinéa 1, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 [loi 13347, du 3 mai 2024], et par les articles 13, alinéa 4, lettre b, et 14, alinéa 4, lettre b, de la présente loi. 2 Toute personne physique ou morale de droit privé justifiant de son identité peut demander à l’autorité ou aux autorités responsables du référentiel cantonal visées à l’article 25 de la présente loi si des données personnelles la concernant sont enregistrées dans les référentiels cantonaux, aux conditions prévues par les articles 44 et 45 de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 [loi 13347, du 3 mai 2024]. 11/73 PL 13698 Chapitre IV Protection, sécurité et gouvernance des données personnelles Section 1 Protection et sécurité des données personnelles Art. 16 Protection et sécurité des données personnelles de référence, des documents et des données personnelles complémentaires La protection et la sécurité des données personnelles contenues dans le coffre-fort numérique visé à l’article 10 de la présente loi et les référentiels cantonaux prévus aux articles 13 et 14 de la présente loi sont régies par les articles 37 à 37C de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 [loi 13347, du 3 mai 2024]. Art. 17 Journalisation des opérations 1 Les systèmes d’information journalisent la création, la mise à jour, la consultation et l’effacement des données personnelles contenues dans les référentiels cantonaux prévus aux articles 10, 13 et 14. 2 Les autorités visées à l’article 25, alinéas 1 et 3, ont accès à la journalisation des opérations prévues par l’alinéa 1 du présent article, afin de procéder aux mesures de contrôle et décider des restrictions d’accès prévues par l’article 25, alinéas 2 et 3. Art. 18 Conservation et destruction des données Référentiels cantonaux des données personnelles de référence 1 La ou les autorités visées à l’article 25, alinéa 1, de la présente loi déterminent la durée de conservation des données contenues dans les référentiels cantonaux prévus aux articles 13 et 14, compte tenu des nécessités opérationnelles et des principes prévus à l’article 35, alinéa 4, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 [loi 13347, du 3 mai 2024]. Coffre-fort numérique 2 L’autorité visée à l’article 25, alinéa 3, de la présente loi détermine la durée de conservation des données contenues dans le coffre-fort numérique prévu à l’article 10 de la présente loi, compte tenu du consentement exprimé par l’usagère ou l’usager et des règles prévues à l’article 35, alinéa 4, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 [loi 13347, du 3 mai 2024]. PL 13698 12/73 Le Conseil d’Etat définit par voie réglementaire la durée maximale de conservation des documents et des données personnelles complémentaires selon leurs typologies. Une prolongation de leur conservation est possible moyennant le consentement, si nécessaire exprès, des usagères et usagers. 3 Section 2 Gouvernance, collecte et mise à jour des données personnelles des référentiels cantonaux Art. 19 Obligations réciproques des usagères et usagers et des institutions publiques Sans préjudice du devoir des usagères et usagers d’annoncer et de renseigner des données exactes et complètes les concernant conformément au principe de la bonne foi, les institutions publiques s’assurent de l’identification univoque des personnes physiques, des personnes morales et des entreprises dont elles traitent les données. Art. 20 Données personnelles de référence traitées par les institutions publiques 1 Les données personnelles de référence sont collectées, traitées, actualisées et renseignées de manière indépendante par les institutions publiques dans leurs applications métier respectives, conformément aux dispositions légales fédérales ou cantonales régissant leurs activités. 2 Lorsque les institutions publiques relèvent que les données contenues dans les référentiels cantonaux prévus aux articles 13 et 14 diffèrent de celles renseignées dans leur application métier, ou sont incomplètes, elles procèdent conformément aux dispositions prévues par les articles 22 et 23. Art. 21 Communication de données personnelles de référence par les institutions publiques aux autorités responsables des référentiels cantonaux 1 Les données personnelles de référence contenues dans les applications métier des institutions publiques visées à l’article 4 alimentent autant que nécessaire les référentiels cantonaux prévus aux articles 13 et 14, à moins que cette information ne soit contraire à une loi ou à un règlement. 2 L’administration fiscale cantonale contribue à l’alimentation et à la mise à jour des données personnelles de référence contenues dans les référentiels cantonaux. 3 Les données personnelles de référence sont remises sans frais à la ou aux autorités responsables des référentiels cantonaux visées à l’article 25, cela tant à l’initialisation des référentiels cantonaux que lors de leur mise à jour. 13/73 PL 13698 Art. 22 Signalement de données personnelles de référence erronées ou incomplètes Lorsqu’une institution publique constate que des données personnelles de référence sont inexactes, incomplètes ou obsolètes, elle en informe spontanément la ou les autorités responsables visées à l’article 25, alinéa 1, à moins que cette information ne soit contraire à une loi ou à un règlement. L’autorité responsable les met à jour si nécessaire et selon ses propres règles. Art. 23 Echanges spontanés ou sur requête entre les institutions publiques et les autorités responsables de traitement Les institutions publiques sont autorisées à échanger spontanément ou sur requête avec la ou les autorités visées à l’article 25, alinéa 1, aux seules fins de garantir l’unicité, l’exactitude, l’actualité et la complétude des données de référence des personnes, à moins que cette information ne soit contraire à une loi ou à un règlement. L’autorité responsable les met à jour si nécessaire et selon ses propres règles. Art. 24 Utilisation systématique des numéros AVS et IDE – Finalités et mesures de sécurité 1 Les institutions publiques visées à l’article 4, alinéas 1 et 2, sont autorisées à utiliser systématiquement le numéro AVS, au sens de la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946, et le numéro IDE, au sens de la loi fédérale sur le numéro d’identification des entreprises, du 18 juin 2010, dans les buts suivants : a) identifier de manière sûre et univoque les personnes recensées; b) assurer un taux d'exactitude des données traitées le plus élevé possible; c) actualiser automatiquement les données d'une personne en cas de changement. 2 L’autorisation conférée à l’alinéa 1 constitue, au sens de la législation fédérale sur l’assurance-vieillesse et survivants, la base légale cantonale requise pour l’utilisation systématique des numéros AVS par les organisations et les personnes de droit public ou de droit privé qui sont extérieures aux administrations publiques et qui sont chargées de tâches administratives par le droit fédéral, cantonal ou communal, ou par contrat. 3 L'utilisation du numéro AVS et du numéro IDE à d'autres fins que celles qui sont décrites à l'alinéa 1 est prohibée. En particulier, il est interdit de faire usage du numéro AVS ou du numéro IDE comme moyen d'apparier des données entre elles à des fins de profilage ou d'investigation. PL 13698 14/73 Les numéros AVS et IDE sont protégés contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées, adaptées à l'évolution des technologies disponibles et conformes aux exigences du droit fédéral. 5 Le préposé cantonal à la protection des données et à la transparence est consulté sur le choix des mesures à mettre en place. 4 Art. 25 Autorités responsables des référentiels cantonaux des données personnelles de référence et du coffre-fort numérique Référentiels cantonaux des données personnelles de référence 1 Le Conseil d'Etat désigne la ou les autorités chargées de la tenue et de la mise à jour des référentiels cantonaux, qui ont cas échéant qualité de responsables conjoints du traitement des données personnelles au sens de l’article 36B de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 [loi 13347, du 3 mai 2024]. 2 La ou les autorités visées à l’alinéa 1 sont compétentes pour : a) assurer la qualité, la tenue et la mise à jour des données et leur rectification; b) assurer la protection des données traitées dans le système d’information; c) octroyer les accès aux institutions publiques visées à l’article 4, selon le périmètre et les modalités définies par voie réglementaire; d) prendre les mesures techniques et organisationnelles nécessaires pour contrôler le respect des conditions d’utilisation des référentiels cantonaux; e) restreindre ou retirer les autorisations d’accès aux référentiels cantonaux en cas de non-respect des conditions d’utilisation. Coffre-fort numérique 3 Le Conseil d'Etat désigne l’autorité responsable de la tenue du coffre-fort numérique prévu à l’article 10, qui est compétente pour : a) assurer la protection des données traitées dans le système d’information; b) octroyer les accès aux institutions publiques visées à l’article 4, selon le périmètre et les modalités définies par voie réglementaire; c) prendre les mesures techniques et organisationnelles nécessaires pour contrôler le respect des conditions d’utilisation du coffre-fort numérique; d) restreindre ou retirer les autorisations d’accès au coffre-fort numérique en cas de non-respect des conditions d’utilisation. 15/73 PL 13698 Chaque institution publique disposant d’un accès aux documents et données personnelles complémentaires contenus dans le coffre-fort numérique est responsable du traitement desdites données de manière conjointe avec l’autorité désignée à l’alinéa 3. 4 Chapitre V Dispositions finales et transitoires Art. 26 Entrée en vigueur Le Conseil d'Etat fixe la date d'entrée en vigueur de la présente loi. Art. 27 Modifications à d'autres lois 1 La loi instituant les numéros d’identification personnels communs, du 20 septembre 2013 (LNIP – A 2 09), est modifiée comme suit : Art. 4 Numéros d’identification personnels communs utilisés dans le cadre de la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes (nouveau, les art. 4 et 5 anciens devenant les art. 5 et 6) Les institutions publiques visées à l’article 4 de la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes, du … (à compléter), sont autorisées à utiliser les numéros d’identification personnels communs au sens des articles 13, alinéa 3, lettre c, et 14, alinéa 3, lettre c, de ladite loi, aux seules fins de l’identification sûre et univoque des personnes. *** La loi sur l’exercice des compétences du Conseil d’Etat et l’organisation de l’administration, du 16 septembre 1993 (LECO – B 1 15), est modifiée comme suit : 2 Art. 9 (abrogé, l’art. 10 ancien devenant l’art. 9) *** PL 13698 16/73 La loi sur l’administration en ligne, du 23 septembre 2016 (LAeL – B 4 23), est modifiée comme suit : 3 Art. 1, al. 2, lettre e (nouvelle) 2 Elle a pour but de définir un cadre : e) à la mise en œuvre de la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes, du … (à compléter). Art. 2, al. 1 et 2, phrase introductive et lettre d (nouvelle teneur) 1 La présente loi s’applique à l’administration cantonale. 2 Moyennant une concertation préalable, le Conseil d’Etat peut également déclarer applicable par règlement tout ou partie de la présente loi : d) aux communes, ainsi qu’à leurs administrations et aux commissions qui en dépendent, et aux groupements intercommunaux; Art. 7A Simplification administrative (nouveau) L’objectif de simplification administrative prévu au chapitre II de la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes, du … (à compléter) : a) est mis en œuvre dans l’espace usager visé à l’article 5, lettre f, de la présente loi; b) requiert l’utilisation des données personnelles de référence, de documents et de données personnelles complémentaires prévus par la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes, du … (à compléter). *** 17/73 PL 13698 La loi de procédure fiscale, du 4 octobre 2001 (LPFisc – D 3 17), est modifiée comme suit : 4 Art. 12, al. 1, phrase introductive (nouvelle teneur), lettre w (nouvelle) Adjonction de « de la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes, du … (à compléter) » après « de la loi fédérale sur l'harmonisation des registres des habitants et d'autres registres officiels de personnes, du 23 juin 2006 ». w) à l’autorité ou aux autorités responsables des référentiels cantonaux des données personnelles de référence des personnes, s’agissant uniquement des données personnelles de référence, en application de la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes, du … (à compléter). Certifié conforme La chancelière d'Etat : Michèle RIGHETTI-EL ZAYADI PL 13698 18/73 EXPOSÉ DES MOTIFS Le présent projet de loi ambitionne, à l’aide d’outils concrets et cohérents, de simplifier les démarches administratives des usagères et usagers et des entreprises auprès de l’administration de l’Etat de Genève, de même qu’auprès possiblement – compte tenu de leur autonomie – des communes et des principaux établissements autonomes de droit public du canton. A cette fin, le présent projet de loi dote ces institutions publiques des outils de gestion et des règles nécessaires à la mise en œuvre de l’objectif de simplification administrative. Il comporte, selon le principe once only, les règles visant à réutiliser autant que possible les données de base des personnes, ainsi que les autres données et documents requis pour la délivrance des prestations, qui sont éventuellement déjà en possession des institutions publiques et au sujet desquels les usagères et usagers conservent toutefois l’entière maîtrise. L’ensemble du dispositif doit contribuer de manière significative à simplifier les interactions des usagères et usagers avec les institutions publiques, avec à la clé des économies de moyens et de temps de part et d’autre. De surcroît, le présent projet de loi améliore l’efficacité et l’efficience de la délivrance des prestations par les collectivités publiques précitées, en dotant celles-ci de référentiels de données de référence des personnes, qui soient autant que possible exactes et actuelles, cela conformément aux objectifs poursuivis par les législations fédérale et cantonale, ainsi que conventionnelle, en matière de protection des données personnelles. Le présent projet de loi concrétise notamment l’objectif 4.3 du Conseil d’Etat décrit dans son programme de législature 2023-2028, visant à renforcer la cyberadministration pour mieux servir la population et les entreprises. Saisissant les opportunités qu'offre le numérique pour rendre les prestations de l'administration cantonale plus accessibles à la population, le Conseil d’Etat entend simplifier les démarches des usagères et usagers, avec l'ambition notable de ne collecter qu'une seule fois l'information, selon le principe once only, et de la partager au sein de l'administration cantonale, tout en respectant l'intégrité des personnes. Ce partage ne peut se faire sans l'accord éclairé de la personne. Par ailleurs, il encourage le développement de l'offre en ligne et évite la fracture numérique en accompagnant la population dans son utilisation. 19/73 PL 13698 Le principe de ne demander qu'une seule fois l'information aux usagères et usagers et aux entreprises permet d'éviter des sollicitations inutiles. Dans le cadre de la constitution d'un dossier, la personne concernée peut autoriser l'administration à utiliser une information dont elle dispose déjà par ailleurs. Elle peut aussi donner mandat de collecter les informations utiles auprès d'autres services de l'Etat. Son intégrité numérique demeure respectée 1. Bénéficiant de la disponibilité de référentiels cantonaux des données de référence des personnes physiques et morales et des entreprises, qui sont indispensables à la mise en œuvre du principe once only, le présent projet de loi permet de s’assurer de la délivrance des prestations à la bonne personne, qu’elles soient fournies au guichet, en ligne ou par voie postale, ou d’une autre manière (services à la population, soins, prestations matérielles, etc.). I. Un contexte international, fédéral et cantonal en pleine mutation souhaitant tirer le meilleur parti de la transition numérique Les différents exemples évoqués ci-après de manière non exhaustive ont pour but d'illustrer le contexte actuel dont le canton de Genève et ses différentes collectivités publiques doivent tenir compte afin d’assurer leur transition numérique. 1. Déclaration de Tallinn sur l'administration en ligne Le principe once only découle de la Déclaration de Tallinn sur l’administration en ligne, signée le 6 octobre 2017 par le Conseil fédéral, élaborée en commun par l’Union européenne (UE) et l’Association européenne de libre-échange (AELE) en matière de cyberadministration. Elle s'articule autour de 5 principes centraux : • numérique par défaut, inclusivité et accessibilité; • une seule fois (soit once only); • fiabilité et sécurité; • ouverture et transparence; • interopérabilité par défaut. Cette déclaration doit servir de guide pour le développement de la cyberadministration 2. 1 2 Programme de législature 2023-2028, objectif 4.3, pp. 66-67 (télécharger). Tallinn Declaration on eGovernment, du 6 octobre 2017 (La Suisse signe la déclaration européenne relative à la cyberadministration) PL 13698 20/73 Il s’agit notamment de proposer des prestations administratives autant que possible en ligne et de les rendre accessibles à toutes et tous. Les usagères et usagers et les entreprises doivent pouvoir saisir les informations une seule fois, de manière fiable et sécurisée. Selon le texte de la Déclaration de Tallinn, la portée du principe once only et son introduction par les collectivités publiques pour les usagères et usagers et les entreprises impliquent en particulier : • de prendre les mesures pour identifier les charges administratives redondantes dans les services publics, par la collaboration et la coopération en matière d'échange de données entre nos administrations aux niveaux national, régional et local, ainsi qu'avec d'autres pays pour les services publics numériques transfrontaliers; • de prendre les mesures pour améliorer la facilité de recherche, la qualité et l'accessibilité technique des données contenues dans les registres de base clés des données et/ou des bases de données similaires, afin d'être prêt à appliquer le principe once only pour les services publics numériques nationaux ou transfrontaliers; • de s'efforcer de créer une culture de la réutilisation, y compris une réutilisation responsable et transparente des données, au sein de nos administrations. A relever que le présent projet de loi, visant à la simplicité des échanges avec les citoyennes et citoyens, limite l’application du principe once only au seul canton de Genève, tout en permettant également aux communes et aux établissements de droit public, ainsi qu’à certaines personnes physiques ou morales et organismes désignés par le Conseil d’Etat et chargés de remplir des tâches de droit public cantonal ou communal, de le mettre en œuvre moyennant le respect du même socle de règles au niveau de la libre détermination des personnes ainsi que de la protection de leurs données. 2. Confédération : gestion des données de base En décembre 2018, le Conseil fédéral a adopté la stratégie pour le développement de la gestion commune des données de base de la Confédération. La stratégie définit des objectifs, des principes, un concept de mise en œuvre et des mesures à prendre. Sa mise en œuvre a été prévue en 2 étapes, la première (2019-2021) ciblant les données de base sur les entreprises et la deuxième (2022-2024) concernant les données sur les personnes physiques, les données à référence spatiale et les données sur les bâtiments et les logements. 21/73 PL 13698 Selon le Conseil fédéral, les autorités doivent gérer leurs données de base de manière commune si elles veulent réussir leur transformation numérique. Le travail administratif des particuliers et des entreprises s’en trouve simplifié du fait qu’ils n’ont à communiquer qu’une seule fois leurs données (principe once only). La Confédération gère les données de base dans le respect des règles de la protection des données et les met à la disposition des administrations de tous les niveaux de l’Etat, ainsi que d’autres cercles autorisés. Par données de base au sens de la Confédération, on entend des données relatives à des objets qui se trouvent au centre des processus d’affaires. Ils ne subissent que rarement des modifications (par exemple : nom, prénom, raison sociale, adresse, etc.). De nombreuses unités administratives en ont besoin pour leurs activités. Les données de base peuvent notamment porter sur des entreprises, des personnes et des bâtiments. Elles sont gérées et utilisées en commun, à tous les niveaux de l’Etat fédéral, dans le respect des règles juridiques en vigueur, notamment en matière de protection des données. Dans l’idéal, les entreprises et les particuliers ne communiquent qu’une seule fois leurs données de base aux autorités (principe once only). Autrement dit, ils ne devraient pas avoir à les saisir à nouveau lors de leurs prochains échanges avec des autorités, de quelque niveau que ce soit (Confédération, cantons, communes) 3. 2.1 Loi fédérale sur l’utilisation de moyens électroniques pour l’exécution des tâches des autorités er Le 1 janvier 2024 est entrée en vigueur la loi fédérale sur l’utilisation de moyens électroniques pour l’exécution des tâches des autorités, du 17 mars 2023 (LMETA; RS 172.019), qui vise à promouvoir le traitement électronique des processus de la Confédération (principe de la priorité au numérique). Elle a principalement pour objectif de doter la Confédération des bases légales suffisantes pour lui permettre d’utiliser les moyens électroniques nécessaires à l’exécution de ses tâches et de développer la collaboration entre les autorités de différentes collectivités et des tiers dans le domaine de la cyberadministration. 3 https://www.bk.admin.ch/bk/fr/home/digitale-transformation-iktlenkung/bundesarchitektur/stammdatenverwaltung.html PL 13698 22/73 2.2 Projet de loi fédérale sur le système national de consultation des adresses des personnes physiques (loi sur le service des adresses, LSAdr) Le 10 mai 2023, le Conseil fédéral a transmis aux Chambres fédérales un projet de loi créant les bases légales requises pour mettre en place et exploiter un service national des adresses (SNA) 4. Selon le Message du 12 juin 2023 5, le projet prévoit que les services administratifs de la Confédération, des cantons et des communes, de même que les tiers chargés d’exécuter des tâches légales, aient accès à l’adresse de domicile déclarée de toute personne physique habitant en Suisse. Cet accès constitue un service de base de l’administration numérique, simplifiant les processus administratifs et permettant aux autorités de remplir leurs tâches plus efficacement. Dans nombre de procédures administratives, le domicile d’une personne détermine l’autorité compétente. Les adresses des personnes domiciliées en Suisse constituent d’importantes données de référence pour la plupart des autorités. Or il n’existe actuellement aucun service de base qui permettrait aux unités administratives et aux tiers mandatés de rechercher dans toute la Suisse les adresses dont ils ont besoin. Cette situation engendre une charge de travail et des frais considérables, tant du côté des services demandeurs que des autorités appelées à fournir des informations. Le SNA repose sur un système d’information centralisé dont les données proviennent avant tout des registres communaux et cantonaux des habitants en vertu de la loi fédérale sur l’harmonisation des registres des habitants et d'autres registres officiels de personnes, du 23 juin 2006 (LHR; RS 431.02), et sont transférées dans le SNA par l’Office fédéral de la statistique (OFS), chargé de fournir le SNA et d’exploiter son système d’information. Il faut souligner que la qualité des données contenues dans le SNA est directement tributaire de la qualité et de l’actualité des données fournies par les communes et les cantons. 4 5 FF 2023 1371; n° 23.039. FF 2023 1370. https://www.fedlex.admin.ch/eli/fga/2023/1371/fr; Objet 23/73 PL 13698 2.3 Entrée en vigueur le 1er avril 2024 du volet cyberadministration de la loi fédérale sur l’allégement des coûts de la réglementation pour les entreprises (LACRE) er Le 1 avril 2024 est entrée en vigueur le volet cyberadministration de la loi fédérale sur l’allégement des coûts de la réglementation pour les entreprises, du 29 septembre 2023 (LACRE; RS 930.31 6), qui s’inscrit dans la Stratégie Administration numérique suisse 2024-2027 7 mettant en lumière l'orientation client des procédures administratives. Les données doivent pouvoir passer directement des clients aux services compétents pour être finalement transférées aux archives, le tout sans problème de compatibilité. Pour cela, il est nécessaire de disposer de normes communes pour une gestion sécurisée et structurée des données et documents électroniques. Les dispositions de la LACRE concernant la cyberadministration (art. 9 à 18, exception faite de l'art. 11) régissent le guichet virtuel pour les prestations administratives délivrées en particulier en faveur des entreprises et autres entités concernées par le numéro d'identification des entreprises (IDE) 8. Elles prévoient notamment pour les utilisatrices et utilisateurs, pour autant que le droit applicable ne s’y oppose pas, de saisir et de gérer des données, qu’elles et ils peuvent ensuite utiliser dans leurs échanges avec les autorités, d'importer des données depuis des registres officiels, de transmettre des documents à une autorité et de recevoir des documents d’une autorité, avec mise à disposition à cette fin des autorités des interfaces leur permettant de raccorder leurs systèmes (art. 10 LACRE). 3. Canton de Fribourg : mise en œuvre du référentiel cantonal des données pour la loi sur la cyberadministration En juin 2019, le Conseil d’Etat du canton de Fribourg a adopté une ordonnance concernant la mise en œuvre durant une phase pilote du référentiel cantonal de données des personnes, organisations et nomenclatures, qui est constitué à partir d’un ensemble de données communes à plusieurs applications et/ou systèmes d’information. Ce référentiel cantonal est une infrastructure numérique dotée d’une gouvernance centrale contenant notamment des données de personnes et organisations pouvant être partagées qui sont en interaction et/ou en relation directe avec un organe de l’Etat. Il est destiné aux organes et collectivités 6 7 8 FF 2023 166 Cyberadministration Au sens de la loi fédérale sur le numéro d’identification des entreprises, du 18 juin 2010 (LIDE; RS 431.03). PL 13698 24/73 publiques, ainsi qu’aux personnes privées chargées de l’accomplissement de tâches publiques. Ce référentiel cantonal soutient la digitalisation des processus des collectivités dans une perspective transversale, vise à l’application de nouvelles règles et de nouveaux traitements liés à l’identification, à la disponibilité, à la qualité, à la conformité et à la sécurité des données de référence des personnes. Ce référentiel cantonal peut contenir d’autres données fournies volontairement par la personne concernée ou sa représentante ou son représentant. Ce référentiel cantonal inclut également des données non personnelles d’utilité générale comme des informations sur les organes (soit les autorités) des collectivités publiques (noms et adresses des communes et unités administratives), ainsi que des adresses, la liste des pays et des nomenclatures standardisées 9. Le 18 décembre 2020, le Grand Conseil du canton de Fribourg adopte, sur proposition du Conseil d’Etat, la loi sur la cyberadministration (LCyb; RSF 184.1), qui reprend les axes de l’ordonnance précitée et constitue l’essentiel de la loi actuelle fribourgeoise en matière de cyberadministration, équivalant à la loi genevoise sur l’administration en ligne, du 23 septembre 2016 (LAeL; rs/GE B 4 23), comportant en outre le référentiel cantonal des personnes, nécessaire à la mise à disposition des autorités administratives de manière centralisée et sûre de données de référence fiables 10. La loi fribourgeoise, qui règle la création et la gestion du guichet de cyberadministration de l’Etat (appelé « guichet virtuel ») ainsi que les prérequis techniques et principes généraux afin de rendre les opérations administratives plus aisées et économiques pour les personnes et les collectivités 11, ne comporte en revanche pas de règles spécifiques de mise en œuvre du principe once only, en dehors de la mise à disposition du référentiel cantonal des personnes. 9 10 11 Rapport explicatif, Chancellerie d’Etat du canton de Fribourg, juin 2019; https://www.fr.ch/sites/default/files/201907/fr_RAP_%20explicatif_referentiel_cantonal.pdf Art. 17 à 26 LCyb; https://bdlf.fr.ch/app/fr/texts_of_law/184.1 Art. 1 LCyb 25/73 PL 13698 II. La situation actuelle à Genève 1. Ebauche du principe once only inachevée Le droit genevois recèle une ébauche du principe once only à l'article 9 (intitulé « Communication interne des documents ») de la loi sur l’exercice des compétences du Conseil d’Etat et l’organisation de l’administration, du 16 septembre 1993 (LECO; rs/GE B 1 15), en prévoyant en son alinéa 1 que les départements, offices et services se procurent eux-mêmes les documents nécessaires à l’examen des requêtes dont ils sont saisis, directement auprès des départements, offices ou services de l’Etat qui ont la responsabilité de leur établissement, dans la mesure où lesdits documents ne contiennent pas de données personnelles. L'alinéa 2 de cet article renvoie à l'article 39 de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 (LIPAD; rs/GE A 2 08), pour ce qui concerne la communication de données personnelles. Cette disposition n’empêche pas en tant que telle la communication de données personnelles entre autorités pour l’accomplissement de leurs tâches légales 12, mais sa formulation ne favorise pas la transmission sur demande entre autorités de documents comportant des données personnelles, ni n’énonce positivement leur devoir de collaborer entre elles à cette fin, cela même si l’autorité requérante agit à la demande et dans l’intérêt de l’usagère ou de l’usager. En tout état de cause, si la LIPAD autorise effectivement, moyennant certaines précautions, la transmission sur requête de données entre institutions, elle ne permet pas la communication spontanée de données personnelles entre autorités, sauf lorsqu’il s’agit du devoir de se signaler entre elles l’existence de données inexactes, incomplètes ou obsolètes (art. 36, al. 2 LIPAD). En dépit de ce contexte juridique peu favorable à la collaboration entre autorités, le canton de Genève connaît un développement très important des prestations en ligne. Actuellement, plus de 250 000 comptes pour accéder aux prestations en ligne ont été créés grâce notamment à des offices fers de lance en la matière comme l'administration fiscale cantonale (AFC), l'office cantonal de la population et des migrations (OCPM), ou encore l'office cantonal des poursuites (OCP), pour ne citer que ceux qui génèrent le plus d'interactions. 12 Il en va de même pour l’article 25 de la loi sur la procédure administrative, du 12 septembre 1985 (LPA; rs/GE E 5 10), traitant de l’entraide administrative entre autorités. PL 13698 26/73 D'autres démarches ont modifié plus structurellement la façon de travailler dans certains secteurs d'activité. Sur ce volet, l'office des autorisations de construire (OAC) est exemplaire, car ses démarches ont permis à tous les acteurs de la construction d'adopter le numérique, source de productivité. Toutefois, l’environnement actuel, obligeant les collectivités à fonctionner pour l’essentiel en silos, ne comporte pas, sauf base légale spéciale 13, à la portée généralement limitée, de cadre de collaboration à la mise en œuvre du principe once only et empêche en pratique qu’une autorité sollicite efficacement les autres collectivités pour délivrer une prestation donnée. 2. Intelligence collective des services pour disposer de données personnelles de qualité (art. 36, al. 2 LIPAD; futur art. 35, al. 6 LIPAD – loi 13347, du 3 mai 2024) L'article 36, alinéa 2 LIPAD oblige, de manière à tendre vers une mise à jour des fichiers et faire en sorte que les données qu'ils contiennent soient exactes et actuelles, que les services étatiques, y compris les autorités judiciaires, se signalent mutuellement les données inexactes, incomplètes ou obsolètes qu'ils constatent parmi celles qu’ils se transmettent ou se tiennent à disposition, à moins qu'une loi ou un règlement ne l'interdise 14. Cette disposition novatrice, qui constitue une forme d’intelligence collective des services, visant à permettre aux institutions publiques de collaborer entre elles afin de disposer de données personnelles exactes, actuelles et complètes, a été introduite dans la loi 9870, adoptée le 9 octobre 2008, introduisant le volet de la protection des données des personnes dans la LIPAD. L’expérience montre en pratique que cette règle, qui concerne pourtant l’ensemble des services de l’administration cantonale, les communes et les établissements publics autonomes, est insuffisamment appliquée pour différents motifs, comme nous le verrons (cf. III, n° 2.5). 13 14 Par exemple, cf. art. 12A LPA traitant de la coordination des procédures, dans le domaine de la construction exclusivement (arrêt TF 8C_532/2022, du 17 mai 2023, c. 5.1) Philippe DUFEY, L'Etat créancier, in : David Hofmann / Fabien Waelti (éd.), Actualités juridiques de droit public 2013, Berne 2013, Stämpfli Editions, p. 77110, en particulier p. 108. 27/73 PL 13698 III. Objectifs du présent projet de loi Le présent projet de loi, inspiré des différents textes et concepts de niveaux conventionnel, fédéral et cantonal évoqués sous chiffre I, poursuit globalement 2 objectifs, à savoir : – simplifier les démarches administratives pour les usagères et usagers (1); – doter les institutions publiques et certaines entités de droit privé chargées d’exécuter des tâches de droit public de données de base fiables, univoques, actuelles et exactes, afin de mettre en œuvre l’objectif de simplification administrative et ainsi assurer une délivrance efficace, efficiente et rapide des prestations (2). 1. Simplification des démarches administratives pour les usagères et usagers 1.1 Concept général La simplification administrative repose sur le principe once only, qui postule qu’une information ne devrait être réclamée qu’une seule fois par l’administration à une personne. L’idée maîtresse du principe once only apparaît relativement ouverte, pouvant à la fois être comprise comme une collecte d’informations unique de la part de l’Etat ou comme une prescription d’enregistrement unique de données dans une base unifiée 15. Le présent projet de loi propose une mise en œuvre du concept once only, allant de l’enregistrement des données de base des personnes dans des référentiels cantonaux, à la possibilité, pour les usagères et usagers et les entreprises, de consentir à la réutilisation des documents et données fournis ou produits par les services, et de donner mandat au service tenu de délivrer la prestation (principale) de quérir lui-même des documents, prestations (accessoires) ou données préalables nécessaires auprès d’autres services de l’administration cantonale. Le présent projet de loi est conçu dans une optique de service public et de facilitation des échanges et de la délivrance des prestations aux particuliers et aux entreprises, mais il ne vise pas à conférer un quelconque droit subjectif pour ces derniers à l’obtention de prestations selon des modalités simplifiées, ni à leur conférer des droits procéduraux à ce niveau (qui se heurteraient alors 15 Privatim, Conférence des préposé(e)s suisses à la protection des données, article citant Astrid EPINEY et Sophia ROVELLI, Avis de droit once only et le principe de l’Etat de droit, de mars 2021, sur mandat de Privatim. PL 13698 28/73 aux autres lois et règles de procédure en vigueur). Le présent projet de loi ne dispense pas non plus l’usagère ou l’usager ou l’entreprise de fournir toutes les pièces et documents requis en sa possession pour la prestation demandée, elle ou il ne pouvant se contenter de présenter un dossier lacunaire, ce que précisera le règlement d’application de la future loi. Le Conseil d’Etat définira les domaines et prestations prioritaires à la simplification administrative, après concertation avec les institutions publiques, dans une optique d’amélioration continue des prestations délivrées. 1.2 Données personnelles de référence Une fois récoltée, l’information doit pouvoir être réutilisée auprès de la même administration, et même partagée auprès d’autres administrations, voire de certaines entités de droit privé chargées d’exécuter des tâches de droit public, dans la mesure où il s’agit de données personnelles de référence – soit des données de base des personnes selon l’intitulé du présent projet de loi –, que les usagères et usagers ne devraient pas avoir à saisir à nouveau lors de leurs prochains échanges avec les autorités, de quelque niveau que ce soit dans le canton. Par données personnelles de référence, il faut entendre un ensemble limité de données de base, non sensibles, se rapportant à une personne physique ou morale de droit privé, servant à plusieurs entités administratives, voire à certaines entités de droit privé désignées par le Conseil d’Etat chargées d’exécuter des tâches de droit public, qui sont nécessaires à son identification sûre, univoque, actuelle et exacte, ainsi qu’aux échanges, correspondances et transactions en ligne avec cette personne (art. 5, al. 3, lettre b du présent projet de loi). La disponibilité de telles données de référence des personnes constitue une condition sine qua non de la mise en œuvre du premier niveau du principe once only. 1.3 « Données métier » Les données personnelles de référence se distinguent des autres données personnelles fournies par les usagères et usagers ou produites par l’activité des services, que l’on appelle communément les « données métier » et qui sont quant à elles, par principe, soumises au secret de fonction, voire à d’autres secrets qualifiés (secret fiscal, secret médical, notamment), qui ne 29/73 PL 13698 peuvent en conséquence être partagées, sauf si une base légale l’autorise ou l’ordonne 16. Dans le concept once only, ces « données métier » ne doivent pas être partagées auprès d’autres services, sauf si leur titulaire l’a expressément demandé afin de bénéficier d’autres prestations de manière facilitée et qu’à cet effet, le partage de documents et données s’avère nécessaire, comme le détaille le point 1.4 ci-après. 1.4 Données personnelles complémentaires et documents comportant des données personnelles La personne peut donc avoir un intérêt à ce que, en dehors des données personnelles de référence, destinées à faciliter son identification et à fiabiliser les échanges avec les administrations, d’autres données personnelles complémentaires, ou des documents la concernant comportant des données personnelles, produites par les administrations elles-mêmes ou fournies par leur titulaire, puissent être partagées auprès d’autres administrations, dont elle a librement déterminé le cercle de diffusion, afin de ne devoir fournir qu’une seule fois ces documents et données. Par exemple, 60% des pièces justificatives fournies pour la déclaration d'impôts des personnes physiques sont similaires à celles nécessaires pour une demande de subside au service de l'assurance-maladie (SAM). Un second exemple montre que 100% des pièces justificatives demandées par l’OCP dans le cadre de l’exécution d’une saisie, afin de déterminer le minimum vital de la débitrice ou du débiteur, sont déjà en possession du service des prestations complémentaires (SPC), si la personne a fait la demande de prestation. Actuellement, la personne est tenue de fournir deux fois le dossier à 2 offices différents. Avec l’objectif de simplification administrative, la personne peut tenir à disposition, une seule fois (sous réserve des périodicités auxquelles ces pièces doivent être produites auprès de ces autorités), des données et documents auprès de plusieurs services dont elle a librement déterminé le périmètre. Enfin, la personne pourrait avoir besoin d’informer plusieurs administrations de différents éléments la concernant, comme un changement d’adresse (qui devra alors être validé par l'autorité administrative idoine). 16 Cf. Directive transversale EGE-09-02_v1 du collège des secrétaires généraux, du 15 mai 2012, sur le partage d’informations couvertes par le secret de fonction. PL 13698 30/73 Le changement annoncé, nécessitant une modification correspondante du référentiel cantonal, avec fourniture des justificatifs requis et validation idoine, pourrait ainsi à terme être rendu opposable juridiquement aux administrations que la personne a bien voulu aviser à l’aide d’une annonce unique. Un tel dispositif serait intéressant par exemple pour les curatrices et curateurs, chargés de personnes protégées, dont la communication de la prise du mandat et sa fin impliquent en pratique à chaque fois une dizaine de courriers adressés à différentes administrations. 1.5 Mandat donné au service sollicité de quérir préalablement une prestation auprès d’un autre ou d’autres services En poussant plus loin le principe once only, la personne pourrait, moyennant le fait qu’elle y adhère, charger le service dont elle requiert la délivrance de la prestation (principale) de solliciter lui-même préalablement une autre prestation (accessoire) auprès d’un autre service. S’agissant de la perception des émoluments et frais, cela implique que le service chargé de délivrer la prestation principale encaisse les montants dus tant pour la prestation qu’il délivre que pour la ou les autres prestations accessoires produites par les autres services. Les montants dus auprès des institutions publiques distinctes sont aussitôt affectés à leurs comptes respectifs à l’aide de l’outil de comptabilité financière intégrée (CFI). 1.6 Avantages et contraintes de la mise en œuvre du principe once only Les avantages sont notamment : – la simplification des démarches pour les usagères et usagers, qui sont tenus de ne fournir qu’une seule fois leurs données de base, peuvent consentir à la réutilisation de leurs données complémentaires et documents, tenir informés simultanément plusieurs services par une seule annonce et inviter les services à quérir eux-mêmes les données et documents nécessaires auprès d’autres services; – une réduction des erreurs de saisie des données, car les données ne sont enregistrées qu’une seule fois; – une réduction des ressources affectées à la saisie des données, car il n’est plus nécessaire de ressaisir les mêmes données plusieurs fois; – une meilleure qualité des données, car les incohérences sont traitées et doivent être corrigées. 31/73 PL 13698 Les contraintes pour les administrations et services sont : – les enjeux techniques et organisationnels liés à la mise en place d’une telle infrastructure; – le changement des pratiques actuelles auprès de l'ensemble des services de l'Etat; – la nécessité d’une mise en place progressive par paliers, avec le besoin de définir les prestations prioritaire candidates à la simplification administrative; – la coordination des différents organes impliqués pour s’assurer que les données soient saisies et gérées correctement; – la nécessité de mettre en place des mécanismes de contrôle de la qualité des données et de la conformité des traitements, en particulier pour ce qui relève de l’identification des personnes; – l'augmentation potentielle de la charge de travail pour les services devant requérir directement auprès d'autres services la délivrance de documents; – enfin et surtout, la nécessité pour les administrations de disposer de référentiels des personnes physiques, des personnes morales et des entreprises, qui soient partagés, disposant de données de qualité, à jour et complètes, accessibles à l’ensemble des institutions publiques concernées par l’objectif de simplification administrative. 2. Dotation des institutions publiques de bases de données fiables pour la simplification administrative et une délivrance efficace, efficiente et rapide des prestations L’atteinte de l’objectif de simplification administrative au sein des institutions publiques, voire des communes si elles y adhèrent, est comme relevé tributaire de la mise à leur disposition de référentiels de personnes disposant de données personnelles de qualité, qui soient univoques, actuelles et exactes, sur lesquelles les services puissent s’appuyer afin de faciliter la vie de leurs usagères et usagers et interagir avec eux. 2.1 Personnes morales et entreprises – situation actuelle La condition de disponibilité d’un registre fiable n’est actuellement réalisée qu’au niveau des entreprises, avec le répertoire des entreprises du canton de Genève (REG), géré par l’office cantonal de l’inspection et des relations du travail (OCIRT), qui comprend tant les personnes morales que les sociétés de personnes ne disposant pas de la personnalité juridique, ainsi PL 13698 32/73 que les établissements (parties d’une entreprise, sans personnalité juridique propre). Le REG est institué par les articles 40 et 41 de la loi sur l'inspection et les relations du travail, du 12 mars 2004 (LIRT; rs/GE J 1 05), et son règlement d’application, du 23 février 2005 (RIRT; rs/GE J 1 05.01), aux articles 57 et suivants. Il faut relever que le REG est également accessible au public outre aux administrations, qu’il complète utilement les informations contenues dans le registre du commerce (RC) et comprend en particulier des numéros d’identification des entreprises (numéros IDE et REG) permettant de garantir de manière univoque l’identification exacte des personnes morales et des entreprises. 2.2 Personnes physiques – situation actuelle S’agissant en revanche des personnes physiques, il n’existe pas un tel registre qui soit partagé, accessible dans une même mesure à l’ensemble des administrations, et qui offre un même niveau de qualité des données que le REG. L’expérience des services ayant accès à la base de données Calvin mise à disposition par l’OCPM auprès de certains services – et non de tous – démontre que les adresses relatives aux personnes physiques qui s’y trouvent ne sont pas toujours fiables. L’exactitude des données et leur actualité sont avant tout tributaires du bon vouloir des personnes de s’annoncer à bref délai et de communiquer toute modification de données les concernant (art. 5 de la loi d’application de la loi fédérale sur l’harmonisation des registres des habitants et d’autres registres officiels des personnes, du 3 avril 2009 (LaLHR; rs/GE F 2 25)). La réalité montre que si une majorité des administrées et administrés jouent le jeu et se conforment aux obligations d’annonce, une part importante omet de le faire. En effet, en 2023, l’OCPM a enregistré 31 656 déclarations de changement d'adresse. Comme il n’est pas possible de connaître le nombre de personnes qui ne communiquent pas leur nouvelle adresse, l’OCPM se base sur les statistiques disponibles des retours des enveloppes contenant le matériel pour les votations qui n’ont pas pu être distribuées. En moyenne, ce sont environ 1 900 enveloppes concernant les scrutins fédéraux et cantonaux qui sont retournées, et 2 800 concernant les objets fédéraux, cantonaux et communaux pour lesquels les étrangers séjournant plus de 8 ans en Suisse sont concernés. De ces retours d’enveloppes, après avoir soustrait les personnes qui ont quitté Genève, celles qui sont décédées, ou qui ont changé 33/73 PL 13698 d'adresse dans les 8 semaines avant le scrutin (date de référence), l’OCPM estime de l’ordre de 10% le nombre de personnes ne satisfaisant pas à leurs obligations d’annonce de changement de domicile. Par ailleurs, à titre de témoignage donnant la mesure du défi auquel est confronté l’OCPM, la responsable de son service juridique a déclaré à l’occasion de l’examen en commission d’un projet de loi du Conseil d’Etat destiné à autoriser les visites domiciliaires, pour vérifier la domiciliation effective à une adresse donnée, que « les adresses [exactes] sont les informations les plus compliquées à obtenir […] » 17. Cette réalité n’est pas nouvelle. La jurisprudence genevoise recèle de nombreuses causes illustrant la difficulté parfois pour les services étatiques d’établir le domicile d'une administrée ou d'un administré, en particulier lorsque celle-ci ou celui-ci est déterminé, pour des raisons qui lui appartiennent, à entretenir l'apparence d'un domicile en un lieu donné plutôt qu'un autre. Dans bien des cas, certaines personnes annoncent un domicile dans le canton de Genève alors qu'elles résident en France voisine, mais la situation inverse est aussi vraie, et d'autres prétendent habiter dans un autre canton en n'hésitant pas au surplus à taire leur véritable identité 18. De surcroît, pour compliquer la tâche des autorités, certaines sociétés ou certains individus n’hésitent pas à pratiquer ouvertement l’activité de domiciliation fictive, rémunérée, en faveur de personnes physiques (voire de personnes morales et entreprises), ces comportements donnant lieu généralement à des dénonciations pénales en lien avec la commission de diverses infractions. Une comparaison intercantonale de l’OFS au sujet du nombre de ménages par canton et de leur taille moyenne (en nombre de personnes) illustre la qualité toute relative de la base de données des personnes physiques à Genève. Cette statistique dénombre en particulier la proportion du nombre de ménages qui ne sont pas plausibles. Au 31 décembre 2022, la proportion de ménages non plausibles s’élevait à 1% dans le canton de Genève, contre moins de 0,5% dans l’ensemble des autres cantons 19. 17 18 19 PL 12550-A du 25 février 2020, p. 2. Philippe DUFEY, L'Etat créancier, in: David Hofmann / Fabien Waelti (éd.), Actualités juridiques de droit public 2013, Berne 2013, Stämpfli Editions, p. 77110, en particulier p. 107, la problématique du domicile fictif est ses conséquences en matière d’exécution forcée. https://www.bfs.admin.ch/asset/fr/27965837 PL 13698 34/73 Par ailleurs, un sondage réalisé durant le premier semestre 2024 auprès des départements et de leurs services montre que seuls 40% d’entre eux jugent que leur référentiel de personnes dispose d’un niveau de qualité suffisant et qu’ils gèrent la qualité des données de manière systématique. Ces différents éléments fondent à penser que le principe d’exhaustivité, d’exactitude et d’actualité des données s’appliquant à tous les registres fédéraux, cantonaux et communaux des habitants (art. 5 LHR) n’est réalisé qu’en partie à Genève au niveau de ses administrations, tout comme le principe central de la qualité des données personnelles (art. 36, al. 1 LIPAD). Cela étant, tant la Confédération que les autres cantons sont confrontés à la même problématique, mais ils déploient les moyens et projets importants pour améliorer la qualité des données qu’ils détiennent (cf. I, n° 2 et 3), lesquels inspirent directement les choix exposés ci-après. 2.3 Référentiels de données de référence des personnes Pour doter les institutions publiques du canton, dont certaines entités de droit privé chargées de tâches de droit public, de données de base fiables, le présent projet de loi prévoit d’instituer 2 référentiels relatifs aux données personnelles de référence des personnes, le premier pour les personnes physiques (art. 13), le second pour les personnes morales et les entreprises (art. 14). Ces référentiels ne contiennent que des données de base d’identification des personnes, qui sont univoques, et autant que possible actuelles et exactes, ainsi que des données nécessaires à la facilitation des interactions avec les administrations, telles les numéros de téléphone et les adresses électroniques, la mention de la représentante légale ou du représentant légal éventuel ou la représentante ou le représentant désigné par la personne, de même que la conjointe ou le conjoint, la ou le partenaire enregistré (via le numéro d’identification), qui sont en mesure de se représenter mutuellement au titre de l’union conjugale pour les besoins courants de la famille pendant la vie commune (art. 166 du code civil suisse, du 10 décembre 1907 (CC; RS 210)). Ces référentiels sont accessibles à l’ensemble des institutions publiques du canton délivrant des prestations à la population et susceptibles d’interagir avec les usagères et usagers tels que définis à l’article 4, soit le Conseil d’Etat, l’administration cantonale et les entités qui lui sont rattachées (art. 4, al. 1), de même que les communes, leurs administrations et les groupements intercommunaux (art. 4, al. 2, lettre a), ainsi que les institutions, établissements et corporations de droit public cantonaux et communaux et leurs administrations (art. 4, al. 2, lettre b), qui correspondent aux institutions 35/73 PL 13698 visées à l’article 3 de la loi sur l’organisation des institutions de droit public, du 22 septembre 2017 (LOIDP; rs/GE A 2 24), ainsi qu’à d’autres établissements de droit public analogues non listés par cette loi. Sont ainsi concernés les établissements de droit public principaux (Transports publics genevois (TPG), Aéroport international de Genève (AIG), Hospice général (HG), Hôpitaux universitaires de Genève (HUG), Services industriels de Genève (SIG) et Institution genevoise de maintien à domicile (IMAD); art. 3, lettres a à f LOIDP), les autres établissements de droit public (Fondation des parkings, Caisse publique de prêts sur gages, Etablissements publics pour l’intégration, Maison de retraite du PetitSaconnex, Maison de Vessy, Fondation pour l'exploitation de pensions pour personnes âgées « La Vespérale »; art. 3, lettres g à l LOIDP), les fondations immobilières de droit public (art. 3, lettres m à r LOIDP) et les autres fondations de droit public (Fondation d’aide aux entreprises, Fondation pour les terrains industriels de Genève, Fondation pour les zones agricoles spéciales, Fondation PAV (Praille-Acacias-Vernets) (art. 3, lettres s à v LOIDP)). Sont également concernés les établissements autonomes de droit public non listés dans la LOIDP, comme l’Université de Genève et la Haute école spécialisée de Suisse occidentale (HES-SO Genève). Par ailleurs, l’accès aux référentiels est également conféré à certaines institutions publiques au sens du présent projet de loi que sont les personnes physiques ou morales et les organismes chargés de remplir des tâches de droit public cantonal ou communal, dans les limites de l’accomplissement desdites tâches, désignées par le Conseil d’Etat. Sont envisagés par exemple les établissements médico-sociaux (EMS) et les établissements pour personnes handicapées (EPH), pour lesquels un accès partiel au référentiel des personnes physiques peut se justifier s’agissant uniquement de leurs propres pensionnées et pensionnés, voire de leurs proches et éventuels représentantes et représentants, ce que permet le texte proposé, en fonction des nécessités d’accès aux données d’une personne et de l’ampleur de cet accès (cf. art. 13, al. 4, lettres a et b). Ainsi, un EMS pourrait accéder aux données du référentiel cantonal de ses propres pensionnées et pensionnés, et eux seuls, ainsi qu’à certaines de leurs données additionnelles nécessaires, telle la mention de la conjointe ou du conjoint, et/ou la désignation d’une tierce personne choisie par la pensionnée ou le pensionné. Le périmètre des institutions publiques ayant accès aux référentiels cantonaux et collaborant à leur tenue correspond pour partie à celui des institutions publiques telles que définies dans la LIPAD, hormis le Grand Conseil et la Cour des comptes, qui ne délivrent pas de prestations aux usagères et usagers, ni, pour les mêmes motifs, certains groupements PL 13698 36/73 d’institutions ou commissions mentionnés dans la LIPAD, ni les personnes morales et autres organismes de droit privé sur lesquels l’Etat de Genève détient une majorité (art. 3 LIPAD). L’ensemble des institutions, qu’il s’agisse de l’administration centrale, des communes, des établissements et corporations de droit public cantonaux et communaux, ou de certaines personnes physiques ou morales et organismes chargés de remplir des tâches de droit public cantonal ou communal, ont besoin de disposer de données de référence fiables relatives à leurs usagères et usagers, qui soient actuelles et exactes. Ces institutions publiques sont soumises aux mêmes règles de protection des données prévues par la LIPAD. Certaines, régies par le droit privé, sont de surcroît soumises aux règles de la loi fédérale sur la protection des données, du 25 septembre 2020 (LPD; RS 235.1), dont la révision du 25 septembre 2020 renforce la protection au travers notamment d’une amélioration de la transparence des traitements et du contrôle que les personnes concernées peuvent exercer sur leurs données, cela en lien avec le développement de la société numérique, ce qui passe par un standard de protection élevé et reconnu au plan international 20. 2.4 Communication des données personnelles de référence par les institutions publiques aux référentiels cantonaux Le présent projet de loi prévoit que les données personnelles de référence contenues dans les applications métier des institutions publiques doivent alimenter autant que nécessaire les référentiels cantonaux, sauf si une loi (fédérale ou cantonale) ou un règlement l’interdit, cela tant à l’initialisation des référentiels que lors de leur mise à jour, et gratuitement (art. 21). 2.5 Signalement de données inexactes, incomplètes ou obsolètes soutenu par la numérisation Le corollaire de l’accès aux référentiels cantonaux des données de référence est le devoir pour chacune des institutions publiques de contribuer à l’exactitude, à l’actualité et à la complétude de leurs données, cela par le signalement des données inexactes, incomplètes ou obsolètes comme le prévoit le droit actuel (art. 36, al. 2 LIPAD). 20 Message du Conseil fédéral, FF 2017 6565. 37/73 PL 13698 Moyennant le développement d’interfaces idoines, le signalement de données personnelles inexactes, incomplètes ou obsolètes entre institutions publiques doit être assisté par l’outil numérique, comme l’est le processus de simplification administrative. En effet, le signalement par voie épistolaire, ou même par courriel, est consommateur de ressources (humaines, opérationnelles, etc.) et, en pratique et pour ce motif, largement sous-utilisé, compte tenu de la priorisation des autres activités des services, cela tant au sein de l’institution publique qui constate l’erreur contenue dans la base de données qui lui est mise à disposition, qu’au sein de l’institution publique qui est responsable de son traitement (maître du fichier). Le signalement de données erronées entre institutions publiques doit être soutenu par la numérisation. Actuellement, s’agissant des personnes physiques, l’OCPM alimente par un flux numérique plusieurs institutions publiques et leurs services à l’aide du registre des habitants Calvin. Généralement, les applications métier des services (de l’AFC, de l’OCP, etc.) comportent leur propre référentiel de données des personnes, qui sont alimentées électroniquement par le registre Calvin. Le signalement de données erronées interviendra par un flux numérique retour à destination des référentiels cantonaux des données de référence, dont les autorités responsables (art. 25, al. 1) seront respectivement l’OCPM s’agissant des personnes physiques et l’OCIRT pour les personnes morales et les entreprises. Ces offices procéderont alors, s’il y a lieu, à la correction des données personnelles de référence erronées ou obsolètes, selon leur propre appréciation, en fonction des éléments dont ils disposent et en interpellant au besoin les personnes concernées, qui doivent collaborer à l’exactitude de leurs données personnelles (art. 8). 2.6 Echanges spontanés ou sur requête entre les institutions et les autorités responsables du traitement des référentiels cantonaux pour garantir l’exactitude des données personnelles de référence Dans la mesure où l’établissement de la réalité de certaines données peut s’avérer complexe, telle celle du domicile comme relevé par la représentante de l’OCPM (cf. III., 2.2), le présent projet de loi prévoit la possibilité pour les institutions publiques de pouvoir échanger spontanément ou sur requête avec les autorités responsables visées à l’article 25, alinéa 1, aux seules fins de PL 13698 38/73 garantir l’unicité, l’exactitude, l’actualité et la complétude des données de référence des personnes, à moins que cette information ne soit contraire à une loi (fédérale ou cantonale) ou à un règlement (art. 23). En dehors de ces échanges portant sur les données de référence des personnes, et des éventuels éléments et motifs qui amèneraient à devoir procéder à leur correction et mise à jour (déménagement, décès, séparation, etc.), les institutions publiques respectent le secret de fonction et les autres secrets qualifiés et secrets professionnels. 3. Conformité au droit supérieur Le principe once only est prévu dans la Déclaration de Tallinn relative à la cyberadministration et s’inscrit par ailleurs dans la stratégie de la cyberadministration de la Suisse. Au niveau du présent projet de loi, le principe once only fait l’objet de bases légales précises et détaillées déclinées au chapitre II, intitulé « Simplification administrative », et, en particulier, il requiert le consentement préalable de la personne à la quête des données et documents nécessaires auprès d’autres institutions publiques cantonales ou communales, lorsque cela est nécessaire à la délivrance de la prestation sollicitée (art. 7). S’agissant de l’ensemble des documents et des données complémentaires fournis par les personnes, celles-ci en conservent l’entière maîtrise (chapitre II, section 2, « Coffre-fort numérique », art. 10 à 12). S’agissant de l’institution des référentiels cantonaux des données de référence des personnes, ceux-ci concrétisent le principe central de l’exhaustivité des registres prévu par le droit fédéral d’harmonisation des registres (art. 5 LHR) ainsi que celui de l’exactitude des données prévu dans la LPD, qui prévoit que celui qui traite des données personnelles doit s’assurer de leur exactitude et prendre toute mesure appropriée permettant de rectifier et d’effacer les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées (art. 6, al. 5 LPD). Ces référentiels font également l’objet de bases légales précises et détaillées, tant au niveau des données qu’ils comportent que de leur source, de leur collecte, de leur mise à jour et de leur diffusion et des modalités d’accès au sein des institutions publiques. Enfin, il faut souligner que le présent projet de loi « coche » positivement l’ensemble des cases des grands principes de l’activité publique prévus par la constitution genevoise (art. 9 de la constitution de la République et canton de Genève, du 14 octobre 2012 (Cst-GE; rs/GE A 2 00)), qu’il concrétise à l’aide d’outils de gestion et de référentiels cohérents, soit le fait : 39/73 PL 13698 – que l’Etat agit au service de la collectivité, cela tant à l’aide du principe once only que des référentiels des données de référence des personnes, destinés à faciliter les interactions des usagères et usagers avec les administrations (art. 9, al. 1 Cst-GE); – que ces modalités répondent aux principes de la légalité et de la proportionnalité – les données personnelles de référence, librement échangeables entre les institutions publiques et les autorités responsables des référentiels cantonaux aux seules fins de s’assurer de leur exactitude, reçoivent un traitement distinct des données complémentaires sur lesquelles les personnes conservent l’entière maîtrise, cela dans le strict respect du secret de fonction et des autres secrets qualifiés –, de manière à répondre par ailleurs à plusieurs intérêts publics distincts : exactitude des registres et protection des données, services à la population et aux entreprises, fonctionnement efficace et efficient des collectivités publiques (art. 9, al. 2 Cst-GE); – que les dispositifs proposés sont transparents pour les usagères et usagers et que leur bon fonctionnement repose sur des échanges fondés sur le principe de la bonne foi de ces dernières et derniers et des administrations, ce que prévoit spécifiquement le texte proposé, cela dans le respect du droit supérieur (art. 9, al. 3 Cst-GE); – que, enfin, l’ensemble des mesures concrètes et cohérentes proposées s’inscrivent dans une volonté claire du Conseil d’Etat de développer une activité publique plus pertinente, efficace et efficiente des services de l’administration, grâce à la numérisation et aux nouveaux processus et outils proposés (art. 9, al. 4 Cst-GE). IV. Impact financier L’impact financier du présent projet de loi porte sur différentes composantes. La première est une charge d’investissement en lien avec la mise en place de l’infrastructure informatique nécessaire pour orchestrer l’ensemble des fonctionnalités prévues. Ces fonctionnalités doivent être implémentées grâce à un projet de loi ouvrant un crédit d'investissement de 18 990 000 francs pour l'évolution de la cyberadministration afin de tenir compte des objectifs du programme de législature 2023-2028. La deuxième porte sur un renfort, circonscrit dans le temps, des équipes de l’OCPM. Le département des institutions et du numérique (DIN) a évalué à 3 équivalents temps plein (ETP) la charge de travail supplémentaire en lien avec la mise en œuvre des référentiels cantonaux. La troisième porte sur un nécessaire effort important en matière de conduite de changement pour l’ensemble de l’administration cantonale. Cet effort est essentiellement porté par le centre PL 13698 40/73 de compétences cyberadministration créé spécifiquement pour ce projet ambitieux. Cela étant, l’impact financier du présent projet de loi n’est raisonnablement pas chiffrable, compte tenu des nombreux changements qu’il induit au niveau des processus de travail pour la mise en œuvre du principe once only et du bénéfice, pour l’ensemble des institutions publiques, des référentiels cantonaux des données de référence des personnes physiques, des personnes morales et des entreprises. On peut anticiper au début une charge accrue de développements et de travail par les services pour la mise en œuvre de l’objectif de simplification administrative, qui nécessitera de définir de nouveaux processus et flux de travail, par exemple lorsqu’il s’agira d’aller quérir les documents et données personnelles de l’usagère ou de l’usager dans le coffre-fort numérique, voire de recueillir d’autres documents, données et prestations (accessoires) nécessaires auprès d’autres institutions pour délivrer la prestation (principale) sollicitée. Ces nouveaux processus seront soutenus par la numérisation des échanges entre institutions publiques, afin de faciliter la collaboration de celles-ci. Au final, une fois les processus définis et mis en œuvre, on peut escompter une baisse globale de la charge opérationnelle des services, au motif entre autres d’une réduction des erreurs de saisie des données (car les données ne sont enregistrées qu’une seule fois) et d’une réduction des ressources affectées à la saisie des données (car il n’est plus nécessaire de ressaisir les mêmes données plusieurs fois), comme relevé sous point III, 1.6. Enfin et surtout, on peut anticiper qu’une amélioration significative de la qualité des bases de données des personnes, favorisée par le signalement automatique de données erronées entre institutions permettant leur correction rapide, réduira les coûts considérables que génèrent des bases de données erronées, ce que relève en particulier le Message du Conseil fédéral à l’appui du projet de loi fédérale sur le SNA 21. 21 FF 2023 1370, cf. 1.3 Utilisation et utilité du SNA. 41/73 PL 13698 V. Commentaire article par article Préambule Le préambule fait référence aux dispositions du droit fédéral puis du droit cantonal supérieur dans lequel s’inscrit le présent projet de loi, à savoir pour le premier la LHR déjà largement citée, qui sert de cadre aux registres des habitants et d’autres registres officiels en Suisse, puis l’article 10, alinéa 3bis, de loi sur la statistique fédérale, du 9 octobre 1992 (LSF; RS 431.01), et son ordonnance d’application sur le Registre fédéral des bâtiments et des logements, du 9 juin 2017 (ORegBL; RS 431.841), où l’OFS assume la tenue du fichier du même nom destiné à des fins statistiques, administratives, de recherche et de planification, qui sert de base en particulier à la référence des adresses des bâtiments et des logements. Au niveau cantonal, le préambule fait référence à l’article 9 Cst-GE, rappelant les principes de l’activité publique détaillés sous le chiffre précédent (III, 3, conformité au droit supérieur), ainsi qu’aux articles 21 et 21A Cst-GE traitant respectivement de la protection de la sphère privée et du droit à l’intégrité numérique et, enfin, l’article 133, alinéas 1 et 2 Cst-GE, portant sur la répartition des tâches entre le canton et les communes. Les communes continueront d’être mises à contribution pour la bonne tenue des registres, eu égard notamment à leurs responsabilités existantes découlant de la loi sur le séjour et l’établissement des Confédérés, du 28 août 2008 (LSEC; rs/GE F 2 05), et compte tenu de leur connaissance fine du terrain et de leurs habitantes et habitants 22. Article 1 Sous le chapitre I comprenant les dispositions générales, l’article 1 introduit l’objet du présent projet de loi visant à la simplification administrative ainsi que les moyens d’y parvenir. 22 PL 13006 du Conseil d’Etat, du 25 août 2021, modifiant la loi d’application de la loi fédérale sur la poursuite pour dettes et la faillite, du 29 janvier 2010 (LaLP; rs/GE E 3 60) (Mise en conformité avec le droit fédéral), cf. exposé des motifs n° 3.6, page 16. PL 13698 42/73 Article 2 L’article 2 énonce clairement les buts du présent projet de loi, dont les principaux résident dans la simplification des démarches administratives pour les usagères et usagers (al. 1, lettre a; traitée sous III, 1) et la dotation des institutions publiques de données de référence fiables relatives aux personnes pour une délivrance efficace, efficiente et rapide des prestations (al. 1, lettre c; traitée sous III, 2). Article 3 Comme pour la LIPAD (art. 2 LIPAD), l’article 3 du présent projet de loi rappelle le souci de coordination horizontale avec les autres législations cantonales, dans lesquelles elle s’insère. En effet, le présent projet de loi, ayant une dimension transversale et structurante s’agissant de la délivrance des prestations et de la gestion des données personnelles de référence, a vocation à s’appliquer aux institutions visées à l’article 4. Aussi, dans un objectif de mise en œuvre efficace et efficiente des différentes politiques publiques, il ne remet pas en cause les dispositions spéciales cantonales régissant les domaines chargés desdites institutions, ni les règles de procédure, comme la loi de procédure administrative, du 12 septembre 1985 (LPA; rs/GE E 5 10), ou d’autres lois spéciales comme la loi de procédure fiscale, du 4 octobre 2001 (LPFisc; rs/GE D 3 17), et doit s’appliquer en conséquence de manière coordonnée et en cohérence avec les autres textes, soit en particulier : – la LIPAD, dont il reprend l’ensemble des principes, définitions et normes de protection des données auxquels le texte se réfère expressément à plusieurs reprises (cf. art. 5, al. 2); – la loi instituant les numéros d’identification personnels communs, du 20 septembre 2013 (LNIP; rs/GE A 2 09), en raison des exigences posées à ce niveau par la LIPAD (art. 35, al. 4 LIPAD), les 2 référentiels institués nécessitant de nouveaux numéros d’identification personnels communs; – la LaLHR et la LSEC déjà évoquées; – la LECO; – la LAeL; – la loi sur les archives publiques, du 1er décembre 2000 (LArch; rs/GE B 2 15); – la LIRT déjà évoquée, à l’origine du REG, sur lequel le référentiel des personnes morales et des entreprises sera basé; 43/73 PL 13698 – la loi sur le revenu déterminant unifié, du 19 mai 2005 (LRDU; rs/GE J 4 06), en tant qu’elle institue une base de données unique analogue, alimentée notamment tant par l'OCPM que par l'AFC. Cette coordination est assurée par la poursuite des objectifs et actions décrits à l’alinéa 2, que précisera dans la mesure nécessaire le règlement d’application. Article 4 L’article 4 traite du champ d’application de la loi. Comme déjà relevé (cf. III, 2.3), les alinéas 1 et 2 prévoient que la future loi s’applique, s’agissant de l’accès aux référentiels cantonaux des personnes, aux mêmes institutions publiques que celles prévues à l’article 3, alinéa 1 LIPAD, hormis le Grand Conseil et la Cour des comptes, ainsi que d’autres institutions publiques qui ne délivrent pas de prestations à la population ni aux entreprises. S’agissant des principes et règles de mise en œuvre du principe once only énoncés sous le chapitre II aux articles 6 à 12, qui dépassent le seul recours aux référentiels des données de référence des personnes, ils ne peuvent, autonomie oblige, être imposés aux communes et aux institutions visées à l’article 4, alinéa 2, mais ces dernières peuvent les appliquer moyennant le respect du socle de protection des données des personnes et de leur libre détermination. Article 5 Par souci de lisibilité, de simplicité et de cohérence avec les autres lois et pour éviter d’inutiles redites, l’alinéa 1 renvoie aux définitions du droit fédéral, s’agissant de la LHR et du registre des bâtiments et des logements (LSF et RegBL). L’alinéa 2 reprend les définitions de la LIPAD, tandis que l’alinéa 3 définit les nouvelles notions introduites par le présent projet de loi que sont le référentiel cantonal, les données personnelles de référence, le coffre-fort numérique, les données personnelles complémentaires et l’application métier (cf. III, 2.4). Article 6 L’article 6, placé sous le chapitre II intitulé « Simplification administrative », section 1, « Principes et règles », décrit à grands traits les idées maîtresses du principe once only, détaillées dans les articles suivants. PL 13698 44/73 Article 7 L’article 7 introduit la règle centrale du consentement nécessaire et préalable des usagères et usagers à la quête de données et documents auprès d’autres institutions, en particulier s’ils constituent ou comportent des données personnelles sensibles, qui nécessitent un consentement exprès. A cette fin, la disposition renvoie au nouvel article 36, alinéas 4 et 5, de la loi 13347 du 3 mai 2024 modifiant la LIPAD et traitant spécifiquement des conditions d’admission du consentement, de sa portée et de sa révocation par les ayants droit. Article 8 L’article 8 pose les obligations essentielles et réciproques des usagères et usagers à la mise en œuvre efficace de la simplification administrative, soit les devoirs de collaboration et de signalement spontané ou sur requête des données erronées les concernant (principe de la bonne foi ancré à l’art. 5, al. 3, de la constitution fédérale de la Confédération suisse, du 18 avril 1999 (Cst.; RS 101)). Article 9 Il s’agit de la règle fondant les institutions publiques cantonales visées à l’article 4, alinéa 1, à exiger, pour la prestation qu’elles délivrent, le paiement d’avance du montant de l’émolument dû, comprenant cas échéant les éventuels autres émoluments et frais des autres institutions publiques cantonales sollicitées pour les prestations accessoires délivrées à la demande de l’usagère ou de l’usager. Le paiement d’avance unique auprès d’une seule institution pour le compte d’autres services et offices, impliquant une ventilation correcte des émoluments et frais dus, s’effectuera à l’aide de l’outil de comptabilité financière intégrée de l’Etat de Genève. Le principe du paiement d’avance est par ailleurs prévu dans un autre futur avant-projet de loi qui sera présenté par le Conseil d’Etat, visant à disposer d’un recouvrement efficace et cohérent des créances de l’Etat. Article 10 L’article 10, placé sous la section 2 introduisant le coffre-fort numérique, décrit les modalités de mise à la disposition d'une ou de plusieurs institutions publiques de documents et de données personnelles complémentaires, si les usagères et usagers le souhaitent et selon les modalités qu’elles ou ils ont définies (cf. III, 1.4 et 1.5). 45/73 PL 13698 En premier lieu, les documents et données personnelles complémentaires, que les ayants droit décident de partager via le coffre-fort numérique, doivent nécessairement répondre à leurs besoins administratifs. Ce sont les ayants droit, et eux seuls, qui définissent les modalités de partage des documents et données complémentaires contenues dans le coffrefort numérique. Ces modalités de partage doivent porter sur des documents individualisés (par exemple : une carte d’identité, un extrait du registre des poursuites) ou des données personnelles déterminées. S’agissant des documents, ils peuvent être fournis par les ayants droit eux-mêmes, ou provenir d’une institution publique qu’ils ont eux-mêmes sollicitée. Les usagères et usagers déterminent les institutions auprès desquelles elles ou ils entendent diffuser les documents et données personnelles complémentaires. Toutefois, pour des motifs de protection des données (proportionnalité, finalité et reconnaissabilité, cf. art. 35, al. 2 et 3 LIPAD, loi 13347), le consentement au partage des documents et données à une institution tierce n’est pas suffisant, car il doit porter spécifiquement sur une ou des prestations déterminées (par exemple : une autorisation de construire, l’obtention de prestations complémentaires) ou du moins sur des finalités déterminées et reconnaissables. Les usagères et usagers déterminent par ailleurs librement la durée de conservation de leurs documents et données complémentaires dans le coffrefort numérique, cela pour chacun d’eux. En tous les cas, sera fixée par voie réglementaire, selon le type de document et de données personnelles complémentaires, une durée maximale de conservation, impliquant cas échéant un renouvellement du consentement donné par les usagères et usagers (art. 18, al. 3). Enfin, afin de garantir que les documents et données personnelles partagés par les personnes dans le coffre-fort numérique soient rattachés exclusivement à elles-mêmes et nulle autre personne (ce qui, en cas d’erreur d’attribution, constituerait alors une atteinte grave à la protection des données), le coffre-fort numérique contient nécessairement certaines données personnelles de référence issues des référentiels cantonaux permettant une identification univoque des ayants droit (al. 5). Cela démontre que la mise en œuvre de la simplification administrative est tributaire d’un référentiel cantonal des personnes qui soit partagé et identique au niveau des données de référence des individus ainsi que des numéros d’identification, ce que n’offre pas l’outil Calvin (comportant des numéros d’identification distincts pour une personne donnée, dits numéros PL 13698 46/73 « transcodés »). Par ailleurs, l’accès à l’outil Calvin n’est pas accordé à l’ensemble des institutions publiques concernées par le présent projet de loi. Article 11 S’agissant de l’accès octroyé aux institutions publiques par les usagères et usagers portant sur les documents et données personnelles complémentaires les concernant, il dépend en première ligne de leur volonté propre, selon les lignes posées à l’article 10 (art. 11, al. 1, lettre a). En outre, leur consultation n’est autorisée qu’en tant qu’elle est nécessaire et s’inscrit dans l’accomplissement de tâches légales (art. 11, al. 1, lettre b). Enfin, seuls les membres du personnel affectés au traitement des prestations sollicitées par les ayants droit sont autorisés à accéder aux documents et données mises à disposition, ce dont doivent s’assurer les institutions publiques au travers des droits d’accès qu’elles confèrent à leurs membres du personnel (al. 2). Le droit cantonal limitant l’accès aux documents et données personnelles complémentaires exclusivement selon les volontés exprimées par les ayants droit, il faut néanmoins réserver le cas où une autorité solliciterait un tel accès en vertu de pouvoirs conférés par le droit fédéral, par exemple une autorité pénale dans le cadre d’une mesure d’instruction (al. 3). Article 12 Corollaire des articles 10 et 11, cette disposition prévoit pour les ayants droit la faculté de révoquer en tout temps et sans motif le partage des documents et données qu’ils ont mis à disposition des institutions publiques (al. 1). En tous les cas, le décès des personnes physiques ou la radiation des personnes morales entraînent leur suppression (al. 2). Le coffre-fort numérique constituant une passerelle temporaire pour la remise de documents et données personnelles auprès d’institutions publiques déterminées, celles-ci sont fondées à les conserver dans leurs applications métier respectives ou dans d’éventuels dossiers physiques, conformément au cadre légal régissant leurs activités (al. 3). En conséquence, la révocation en tout temps et sans motif du partage de données et documents mis à disposition auprès d’institutions dans l’environnement du coffre-fort numérique ne vaut que pour l’avenir. 47/73 PL 13698 Articles 13 et 14 Rattachés au chapitre III, les articles 13 et 14 instituent, d’une part, le référentiel cantonal des personnes physiques et, d’autre part, le référentiel cantonal des personnes morales et des entreprises. Ces 2 référentiels cantonaux comprennent respectivement l’ensemble des personnes physiques et l’ensemble des personnes morales et des entreprises identifiées et référencées auprès des institutions publiques visées à l’article 4, en fonction des nécessités de traitement des institutions publiques. Par nécessités de traitement, il faut entendre que l’ajout des personnes et le renseignement de leurs données personnelles dans les référentiels cantonaux répondent à une nécessité administrative, en principe pour plusieurs institutions, et qu’elles s’inscrivent dans une certaine durée. Ne seront par exemple pas renseignées dans les référentiels cantonaux les données des personnes qui ne disposent pas d’un lieu de résidence dans le canton et dont l’interaction avec une institution publique n’est que ponctuelle. De plus, sur le principe, si les institutions publiques sont tenues de contribuer à alimenter et mettre à jour les référentiels cantonaux des données dans la mesure où elles y ont accès et en bénéficient, en pratique, seules seront mises à contribution les institutions publiques qui disposent de données de qualité, actuelles et si possible complètes. Par ailleurs, comme le précise l’alinéa 2 de ces dispositions, les référentiels cantonaux ne sont alimentés par les institutions publiques que dans la mesure où cela n’est pas contraire à une loi (fédérale ou cantonale) ou à un règlement. Les obstacles à la transmission de données prévus par le cadre légal actuel, fédéral et cantonal, comme le secret médical, qui protège notamment les données sur la santé, qui sont des données personnelles sensibles (art. 4, lettre b, chiffre 2 LIPAD), sont préservés. Ainsi, par exemple, en l’état du droit actuel, les HUG ne seront pas mis à contribution pour alimenter et mettre à jour le référentiel cantonal des données des personnes physiques, car même s’il ne s’agissait que de transmettre des données de référence des personnes, cela renseignerait l’autorité responsable du référentiel cantonal sur le fait qu’une personne déterminée a eu une prise en charge dans cet établissement autonome. Dans le même ordre d’idée, les institutions publiques que sont l’IMAD et l’HG (dispensant des prestations de soin et des mesures d’aides sociales, qui constituent des données personnelles sensibles), ne seront pas sollicitées pour alimenter le référentiel cantonal des personnes physiques. PL 13698 48/73 S’agissant du référentiel cantonal des données des personnes physiques, il contient les données destinées à leur identification univoque, actuelle et exacte, qui sont nécessaires pour une délivrance efficace, efficiente et rapide des prestations, conformément aux buts du présent projet de loi (art. 2, lettre c), ainsi que des données nécessaires à la facilitation des interactions avec les administrations pour la mise en œuvre de la simplification administrative (art. 2, lettre a). Parmi les données destinées à faciliter les échanges figurent les coordonnées téléphoniques, l’adresse électronique, ainsi que la mention de la représentante légale ou du représentant légal éventuel, de la représentante ou du représentant désigné par la personne, de la conjointe ou du conjoint ou de la ou du partenaire enregistré, en mesure de représenter l’union conjugale pour les besoins courants de la famille pendant la vie commune (art. 166 CC). Ces données relatives aux personnes physiques correspondent globalement à celles traitées par la plupart des institutions publiques. Toutefois, toutes ces données ne sont pas toujours nécessaires à l’ensemble des institutions pour les prestations qu’elles délivrent. Aussi, conformément au principe de proportionnalité, selon lequel seules les données aptes et nécessaires à atteindre les finalités du traitement peuvent être traitées, la disposition prévoit que le Conseil d’Etat précise par voie réglementaire le cercle des institutions publiques ayant accès aux référentiels cantonaux et le niveau d’accès aux données personnelles de référence en fonction des nécessités de traitement (art. 13, al. 4, lettre b et art. 14, al. 4, lettre b). S’agissant du référentiel cantonal des personnes physiques, par données de base de l’identité (art. 13, al. 3, lettre a), il faut entendre, au sens du présent projet de loi, conformément à l’objectif de coordination avec les autres lois (art. 3, al. 1, lettre i) et par souci de simplicité et d’unité des concepts, la même notion que celle prévue par l’article 13C, alinéa 2, lettre a LRDU, soit les nom(s) et prénom(s), date de naissance et date de décès (cf. annexe du règlement d'exécution de la loi sur le revenu déterminant unifié, du 27 août 2014 (RRDU; rs/GE J 4 06.01)). Quant au contenu du référentiel cantonal des personnes morales et des entreprises, il reprend pour l’essentiel les caractères prévus à l’article 59 RIRT du répertoire cantonal REG, déjà passablement détaillé et de surcroît public. Les « adresses topographiques » de ce dernier sont utilement remplacées par les références actuelles du bâtiment et du logement, issues de la législation fédérale (RegBL). 49/73 PL 13698 Article 15 L’article 15 règle l’accès aux données personnelles de référence, réservé aux seules institutions publiques, dans la mesure où leur consultation est nécessaire à la délivrance des prestations et s’inscrit dans l’accomplissement d’une tâche légale, ce que rappelle l’alinéa 1, renvoyant à l’article 36, alinéa 1 LIPAD dans sa nouvelle teneur selon la loi 13347, du 3 mai 2024. Comme pour tout référentiel de données personnelles, les ayants droit peuvent accéder à leurs propres données, sur demande, conformément aux articles 44 et 45 cités dans leur nouvelle teneur de la LIPAD selon la loi 13347. Article 16 L’article 16, placé sous le chapitre IV, section 1, traitant de la protection, de la sécurité et de la gouvernance des données personnelles, renvoie aux dispositions de la LIPAD s’agissant des données contenues dans le coffre-fort numérique et les référentiels cantonaux. Article 17 De manière à prévenir des comportements de consultation indue de données, qui sont prohibés et cas échéant punissables (art. 35, al. 1, et art. 64, al. 1 LIPAD), le présent projet de loi prévoit une journalisation des consultations, permettant en particulier des contrôles a posteriori des consultations effectuées. Article 18 L’article 18 traite de la conservation et de la destruction des données. S’agissant des données contenues dans les référentiels cantonaux, il incombe aux autorités responsables du traitement visées à l’article 25 de déterminer leur durée de conservation, compte tenu des nécessités opérationnelles et des principes prévus à l’article 35, alinéa 4 LIPAD, dans sa nouvelle teneur selon la loi 13347, du 3 mai 2024. Quant aux données contenues dans le coffre-fort numérique, leur durée de conservation dépend en première ligne de la volonté exprimée par les usagères et usagers, et des mêmes principes dégagés par l’article 35, alinéa 4 LIPAD (loi 13347). PL 13698 50/73 Enfin, il sera défini par voie réglementaire une durée maximale de conservation des documents et des données personnelles complémentaires selon leur typologie (pièce d’identité, extrait du casier judiciaire, extrait du registre des poursuites, facture de frais, etc.). Une prolongation de la durée de conservation, toujours possible, requerra le consentement des ayants droit (al. 3). Article 19 Sous la section 2 traitant de la gouvernance, de la collecte et de la mise à jour des données personnelles des référentiels cantonaux, l’article 19 pose les obligations réciproques des usagères et usagers et des institutions publiques, à savoir pour les personnes d’annoncer et de renseigner des données exactes et complètes les concernant, conformément au principe de la bonne foi, tandis qu’il appartient aux institutions de s’assurer, préalablement à tout traitement, de leur identification univoque. Article 20 L’alinéa 1 prévoit que les données personnelles de référence, au sens du présent projet de loi, sont collectées, actualisées et renseignées de manière indépendante par les institutions publiques, dans leurs propres applications métier et référentiels de données, cela conformément aux législations régissant leurs activités. « De manière indépendante » signifie que l’état dans lequel sont renseignées les données personnelles dans les référentiels métier des institutions ne dépend nullement de l’état des données de référence figurant dans les référentiels cantonaux. Le présent projet de loi n’a pas pour vocation ni prétention de faire primer les données des référentiels cantonaux sur celles des applications métier, cela a fortiori si les institutions publiques agissent en application du droit fédéral. Des divergences peuvent apparaître, cela en raison de constats divergents effectués entre institutions, l’autonomie des régimes juridiques appliqués, des décisions judiciaires divergentes, voire contradictoires liant les institutions publiques respectives, comme cela survient parfois au niveau de la détermination du domicile des personnes. Quoiqu’il en soit, l’alinéa 2 rappelle la règle du devoir de signalement entre institutions de données inexactes, incomplètes ou obsolètes, et renvoie à cette fin à l’article 22. 51/73 PL 13698 Article 21 L’article 21 prévoit que les données personnelles de référence traitées dans les applications métier des institutions publiques alimentent autant que nécessaire, en fonction des nécessités de traitement tel que précisé aux articles 13, alinéa 2, et 14, alinéa 2, et automatiquement les référentiels cantonaux, à moins que cette information ne soit contraire à une loi ou à un règlement (comme expliqué par ailleurs concernant ces mêmes art. 13, al. 2, et 14, al. 2). Un dispositif analogue de reprise de données, sauf empêchement légal, est prévu par exemple par le droit fédéral (art. 10, al. 2, lettre b LACRE; cf. également art. 5 du projet de loi fédérale sur le système national de consultation des adresses des personnes physiques (LSAdr)). Les données sont remises sans frais aux autorités désignées responsables du référentiel cantonal, cela tant à l’initialisation des référentiels que lors de leur mise à jour. Selon l’alinéa 2, l’AFC contribue également à l’alimentation et à la mise à jour des données personnelles de référence contenues dans les référentiels cantonaux. Article 22 L’article 22 constitue une reprise du principe prévu actuellement à l’article 36, alinéa 2 LIPAD (repris à l’art. 35, al. 6 dans la nouvelle loi 13347). Le signalement doit être effectué à l’institution qui est maître du fichier – ou responsable du traitement au sens de la loi 13347 –, et donc responsable de la donnée erronée, soit l’OCPM s’agissant des personnes physiques, et l’OCIRT pour les personnes morales et entreprises, lesquels mettent à jour si nécessaire et selon leurs propres règles les données signalées comme erronées, en interpellant et en informant au besoin les personnes concernées au titre de leur droit d’être entendu. L’autorité responsable de la tenue des données, qui est responsable de leur traitement, reste seule maître de celles-ci et procède ou non à leur correction selon ses propres règles. Article 23 L’article 23 prévoit que les institutions publiques sont autorisées à échanger spontanément ou sur requête avec les autorités visées à l’article 25, alinéa 1, soit l’OCPM et l’OCIRT, aux seules fins de garantir l’unicité, l’exactitude, l’actualité et la complétude des données de référence des personnes, à moins que cette information ne soit contraire à une loi ou à un règlement. Cas échéant, les autorités responsables des référentiels cantonaux mettent à jour si nécessaire les données selon leurs propres règles, en PL 13698 52/73 interpellant et en informant au besoin les personnes concernées au titre de leur droit d’être entendu. Article 24 Cette disposition autorise les institutions publiques au sens du présent projet de loi (art. 4) à utiliser de manière systématique les numéros AVS et IDE, comme le permet le cadre du droit fédéral dès 2022 23, aux seules fins, en l’occurrence, de l’identification sûre et univoque des personnes recensées, d’assurer l’exactitude des données traitées et leur actualisation en cas de changement (al. 1). Comme le précise son alinéa 2, l’article 24 constitue en particulier, au sens du droit fédéral, la base légale cantonale nécessaire à l’utilisation systématique du numéro AVS pour les organisations et personnes de droit public ou de droit privé, qui sont extérieures aux administrations, et qui sont chargées de tâches administratives par le droit fédéral, cantonal ou communal, ou par contrat 24. Dans la mise en œuvre de la future loi, l’article 24 est en particulier nécessaire pour les groupements intercommunaux (art. 4, al. 2, lettre a), les institutions, établissements et corporations de droit public cantonaux et communaux ainsi que leurs administrations (art. 4, al. 2, lettre b) et, sur désignation du Conseil d’Etat, les personnes physiques ou morales et organismes chargés de remplir des tâches de droit public cantonal ou communal (art. 4, al. 2, lettre c). Article 25 L’alinéa 1 confère au Conseil d’Etat la compétence de désigner la ou les institutions publiques responsables de la tenue des référentiels cantonaux des données, qui peuvent être responsables conjointes selon le nouvel article 36B LIPAD de la loi 13347. L’alinéa 3 prévoit que le Conseil d’Etat désigne par ailleurs l’institution publique responsable de la tenue du coffre-fort numérique. Pour chacun de ces référentiels de données sont listées les compétences des autorités responsables au niveau de la tenue, de la mise à jour et de la 23 24 Art. 153c, al. 1, lettre a LAVS; RO 2021 758 - Loi fédérale sur l’assurancevieillesse et survivants (LAVS) (Utilisation systématique du numéro AVS par les autorités) | Fedlex; FF 2019 6955 - Message relatif à la modification de la loi fédérale sur l'assurance-vieillesse et survivants (Utilisation systématique du numéro AVS par les autorités) | Fedlex Art. 153c, al. 1, lettre a, chiffre 4 LAVS. 53/73 PL 13698 rectification des données personnelles (les responsables du traitement), ainsi qu’au niveau des mesures de protection des données, d’octroi des accès aux institutions, des mesures techniques et organisationnelles pour contrôler les conditions d’utilisation des référentiels et leur restriction ou retrait. Article 26 Le Conseil d’Etat pilotera l’entrée en vigueur échelonnée de la future loi. Cette entrée en vigueur se fera conformément au planning de réalisation prévu dans le projet de loi ouvrant un crédit d'investissement visant à développer la cyberadministration. Par exemple, dans un premier temps, les personnes ne pourront mettre à disposition des institutions, dans le coffre-fort numérique, que des documents au sens de l’article 10, lettre a, tandis que le partage de données personnelles complémentaires (art. 10, lettre b) n’interviendra que dans un second temps. Article 27 Alinéa 1, modification de la LNIP – A 2 09 Art. 4 Numéros d’identification personnels communs utilisés dans le cadre de la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes (nouveau, les art. 4 et 5 anciens devenant les art. 5 et 6) En raison de l’exigence figurant à l’article 35, alinéa 4 LIPAD selon laquelle un numéro d’identification personnel commun ne peut être utilisé que s’il est institué par une loi cantonale, le nouvel article 4 LNIP introduit dans cette loi de nouveaux numéros pour les registres cantonaux des données de référence des personnes physiques, ainsi que des personnes morales et des entreprises. Alinéa 2, modification de la LECO – B 1 15 Art. 9 (abrogé, l’art. 10 ancien devenant l’art. 9) L’article 9 LECO est abrogé car contraire au présent projet de loi, qui régit désormais la collaboration entre départements, services et offices, ainsi que celle entre institutions, afin de concrétiser autant que possible la simplification administrative. PL 13698 54/73 Alinéa 3, modification de la LAeL – B 4 23 Art. 1, al. 2, lettre e (nouvelle) La lettre e, nouvelle, introduit dans la LAeL la mention de la mise en œuvre de la loi sur la simplification administrative et les référentiels cantonaux des données de base des personnes. Art. 2, al. 1 et 2, phrase introductive et lettre d (nouvelle teneur) Par ailleurs, par souci de simplification, les conventions passées avec les communes à ce niveau sont remplacées par une concertation préalable avec elles suivie d’une décision de mise en œuvre du Conseil d’Etat par règlement. Art. 7A Simplification administrative (nouveau) Enfin, un nouvel article 7A est introduit indiquant de quelle manière la simplification administrative est introduite au niveau des prestations en ligne. Alinéa 4, modification de la LPFisc – D 3 17 Art. 12, al. 1, phrase introductive (nouvelle teneur), lettre w (nouvelle) Il est introduit à l’article 12, alinéa 1, lettre w LPFisc une modification d’ordre technique, qui fait écho à l’article 21, alinéa 2, du présent projet de loi, selon lequel l’AFC contribue également à l’alimentation et à la mise à jour des données personnelles de référence des référentiels cantonaux (cela bien entendu à l’exclusion de toute autre donnée). A teneur du droit actuel, les données relatives au domicile des personnes physiques sont déjà communiquées par l’AFC à l’OCPM, le secret fiscal étant levé à ce niveau (art. 7 LaLHR et art. 12, al. 1, lettre v LPFisc). Au bénéfice de ces explications, nous vous remercions de réserver un bon accueil au présent projet de loi. Annexes : 1) Préavis financier 2) Planification des charges et revenus de fonctionnement découlant du projet 3) Avis du préposé cantonal à la protection des données et à la transparence du 23 juin 2025 Annexe 1 55/73 PL 13698 ANNEXE 1 PL 13698 56/73 57/73 PL 13698 Annexe 2 PL 13698 58/73 ANNEXE 2 59/73 PL 13698 PL 13698 60/73 ANNEXE 3 Annexe 3 61/73 PL 13698 PL 13698 62/73 63/73 PL 13698 PL 13698 64/73 65/73 PL 13698 PL 13698 66/73 67/73 PL 13698 PL 13698 68/73 69/73 PL 13698 PL 13698 70/73 71/73 PL 13698 PL 13698 72/73 73/73 PL 13698