fr
128.41 OPSEnt
Favoriten
In Entwicklung (-_-;)
Aa
Aa
Aa

  • Kontaktformular

    Sind Sie auf einen Fehler gestossen? Oder haben Sie eine Idee für zukünftige Funktionen? Gerne nehmen wir Ihr Feedback auf. Herzlichen Dank!

    Sie können optional Ihre Email-Adresse für allfällige Rückfragen angeben. Diesfalls stimmen Sie einer entsprechenden Bearbeitung dieser persönlichen Daten für den vorliegenden Zweck zu.

    Neben Ihrer Nachricht wird die aktuelle URL, Zeit und Datum der Nachricht sowie eine generische Information zur Art des genutzten Browsers mitgeschickt (bspw. "Chrome"). Die IP-Adresse oder sonstige Informationen werden nicht übermittelt oder gespeichert.

    Es sei im Weiteren auf die aktuelle Datenschutzerklärung verwiesen.

    Pinnwand Alle Elemente minimieren/maximieren Alle Elemente entfernen Pinnwand als PDF drucken

    Text vorbereiten...

    128.41

    Ordonnance sur la procédure de sécurité relative aux entreprises

    (OPSEnt)

    du 8 novembre 2023 (État le 1er janvier 2024)

    Le Conseil fédéral suisse,

    vu les art. 73 et 84, al. 1, de la loi du 18 décembre 2020 sur la sécurité de l’information (LSI)1,

    arrête:

    1 RS 128

    Section 1 Dispositions générales

    Art. 1 Objet et champ d’application

    (art. 2, 49 et 73 LSI)

    1 La présente ordonnance régit:

    a.
    les modalités de la procédure de sécurité relative aux entreprises visée aux art. 49 à 73 LSI;
    b.
    l’application aux sous-contractants de la procédure de sécurité relative aux entreprises;
    c.
    les tâches et les compétences du service spécialisé chargé de mener la procédure de sécurité relative aux entreprises (service spécialisé PSE);
    d.
    les mesures nécessaires pour garantir la sécurité des données du système visé à l’art. 70 LSI;
    e.
    les modalités du contrôle périodique réalisé par un organe externe du traitement des données personnelles.

    2 Elle s’applique:

    a.
    aux autorités visées à l’art. 2, al. 1, LSI;
    b.
    aux unités de l’administration fédérale centrale au sens de l’art. 7 de l’ordonnance du 25 novembre 1998 sur l’organisation du gouvernement et de l’administration2;
    c.
    à l’armée.

    3 L’application de la présente ordonnance aux unités de l’administration fédérale décentralisée visées à l’art. 2, al. 3, de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA)3 et aux organisations visées à l’art. 2, al. 4, LOGA est régie par l’art. 2, al. 2 et 3, de l’ordonnance du 8 novembre 2023 sur la sécurité de l’information (OSI)4.

    2 RS 172.010.1

    3 RS 172.010

    4 RS 128.1

    Art. 2 Entreprises concernées

    (art. 50 LSI)

    1 La procédure de sécurité visée dans la présente ordonnance est menée auprès des entreprises dont le siège est en Suisse.

    2 Les traités internationaux visés à l’art. 87 LSI régissent l’exécution de la procédure de sécurité s’appliquant aux entreprises dont le siège est à l’étranger.

    Art. 3 Autorité compétente

    (art. 51, al. 2, LSI)

    1 Le Secrétariat d’État à la politique de sécurité du Département fédéral de la défense, de la protection de la population et des sports (DDPS) exploite le service spécialisé PSE.

    2 Le service spécialisé PSE coordonne ses activités internationales avec celles du service spécialisé de la Confédération pour la sécurité de l’information (art. 83 LSI).

    Section 2 Ouverture de la procédure

    Art. 4 Demande d’ouverture de la procédure

    (art. 52 LSI)

    1 Dans le domaine de compétence du Conseil fédéral, les préposés à la sécurité de l’information des unités administratives visés à l’art. 37 OSI5 ont la compétence de demander l’ouverture de la procédure. L’art. 13, al. 2, let. c, est réservé.

    2 Les autorités visées à l’art. 2, al. 1, LSI annoncent au service spécialisé PSE qui, dans leur domaine de compétence, est chargé de demander l’ouverture de la procédure.

    3 La demande comprend notamment:

    a.
    une description des travaux de construction, de la livraison ou de la prestation;
    b.
    des explications sur le caractère sensible du mandat;
    c.
    des informations sur la procédure d’adjudication prévue.

    5 RS 128.1

    Art. 5 Examen de la demande

    (art. 53 LSI)

    1 Avant d’ouvrir la procédure, le service spécialisé PSE consulte l’adjudicateur, l’autorité étrangère ou l’organisation internationale compétente.

    2 La procédure doit impérativement être ouverte lorsque l’une des conditions suivantes est remplie:

    a.
    le mandat sensible comprend le traitement d’informations classifiées «secret» ou l’administration, l’exploitation, la maintenance ou le contrôle de moyens informatiques relevant de la catégorie de sécurité «protection très élevée»;
    b.
    le mandat sensible comprend le traitement d’informations classifiées «confidentiel» qui concernent plusieurs autorités ou départements;
    c.
    le mandat sensible comprend l’administration, l’exploitation, la maintenance ou le contrôle de moyens informatiques relevant de la catégorie de sécurité «protection élevée» engagés pour l’accomplissement de tâches concernant plusieurs autorités ou départements;
    d.
    l’entreprise soumissionne pour un mandat dont l’exécution requiert un certificat international de sécurité au sens de l’art. 66 LSI.

    3 Le service spécialisé PSE informe l’adjudicateur dès lors qu’il est prévisible que l’examen de la demande durera plus de 30 jours.

    Art. 6 Examen de la demande avec des autorités de sécurité étrangères

    (art. 52, al. 3, LSI)

    1 Lorsque des entreprises étrangères entrent en considération pour l’exécution du mandat sensible, le service spécialisé PSE transmet la demande au service spécialisé de la Confédération pour la sécurité de l’information.

    2 Le service spécialisé de la Confédération pour la sécurité de l’information vérifie avec l’autorité de sécurité étrangère compétente si les entreprises concernées disposent d’une déclaration de sécurité relative aux entreprises valable. Si tel n’est pas le cas, il demande à l’autorité de sécurité étrangère d’ouvrir la procédure de sécurité relative aux entreprises.

    Art. 7 Définition des exigences en matière de sécurité

    (art. 54 LSI)

    1 Les exigences en matière de sécurité de l’information pour la procédure d’adjudication et la phase d’exécution du mandat sont définies dans l’OSI6 et dans l’ordonnance du 8 novembre 2023 sur les contrôles de sécurité relatifs aux personnes7.

    2 Si la procédure est ouverte à la demande d’une autorité étrangère ou d’une organisation internationale, les exigences en matière de sécurité de l’information sont régies par le traité international pertinent.

    3 Le service spécialisé PSE fixe en accord avec l’adjudicateur les tâches sensibles que ce dernier doit mettre en œuvre pour la procédure d’adjudication et la phase d’exécution du mandat.

    4 L’adjudicateur demeure responsable de la coordination des processus de la procédure d’adjudication.

    6 RS 128.1

    7 RS 128.31

    Section 3 Évaluation des entreprises

    Art. 8 Indication des entreprises qualifiées

    (art. 55 LSI)

    1 L’adjudicateur peut indiquer au service spécialisé PSE jusqu’à cinq entreprises entrant en considération. Dans des cas motivés, le service spécialisé PSE peut autoriser un nombre plus élevé à la demande de l’adjudicateur.

    2 Le service spécialisé PSE vérifie si les entreprises entrant en considération ont consenti à la procédure.

    3 Il informe l’adjudicateur dès lors qu’il est prévisible que l’examen de la qualification durera plus de 30 jours.

    Art. 9 Collecte des données

    (art. 56 LSI)

    1 Le service spécialisé PSE collecte toutes les données pertinentes pour la sécurité nécessaires à l’évaluation de la qualification de l’entreprise, notamment:

    a.
    les données sur les rapports de propriété et les modifications prévues telles que les fusions, les participations ou les acquisitions;
    b.
    les données sur la composition de la direction de l’entreprise;
    c.
    les données sur les liens d’intérêts des membres de la direction de l’entreprise;
    d.
    les données sur la solvabilité et les éventuelles procédures de saisie ou de faillite;
    e.
    les données sur le paiement des impôts et des cotisations sociales;
    f.
    les références de marchés publics antérieurs;
    g.
    les données sur les relations de l’entreprise avec des États étrangers ou des organisations étrangères ou sur d’autres relations de dépendance.

    2 Il recueille auprès du Service de renseignement de la Confédération les données que ce dernier a collectées dans l’accomplissement des tâches visées à l’art. 6, al. 1, let. a, de la loi fédérale du 25 septembre 2015 sur le renseignement8.

    8 RS 121

    Art. 10 Exclusion de la procédure d’adjudication

    (art. 57 et 58 LSI)

    1 L’adjudicateur et le service spécialisé PSE s’informent mutuellement dès lors qu’il existe des indices laissant supposer qu’une entreprise entrant en considération pourrait être exclue de la procédure d’adjudication.

    2 Le service spécialisé PSE poursuit la procédure tant que l’adjudicateur n’exclut pas l’entreprise concernée de la procédure d’adjudication.

    3 Si l’adjudicateur exclut l’entreprise, la procédure de sécurité relative à cette entreprise est classée.

    Art. 11 Échange d’informations

    (art. 57 et 58 LSI)

    Lors de l’échange d’informations visé à l’art. 10, al. 1, l’adjudicateur et le service spécialisé PSE se mettent mutuellement à disposition toutes les informations et données utiles à l’examen de la qualification ou à la vérification des faits visés à l’art. 44 de la loi fédérale du 21 juin 2019 sur les marchés publics (LMP)9, sous réserve des art. 70, al. 3, et 71, al. 1, let. a, LSI.

    9 RS 172.056.1

    Section 4 Plan de sécurité

    Art. 12 Contenu et contrôle du plan de sécurité

    (art. 59, al. 2 et 3, LSI)

    1 Le plan de sécurité définit les mesures organisationnelles, personnelles, techniques et physiques permettant de garantir une exécution du mandat sensible tenant compte des risques pour la sécurité.

    2 Le service spécialisé PSE fixe les directives auxquelles doit répondre le plan de sécurité après inspection visuelle des locaux de l’entreprise. Il tient compte des conditions spécifiques de l’entreprise.

    3 Si le plan de sécurité ne correspond pas aux directives du service spécialisé PSE, ce dernier accorde à l’entreprise un délai approprié afin de l’adapter.

    4 Le service spécialisé PSE informe l’adjudicateur dès lors qu’il est prévisible que le contrôle du plan de sécurité durera plus de 30 jours.

    Art. 13 Préposé à la sécurité de l’entreprise

    1 Les entreprises entrant en considération pour l’exécution du mandat indiquent un préposé à la sécurité et son suppléant au service spécialisé PSE. Le préposé à la sécurité et son suppléant doivent être membres de la direction ou agir sur son mandat direct.

    2 Le préposé à la sécurité accomplit les tâches suivantes:

    a.
    il est l’interlocuteur du service spécialisé PSE pour toutes les questions relatives à la sécurité de l’information;
    b.
    il veille à la mise en œuvre du plan de sécurité (art. 12, al. 1);
    c.
    il demande l’ouverture de la procédure de sécurité relative aux entreprises pour le sous-contractant si l’adjudicateur a autorisé l’entreprise à octroyer un mandat sensible à un sous-contractant.
    Art. 14 Communication de l’adjudication

    (art. 59, al. 1, LSI)

    1 L’adjudication est communiquée séparément pour chaque marché dépendant d’un contrat-cadre.

    2 Lorsqu’il communique l’adjudication, l’adjudicateur transmet au service spécialisé PSE les informations nécessaires à l’établissement du plan de sécurité.

    Art. 15 Contrôles de sécurité relatifs aux personnes

    (art. 60 LSI)

    1 Le service spécialisé PSE détermine les personnes de l’entreprise qui sont soumises à un contrôle de sécurité relatif aux personnes.

    2 Il peut autoriser l’entreprise à ouvrir la procédure du contrôle de sécurité de manière autonome.

    Section 5 Déclaration de sécurité relative aux entreprises et répétition de la procédure

    Art. 17 Information de la part de l’entreprise

    (art. 63, al. 2, LSI)

    1 Par changement dans le domaine de la sécurité, on entend notamment:

    a.
    un changement des rapports de propriété ou des structures de l’entreprise;
    b.
    un changement du site de l’entreprise;
    c.
    un changement de la composition de la direction de l’entreprise;
    d.
    un changement des liens d’intérêts des membres de la direction de l’entreprise;
    e.
    un changement de la solvabilité et d’éventuelles procédures de saisie ou de faillite;
    f.
    l’existence de litiges de droit privé ou public ou de procédures pénales;
    g.
    un changement concernant l’utilisation des moyens informatiques;
    h.
    l’engagement de collaborateurs amenés à participer aux activités sensibles;
    i.
    un changement dans les relations de l’entreprise avec des États étrangers ou des organisations étrangères ou dans d’autres relations de dépendance;
    j.
    l’acceptation de mandats suscitant un conflit d’intérêts ou créant une relation de dépendance par rapport à un adjudicateur.

    2 Par incident dans le domaine de la sécurité, on entend notamment:

    a.
    l’accès illicite à l’entreprise;
    b.
    l’utilisation abusive des moyens informatiques de l’entreprise;
    c.
    une attaque visant les moyens informatiques de l’entreprise, qu’elle ait abouti ou non;
    d.
    la découverte de vulnérabilités ou de failles de sécurité;
    e.
    l’ouverture de procédures pénales ou de procédures de poursuite pour dettes contre du personnel de l’entreprise participant à l’exécution du mandat sensible;
    f.
    les perquisitions et les mises sous séquestre effectuées dans l’entreprise.

    3 L’entreprise doit également annoncer les changements et les incidents dans le domaine de la sécurité qui concernent leurs fournisseurs si ces changements ou incidents sont susceptibles d’avoir un impact sur l’exécution du mandat sensible.

    4 Elle informe le service spécialisé PSE dès lors qu’il est prévisible que la déclaration de sécurité de l’entreprise arrivera à échéance alors que l’entreprise sera en train d’exécuter un mandat sensible.

    Art. 18 Devoirs de l’adjudicateur

    1 Si, lors de la collaboration avec l’entreprise, l’adjudicateur constate un changement ou un incident dans le domaine de la sécurité, il prend sans délai les mesures nécessaires et informe immédiatement le service spécialisé PSE.

    2 L’adjudicateur informe en outre le service spécialisé PSE dans les cas suivants:

    a.
    il a connaissance, dans le cadre de l’exécution du mandat sensible, d’indices justifiant la révocation de l’adjudication au sens de l’art. 44 LMP10;
    b.
    il entend procéder à un changement dans le domaine de la sécurité concernant le mandat;
    c.
    il entend confier un mandat supplémentaire à l’entreprise.

    10 RS 172.056.1

    Art. 19 Certificat international de sécurité

    (art. 66 LSI)

    1 Le service spécialisé PSE perçoit un émolument de 100 francs pour l’établissement d’un certificat international de sécurité.

    2 Un émolument correspondant au temps consacré est de plus perçu si l’établissement d’un certificat international de sécurité requiert au préalable une procédure de sécurité relative aux entreprises. Le tarif horaire est de 100 à 400 francs. Il dépend de l’urgence du de la tâche et de la fonction occupée par le personnel qui conduit la procédure. Pour le reste, l’ordonnance générale du 8 septembre 2004 sur les émoluments11 s’applique.

    3 Le service spécialisé de la Confédération pour la sécurité de l’information et le service spécialisé PSE peuvent transmettre, sur demande, une copie du certificat international de sécurité à l’autorité étrangère ou à l’organisation internationale.

    11 RS 172.041.1

    Art. 20 Révocation de la déclaration de sécurité et retrait du mandat

    (art. 67 LSI)

    1 Si le service spécialisé PSE a connaissance d’indices laissant supposer qu’il existe un motif de révocation de la déclaration de sécurité, il fixe, après avoir consulté l’adjudicateur, un délai à l’entreprise pour qu’elle remédie aux manquements.

    2 Si le mandat est retiré en raison de la révocation de la déclaration de sécurité, l’adjudicateur veille immédiatement à ce que:

    a.
    toutes les activités sensibles soient stoppées sans attendre et que les droits d’accès qui y sont liés soient retirés, et que
    b.
    toutes les informations classifiées, tous les moyens informatiques et tout le matériel soient saisis.

    3 Dans les dix jours après avoir été informé de la révocation, l’adjudicateur confirme au service spécialisé PSE qu’il a exécuté les mesures visées à l’al. 2.

    Art. 21 Répétition de la procédure

    (art. 68 LSI)

    1 Le service spécialisé PSE est compétent pour ouvrir la répétition de la procédure de sécurité relative aux entreprises.

    2 Si la déclaration de sécurité de l’entreprise échoit alors que la procédure est en cours de répétition, sa validité est prolongée jusqu’à ce qu’une nouvelle déclaration soit rendue ou que la procédure de sécurité relative aux entreprises soit classée.

    3 Si la déclaration de sécurité de l’entreprise n’est pas renouvelée ou si la procédure de sécurité relative aux entreprises est classée, l’art. 20 s’applique par analogie. L’art. 58, al. 3, LSI est réservé.

    Section 6 Traitement des données personnelles

    Section 7 Prestations du service spécialisé PSE en faveur des cantons

    (art. 86, al. 4, LSI)

    Art. 24

    1 Les cantons peuvent demander au service spécialisé PSE une évaluation de la qualification au sens des art. 55 à 57 LSI en vue de l’exécution d’un mandat sensible selon le droit cantonal:

    a.
    lorsqu’ils disposent d’une base légale suffisante;
    b.
    lorsqu’ils entendent effectuer des évaluations à l’instar de la Confédération pour garantir la sécurité de l’information, et
    c.
    lorsqu’ils ont conclu une convention de prestations avec le DDPS.

    2 La convention de prestation visée à l’al. 1, let. c, règle notamment:

    a.
    le nombre d’évaluations à réaliser;
    b.
    les services cantonaux autorisés à demander de telles évaluations;
    c.
    le financement des prestations, y compris ses modalités.

    3 Le montant des émoluments est régi par l’art. 19, al. 2.

    Section 8 Dispositions finales

    Art. 26 Dispositions transitoires

    L’ancien droit s’applique aux mandats octroyés avant l’entrée en vigueur de la présente ordonnance et aux procédures de sauvegarde du secret en cours à l’entrée en vigueur de la présente ordonnance.

    Annexe 1

    (art. 22)

    Données du système d’information sur la procédure de sécurité relative aux entreprises

    Données personnelles

    1.
    Nom
    2.
    Prénom
    3.
    Adresse
    4.
    Numéro AVS
    5.
    Nationalité
    6.
    Lieu d’origine
    7.
    Nom et adresse de l’employeur
    8.
    État civil
    9.
    Lieu de naissance
    10.
    Date de naissance
    11.
    Date de naturalisation
    12.
    Date du début du séjour en Suisse
    13.
    Nom et prénom du conjoint ou du partenaire
    14.
    Fonction
    15.
    Nom et adresse de l’adjudicateur
    16.
    Projet

    Données concernant l’entreprise

    Entreprise

    17.
    Numéro de dossier
    18.
    Nom
    19.
    Adresse
    20.
    Téléphone
    21.
    Fax
    22.
    E-mail
    23.
    Adresse Internet

    Préposé à la sécurité de l’entreprise

    24.
    Civilité
    25.
    Nom
    26.
    Prénom
    27.
    Sexe
    28.
    E-mail

    Données d’examen

    29.
    Date de l’examen de la qualification
    30.
    Code de la branche correspondant à l’activité économique de l’entreprise (code NOGA)
    31.
    Visite (date, indication chronologique avec la note de texte)
    32.
    Contrôle (date, indication chronologique avec la note de texte)
    33.
    Déclaration de sécurité (date, établissement, révocation, restitution)
    34.
    Plan de sécurité (dans l’ordre chronologique)

    Dossiers

    35.
    Numéro d’exemplaire
    36.
    Expéditeur
    37.
    Date de dossier
    38.
    Date d’expédition
    39.
    Date de contrôle
    40.
    Date de remise
    41.
    Désignation

    Mandats

    42.
    Désignation du mandat principal
    43.
    Adjudicateur
    44.
    Désignation des mandats
    45.
    Classification
    46.
    Date de communication
    47.
    Début de la durée de validité
    48.
    Fin de la durée de validité
    49.
    Désignation succincte de la branche
    50.
    Code de la branche correspondant à l’activité économique de l’entreprise (code NOGA)

    Annexe 2

    (art. 25)

    Abrogation et modification d’autres actes

    I

    L’ordonnance du 29 août 1990 concernant la sauvegarde du secret12 est abrogée.

    II

    Les actes mentionnés ci-après sont modifiés comme suit:

    13

    12 [RO 1990 1774]

    13 Les mod. peuvent être consultées au RO 2023 737.

    WICHTIGER HINWEIS

    Die auf dieser Website abrufbaren Gesetze und Dokumente sind keine amtlichen Veröffentlichungen. Massgebend sind allein die Veröffentlichungen durch die Bundeskanzlei. Siehe www.fedlex.admin.ch.

    In Bezug auf englische Sprachfassungen sei darauf hingewiesen, dass Englisch keine offizielle Amtssprache ist. Die englischen Übersetzungen der Erlasstexte dienen lediglich der generellen Information.

    COOKIE INFORMATION

    Diese Website erfordert einige wenige funktionelle Cookies und die Local Storage Web API. In den Nutzungsbedingungen und den Informationen zum Datenschutz erfahren Sie mehr.

    Willkommen bei Omnius EasyReaderbeta

    Omnius EasyReader ist ein Tool für ein effizienteres Arbeiten mit Schweizer Bundeserlassen.

    Bitte beachten Sie, dass sich die Website in Entwicklung befindet und gegenwärtig in einer Beta-Version vorliegt. Es können entsprechend Fehler auftauchen oder die Website ist über gewisse Zeit nicht oder nur eingeschränkt verfügbar.

    Eine Übersicht zum Entwicklungsstand und den momentan verfügbaren Funktionen finden Sie hier.

    Die Website ist aktuell nicht vollständig für den Zugriff via Mobile-Geräte optimiert. Es wird daher empfohlen, die Website auf einem Laptop oder Desktop-PC aufzurufen.

    Es sei im Weiteren auf die Hinweise in den Nutzungsbedingungen verwiesen.

        Tour durch die Funktionen gefällig?