Etaamb.openjustice.be
Arrêté Royal du 02 juin 2019
publié le 21 juin 2019

Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox

source
service public federal strategie et appui
numac
2019013116
pub.
21/06/2019
prom.
02/06/2019
ELI
eli/arrete/2019/06/02/2019013116/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)
Document Qrcode

2 JUIN 2019. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox


RAPPORT AU ROI Sire, 1. INTRODUCTION La stimulation d'une communication électronique sécurisée avec les autorités constitue une étape importante de la concrétisation de la transformation numérique des autorités. Avec la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, un cadre légal est créé pour les échanges électroniques de messages entre instances publiques (utilisateurs) et personnes physiques, entreprises ou autres instances publiques.

L'objectif de l'eBox est double. D'une part, il s'agit d'offrir aux citoyens/entreprises un lieu central, fiable et moderne pour l'échange de messages avec les services publics. D'autre part, la volonté est d'offrir un outil aux services publics pour dématérialiser l'envoi de messages officiels et réduire ainsi considérablement les frais d'envoi postal (lettres et envois recommandés).

L'article 11 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox constitue la base légale du présent arrêté. Conformément à cet article, le Service public fédéral Stratégie et Appui agit en tant qu'autorité d'agrément pour des services d'extraction de l'eBox pour les citoyens. Le Roi prévoit les conditions, la procédure et les conséquences de cet agrément. Le système d'agrément n'existe pas pour l'eBox Entreprises.

L'objectif est de faire primer la facilité d'utilisation pour les destinataires afin qu'ils puissent utiliser à des fins de communication avec les autorités les services qu'ils utilisent déjà pour leur communication privée. La facilité d'utilisation est combinée au contrôle relatif à la sécurité et à la protection des données, ce qui explique le choix d'un système d'agrément.

Toute personne remplissant les conditions peut obtenir un agrément et offrir ainsi ses services pour des applications publiques.

Les conditions d'agrément à fixer par le Roi garantiront un degré élevé de protection de la vie privée et de confidentialité des données, et doivent au moins concerner les caractéristiques fonctionnelles et techniques, le respect de la vie privée et d'exigences de sécurité, notamment en ce qui concerne la sécurité de l'information l'irréfutabilité (conformément au point 37 de l'avis 47/2018 de la Commission de la protection de la vie privée), la gestion des services ainsi que les caractéristiques juridiques et économiques. Les détails techniques sont fixés et publiés par le service public fédéral compétent pour l'Agenda numérique, en concertation avec la Banque Carrefour de la Sécurité Sociale. 2. DISCUSSION DES CHAPITRES 2.1 Chapitre Ier Au chapitre Ier, les termes utilisés dans le projet d'arrêté royal sont définis (art. 1er) et l'objet de l'arrêté royal est exposé (art. 2 et 3). 2.2 Chapitre II Le chapitre II prévoit les conditions auxquelles un prestataire de services doit satisfaire pour obtenir un agrément.

La section 1re de ce chapitre est consacrée aux conditions fonctionnelles et techniques, et la sous-section 1re contient les conditions fonctionnelles et techniques relatives au service d'extraction de données. Plusieurs spécifications purement techniques seront déterminées par l'autorité d'agrément.

Afin de répondre au point 13 de l'avis 16/2019 de l'Autorité de protection des données, il est important de préciser que le candidat à l'agrément doit offrir un service qui consiste en l'extraction et la visualisation de messages électroniques de tiers, autres que le demandeur lui-même, adressés à des citoyens belges ou des personnes morales établies en Belgique. Il ne s'agit donc pas du service agréé mais d'un service similaire. Soit il propose ce service depuis déjà deux ans, soit il compte déjà 50.000 clients, soit il passe avec succès une phase pilote auprès de l'autorité d'agrément. Satisfaire à l'une de ces conditions au moment de l'introduction de la demande d'agrément est suffisant.

La Loi du 19 juillet 2018Documents pertinents retrouvés type loi prom. 19/07/2018 pub. 03/09/2018 numac 2018040577 source service public federal justice Loi relative à l'accessibilité des sites internet et des applications mobiles des organismes du secteur public fermer relative à l'accessibilité des sites internet et des applications mobiles des organismes du secteur public s'applique aux organismes publics. Cet arrêté demande le respect de ces règles également pour les prestataires de services qui veulent se faire agréer pour l'extraction de l'eBox.

La sous-section 2 est consacrée au choix du destinataire pour le service d'extraction de données.

Le consentement pourra être donné et retiré par des personnes physiques.

Le consentement de la personne physique doit être conforme au Règlement général sur la protection des données. Cela signifie qu'il doit s'agir d'une action positive et explicite, d'un acte positif de la personne concernée (non implicite), démontrable, d'un choix véritablement libre (pas de déséquilibre) et qu'il convient de prévoir une possibilité simple de retrait du consentement et de fournir des informations claires sur cette possibilité. Les informations doivent être disponibles sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.

Le destinataire peut choisir un ou plusieurs prestataires de services.

Le prestataire de services ne peut pas empêcher ou décourager le destinataire d'avoir (également) recours à un autre prestataire de services afin de consulter l'eBox, ou de consulter l'eBox sans prestataire de services.

La prestation de services du prestataire de services se limite à la fourniture d'un service d'extraction de données tel que défini dans le présent arrêté, et ne concerne donc pas l'enregistrement, d'autres services supplémentaires ou tout autre traitement de messages électroniques par le prestataire de services, sauf lorsqu'un destinataire a conclu un contrat à ce sujet et opère donc clairement ce choix. Le consentement du destinataire à donner accès à ses messages au prestataire de services dans le cadre d'un service supplémentaire doit satisfaire aux exigences de l'article 4, 11° du Règlement général sur la protection des données.

La sous-section 3 traite de l'envoi du numéro d'identification unique (numéro de Registre national ou numéro de Banque Carrefour) lors de l'identification par l'utilisateur.

Le niveau de garantie « substantiel » qui est demandé pour le service d'identification électronique se cumule avec le niveau de garantie « adapté » requis par le Règlement général sur la protection des données 2016/679 et il faut comprendre le « niveau de garantie substantielle » au sens de l'article 8, paragraphe 2, du règlement (UE) 910/2014, qui précise « le niveau de garantie substantiel renvoie à un moyen d'identification électronique dans le cadre d'un schéma d'identification électronique qui accorde un degré substantiel de fiabilité à l'identité revendiquée ou prétendue d'une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l'objectif est de réduire substantiellement le risque d'utilisation abusive ou d'altération de l'identité ».

La sous-section 4 règle l'échange d'informations entre le prestataire de services et l'autorité d'agrément.

La sous-section 5 comprend des garanties supplémentaires relatives à la protection des données à caractère personnel.

Le prestataire de services traitera toutes les données à caractère personnel comprises dans un message ou une transaction conformément à l'article 11, § 4 et 5, de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, aux dispositions du Règlement général sur la protection des données, et à toutes les éventuelles dispositions supplémentaires ou complémentaires relatives à la protection de la vie privée.

Lors de la transaction, le prestataire d'un service agréé ne prend pas connaissance du contenu des messages échangés par son biais, et n'utilise les messages d'aucune manière pour la fourniture du service agréé. A cette fin, le prestataire de services prend les mesures nécessaires et les documente.

Conformément la clarification demandée au point 14 de l'avis 16/2019 de l'Autorité de protection des données, le prestataire de services ne reçoit de l'autorité d'agrément que des métadonnées concernant le message, de sorte qu'il puisse avertir le destinataire qui peut alors consulter le contenu du message. Après accord indubitable et préalable de la personne concernée, le prestataire de services peut éventuellement avoir accès au contenu des messages pour la fourniture d'un service à valeur ajoutée. Ici aussi, le prestataire de services doit garantir les mesures nécessaires pour assurer un consentement libre, spécifique, informé et indubitable et le documenter.

Conformément au point 10, 3° de l'avis 16/2019 de l'Autorité de protection des données, il est spécifié que la personne peut donner son consentement pour que le prestataire de services ait accès au contenu d'un message uniquement pour la réception de services à valeur ajoutée dans le but de traiter les données strictement nécessaires pour offrir le service à valeur ajoutée. Strictement nécessaires veut dire que le service ne peut être offert sans le traitement de ces données.

Les remarques de l'Autorité aux points 5 à 9 ne peuvent cependant pas être prises en compte.

La possibilité pour les prestataires de services agréés d'accéder au contenu des messages est en effet explicitement prévue à l'article 11, § 5, de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer. Cette possibilité a été prévue par le législateur afin que les prestataires de services agréés puissent offrir des services innovants pour lesquels le traitement de données de fond est strictement nécessaire. Si ces services à valeur ajoutée peuvent être offerts purement sur la base de de métadonnées, les prestataires de services ne peuvent donc pas demander au destinataire, en vertu de la loi, un accès au contenu des messages pour offrir ces services.

Une première garantie relative au traitement de données de fond est l'exigence de nécessité : le prestataire ne peut demander au destinataire l'autorisation de bénéficier d'un accès que lorsqu'il est techniquement impossible d'offrir le service sans traiter le contenu.

En outre, il ne peut évidemment traiter les données que pour les finalités et la durée strictement nécessaires et proportionnels à la fourniture du service demandé.

Une deuxième garantie est que le prestataire de services est tenu au consentement indubitable et préalable du destinataire.

Ce dernier doit, au préalable et en connaissance de cause, consentir au traitement du contenu des messages afin de bénéficier du service qu'il demande.

Comme mentionné ci-dessus, ce consentement doit être informé, indubitable, spécifique et donné librement, avant que les prestataires de services puissent accéder au contenu des messages. Le citoyen doit être clairement informé par le prestataire de services afin qu'il comprenne bien quelles données le prestataire de services pourra traiter, et à quelles fins précises, dans le cadre d'un service à valeur ajoutée.

Afin d'apaiser l'inquiétude de l'Autorité de protection des données mentionnée au point 7 selon laquelle l'accord en question ne serait qu'une formalité, une obligation de transparence supplémentaire est imposée aux prestataires de services en ce qui concerne les services à valeur ajoutée. Ils doivent veiller à ce que le consentement soit demandé et donné de manière significative.

Dans l'arrêté, il a dès lors été ajouté que le prestataire de services prévoit pour chaque destinataire des informations claires sur les services à valeur ajoutée choisis par le destinataire, sur les autorisations que le destinataire a données en la matière, et sur la portée de ces autorisations (par exemple sur le fait qu'il ait donné ou non accès au contenu de certains types de messages ainsi qu'un aperçu clair des finalités précises du traitement de certaines données de fond).

Pour chaque nouveau service à valeur ajoutée offert par le prestataire de services, ce dernier fournit à l'autorité d'agrément des informations démontrant comment il respecte l'obligation mentionnée ci-dessus.

Le prestataire de services doit désigner un délégué à la protection des données qui contrôle le traitement des données lors de la prestation de services.

Le prestataire de services prend toutes les mesures techniques et organisationnelles appropriées afin de prévenir les risques et documente dans un rapport de sécurité les mesures ainsi que la façon dont elles sont en adéquation avec les risques. L'autorité d'agrément peut demander ce rapport en tout temps.

On prévoit également l'installation par le prestataire de services d'un « audit trail » ou « piste d'audit sécurisée ». Conformément la question posée au point 17 de l'avis 16/2019 de l'Autorité de protection des données, la clef d'identification du destinataire et de l'information concernant la notification sont ajoutés. Le délai de conservation de 10 ans des informations dans la piste d'audit se base sur les délais de prescription de droit commun. Il n'y a d'accès au Registre national à aucun moment. Conformément à l'article 11 § 3 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, le prestataire de services agréé utilisera le numéro de Registre national mais cette utilisation se limite strictement à l'exécution de la prestation de services. Le numéro de Banque Carrefour est utilisé à défaut de numéro de Registre national.

Le prestataire de services doit prendre des mesures afin que l'utilisation du numéro de Registre national se limite à l'identification et l'authentification, et documenter ces mesures.

Au point 12 de l'avis 16/2019, l'Autorité de protection des données demande de remplacer partout le terme « numéro d'identification unique » par le numéro de registre national. Le terme « numéro d'identification unique » est maintenu aux endroits où il est question non seulement du numéro de registre national mais aussi du numéro de banque-carrefour.

Lorsque la prestation de service au destinataire prend fin, suite à la cessation du contrat entre le prestataire de services et le destinataire pour quelque raison que ce soit, le prestataire de services prévient l'autorité d'agrément. Le prestataire de services informe le destinataire qu'il peut consulter ses messages dans l'eBox à tout moment via le myebox proposé par le service public compétent en matière d'Agenda numérique. Ces messages restent disponibles pendant le délai défini par l'expéditeur du message tant que le destinataire ne retire pas son consentement à l'égard de l'échange de messages via l'eBox. Après cessation de la prestation de service au destinataire, le prestataire de services détruit toutes les données liées à la prestation de service au destinataire. Cette explication répond à la remarque de l'Autorité de protection des données formulée au point 11 de son avis 16/2019.

La section 2 prévoit les conditions relatives à la prestation de services.

La sous-section 1re aborde la disponibilité du service qui doit être, sur base mensuelle, d'au moins 99,9 %.

Afin de fournir une preuve d'indisponibilité lorsque l'envoi et la réception sont impossibles, qui peut être invoquée comme force majeure par les parties conformément à l'article 5 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, le prestataire de services enregistre l'indisponibilité et met ces informations à disposition.

La sous-section 2 règle la disponibilité des services de support. A cet égard, une distinction est établie entre, d'une part, les appels provenant des utilisateurs et des services publics autres que l'autorité d'agrément et, d'autre part, les appels provenant de l'autorité d'agrément. Pour la première catégorie d'appels, le prestataire de services doit, durant les heures de bureau prolongées, proposer aux utilisateurs un support téléphonique et une page Internet proposant des questions fréquemment posées. Pour la deuxième catégorie d'appels, le prestataire de services prévoit un support téléphonique, et ce, 24 heures sur 24 et 7 jours sur 7.

La sous-section 3 règle la gestion du déploiement.

L'analyse d'impact qui est demandée au prestataire de services lors d'une nouvelle version du logiciel ayant un impact significatif sur les destinataires ou l'autorité d'agrément, n'équivaut pas à la notion d'analyse d'impact relative à la protection des données visée aux articles 35 et 36 du RGPD. Il est possible que l'impact porte sur la protection des données à caractère personnel mais aussi sur la convivialité ou une modification significative de la manière van de se connecter.

La sous-section 4 traite de la continuité du service. Il s'agit de l'obligation d'offrir le service pendant toute la durée de l'agrément.

La sous-section 5 règle les obligations d'établissement de rapports incombant au prestataire de services.

La section 3 détermine les conditions économiques et juridiques auxquelles doit satisfaire un demandeur ou un prestataire de services, selon le cas.

En vérifiant les obligations concernant le paiement des cotisations de sécurité sociale et des impôts, on tiendra compte des seuils qui sont utilisés dans le domaine des marchés publics et en dessous desquels les entreprises concernées ne sont pas censées avoir des dettes.

En décrivant objectivement les conditions d'agrément, l'arrêté garantit le traitement égal des fournisseurs de services d'identification électronique.

Les fournisseurs démontrent qu'ils sont aptes à assumer le risque de responsabilité de dommages et à disposer de suffisamment de moyens financiers afin de poursuivre leurs activités et la prestation de services. Ils peuvent le faire en présentant par exemple les assurances contractées.

On exige aussi d'eux qu'ils disposent d'un plan de cessation efficace.

Ce plan comporte des mesures concernant l'organisation en cas d'arrêt de la prestation de services ou de la reprise de la prestation de services par un autre prestataire de services, la façon dont les autorités compétentes et les utilisateurs finaux sont informés, ainsi que les modalités de protection, conservation et destruction des données. 2.3 Chapitre III Le chapitre III règle la procédure d'agrément. Les dispositions relatives à l'introduction de la demande d'agrément sont reprises à la section 1re de ce chapitre.

La sous-section 2 règle le traitement de la demande d'agrément par l'autorité d'agrément.

Pendant la procédure d'agrément aussi, il existe suffisamment de garanties de respect des principes généraux de bonne gouvernance.

Notamment en décrivant de manière transparente la procédure d'agrément, on garantit que les candidats sont traités sur un pied d'égalité. En outre, tout qui introduit une demande d'agrément a le droit d'être entendu pendant la procédure d'agrément. Grâce à l'exigence d'introduction d'une demande d'agrément très documentée, l'administration peut également, conformément au principe de diligence, prendre une décision sur la demande d'agrément en connaissance de cause. Enfin, l'autorité d'agrément est tenue, dans un délai de 3 mois, de se prononcer sur la demande d'agrément, afin de respecter le délai raisonnable. 2.4 Chapitre IV Le chapitre IV traite des conséquences de l'agrément du prestataire de services.

La section 1re traite des conséquences opérationnelles de l'agrément.

L'une des conséquences opérationnelles de l'agrément est que le fournisseur du service d'identification électronique agréé est automatiquement autorisé à utiliser le numéro de Registre national pour la gestion de l'accès et des utilisateurs par le biais du service fédéral d'authentification (FAS) pour les applications développées pour les missions d'intérêt général. Le numéro d'identification unique peut, à défaut du numéro de Registre national, également être le numéro de Banque Carrefour de la Sécurité Sociale.

Conformément à l'article 8, § 1er, alinéa 2, de la loi du 8 août 1983 organisant un Registre national des personnes physiques, le présent projet d'arrêté était soumis à l'avis de l'Autorité de protection des données et soumis pour concertation au Conseil des Ministres.

En aucun cas l'autorité d'agrément ne peut être tenue responsable des dommages qui découlent de perturbations, interruptions et erreurs dans le fonctionnement d'un service agréé d'identification électronique.

La section 2 du chapitre IV règle les conséquences financières de l'agrément.

L'autorité d'agrément ne rémunère la prestation de services.

La section 3 établit que l'agrément a une durée de validité de 3 ans.

Il est possible de le prolonger trois fois d'un an sur simple demande.

Le renouvellement de l'agrément après six ans (trois ans + trois fois un an) suppose une nouvelle demande.

En déterminant clairement les conséquences de l'agrément (opérationnelles, financières et temporelles), l'arrêté offre suffisamment de garanties en matière de sécurité juridique. 2.5 Chapitre V Le chapitre V contient des dispositions relatives au contrôle, à la suspension et au retrait de l'agrément.

Le contrôle est réglé à la section 1re.

La section 2 règle la suspension et le retrait de l'agrément.

Dans tous les cas de suspension ou de retrait d'un agrément, le prestataire de services sera entendu par l'autorité d'agrément. 2.6 Chapitre VI Le chapitre VI contient les dispositions finales.

L'agrément de prestataires de services doit démarrer rapidement en raison du fait que, depuis quelques mois, une série de prestataires de services privés donnent accès à l'eBox en phase pilote. Il n'est pas souhaitable de laisser cette phase pilote durer trop longtemps, sans pouvoir passer à une offre plus durable de services agréés afin de permettre aux citoyens d'accéder à l'eBox. C'est la raison pour laquelle l'entrée en vigueur est prévue le jour de la publication au Moniteur belge.

J'ai l'honneur d'être, Sire, de Votre Majesté le très respectueux et très fidèle serviteur, Le Ministre de l'Agenda numérique, Ph. DE BACKER

Avis 65.831/4 du 6 mai 2019 de la section de Législation du Conseil d'Etat sur un projet d'arrêté royal `fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox' Le 1er avril 2019, le Conseil d'Etat, section de législation, a été invité par le Ministre de l'Agenda numérique, des Télécommunications et de la Poste, chargé de la Simplification administrative, de la Lutte contre la fraude sociale, de la Protection de la vie privée et de la Mer du Nord à communiquer un avis, dans un délai de trente jours prorogé jusqu'au 15 mai 2019 *, sur un projet d'arrêté royal `fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox'.

Le projet a été examiné par la quatrième chambre le 6 mai 2019. La chambre était composée de Martine BAGUET, président de chambre, Bernard BLERO et Wanda VOGEL, conseillers d'Etat, Christian BEHRENDT et Marianne DONY, assesseurs, et Charles-Henri VAN HOVE, greffier assumé.

Le rapport a été présenté par Jean-Baptiste LEVAUX, auditeur.

La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Martine BAGUET. L'avis, dont le texte suit, a été donné le 6 mai 2019.

Compte tenu du moment où le présent avis est donné, le Conseil d'Etat attire l'attention sur le fait qu'en raison de la démission du Gouvernement, la compétence de celui-ci se trouve limitée à l'expédition des affaires courantes. Le présent avis est toutefois donné sans qu'il soit examiné si le projet relève bien de la compétence ainsi limitée, la section de législation n'ayant pas connaissance de l'ensemble des éléments de fait que le Gouvernement peut prendre en considération lorsqu'il doit apprécier la nécessité d'arrêter ou de modifier des dispositions réglementaires.

Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 2°, des lois `sur le Conseil d'Etat', coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.

Sur ces trois points, le projet appelle les observations suivantes.

EXAMEN DU PROJET DISPOSITIF Article 1er 1. Le 7° se réfère au niveau de garantie « substantiel » tel que défini, notamment, « dans l'annexe au règlement d'exécution (UE) n° 2015/1502 ». Le projet sera revu afin de mentionner la référence complète à ce règlement, à savoir « règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ».

Par ailleurs, pour une information complète des destinataires de la règle, il sera précisé, dans le rapport au Roi dont il y a lieu de souligner qu'il est, en l'état, par trop succinct pour conférer un réel éclairage sur une matière particulièrement complexe, que le niveau de garantie « substantiel » se cumule avec le niveau de garantie « adapté » requis par le RGPD 6 et qu'il faut comprendre le « niveau de garantie substantielle » au sens de l'article 8, paragraphe 2, du règlement (UE) 910/2014, qui précise « le niveau de garantie substantiel renvoie à un moyen d'identification électronique dans le cadre d'un schéma d'identification électronique qui accorde un degré substantiel de fiabilité à l'identité revendiquée ou prétendue d'une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l'objectif est de réduire substantiellement le risque d'utilisation abusive ou d'altération de l'identité ». 3. Le 8° sera omis, cette définition étant déjà prévue par l'article 2, 3°, de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer 7. Toutefois, il est possible pour l'auteur du projet de fixer un champ d'application qui se limite à l'eBox pour personnes physiques; il lui appartient pour ce faire de prévoir, dans le dispositif, le champ d'application de l'arrêté en projet. 4. Le 13° définit les « spécifications techniques » comme le « manuel comprenant les spécifications techniques [...] ».

Interrogée quant à la possibilité de définir les « spécifications techniques » sans utiliser ces termes dans leur propre définition, la déléguée a répondu comme suit : « Een betere formulering zou inderdaad zijn `handleiding met technische instructies'/ `manuel comprenant les instructions techniques' ».

Si telle est la volonté de l'auteur du projet, celui-ci pourra être modifié en ce sens. Par ailleurs, dans la version française, la numérotation de cette définition sera revue, s'agissant du 13° et non du 34°. 5. Au 15°, la définition du « règlement général sur la protection des données » sera omise, celle-ci étant déjà prévue par l'article 2, 4°, de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer.La suite du dispositif sera adaptée en utilisant l'expression définie par l'article 2, 4°, de la loi.

Article 4 1. L'alinéa 1er prévoit que le demandeur offre un service à des citoyens belges ou à des personnes morales établies en Belgique. Interrogée quant à cette limitation à des destinataires belges, la déléguée a répondu comme suit : « De eBox dienst wordt niet enkel aan Belgen aangeboden. Maar de dienst voor visualisatie van berichten moet wel al operationeel zijn in België (of heeft succesvol een pilootfase van de dienst van minimaal zes maanden afgerond) ».

Le projet sera modifié afin de ne pas limiter bénéfice du service aux seuls citoyens belges et aux personnes morales établies en Belgique.

La même observation vaut pour l'alinéa 2 qui vise les « destinataires belges ». 2. L'alinéa 2 prévoit, comme condition d'agrément, que le demandeur offre le service depuis déjà au moins deux ans ou dispose déjà de minimum 50.000 destinataires belges au moment de l'introduction de la demande. Interrogée quant à ces conditions, la déléguée a répondu qu'elles portent sur un service de visualisation des messages en général. Cette précision sera apportée dans le projet afin de ne pas créer une confusion avec le « service d'extraction de données » au sens de l'arrêté en projet.

Article 5 1. Le paragraphe 1er prévoit que le service d'extraction de données satisfait aux spécifications techniques que l'autorité d'agrément publie, à savoir le « service public fédéral compétent pour l'agenda numérique ». Interrogée quant à l'auteur de ces spécifications techniques, la déléguée a répondu qu'il s'agit également de l'autorité d'agrément.

Cependant, une délégation de pouvoirs ne peut, par définition, être attribuée qu'à une personne physique ou morale qui, seule, peut valablement poser des actes juridiques. Il y a donc lieu de désigner un fonctionnaire déterminé ou un organe déterminé et non un « service public fédéral » non dotée de la personnalité juridique 8.

En outre, selon l'article 108 de la Constitution, il appartient en principe au Roi de faire les règlements nécessaires pour l'exécution des lois. Les dérogations à cette règle de principe, qui permettraient par exemple au Roi de déléguer son pouvoir réglementaire à un organisme public, qui n'a aucune responsabilité politique à l'égard de la Chambre des représentants, ne sont admissibles qu'à des conditions strictes, notamment lorsque le caractère technique des mesures à prendre le justifie. Une pareille subdélégation de pouvoir réglementaire ne peut, en tout état de cause, se concevoir que si elle porte sur des éléments accessoires, dans le cadre d'une réglementation dont les éléments principaux sont définis par le Roi 9.

L'habilitation envisagée n'est admissible que si elle s'inscrit dans ces limites. 2. Le paragraphe 2 mentionne les « exigences légales d'accessibilités applicables respectivement aux sites web ou applications mobiles d'instances publiques ». Interrogée quant à l'origine de ces exigences, la déléguée a répondu ce qui suit : « De Wet van 19 juli 2018 inzake toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties is van toepassing op overheidsinstanties. Dit KB vereist respect van deze regels ook voor dienstverleners die zich willen laten erkennen voor ontsluiting van de eBox ».

Le rapport au Roi gagnerait à le préciser afin d'assurer l'information complète des destinataires de la règle.

Article 9 1. Au paragraphe 2, il est prévu qu'« (e)n cas de détection d'un abus probable, le prestataire de services assure qu'aucun message ne sera extrait pour le destinataire ». Interrogée quant aux conséquences d'une telle situation, la déléguée a précisé ce qui suit : « De documenten zijn altijd beschikbaar via de federale myebox interface. Daar wordt de bestemmeling van op de hoogte gebracht door de dienstverlener op het moment van onmogelijkheid om de dienst te leveren ».

Au vu de cette réponse, il sera précisé qu'aucun message ne sera extrait pour le destinataire « par le prestataire de services ». 2. Au paragraphe 3, mieux vaut remplacer le mot « pro-activement » par le mot « préventivement ».3. Au paragraphe 4, les mots « à moins que le destinataire ne choisisse explicitement de pas recevoir » seront remplacés par les mots « à moins que le destinataire choisisse explicitement de ne pas recevoir ». Article 12 Au 6°, dans la version française, la seconde occurrence de l'expression « de la notification » sera omise.

Article 13 Au paragraphe 3, dans la version française, il y a lieu d'écrire « (...) qu'il ne prend connaissance du contenu des messages échangés que si cela est strictement (...) ».

Article 21 La référence à l'article 33, 3°, du RGPD sera corrigée, s'agissant en réalité de l'article 33, paragraphe 3.

Article 23 L'article 23 prévoit que le prestataire de service « [doit] veiller à ne pas se trouver dans l'une des situations suivantes » ensuite énumérées.

Comme en a convenu la déléguée, la disposition sera mieux formulée en prévoyant qu'il « ne se trouve pas dans l'une des situations suivantes ».

Article 24 L'article 24 du projet dispose « Le demandeur démontre qu'il est apte [...] à disposer de suffisamment de moyens financiers afin de poursuivre la prestation de services pendant la durée de l'agrément ». Interrogée quant à la portée de l'exigence de moyens financiers suffisants, la déléguée a précisé « dit artikel is in gelijkaardige vorm aanwezig onder andere in artikel 24 van de Verordening (EU) nr. 910/2014 van het Europees parlement en de raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG. `een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verleent, zorgt ervoor dat hij, in verband met het risico op de in artikel 13 bedoelde aansprakelijkheid voor schade, voldoende financiële middelen ter beschikking heeft en/of sluit, overeenkomstig het nationale recht, een toereikende aansprakelijkheidsverzekering af;' wij stellen voor om het artikel in het besluit als volgt te verduidelijken : `de aanvrager beschikt over voldoende functionele middelen om te functioneren overeenkomstig dit besluit en toont met name aan het risico van de aansprakelijkheid voor schade veroorzaakt door de dienstverlening op zich te kunnen nemen, door bijvoorbeeld een passende verzekering te sluiten' ».

La disposition sera précisée en ce sens.

Article 31 Dans la version française du paragraphe 2, les mots « en compris le nom » seront remplacés par les mots « en ce compris le nom ».

Article 39 1. L'article 39 est notamment relatif à la prolongation de l'agrément. Le projet sera complété afin de prévoir le délai dans lequel la demande de prolongation doit être introduite. Il précisera de même le délai dans lequel la nouvelle demande d'agrément doit être introduite, en veillant à prévoir un délai suffisant pour que l'autorité puisse statuer sur cette demande avant l'expiration de la dernière période de prolongation de l'agrément. 2. Dans la version française, la deuxième occurrence du mot « simple » sera omise. Article 41 L'article 41 prévoit la possibilité de suspendre l'agrément pour la prestation de services.

Interrogée quant à la conséquence d'une absence de levée de la suspension, conformément à l'article 41, § 5, à l'expiration du délai de trois mois de suspension, délai prévu par l'article 11, § 8, de la loi, la déléguée a répondu que l'agrément est retiré.

Cette précision sera apportée au projet.

Article 42 Dans la mesure où l'annexe à l'arrêté est annoncée à l'article 26, § 1er, du projet, l'article 42 est inutile, en ce qu'il a pour unique portée d'indiquer que l'annexe est jointe à l'arrêté.

L'article 42 sera donc omis.

Article 43 L'article 43 du projet fixe son entrée en vigueur au jour de la publication au Moniteur belge.

La section de législation n'aperçoit pas les raisons pour lesquelles il y a lieu de déroger au délai usuel d'entrée en vigueur, fixé par l'article 6, alinéa 1er, de la loi du 31 mai 1961 `relative à l'emploi des langues en matière législative, à la présentation, à la publication et à l'entrée en vigueur des textes légaux et réglementaires' 10.

La disposition sera omise.

Annexe Le point III du formulaire de demande arrêté par l'annexe au projet vise les « critères d'exclusion ».

Interrogée quant à ces critères, la déléguée a répondu qu'il s'agit des critères figurant à l'article 23 du projet. Cette précision sera apportée dans l'annexe.

Le greffier, CHARLES-HENRI VAN HOVE La présidente, MARTINE BAGUET

2 JUIN 2019. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu l'article 11 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox;

Vu l'avis de l'Inspection des Finances, donné le 28 février 2019;

Vu l'accord du Ministre du Budget, donné le 22 mars 2019;

Vu l'avis n° 16/2019 de l'Autorité de la protection des données, donné le 6 février 2019;

Vu l'analyse d'impact effectuée le 21 février 2019, conformément aux articles 6 et 7 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses concernant la simplification administrative;

Vu l'avis n° 65.831/4 du Conseil d'Etat donné le 6 mai 2019, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois coordonnées sur le Conseil d'Etat;

Sur la proposition du Ministre de l'Agenda numérique, des Télécommunications et de la Poste, chargé de la Simplification administrative, de la Lutte contre la fraude sociale, de la Protection de la vie privée et de la Mer du Nord et de l'avis des Ministres qui en ont délibéré en Conseil, Nous avons arrêté et arrêtons : CHAPITRE Ier. - Définitions et dispositions introductives

Article 1er.Pour l'application du présent arrêté, on entend par : 1° « service d'extraction de données » : le service qui consiste à extraire et visualiser pour des destinataires des messages électroniques disponibles dans l'eBox de personnes physiques 2° « prestataire de services » : un demandeur qui a obtenu un agrément pour fournir un service d'extraction de données 3° « demandeur » : la personne physique ou morale qui n'est pas une instance publique et qui essaie d'obtenir un agrément pour la prestation de services 4° « prestation de services » : l'offre d'un service d'extraction de données 5° « destinataire » : l'individu qui utilise le service d'extraction de données 6° « autorité d'agrément » : le service public fédéral compétent pour la Transformation digitale (« DTO »), visé à l'article 11 § 1er de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox 7° « service d'identification électronique à garantie substantielle » : un service d'identification électronique répondant aux exigences du niveau de garantie « substantiel » tel que défini dans le Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, et dans le règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur 8° « risques en matière de sécurité » : circonstance ou évènement qui peut avoir des conséquences négatives sur la sécurité de la prestation de services 9° « problème » : la cause d'un ou de plusieurs incidents 10° « personne de contact » : la personne que le prestataire de services renseigne comme unique point de contact entre le prestataire de services et l'autorité d'agrément 11° « contrat de collaboration » : un contrat entre le prestataire de services et l'autorité d'agrément relatif au niveau de service 12° « spécifications techniques » : le manuel comprenant les instructions techniques, déterminé conformément l'article 11, § 2 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox 13° « transaction » : une extraction et une visualisation réussies pour le destinataire d'un message disponible dans son eBox par un service agréé d'extraction de données Art.2. Les prestataires de services offrent gratuitement leur service d'extraction de données aux destinataires utilisant leur service, nonobstant le droit des prestataires de services d'imputer un coût aux destinataires pour d'éventuels services supplémentaires qu'ils leur fournissent.

Art. 3.§ 1er. Par le biais de leur service d'extraction de données, les prestataires de services extraient et visualisent pour chaque destinataire utilisant leur service tout message électronique se trouvant dans l'eBox de ce destinataire, sans aucune discrimination ni aucun filtrage de messages électroniques. § 2. Les prestataires de services assurent que leur prestation de services satisfait en tout temps aux conditions d'agrément telles qu'exposées dans cet arrêté, pendant la durée de l'agrément. Si, à un quelconque moment, ils disposent d'indications fondées selon lesquelles leur prestation de services ne satisfait plus aux conditions d'agrément, ils suspendent sans plus tarder leur prestation de services et signalent la cause possible de la non-conformité à l'autorité d'agrément. CHAPITRE II. - Conditions d'agrément Section 1re. - Conditions fonctionnelles et techniques

Sous-section 1re. - Le service d'extraction de données

Art. 4.Le demandeur propose un service qui consiste en l'extraction et la visualisation de messages électroniques de tiers, autres que le demandeur lui-même, à des destinataires belges, depuis au moins deux ans déjà avant l'introduction de la demande d'agrément, ou a déjà extrait via un tel service des messages pour au minimum 50.000 destinataires belges au moment de l'introduction de la demande d'agrément, ou a achevé avec succès une phase pilote d'un tel service de minimum six mois avec l'autorité d'agrément au moment de l'introduction de la demande d'agrément.

Art. 5.§ 1er. Le service d'extraction de données satisfait aux spécifications techniques que l'autorité d'agrément publie sur son site web. § 2. Les sites web ou applications mobiles utilisés pour offrir le service d'extraction de données satisfont aux exigences légales d'accessibilité applicables respectivement aux sites web ou applications mobiles d'instances publiques.

Sous-section 2. - Le choix du destinataire pour le service d'extraction de données

Art. 6.§ 1er. Le service d'extraction de données n'est pas activé par le prestataire de services à l'égard d'un destinataire tant que ce dernier n'a pas donné son consentement conformément à l'article 6 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox au prestataire de l'eBox visé à la même loi.

Le service d'extraction de données n'est pas activé par le prestataire de services à l'égard d'un destinataire tant que ce dernier n'a pas conclu un contrat avec le prestataire de services. § 2. Le prestataire de services informe le destinataire que ses messages sont aussi disponibles via son eBox sans faire appel à la prestation de services et ne peut en aucune façon empêcher ou décourager le destinataire d'utiliser l'eBox d'une manière autre que par le biais de la prestation de services.

Sous-section 3. - Identification par le destinataire

Art. 7.§ 1er. Le service d'extraction de données utilise un service d'identification électronique à garantie substantielle afin d'authentifier le destinataire avant qu'une transaction ne puisse être effectuée par le biais de la prestation de services. § 2. Lors de chaque identification, le service d'extraction de données envoie à l'autorité d'agrément le numéro d'identification unique du destinataire, sur la base duquel l'autorité d'agrément établit l'identité du destinataire et peut offrir au prestataire de services l'information concernant les éventuels messages disponibles dans l'eBox pour une transaction.

Sous-section 4. - Echange d'informations entre l'eBox, le prestataire de services et le destinataire

Art. 8.Dans le cadre du service d'extraction de données, l'échange d'informations entre l'eBox et le prestataire de services se déroule conformément aux protocoles techniques exposés dans les spécifications techniques.

Art. 9.§ 1er. Lors de tout échange d'informations entre le prestataire de services et l'eBox, ainsi que lors de toute transaction entre le prestataire de services et le destinataire, le prestataire de services effectue des contrôles et prend des mesures afin d'éviter, au moins, les abus suivants : 1. la modification du contenu des messages électroniques;2. la modification des métadonnées des messages électroniques, en ce compris l'origine, la nomenclature ou le type de fichier;3. une tierce partie, autre que le destinataire, qui accède à tout message électronique dans une eBox du destinataire, ou en prend connaissance, par le biais du service d'extraction de données;et 4. une tierce partie qui se fait passer pour l'eBox. § 2. Le prestataire de services met en oeuvre des techniques de contrôle correspondant à l'état de l'art afin de détecter les abus mentionnés au paragraphe 1er. En cas de détection d'un abus probable, le prestataire de services assure qu'aucun message ne sera extrait pour le destinataire par le prestataire de services. § 3. Le service d'extraction de données comprend suffisamment de mécanismes de contrôle afin de détecter préventivement des risques éventuels en matière de sécurité. Le prestataire de services établit des rapports à ce sujet conformément à la procédure décrite à la sous-section 5 de la section 2. § 4. Le prestataire de services informe le destinataire de la présence de chaque nouveau message électronique disponible via le service d'extraction de données, à moins que le destinataire choisisse explicitement de ne pas recevoir de notification. § 5. En cas de cessation du service au destinataire pour quelque raison que ce soit: - le prestataire de services informe l'autorité d'agrément; - le prestataire de services renvoie le destinataire à l'eBox, accessible via le myebox du service public fédéral compétent en matière d'Agenda numérique, où ses messages sont disponibles pendant le délai fixé par l'utilisateur, sauf si le destinataire a retiré son consentement à l'égard de l'échange de messages via l'eBox; - le prestataire de services détruit toutes les données liées à l'utilisation du service par le destinataire.

Sous-section 5. - Respect de la vie privée

Art. 10.Le prestataire de services désigne un délégué à la protection des données qui satisfait aux articles 38 et 39 du Règlement général sur la protection des données 2016/679 et assure que chaque traitement tel que visé à l'article 11, § 3, 4 et 5 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox se fait sous le contrôle de ce délégué à la protection des données.

Art. 11.Le prestataire de services prend des mesures organisationnelles et techniques appropriées afin de garantir un niveau de sécurité adapté au risque pour chaque prestation de services et chaque transaction. Le prestataire de services documente dans un rapport de sécurité, qui peut en tout temps être demandé par l'autorité d'agrément, ces mesures et la façon dont elles maintiennent sous contrôle les risques de sécurité de manière appropriée.

Art. 12.Le prestataire de services établit une piste d'audit sécurisée afin que chaque transaction spécifique puisse être reconstituée, et ce, en vue de la sécurisation des données et de la protection de la vie privée. A cet effet, le prestataire de services conserve, pour chaque transaction et tentative de transaction, les données suivantes, et ce, pour une durée de dix ans à compter du 1er janvier de l'année suivant le moment de ladite transaction ou tentative de transaction : 1. le numéro d'identification unique du destinataire;2. l'identification du service d'extraction de données du prestataire de services avec lequel le destinataire initialise la transaction ou la tentative de transaction;3. La clef d'identification du destinataire, utilisé par le prestataire de services, pour autoriser la transaction ou la tentative de transaction;4. le moment de la transaction ou de la tentative de transaction;et 5. si la transaction est achevée avec succès, les métadonnées du message électronique ou des messages électroniques qui ont été extraits dans la transaction, à savoir le nom du fichier, le type de fichier et la taille du fichier.6. le moment d'envoi et l'identification de la notification, lié à l'identification du service de notification.

Art. 13.§ 1 . Le prestataire de services prend des mesures techniques et organisationnelles appropriées pour garantir, conformément à l'article 11 § 3 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, que le numéro de registre national du destinataire n'est utilisé qu'à des fins d'identification et d'authentification. § 2 . Le prestataire de services prend des mesures techniques et organisationnelles appropriées pour garantir, conformément à l'article 11 § 5 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, qu'il ne prend pas connaissance du contenu des messages ou ne les utilise pas d'une autre manière pour la fourniture du service d'extraction de données. § 3. Le prestataire de services prend des mesures techniques et organisationnelles appropriées pour garantir, conformément à l'article 11 § 5 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, qu'il ne prend connaissance du contenu des messages échangés que si cela est strictement nécessaire pour offrir le service à valeur ajoutée conformément à l'article 11 § 6 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, comme demandé par le destinataire et moyennant son consentement explicite et préalable qui est clairement lié au service à valeur ajoutée demandé. § 4. Le prestataire de services prévoit pour chaque destinataire des informations claires sur les services à valeur ajoutée demandés par le destinataire conformément à l'article 11, § 6, de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox, sur les autorisations que le destinataire a données conformément à l'article 11, § 5, de cette loi pour chacun de ces services, et sur la portée de ces autorisations.

Pour chaque nouveau service à valeur ajoutée offert par le prestataire de services, ce dernier fournit à l'autorité d'agrément des informations démontrant comment cette obligation a été respectée. § 5. Le prestataire de services documente les mesures visées à cet article. Section 2. - Conditions relatives à la gestion de la prestation de

services Sous-section 1re. - Disponibilité de la prestation de services

Art. 14.Sur base mensuelle, le service est disponible pendant au moins 99,9% du temps. Pour le calcul de la disponibilité, les indisponibilités prévues et l'indisponibilité des systèmes de l'autorité d'agrément ne sont pas considérées comme des indisponibilités.

Art. 15.Le prestataire de services constate les erreurs de système de la prestation de services et enregistre les moments auxquels des erreurs de système empêchent les envois ou les réceptions et met ces informations à la disposition de l'autorité d'agrément, des utilisateurs et des destinataires.

Sous-section 2. - Disponibilité des services de support

Art. 16.§ 1er. Pour les appels provenant des destinataires et de services publics autres que l'autorité d'agrément, le prestataire de services offre des services de support au minimum tous les jours ouvrables de 8 heures à 18 heures. Ces services de support comprennent au moins : 1. un support téléphonique ou un autre canal pour support personnalisé;2. une page Internet proposant des questions fréquemment posées (FAQ) ainsi qu'un manuel facilement accessible. § 2. Pour les appels provenant de l'autorité d'agrément, le prestataire de services offre des services de support tous les jours et 24 heures sur 24.

Ces services de support comprennent au moins : un support téléphonique.

Sous-section 3. - Gestion du déploiement

Art. 17.§ 1er. Le prestataire de services développe des systèmes qui garantissent la gestion du déploiement. Sauf décision contraire de l'autorité d'agrément, cette gestion du déploiement tient compte du fait que l'autorité d'agrément prend en considération, tous les six mois, de nouvelles versions logicielles afin d'introduire un déploiement logiciel ultérieur. § 2. La gestion du déploiement du prestataire de services suit celle de l'autorité d'agrément

Art. 18.Le prestataire de services soumet pour information à l'autorité d'agrément chaque nouvelle version logicielle qui a un impact significatif sur les destinataires ou l'autorité d'agrément, au plus tard trois mois avant la date d'introduction du déploiement, et l'accompagne d'une analyse d'impact, afin que l'autorité d'agrément puisse minimiser l'impact éventuel des modifications.

Sous-section 4. - Continuité du service

Art. 19.Le prestataire de services développe des mécanismes qui garantissent un service ininterrompu pendant la durée de l'agrément.

Sous-section 5. - Rapports

Art. 20.Le prestataire de services met en tout temps à la disposition de l'autorité d'agrément toute information relative à la disponibilité, au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services, ainsi que toute information que l'autorité d'agrément demanderait et qui est nécessaire pour contrôler le respect de cet arrêté.

Art. 21.Le prestataire de services avertit immédiatement de sa propre initiative l'autorité d'agrément en cas du moindre soupçon de risques en matière de sécurité relatifs à la prestation de services, ainsi que de toute violation de la sécurité du service d'extraction de données entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de messages dans une eBox transmis, conservés ou traités d'une autre manière, ou l'accès non autorisé à de tels messages. Cette notification contient toutes les informations exigées à l'article 33, paragraphe 3 du Règlement général sur la protection des données 2016/679.

Art. 22.Le prestataire de services désigne une personne de contact qui, en concertation avec le délégué à la protection des données du prestataire de services, à compter de la décision d'agrément, remettra tous les six mois à l'autorité d'agrément un rapport sur les conditions relatives à la gestion des services, accompagné des pièces justificatives pertinentes. Section 3. - Conditions économiques, juridiques et organisationnelles

Art. 23.A chaque stade de la procédure d'agrément et pendant l'agrément, le demandeur ne se trouve pas dans l'une des situations suivantes : 1. être en état de faillite, de liquidation, de cessation d'activités, de réorganisation judiciaire ou dans toute situation analogue résultant d'une procédure de même nature existant dans d'autres réglementations nationales;2. avoir fait l'aveu de sa faillite ou fait l'objet d'une procédure de liquidation, de réorganisation judiciaire ou de toute autre procédure de même nature existant dans d'autres réglementations nationales;3. avoir fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour toute infraction à la législation relative à la protection de la vie privée;4. avoir fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour tout délit ou crime affectant son intégrité professionnelle;5. en matière professionnelle, avoir commis une faute grave dûment constatée par un moyen dont l'autorité d'agrément pourra justifier de manière circonstanciée;6. ne pas être en règle avec ses obligations relatives au paiement de ses cotisations de sécurité sociale;7. ne pas être en règle avec ses obligations relatives au paiement de ses impôts et taxes selon la législation belge ou celle du pays dans lequel il est établi;8. s'être rendu, en application du présent arrêté, gravement coupable de fausses déclarations en fournissant des renseignements exigibles ou en n'ayant pas fourni ces renseignements;9. pendant les deux dernières années, avoir fait l'objet d'une mesure corrective imposée par l'Autorité de protection des données en conséquence d'une infraction présumée au Règlement général sur la protection des données 2016/679 sans qu'elle n'ait été corrigée conformément au délai imposé.

Art. 24.Le demandeur dispose de moyens financiers en suffisance pour fonctionner de manière conforme au présent arrêté et démontre notamment sa capacité à assumer le risque de responsabilité des dommages causés par la prestation de services, par exemple par la souscription à une assurance adéquate.

Art. 25.Le demandeur doit disposer d'un plan de cessation efficace.

Ce plan comporte des mesures concernant l'organisation en cas d'arrêt de la prestation de services ou de la reprise de la prestation de services par un autre prestataire de services, la façon dont les destinataires sont informés, ainsi que la façon dont les données à caractère personnel sont détruites ou transférées à l'autorité d'agrément ou à un autre prestataire de services. CHAPITRE III. - La procédure d'agrément Section 1re. - Introduction de la demande d'agrément

Art. 26.§ 1er. Le demandeur introduit une demande d'agrément pour un service d'extraction de données d'après le modèle de formulaire repris en annexe au présent arrêté. Il joint à sa demande un dossier de référence inventorié. § 2. La demande d'agrément est au minimum introduite sur support électronique, éventuellement confirmée sur support physique fourni à l'autorité d'agrément. § 3. L'autorité d'agrément remet immédiatement au demandeur une notification de réception de la demande d'agrément et du dossier de référence.

Art. 27.Le dossier de référence comprend au moins les éléments suivants : 1. une description technique détaillée et un rapport d'audit externe attestant la conformité du service d'extraction de données aux conditions décrites au chapitre II, section 1re, et aux spécifications techniques;2. des documents garantissant dans une mesure suffisante que le service d'extraction de données est capable de satisfaire aux exigences de disponibilité telles que décrites au chapitre II, section 2, sous-section 1re;3. des documents garantissant dans une mesure suffisante que les services de support du service d'extraction de données répondent aux conditions décrites au chapitre II, section 2, sous-section 2;4. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3;5. un rapport d'audit externe attestant que le prestataire de services a pris des mesures raisonnables pour garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants : 1° une description de la gestion des changements;2° une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;3° une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant à la protection des données à caractère personnel, à la confidentialité, à l'intégrité et à la disponibilité du service;4° une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;6. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à la disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;7. des documents attestant que le prestataire de services satisfait aux conditions décrites au chapitre II, section 3. Section 2. - Traitement de la demande d'agrément par l'autorité

d'agrément

Art. 28.§ 1er. Au plus tard trois mois après réception de la demande d'agrément et du dossier de référence, l'autorité d'agrément agréera le demandeur, pour autant que la demande d'agrément et le dossier de référence comprennent toutes les pièces définies à l'article 28 et qu'il en ressorte que les conditions énumérées au chapitre II du présent arrêté sont respectées. Ce délai peut être prolongé de trois mois. Dans ce cas, l'autorité d'agrément en informera immédiatement le demandeur. § 2. Si la demande d'agrément soumise ou le dossier de référence sont incomplets, l'autorité d'agrément avertit le demandeur, par envoi recommandé, du refus de l'agrément, et ce, au plus tard un mois après la réception de la demande d'agrément et du dossier de référence. § 3. Le demandeur peut introduire une nouvelle demande si les raisons du refus ne s'appliquent plus.

Art. 29.Durant la procédure d'agrément, les demandeurs peuvent être entendus, et ce, à leur demande ou à la demande de l'autorité d'agrément. CHAPITRE IV. - Conséquences de l'agrément Section 1re. - Conséquences opérationnelles

Art. 30.Pendant la durée de l'agrément, le prestataire de services procédera à l'extraction et à la visualisation de messages électroniques dans l'eBox pour le destinataire qui en fait le choix conformément à l'article 6 § 1er.

Art. 31.§ 1er. Le service d'extraction de données est repris comme l'une des options d'accès à l'eBox sur le site web de l'autorité d'agrément, en ce compris le nom du prestataire de services. § 2. Le service d'extraction de données peut aussi être mentionné comme l'une des options d'accès à l'eBox sur le site web ou sur toute autre communication destinée au public de toute instance publique qui procède à l'extraction des messages électroniques par le biais de l'eBox, en ce compris le nom du prestataire de services. § 3. Les services agréés d'extraction électronique de données peuvent utiliser le service d'authentification tel que visé à l'article 9 de la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer relative à l'identification électronique en vue de l'authentification du destinataire avant qu'une transaction ne soit effectuée par la biais de la prestation de services.

Art. 32.Le prestataire de services conclut un contrat de collaboration avec l'autorité d'agrément.

Art. 33.Le prestataire de services participe de bonne foi aux mécanismes de concertation et moments de concertation mis en place par l'autorité d'agrément à l'égard de tous les prestataires de services agréés. A cette fin, le prestataire de services fournit à l'autorité d'agrément toutes les informations qui sont nécessaires à cette dernière pour évaluer le fonctionnement et la qualité des services d'extraction électronique de données. L'autorité d'agrément veille à la confidentialité éventuelle de ces données à l'égard d'autres prestataires de services.

Art. 34.Le prestataire de services et l'autorité d'agrément conviennent d'un plan commun pour le lancement et la communication de la prestation de services.

Art. 35.La prestation de services se fait conformément aux dispositions du présent arrêté, aux spécifications techniques ainsi qu'aux éléments et conditions repris dans le contrat de collaboration.

Art. 36.Le prestataire de services confirme qu'il satisfait toujours aux conditions d'agrément : 1. dans un délai de 15 jours suivant la demande de l'autorité d'agrément;2. dans un délai de 15 jours suivant chaque date anniversaire de la décision d'agrément;3. avant une modification du contrôle du prestataire de services qui peut avoir un impact sur le service;4. avant une modification du service;5. dans un délai de 15 jours suivant la prise de connaissance d'une modification des conditions d'agrément;6. dans un délai de 15 jours suivant la prise de connaissance d'une modification de la législation relative à la protection des données à caractère personnel.

Art. 37.§ 1er. Toute modification des données survenant au moment de la demande d'agrément et pouvant avoir un impact sur la prestation de services doit être notifiée à l'autorité d'agrément dans un délai d'un mois. Dans cette notification, le prestataire de services spécifie et motive la modification apportée. § 2. Si, de la notification conforme au 1er, il s'avère que la modification a un impact significatif sur la prestation de services et la modification concerne des éléments de la prestation de services qui nécessitaient un rapport d'audit externe conformément à l'article 27, l'autorité d'agrément peut demander un nouveau rapport d'audit externe. § 3. A l'occasion de chaque modification mentionnée au paragraphe 1er, l'autorité d'agrément peut décider de suspendre ou de retirer d'office l'agrément conformément à l'article 41. Section 2. - Conséquences financières

Art. 38.Les prestataires de services ne reçoivent pas d'indemnités pour offrir leur service d'extraction de données. Section 3. - Durée de l'agrément

Art. 39.L'agrément a une durée de validité de trois ans. Sa prolongation est soumise à l'introduction d'une simple demande de prolongation d'un an, au maximum trois fois, à introduire au moins trois mois avant la fin de la période d'agrément à prolonger. Après trois prolongations, le prestataire de services doit soumettre une nouvelle demande d'agrément conformément aux articles 26 et 27 pour continuer la prestation de service.

Art. 40.Lorsque le prestataire de services souhaite mettre fin à la prestation de services avant la fin de la période de trois ans, il envoie à l'autorité d'agrément un courrier motivé au plus tard trois mois avant la fin de la prestation de services. CHAPITRE V. - Suspension et retrait de l'agrément

Art. 41.§ 1er. L'autorité d'agrément peut suspendre ou retirer l'agrément de la prestation de services conformément à l'article 11 § 8 et 9 de la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer relative à l'échange électronique de messages par le biais de l'eBox si la prestation de services ne correspond pas aux conditions d'agrément, aux spécifications techniques ou au contrat de collaboration repris dans cet arrêté. § 2. Dans tous les cas de suspension ou de retrait d'un agrément, le prestataire de services sera entendu par l'autorité d'agrément. § 3. La décision de suspension ou de retrait est immédiatement notifiée par envoi recommandé au prestataire de services. Le prestataire de services mettra immédiatement fin à la prestation de services et supprimera toute référence à la prestation de services. § 4. Après la décision de suspension ou de retrait, l'autorité d'agrément supprime le service d'extraction de données des options d'accès pour l'eBox. § 5. L'autorité d'agrément peut anticipativement lever la suspension à partir d'une date qu'elle aura déterminée, lorsqu'elle juge que les motifs de la suspension ne sont plus d'actualité. Cette levée de suspension est notifiée par envoi recommandé au prestataire de services concerné.

Lorsque les motifs de la suspension existent toujours à l'expiration de la période de suspension, l'agrément sera retiré. CHAPITRE VI. - Dispositions finales

Art. 42.Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.

Art. 43.Le ministre chargé de l'Agenda numérique est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, le 2 juin 2019.

PHILIPPE Par le Roi : Le Ministre de l'Agenda numérique, Ph. DE BACKER

Annexe à l'arrêté royal du 2 juin 2019 fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox Modèle de formulaire pour la demande d'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox Manuel d'utilisation Ce document contient le relevé des données qui doivent être remplies et transmises à l'autorité d'agrément, en vue de l'obtention de l'agrément d'un prestataire de services pour l'échange électronique de messages par le biais de l'eBox.

L'ensemble des points décrits et des informations demandées doivent être les plus complets possible.

Le modèle du formulaire d'enregistrement peut être téléchargé sur le site web www.bosa.belgium.be.

Le formulaire d'enregistrement dûment complété ainsi que toutes les annexes nécessaires doivent être envoyés : par e-mail : servicedesk.dto@bosa.fgov.be Optionnellement par la poste, à l'adresse suivante : Service public fédéral Stratégie et Appui, Direction générale Transformation digitale Boulevard S. Bolivar 30 1000 Bruxelles I. IDENTIFICATION DU DEMANDEUR L'identification du demandeur de l'agrément.

Nom complet de l'entreprise : . . . . .

Numéro d'entreprise : . . . . .

Personne de contact : . . . . .

Numéro de téléphone de la personne de contact : . . . . .

E-mail : . . . . .

II. DESCRIPTION SUCCINCTE DU SERVICE D'ECHANGE ELECTRONIQUE DE MESSAGES POUR LEQUEL UN AGREMENT EST DEMANDE Cette partie décrira en détail le service pour lequel l'agrément est demandé. La description portera également sur les caractéristiques essentielles de ce service.

III. CRITERES ARTICLE 23 Dans la mesure où les documents ne peuvent être demandés par l'autorité d'agrément elle-même, ils sont joints par le demandeur à la demande d'agrément.

IV. DOSSIER DE REFERENCE Le dossier de référence comprend au minimum les éléments suivants : 1. une description technique détaillée et un rapport d'audit externe attestant la conformité du service d'extraction de données aux conditions décrites au chapitre II, section 1re, et aux spécifications techniques;2. des documents attestant que le service d'extraction de données est capable de satisfaire aux exigences de disponibilité telles que décrites au chapitre II, section 2, sous-section 1re;3. des documents attestant que les services de support du service d'extraction de données répondent aux conditions décrites au chapitre II, section 2, sous-section 2;4. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3;5. un rapport d'audit externe attestant que le prestataire de services peut garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants : 1° une description de la gestion des changements;2° une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;3° une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant à la protection des données à caractère personnel, à la confidentialité, à l'intégrité et à la disponibilité du service;4° une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;6. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à la disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;7. des documents attestant que le prestataire de services satisfait aux conditions décrites au chapitre II, section 3. Fait à, . . . . . le . . . . .

Nom : . . . . .

Qualité : . . . . .

Signature : Vu pour être annexé à l'arrêté du 2 juin 2019 fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox.

Donné à Bruxelles, le 2 juin 2019.

PHILIPPE Par le Roi : Le Ministre de l'Agenda numérique, Ph. DE BACKER _______ Notes 6 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 `relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)'. 7 Quant à l'inutilité de reproduire, de plus erronément, une définition prévue par une norme de droit supérieure, voir Principes de technique législative - Guide de rédaction des textes législatifs et réglementaires, www.raadvst-consetat.be, onglet « Technique législative », recommandation n° 96. 8 Avis n° 64.506/4 donné le 19 novembre 2018 sur un avant-projet devenu la loi du 27 février 2019Documents pertinents retrouvés type loi prom. 27/02/2019 pub. 15/03/2019 numac 2019040657 source service public federal strategie et appui Loi relative à l'échange électronique de messages par le biais de l'eBox fermer, Doc. parl., Chambre, 2018-2019, n° 3442/1, pp. 29 à 39, http://www.raadvst-consetat.be/dbx/avis/64506.pdf. 9 Voir déjà en ce sens l'avis n° 46.692/4 donné le 25 mai 2009 sur un projet devenu l'arrêté royal du 28 juin 2009 `relatif au transport des marchandises dangereuses par route ou par chemin de fer, à l'exception des matières explosibles et radioactives', http://www.raadvst-consetat.be/dbx/avis/46692.pdf. 10 Principes de technique législative - Guide de rédaction des textes législatifs et réglementaires, www.raadvst-consetat.be, onglet « Technique législative », recommandation n° 151.

^