publié le 08 août 2014
Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil
17 JUILLET 2014. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil
RAPPORT AU ROI Sire, L'actuel projet d'arrêté royal s'inscrit dans la politique d'e-gouvernement globale du gouvernement. L'e-gouvernement ou « administration électronique » recouvre le développement d'une structure informatique et la prise d'initiatives afin de permettre aux administrations et aux citoyens d'utiliser les technologies de l'information et de la communication dans le cadre d'applications publiques numériques.
La carte d'identité électronique joue un rôle essentiel parce que c'est un moyen sécurisé pour identifier et authentifier les citoyens dans un environment en ligne.
L'article 6 quinquies de la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d'identité, aux cartes d'étranger et aux documents de séjour et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques prévoit que le Roi peut déterminer les normes ainsi que les spécifications techniques et fonctionnelles auxquelles doivent satisfaire les appareils et les applications qui rendent possible la lecture et la mise à jour des données enregistrées de manière électronique sur la carte d'identité. Il peut également réglementer la publicité, la vente, l'achat, la location, la possession et la transmission de ces appareils et applications.
Cet arrêté envisage de déterminer les spécifications fonctionnelles et techniques auxquelles doivent satisfaire les appareils non connectés ou sans fil pour la lecture de la carte d'identité.
Pour accéder à des applications publiques numériques, les citoyens disposent actuellement de différentes possibilités d'identification fiables, parmi lesquelles l'authentification sur la base de la carte d'identité électronique.
Au vu de l'utilisation croissante, entre autres, des tablettes et des smartphones, l'administration se retrouve face au défi d'également pouvoir offrir sur ces nouveaux appareils l' accès aux applications publiques numériques, toujours plus nombreuses. Simultanément, des solutions sont cherchées afin de simplifier, pour les utilisateurs, l'identification à l'aide de la carte d'identité électronique. Pour s'identifier à l'aide de la carte d'identité électronique, il est à l'heure actuelle généralement fait usage d'un lecteur de cartes filaire. Beaucoup de citoyens ne disposent cependant pas d'un tel lecteur. En outre, son utilisation est vue par beaucoup comme un obstacle, de par l'obligation d'installer le logiciel requis.
L'actuel projet d'arrêté royal vise à créer un cadre dans lequel un fournisseur de services d'identification pour applications numériques non publiques qui utilisent un moyen d'identification sans fil pourra obtenir un agrément afin de pouvoir également mettre à disposition le moyen d'identification sans fil qu'il propose pour une utilisation dans des applications publiques numériques. A cet égard, il est par exemple possible d'envisager que les moyens d'identification sans fil des systèmes de banque à domicile soient aussi utilisés pour lire les cartes d'identité électroniques dans le cadre d'applications publiques numériques.
L'utilisation d'un seul et même moyen d'identification sans fil tant pour les applications publiques que pour les autres applications simplifiera l'accessibilité pour les utilisateurs et renforcera leur confiance.
Le présent projet d'arrêté royal permet en outre de proposer des services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil de façon très économique pour l'administration, sans pour autant sacrifier la sécurité.
Discussion des chapitres Dans le chapitre Ier, les termes utilisés dans le projet d'arrêté royal sont définis (art. 1er) et l'objet de l'arrêté royal est exposé.
Le chapitre II prévoit les conditions auxquelles doit répondre un prestataire de services pour obtenir un agrément.
La section 1re de ce chapitre est consacrée aux conditions fonctionnelles et techniques et la sous-section 1re contient les conditions fonctionnelles et techniques relatives au moyen d'identification non connecté ou sans fil. Un élément important est la disposition expresse qui prévoit que le moyen d'identification sans fil doit non seulement pouvoir être utilisé pour des applications publiques mais également, dans une large mesure, pour d'autres applications. L'utilisation pour des applications publiques représente, pour ainsi dire, une fonction supplémentaire d'un moyen d'identification qui est essentiellement utilisé à d'autres fins. A cet égard, on peut notamment penser à un moyen d'identification qui est essentiellement utilisé pour les systèmes de banque à domicile. Ce procédé permet de proposer des moyens d'identification de manière très économique pour l'administration, sans pour autant sacrifier la sécurité. Le présent arrêté ne vise pas les moyens d'identification spécifiquement développés pour les applications publiques, mais tend justement à créer un cadre permettant d'étendre aux applications publiques l'usage de solutions d'identification qui sont déjà actuellement utilisées. Le moyen d'identification sans fil ne peut donc pas être exclusivement ou essentiellement destiné à une utilisation pour des applications publiques numériques.
La sous-section 2 est consacrée à l'enregistrement unique de l'utilisateur pour le service d'identification. Une personne qui souhaite utiliser un service d'identification précis doit, en vue de l'enregistrement, s'identifier une seule fois auprès de l'administration fédérale à l'aide d'un moyen d'identification filaire. Cette personne sélectionne alors un service d'identification précis. Ensuite, elle ne doit s'enregistrer qu'une fois auprès du prestataire de services à l'aide d'un moyen d'identification filaire.
L'enregistrement se fait à l'aide des données nécessaires à un contrôle du certificat d'identité : le numéro de série et l'émetteur du certificat d'identité.
Après cet enregistrement unique, l'utilisateur peut, grâce à un moyen sans fil, utiliser le service d'identification, conformément aux dispositions de la sous-section 3. Le code d'identification dont il est question à l'article 11 ne contient pas le numéro d'identification du Registre national. Il est non significatif.
La sous-section 4 règle l'échange d'informations entre le prestataire de services et l'autorité d'agrément. La sous-section 5 établit des garanties complémentaires relatives au respect de la vie privée, y compris l'établissement, par le prestataire de services, d'une « piste d'audit sécurisée ». Le délai de conservation de 10 ans des informations dans la piste d'audit se base sur les délais de prescription de droit commun. A aucun moment il n'y a d'accès au Registre national.
L'élaboration des spécifications fonctionnelles et techniques auxquelles le service d'identification doit satisfaire sera fixée dans un manuel technique qui sera soumis au Comité sectoriel du Registre national.
La section 2 prévoit les conditions relatives à la prestation de services. La sous-section 1re aborde la disponibilité du service qui doit être, sur base mensuelle, d'au moins 99,9 %. Ces exigences de disponibilité ne portent pas sur le prestataire de services de certification qui offre des services visant à confirmer la validité de certificats.
La sous-section 2 règle la disponibilité des services de support. A cet égard, une distinction est faite entre, d'une part, les appels provenant des utilisateurs et des services publics autres que l'autorité d'agrément et, d'autre part, les appels provenant de l'autorité d'agrément. Pour la première catégorie d'appels, le prestataire de services doit, durant les heures de bureau prolongées, proposer dans les trois langues nationales ainsi qu'en anglais, un service de chat, un support téléphonique et une page internet proposant des questions fréquemment posées. Le choix de l'anglais comme quatrième langue est dû au nombre croissant d'utilisateurs qui ne maîtrisent aucune des trois langues nationales. Pour la deuxième catégorie d'appels, le prestataire de services prévoit, dans les trois langues nationales ainsi qu'en anglais, un support téléphonique et une plateforme de support numérique, et ce, gratuitement, 24 heures sur 24 et 7 jours sur 7. Pour cette catégorie d'appels, le choix de l'anglais comme quatrième langue se justifie par la nécessité de garantir une communication aisée entre le prestataire de services et les sous-traitants de l'autorité d'agrément qui ne maîtrisent pas toujours les trois langues nationales. A la demande de l'autorité d'agrément, le service de support pour la première catégorie d'appels peut être étendu en dehors des heures de bureau prolongées.
La sous-section 3 règle la gestion du déploiement.
La sous-section 4 traite de la continuité du service. A cet égard, le demandeur se doit de disposer des certificats suivants (ou équivalents) : SOC1 type 2 (ISAE3402/SSAE16) ou SOC2 type 2 (ISAE3000/AT101) relatifs aux rapports sur les mesures de contrôle internes de l'organisation de service, les standards pour la sécurité de l'information ISO 27001 et ISO 27002 et, le cas échéant, la norme de sécurité PCI DSS pour les cartes de paiement.
La sous-section 5 règle les obligations d'établissement de rapports qui incombent au prestataire de services.
La section 3 établit les conditions économiques et juridiques auxquelles doit satisfaire un demandeur ou un prestataire de services, selon le cas.
Le chapitre III règle la procédure d'agrément. Les dispositions relatives à l'introduction de la demande d'agrément sont reprises sous la section 1re de ce chapitre.
La sous-section 2 règle le traitement de la demande d'agrément par l'autorité d'agrément.
Le chapitre IV traite des conséquences de l'agrément du prestataire de services.
La section 1re du chapitre IV règle les conséquences opérationnelles de l'agrément.
La section 2 établit que l'agrément a une durée de validité de cinq ans. Le renouvellement de l'agrément suppose une nouvelle demande.
La section 3 traite du coût du service qui à part le moyen d'identification sans fil, doit être gratuit pour l'utilisateur et pour l'administration.
Le chapitre V contient des dispositions relatives au contrôle, à la suspension et au retrait de l'agrément.
Le contrôle est réglé à la section 1re.
La section 2 règle la suspension et le retrait de l'agrément.
Le chapitre VI contient les dispositions finales.
Une annexe est jointe à l'arrêté.
Elle contient le modèle de formulaire pour la demande d'agrément.
Nous avons l'honneur d'être, Sire, de Votre Majesté, les très respectueux et très fidèles serviteurs La Vice-Première Ministre et Ministre de l'Intérieur et de l'Egalité des Chances, Mme J. MILQUET Le Ministre des Finances, chargé de la Fonction publique, K. GEENS Le Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics, H. BOGAERT
Conseil d'Etat section de législation Avis 56.329/2 du 4 juin 2014 sur un projet d'arrêté royal `fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil' Le 7 mai 2014, le Conseil d'Etat, section de législation, a été invité par le Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics, adjoint au Ministre des Finances, à communiquer un avis, dans un délai de trente jours, un projet d'arrêté royal `fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil'.
Le projet a été examiné par la deuxième chambre le 4 juin 2014. La chambre était composée de Pierre Liénardy, président de chambre, Martine Baguet et Luc Detroux, conseillers d'Etat, Sébastien Van Drooghenbroeck et Marianne Dony, assesseurs, et Anne Catherine Van Geersdaele, greffier.
Le rapport a été présenté par Laurence Vancrayebeck, auditrice.
La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Martine Baguet.
L'avis, dont le texte suit, a été donné le 4 juin 2014.
Compte tenu du moment où le présent avis est donné, le Conseil d'Etat attire l'attention sur le fait qu'en raison de la démission du Gouvernement, la compétence de celui ci se trouve limitée à l'expédition des affaires courantes. Le présent avis est toutefois donné sans qu'il soit examiné si le projet relève bien de la compétence ainsi limitée, la section de législation n'ayant pas connaissance de l'ensemble des éléments de fait que le Gouvernement peut prendre en considération lorsqu'il doit apprécier la nécessité d'arrêter ou de modifier des dispositions réglementaires.
Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 2°, des lois coordonnées sur le Conseil d'Etat, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.
Sur ces trois points, le projet appelle les observations suivantes.
Formalités préalables 1. Il est recommandé de notifier l'arrêté en projet à la Commission européenne, conformément à l'article 8, paragraphe 1er, de la directive 98/34/CE du 22 juin 1998 du Parlement européen et du Conseil `prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information' (1).Cette disposition oblige en effet les Etats membres à communiquer immédiatement à la Commission tout projet de règle technique sauf s'il s'agit d'une simple transposition intégrale d'une norme internationale ou européenne, et à indiquer les raisons pour lesquelles l'établissement d'une telle règle technique est nécessaire (2). 2. Selon l'article VI.128 du Code de droit économique, lorsque, dans les domaines visés par les titres 1er à 5 du livre VI de ce Code, des mesures à prendre, à l'initiative d'autres ministres que ceux qui ont l' Economie, les Classes moyennes et la Consommation dans leurs attributions, concernent des biens ou des services réglementés ou susceptibles d'être réglementés en exécution du livre VI, ces mesures doivent porter dans leur préambule, la référence à l'accord des ministres intéressés. Le cas échéant, ces mesures sont proposées conjointement par les ministres intéressés et exécutées par eux, d'un commun accord, chacun en ce qui le concerne.
En l'espèce, il convient dès lors de soumettre à tout le moins l'arrêté en projet à l'accord préalable des ministres qui ont l' Economie, les Classes moyennes et la Consommation dans leurs attributions.
Examen du projet Observation générale Le projet examiné fixe « les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil ».
Selon le rapport au Roi, cela permettra, au vu de l'utilisation croissante des tablettes et des « smartphones », aux citoyens d'accéder aux applications numériques publiques sans devoir recourir à un lecteur de carte d'identité filaire mais au moyen d'une application numérique sans fil qui ne relève pas d'une application numérique publique. Il cite, à titre d'exemple, les moyens d'identification sans fil des systèmes de banque à domicile.
L'arrêté en projet se donne pour fondement l'article 6quinquies de la loi du 19 juillet 1991 `relative aux registres de la population, aux cartes d'identité, aux cartes d'étranger et aux documents de séjour et modifiant la loi du 8 août 1983 `organisant un Registre national des personnes physiques' (RNPP), selon lequel : « Le Roi peut déterminer les normes et les spécifications techniques et fonctionnelles auxquelles doivent satisfaire les appareils et les applications qui rendent possible la lecture et la mise à jour des données reprises de manière électronique sur la carte et peut les étendre aux documents de séjour. Il peut également réglementer la publicité, la vente, l'achat, la location, la possession et la transmission de ces appareils et applications ».
Le commentaire de l'article appelé à devenir l'article 6quinquies précité précisait à cet égard : « De cette manière, une procédure d'enregistrement peut être développée pour de tels appareils et applications, par laquelle on peut vérifier la conformité avec les normes et spécifications fixées, et on peut offrir aux acheteurs potentiels l'assurance que les appareils et applications concernés fonctionnent correctement. De cette façon, on peut également éviter que des appareils de lecture qui endommagent les cartes d'identité ne viennent sur le marché. Le projet de règlement élaboré en exécution de cette disposition devra être transmis pour observations à la Commission européenne conformément à la directive 98/34/CE du Parlement européen et du Conseil relative à la procédure d'information dans le domaine des normes et prescriptions techniques » (3).
C'est ce type de procédure qui a été mis en place par l'arrêté royal du 7 décembre 2006 `fixant les spécifications et la procédure d'enregistrement des appareils de lecture pour la carte d'identité électronique et modifiant l'arrêté royal du 13 février 1998 relatif aux spécifications des appareils de lecture de la carte d'identité sociale' dans l'arrêté royal du 13 février 1998 `fixant les spécifications et la procédure d'enregistrement des appareils de lecture pour la carte d'identité électronique'.
L'arrêté en projet a toutefois une portée différente. Il ne prévoit pas de procédure d'enregistrement des systèmes d'identification sans fil qui serait similaire à celle organisée par l'arrêté royal précité, mais soumet l'utilisation de ces systèmes à un mécanisme d'agrément obligatoire (article 2), qui impose un nombre important d'obligations aux fournisseurs de services d'identification (ci-après, les « prestataires de services »). Outre des spécifications techniques et fonctionnelles (pour lesquelles l'arrêté en projet trouve sans conteste un fondement juridique dans l'article 6quinquies de la loi du 19 juillet 1991), l'arrêté en projet prévoit en effet notamment ce qui suit : 1° la mise à disposition ou la communication à l'autorité d'agrément d'une série d'informations liées à la manière dont est géré le service d'identification (articles 22 à 24);2° des conditions économiques et juridiques relatives aux prestataires de services (articles 25 et 26);3° la conclusion d'un contrat de prestation de services entre les prestataires de services et l'autorité d'agrément (article 31);le respect de ce contrat conditionnant le maintien de l'agrément (article 43); 4° l'obligation pour les prestataires de services de mener une campagne promotionnelle selon un plan approuvé par l'autorité d'agrément (article 35, § 1er);5° l'intervention éventuelle de l'autorité d'agrément pour mesurer la satisfaction des utilisateurs (article 36);6° la gratuité du service d'identification, tant à l'égard de l'utilisateur qu'à l'égard de l'autorité (article 40). Eu égard aux restrictions qui en résultent pour la liberté de commerce et d'industrie (4), l'organisation d'un tel régime d'agrément suppose que celui ci ait été prévu par le législateur, soit dans le dispositif même de la loi, soit à tout le moins en y faisant référence dans les travaux préparatoires (5). Or il ne peut être déduit de l'article 6quinquies de la loi du 19 juillet 1991, même lu à la lumière des travaux préparatoires et en particulier du commentaire de l'article précité, que le législateur souhaitait soumettre les prestataires de services d'identification à un tel régime d'agrément. Tout au plus cette disposition habilite-t-elle le Roi à déterminer un régime d'enregistrement des systèmes d'identification, analogue à ce qui est actuellement prévu pour les lecteurs de cartes d'identité par l'arrêté royal du 13 février 1998 `fixant les spécifications et la procédure d'enregistrement des appareils de lecture pour la carte d'identité électronique et la carte d'identité sociale'. Sauf à modifier la loi du 19 juillet 1991 afin de lui fournir un fondement légal adéquat, l'arrêté en projet doit dès lors être revu afin de se limiter à une telle procédure d'enregistrement.
Compte tenu de cette observation fondamentale, l'arrêté en projet n'est pas examiné plus avant.
Le greffier, Anne-Catherine Van Geersdaele Le Président, Pierre Liénardy _______ Notes (1) Comme l'a notamment été le projet devenu l'arrêté royal du 7 décembre 2006 `fixant les spécifications et la procédure d'enregistrement des appareils de lecture pour la carte d'identité électronique et modifiant l'arrêté royal du 13 février 1998 relatif aux spécifications des appareils de lecture de la carte d'identité sociale'. (2) Voir notamment l'avis 54.805/2 donné le 3 février 2014 sur un projet devenu l'arrêté royal du 18 mars 2014 `modifiant l'arrêté royal du 7 avril 2003 réglant certaines méthodes de surveillance et de protection du transport de valeurs et relatif aux spécificités techniques des véhicules de transport de valeurs'. (3) Doc.parl., Chambre, 2002-2003, n° 2226/1, p. 32-33. (4) Voir déjà à cet égard l'avis 55.577/2 donné le 27 mars 2014 sur un projet d'arrêté royal `fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil'. (5) Voir l'avis 53.346/2 donné le 10 juin 2013 sur un projet devenu l'arrêté royal du 1er décembre 2013 `relatif aux conditions de formation auxquelles doit répondre le personnel des entreprises de sécurité maritime'.
17 JUILLET 2014. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.
Vu la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d'identité, aux cartes d'étranger et aux documents de séjour et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques, notamment l'article 6quinquies, inséré par la loi du 25 mars 2003;
Vu l'arrêté royal du 13 février 1998 fixant les spécifications et la procédure d'enregistrement des appareils de lecture pour la carte d'identité électronique;
Vu l'arrêté royal du 25 mars 2003 relatif aux cartes d'identité;
Vu l'avis de l'Inspection des Finances, donné le 4 février 2014;
Vu l'accord de Notre Ministre du Budget, donné le 18 février 2014;
Vu l'avis n° 20/2014 de la Commission de la protection de la vie privée, donné le 19 mars 2014;
Vu l'avis du Conseil d'Etat n° 56.329/2, donné le 4 juin 2014, en application de l'article 84, § 1er, alinéa 1er, 2° des lois coordonnées sur le Conseil d'Etat;
Sur la proposition de la Vice-Première Ministre et Ministre de l'Intérieur et de l'Egalité des chances, du Ministre des Finances, chargé de la Fonction publique, et du Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics et de l'avis des ministres qui en ont délibéré en Conseil, Nous avons arrêté et arrêtons : CHAPITRE Ier. - Définitions et dispositions introductives
Article 1er.Pour l'application du présent arrêté, on entend par : a) « service d'identification » : le service garantissant l'identité de l'utilisateur qui tente d'accéder à des applications publiques numériques via un moyen d'identification non connecté ou sans fil b) « moyen d'identification sans fil » : la solution agréée qui permet, à l'aide d'une carte d'identité électronique, de vérifier l'identité de l'utilisateur, et qui n'est pas reliée à l'appareil avec lequel l'accès aux applications publiques est demandé c) « utilisateur » : la personne qui fait appel au service d) « moyen d'identification filaire » : la solution agréée qui permet, à l'aide d'une carte d'identité électronique, de vérifier l'identité de l'utilisateur, et qui est reliée à l'appareil avec lequel l'accès aux applications publiques est demandé e) « prestataire de services » : le fournisseur agréé d'un service d'identification f) « autorité d'agrément » : le service public fédéral Technologie de l'Information et de la Communication (Fedict) g) « service opérationnel » : le service de l'autorité d'agrément responsable de la communication des données d'identification avec le prestataire de services h) « risques en matière de sécurité » : atteintes;effractions, tant physiques qu'électroniques; dommages à la réputation et à l'image et tout préjudice éventuel qui peut avoir des conséquences négatives sur la prestation de services i) « prestation de services » : l'offre d'un service d'identification j) « temps de réaction » : le temps de chargement des interactions individuelles entre l'utilisateur et le prestataire de services, abstraction faite de la vitesse de connexion entre l'utilisateur et le prestataire de services ainsi que des actions de l'utilisateur k) « service de `chat' » : un service permettant de mener une conversation en échangeant des messages textuels en temps réel ou en échangeant des fichiers son ou vidéo entre deux ou plusieurs utilisateurs d'équipements terminaux connectés à un réseau de communications électroniques et se trouvant généralement à différents endroits l) « problème » : la cause d'un ou de plusieurs incident(s) m) « personne de contact » : la personne que le prestataire de services renseigne comme unique point de contact entre le prestataire de services et l'autorité d'agrément n) « demandeur » : le prestataire de services qui souhaite obtenir l'agrément pour la prestation de services o) « convention de prestation de services » : une convention entre le prestataire de services et l'autorité d'agrément relatif au niveau de service.
Art. 2.Les fournisseurs des moyens d'identification sans fil basés sur la carte d'identité électronique, ne pourront mettre leur service d'identification à disposition pour une utilisation dans le cadre d'applications publiques numériques qu'après avoir démontré qu'ils satisfont aux conditions d'agrément et avoir reçu, de ce fait, l'agrément. CHAPITRE II. - Conditions d'agrément Section 1re. - Conditions fonctionnelles et techniques
Sous-section 1re. - Le moyen d'identification sans fil
Art. 3.Le service d'identification pour lequel l'agrément est demandé utilise un moyen d'identification qui, lors des identifications consécutives à l'enregistrement unique, ne doit pas être relié à l'appareil avec lequel l'accès aux applications publiques numériques est demandé.
Art. 4.Le service d'identification pour lequel l'agrément est demandé utilise un moyen d'identification qui, outre pour les applications publiques, est également utilisé, dans une large mesure, pour d'autres applications.
Art. 5.Lors de la vérification de la carte d'identité électronique, le moyen d'identification sans fil utilise les opérations cryptographiques relatives au certificat d'identité de la carte d'identité électronique, tel que visé à l'article 6, § 2 de la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d'identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques.
Art. 6.Le moyen d'identification sans fil demande, pour chaque identification, le code d'identification personnel (code PIN) du certificat d'identité, conformément aux conditions techniques mentionnées dans le manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté.
Sous-section 2. - L'enregistrement unique de l'utilisateur pour le service d'identification
Art. 7.Le service d'identification proposé requiert : 1. que l'utilisateur, après identification auprès de l'administration fédérale à l'aide d'un moyen d'identification filaire, sélectionne le service d'identification pour lequel il souhaite s'enregistrer;et 2. un enregistrement unique de l'utilisateur auprès du prestataire de services, à l'aide d'un moyen d'identification filaire.
Art. 8.L'enregistrement de l'utilisateur auprès du service d'identification n'est possible que si le certificat d'identité de la carte d'identité électronique satisfait, au moment de l'enregistrement, à toutes les conditions suivantes : 1. il n'est pas échu;2. il est émis par une autorité de certification agréée et non révoquée, sous le contrôle de l'administration fédérale qui est responsable de l'émission des certificats pour les cartes d'identité électroniques;et 3. il n'est pas révoqué.
Art. 9.§ 1er. L'utilisateur peut, à tout moment, modifier ou suspendre son enregistrement pour le service d'identification. § 2. La modification de l'enregistrement se fait conformément à la procédure d'enregistrement pour un nouveau service d'identification telle que décrite à l'article 7. § 3. L'utilisateur qui a suspendu son enregistrement peut à nouveau s'enregistrer ultérieurement pour le même service d'identification.
Art. 10.L'utilisateur peut s'enregistrer pour un ou plusieurs services d'identification.
Sous-section 3. - Identification par l'utilisateur
Art. 11.§ 1er. Le service d'identification proposé requiert que l'utilisateur, lorsqu'il s'identifie auprès de l'administration fédérale, sélectionne le service d'identification pour lequel il s'est enregistré. § 2. Lors de chaque identification, le service d'identification envoie à l'autorité d'agrément le code d'identification unique de l'utilisateur qui sera utilisé par le prestataire de services et l'autorité d'agrément. Sur cette base, cette dernière détermine l'identité de l'utilisateur.
Art. 12.Le prestataire de services garantit que l'utilisation du moyen d'identification sans fil n'est possible que si le certificat d'identité de la carte d'identité électronique satisfait, au moment de l'enregistrement, à toutes les conditions suivantes : 1. il n'est pas échu;2. il est émis par une autorité de certification reconnue et non révoquée, sous le contrôle de l'administration fédérale qui est responsable de l'émission des certificats pour les cartes d'identité électroniques;et 3. il n'est pas révoqué. Sous-section 4. - Echange d'informations entre le prestataire de services et l'autorité d'agrément
Art. 13.Dans le cadre du service d'identification, l'échange d'informations entre le prestataire de services et l'autorité d'agrément se déroule conformément aux protocoles techniques exposés dans le manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté.
Art. 14.§ 1er. Lors de chaque échange d'informations entre l'autorité d'agrément et le prestataire, ainsi qu'entre le prestataire de services et l'utilisateur, le service d'identification effectue des contrôles afin d'éviter, au moins, les abus suivants : 1. le nouvel envoi d'un même message ou d'une même tentative d'identification;2. la modification du contenu des informations échangées;3. une tierce partie qui se fait passer pour le service opérationnel ou le prestataire de services. § 2. Les abus mentionnés au paragraphe 1er sont détectés et mènent à l'échec de l'identification. § 3. Le service d'identification comprend suffisamment de mécanismes de contrôle afin de détecter pro-activement les éventuels risques en matière de sécurité. Le prestataire de services remet des rapports à ce sujet conformément à la procédure décrite dans la sous-section 5 de section 2.
Sous-section 5. - Respect de la vie privée
Art. 15.§ 1er. Le prestataire de services ne prend pas connaissance des applications publiques numériques auxquelles l'utilisateur demande l'accès à l'aide de son service d'identification. § 2. Le prestataire de services établit une piste d'audit sécurisée afin que les données puissent être reconstituées pour chaque transaction spécifique, et ce, en vue de la sécurisation des données et de la protection de la vie privée. A cet effet, le prestataire de services conserve, pour chaque identification, les données suivantes, et ce, pour une durée de dix ans à compter du moment de ladite identification : 1. les nom et prénom de l'utilisateur qui s'identifie;2. le service d'identification du prestataire de services avec lequel l'utilisateur s'identifie;et 3. le moment de l'identification. Section 2. - Conditions relatives à la gestion des services
Sous-section 1re. - Disponibilité des services
Art. 16.Sur base mensuelle, le service est disponible pendant 99,9 % du temps.
Art. 17.Le temps de réaction lors de l'identification d'un utilisateur n'excède pas : 1. 1 seconde pour 95 % des identifications;2. 2 secondes pour 98 % des identifications;3. 5 secondes pour 99,5 % des identifications. Sous-section 2. - Disponibilité des services de support
Art. 18.§ 1er. Pour les appels provenant d'utilisateurs et d'autres services publics que l'autorité d'agrément, le prestataire de services offre des services de support gratuits dans les trois langues nationales, ainsi qu'en anglais, au minimum tous les jours ouvrables de 8 heures à 18 heures. Ces services de support comprennent au moins : 1. un service de `chat';2. un support téléphonique;et 3. une page internet proposant des questions fréquemment posées ainsi qu'un manuel facilement accessible. § 2. Pour les appels provenant de l'autorité d'agrément, le prestataire de services offre des services de support dans les trois langues nationales, ainsi qu'en anglais, tous les jours et 24 heures sur 24. Ces services de support comprennent au moins : 1. un support téléphonique;et 2. une plateforme de support numérique gratuite par laquelle l'autorité d'agrément reçoit un message lui indiquant que son appel a été enregistré et qu'elle recevra une réponse le plus vite possible. § 3. Sur demande explicite de l'autorité d'agrément, des services de support seront prévus pour les appels provenant d'utilisateurs et d'autres services publics, dans les trois langues nationales, ainsi qu'en anglais, hors des périodes mentionnées au paragraphe 1er. Ces services de support comprennent au moins : 1. un service de chat;2. un support téléphonique;et 3. une page internet proposant des questions fréquemment posées ainsi qu'un manuel facilement accessible. Sous-section 3. - Gestion du déploiement
Art. 19.§ 1er. Le prestataire de services développe des systèmes qui garantissent la gestion du déploiement. Sauf décision contraire de l'autorité d'agrément, cette gestion du déploiement tient compte du fait que l'autorité d'agrément prend en considération, tous les six mois, de nouvelles versions logicielles afin d'introduire un déploiement logiciel ultérieur. § 2. La gestion du déploiement du prestataire de services suit celle de l'autorité d'agrément. A cet effet, le prestataire de services règle son calendrier de déploiement sur celui de l'autorité d'agrément.
Art. 20.Le prestataire de services soumet à l'approbation de l'autorité d'agrément chaque nouvelle version logicielle qui a un impact significatif sur l'utilisateur, au plus tard 1 mois avant la date d'introduction du déploiement, et l'accompagne d'une analyse d'impact.
Sous-section 4. - Continuité du service
Art. 21.Le prestataire de services développe des mécanismes qui garantissent un service ininterrompu pendant la durée de l'agrément.
Sous-section 5. - Rapports
Art. 22.Le prestataire de services met à disposition de l'autorité d'agrément toute information relative à la gestion des plaintes, aux enquêtes de sécurité, aux problèmes et incidents liés au service, et ce, à tout moment.
Art. 23.Dès le moindre soupçon de risques en matière de sécurité liés au service, le prestataire de services informe immédiatement l'autorité d'agrément.
Art. 24.Le prestataire de services désigne une personne de contact qui, à compter de la décision d'agrément, remettra tous les six mois à l'autorité d'agrément un rapport sur les conditions relatives à la gestion des services à l'autorité d'agrément, accompagné des documents justificatifs pertinents. Section 3. - Conditions économiques et juridiques
Art. 25.A chaque stade de la procédure d'agrément et après l'agrément, l'agrément peut être retiré tant au demandeur qu'au prestataire de services qui : 1. est en état de faillite, de liquidation, de cessation d'activités, de réorganisation judiciaire ou dans toute situation analogue résultant d'une procédure de même nature existant dans d'autres réglementations nationales;2. a fait l'aveu de sa faillite ou fait l'objet d'une procédure de liquidation, de réorganisation judiciaire ou de toute autre procédure de même nature existant dans d'autres réglementations nationales;3. a fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour toute infraction à la législation relative à la protection de la vie privée;4. a fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour tout délit affectant sa moralité professionnelle;5. en matière professionnelle, a commis une faute grave dûment constatée par tout moyen dont l'autorité d'agrément pourra justifier;6. n'est pas en règle avec ses obligations relatives au paiement de ses cotisations de sécurité sociale;7. n'est pas en règle avec ses obligations relatives au paiement de ses impôts et taxes selon la législation belge ou celle du pays dans lequel il est établi;8. s'est rendu gravement coupable de fausses déclarations en fournissant des renseignements exigibles ou qui n'a pas fourni ces renseignements.
Art. 26.Le demandeur doit satisfaire à toutes les conditions suivantes : 1. disposer d'une capacité économique et financière suffisante pour garantir une prestation de services durable;2. disposer d'une assurance responsabilité professionnelle adéquate;3. disposer de suffisamment de personnel qualifié pour pouvoir assurer la prestation de services dans les règles de l'art;4. être suffisamment fiable pour assurer la prestation de services;5. utiliser des systèmes et produits fiables, qui garantissent la sécurité des processus qu'ils supportent;6. disposer d'un modèle du service d'identification ainsi que d'un prototype du moyen d'identification, qui, sauf conséquences liées à l'agrément, doivent déjà être opérationnels. CHAPITRE III. - La procédure d'agrément Section 1re. - Introduction de la demande d'agrément
Art. 27.§ 1er. Le demandeur introduit une demande d'agrément d'après le modèle de formulaire repris en annexe au présent arrêté. Il joint à sa demande un dossier de référence inventorié. § 2. Cette demande est au minimum introduite sur support électronique, éventuellement confirmée sur support physique fourni à l'autorité d'agrément. § 3. L'autorité d'agrément remet immédiatement au demandeur une notification de réception de la demande d'agrément et du dossier de référence. § 4. Chaque message électronique envoyé à l'autorité d'agrément qui présente un virus ou toute autre instruction nuisible fera l'objet d'un archivage de sécurité. Le demandeur en sera immédiatement informé.
Art. 28.Le dossier de référence comprend au minimum les éléments suivants : 1. les statuts du demandeur;2. pour ce qui est du moyen d'identification : 1° des documents attestant le respect des conditions décrites au chapitre II, section 1re, sous-section 1re et du manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté;2° un manuel d'utilisation;3° un manuel technique;3. une description détaillée et technique de la procédure d'enregistrement unique concernant le service d'identification pour lequel l'agrément est demandé, compte tenu des conditions décrites au chapitre II, section 1re, sous-section 2 et et du manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté;4. une description détaillée et technique de l'identification par l'utilisateur, compte tenu des conditions décrites au chapitre II, section 1re, sous-section 3 et du manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté;5. une description détaillée et technique de l'échange d'informations entre le prestataire de services et l'autorité d'agrément, compte tenu des conditions décrites au chapitre II, section 1re, sous-section 4 et du manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté;6. des documents attestant que le service d'identification est apte à respecter les exigences en matière de vie privée décrites au chapitre II, section 1re, sous-section 5;7. des documents attestant que le service d'identification peut satisfaire aux exigences de disponibilité décrites au chapitre II, section 2, sous-section 1re;8. des documents attestant que les services de support du service d'identification répondent aux conditions décrites au chapitre II, section 2, sous-section 2;9. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3.10. un rapport d'audit externe attestant que le prestataire de services peut garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants : 1° une description de la gestion des changements;2° une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;3° une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant au respect de la vie privée, à la confidentialité, à l'intégrité et à la disponibilité du service;4° une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;11. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;12. des documents attestant que le prestataire de services dispose d'une capacité économique et financière suffisante pour garantir une prestation de services durable;13. une attestation prouvant que le prestataire de services a conclu une assurance couvrant la responsabilité professionnelle de manière adéquate;14. des documents attestant que le prestataire de services dispose de personnel suffisamment qualifié pour pouvoir assurer une prestation de services durable 15.des documents attestant que les systèmes et produits utilisés par le prestataire de services pour la sécurité du service sont suffisamment fiables; 16. des documents attestant que le prestataire de services peut assurer une disponibilité du service pendant 99,9 % du temps, sur base mensuelle;17. des pièces attestant que le prestataire de services est capable de garantir les temps de réaction repris à l'article 17. Section 2. - Traitement de la demande d'agrément par l'autorité
d'agrément
Art. 29.§ 1er. Au plus tard trois mois après réception de la demande d'agrément et du dossier de référence, l'autorité d'agrément agréera le demandeur, après avis du Service Public Fédéral Intérieur et pour autant que la demande d'agrément et le dossier de référence comprennent toutes les pièces définies à l'article 28 et qu'il en ressorte que les conditions énumérées au chapitre II du présent arrêté sont respectées. Ce délai peut être prolongé de trois mois. Dans ce cas, l'autorité d'agrément en informera immédiatement le demandeur. Le Service Public Fédéral Intérieur donne un avis concernant la demande d'agrément et le dossier de référence au plus tard deux semaines après la demande d'avis de la part de l'autorité d'agrément. L'autorité d'agrément poursuivra la procédure d'agrément à défaut d'avis dans les temps. § 2. Si la demande d'agrément soumise ou le dossier de référence sont incomplets ou si les pièces prouvent que les conditions énumérées au présent arrêté ne sont pas respectées, l'autorité d'agrément avertit le demandeur, par lettre recommandée, du refus de l'agrément, et ce, au plus tard 1 mois après la réception de la demande d'agrément et du dossier de référence. § 3. Le demandeur peut introduire une nouvelle demande si les raisons du refus ne s'appliquent plus. § 4. Si le demandeur n'a reçu aucune décision après un délai de 3 mois suivant la réception de la demande d'agrément et du dossier de référence, ou après un délai de 3 mois suivant la réception de la notification de prolongation du délai, la demande est considérée comme refusée.
Art. 30.Durant la procédure d'agrément, les demandeurs peuvent être entendus, et ce, à leur demande ou à la demande de l'autorité d'agrément. CHAPITRE IV. - Conséquences de l'agrément Section 1re. - Conséquences opérationnelles
Art. 31.Le prestataire de services conclut une convention de prestation de services avec l'autorité d'agrément.
Art. 32.Le prestataire de services et l'autorité d'agrément conviennent d'un plan commun pour le lancement du service.
Art. 33.La prestation de services se fait conformément aux dispositions du présent arrêté et aux éléments et conditions repris dans la convention de prestation de services.
Art. 34.Les services d'identification sont repris comme l'une des possibilités d'identification pour les applications publiques numériques sur le portail d'accès de l'autorité d'agrément.
Art. 35.§ 1er. Les prestataires de services mènent, à leurs frais, une campagne promotionnelle via plusieurs canaux, équitablement répartie au niveau national. Chaque campagne promotionnelle est menée selon un plan de communication préalablement soumis à l'autorité d'agrément et approuvé par cette dernière. § 2. Pour chaque campagne promotionnelle qu'il mènera dans le cadre du service, le prestataire de services prévoira, à ses frais, une référence à l'autorité d'agrément.
Art. 36.Les prestataires de services mesurent la satisfaction des utilisateurs du service. L'autorité d'agrément est informée de cette mesure à une date déterminée lors de la décision d'agrément.
L'autorité d'agrément se réserve le droit de mesurer elle-même la satisfaction des utilisateurs.
Art. 37.A l'occasion des événements suivants, le prestataire de services confirme dans les 15 jours qu'il satisfait toujours aux conditions d'agrément : 1. à la demande de l'autorité d'agrément;2. à la date anniversaire de la décision d'agrément;3. lors de changement de contrôle du prestataire de services qui peut avoir un impact sur le service;4. lors d'une modification du service;5. lors de la prise de connaissance d'une modification des conditions d'agrément;6. lors de la prise de connaissance d'une modification de la législation sur la protection de la vie privée.
Art. 38.§ 1er. Chaque modification des données transmises au moment de la demande d'agrément et pouvant avoir un impact sur le service doit être notifiée à l'autorité d'agrément dans un délai d'un mois.
Dans cette notification, le prestataire de services spécifie et motive la modification apportée. § 2. A l'occasion de chaque modification mentionnée au paragraphe 1er, l'autorité d'agrément peut décider de suspendre ou de supprimer d'office l'agrément lorsque les conditions d'agrément ne sont plus respectées. Section 2. - Durée de l'agrément
Art. 39.L'agrément a une durée de validité de cinq ans. Son renouvellement est conditionné à l'introduction d'une nouvelle demande. Section 3. - Coût
Art. 40.Le service d'identification est proposé gratuitement, tant au détenteur d'un moyen d'identification sans fil qu'à l'autorité d'agrément. CHAPITRE V. - Contrôle, suspension et retrait de l'agrément Section 1re. - Contrôle
Art. 41.Sans préjudice des compétences et possibilités d'action d'autres autorités ou services de contrôle, l'autorité d'agrément dispose du droit de soumettre à un contrôle les prestataires de service en cas de plainte ou de suspicion de non-conformité du service aux conditions d'agrément du présent arrêté ou à la convention de prestation de services.
Art. 42.Lorsque l'autorité d'agrément établit que le service ne concorde pas avec les éléments présents dans la convention de prestation de services, elle prend les mesures qu'elle considère adéquates. Section 2. - Suspension et retrait de l'agrément
Art. 43.§ 1er. L'autorité d'agrément peut suspendre l'agrément de la prestation de services pour une période de douze mois maximum lorsque celle-ci ne correspond pas aux conditions d'agrément mentionnées dans le présent arrêté ou à la convention de prestation de services. § 2. L'autorité d'agrément peut retirer l'agrément lorsque le prestataire de services : 1. ne satisfait plus aux conditions d'agrément mentionnées dans le présent arrêté ou à la convention de prestation de services;2. n'a pas pris les mesures nécessaires visant à remédier aux manquements qui ont mené à la suspension de l'agrément conformément au paragraphe 1er du présent article;ou 3. n'a, à l'expiration d'un délai de 10 jours civils à compter de la réception de la sommation, entrepris aucune action pour remédier à la dérogation constatée à la convention de prestation de services.
Art. 44.§ 1er. L'autorité d'agrément détermine la date d'entrée en vigueur de la suspension ou du retrait de l'agrément. § 2. Dans tous les cas de suspension ou de retrait d'un agrément, le prestataire de services peut être préalablement entendu par l'autorité d'agrément. § 3. L'autorité d'agrément peut, dans tous les cas de suspension ou de retrait d'un agrément, prendre les mesures correctives nécessaires ou exiger que ces mesures soient prises. § 4. La décision de suspension ou de retrait, ainsi que les raisons, sont immédiatement notifiées par lettre recommandée au prestataire de services. Dans cette lettre, l'autorité d'agrément mentionne le nom du gestionnaire de dossier. § 5. Après la décision de suspension ou de retrait, les services d'identification sont supprimés comme l'une des possibilités d'identification pour les applications publiques numériques sur le portail d'accès de l'autorité d'agrément. § 6. L'autorité d'agrément peut anticipativement lever la suspension à partir d'une date qu'elle aura déterminée, lorsqu'elle juge que les motifs de la suspension ne sont plus d'actualité. Cette levée de suspension est notifiée au fournisseur concerné par lettre recommandée. CHAPITRE VI. - Disposition finales
Art. 45.Le modèle de formulaire pour la demande d'agrément d'un service d'identification pour applications publiques numériques qui utilise un moyen d'identification sans fil est joint en annexe à l'arrêté.
Art. 46.Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.
Art. 47.La Vice-Première Ministre et Ministre de l'Intérieur et de l'Egalité des chances, le Ministre des Finances, chargé de la Fonction publique, et le Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics sont chargés de l'exécution du présent arrêté.
PHILIPPE Par le Roi : La Vice-Première Ministre et Ministre de l'Intérieur et de l' Egalité des Chances, Mme J. MILQUET Le Ministre des Finances, chargé de la Fonction publique, K. GEENS Le Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics, H. BOGAERT
ANNEXE Art. N1. Annexe. - Modèle de formulaire pour la demande d'agrément d'un service d'identification pour applications publiques numériques qui utilise un moyen d'identification sans fil Manuel d'utilisation Ce document contient le relevé des données qui doivent être remplies et transmises à l'autorité d'agrément, en vue de l'obtention de l'agrément d'un service d'identification pour applications publiques numériques qui utilise un moyen d'identification sans fil.
L'ensemble des points décrits et des informations demandées doivent être les plus complets possible.
Le modèle du formulaire d'enregistrement peut être téléchargé via http://www.fedict.belgium.be/fr/a_propos_de_fedict/telechargements/ overige Le formulaire d'enregistrement dûment complété ainsi que toutes les annexes nécessaires doivent être envoyés : a) par la poste, à l'adresse suivante : Service public fédéral Technologie de l'Information et de la Communication boulevard S.Bolivar 30 1000 Bruxelles b) par e-mail : servicedesk@fedict.be I. IDENTIFICATION DU DEMANDEUR Données relatives au demandeur de l'agrément du service d'identification.
Nom complet de l'entreprise : Forme juridique : Nationalité : Siège social : Numéro d'entreprise : Numéro ONSS : Personne de contact : Numéro de téléphone de la personne de contact : Adresse e-mail : II. DESCRIPTION EN QUELQUES LIGNES DU SERVICE D'IDENTIFICATION Cette partie décrira en quelques lignes le service d'identification pour lequel l'agrément est demandé. La description portera également sur les caractéristiques essentielles de ce service.
III. CRITERES D'EXCLUSION Les documents attestant qu'il ne se trouve pas en situation d'exclusion seront demandés par l'autorité d'agrément auprès des services publics où se trouvent ces informations.
IV. DOSSIER DE REFERENCE Le dossier de référence comprend au minimum les éléments suivants : 1. Les statuts du demandeur.2. Pour ce qui est du moyen d'identification : 1° des documents attestant le respect des conditions décrites au chapitre II, section 1re, sous-section 1re et du manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté ;2° un manuel d'utilisation;3° un manuel technique.3. Une description détaillée et technique de la procédure d'enregistrement unique concernant le service d'identification pour lequel l'agrément est demandé, compte tenu des conditions décrites au chapitre II, section 1re, sous-section 2 et du manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté.4. Une description détaillée et technique de l'identification par l'utilisateur, compte tenu des conditions décrites au chapitre II, section 1re, sous-section 3 et du manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté.5. Une description détaillée et technique de l'échange d'informations entre le prestataire de services et l'autorité d'agrément, compte tenu des conditions décrites au chapitre II, section 1re, sous-section 4 et du manuel technique approuvé par le Comité sectoriel du Registre national en exécution du présent arrêté.6. Des documents attestant que le service d'identification est apte à respecter les exigences en matière de vie privée décrites au chapitre II, section 1re, sous-section 5.7. Des documents attestant que le service d'identification peut satisfaire aux exigences de disponibilité décrites au chapitre II, section 2, sous-section 1re.8. Des documents attestant que les services de support du service d'identification répondent aux conditions décrites au chapitre II, section 2, sous-section 2.9. Une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3.10. Un rapport d'audit externe attestant que le prestataire de services peut garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants : 1° une description de la gestion des changements;2° une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;3° une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant au respect de la vie privée, à la confidentialité, à l'intégrité et à la disponibilité du service;4° une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;11. Une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services.12. Des documents attestant que le prestataire de services dispose d'une capacité économique et financière suffisante pour garantir une prestation de services durable.13. Une attestation prouvant que le prestataire de services a conclu une assurance couvrant la responsabilité professionnelle de manière adéquate.14. Des documents attestant que le prestataire de services dispose de personnel suffisamment qualifié pour pouvoir assurer une prestation de services durable.15. Des documents attestant que les systèmes et produits utilisés par le prestataire de services pour la sécurité du service sont suffisamment fiables.16. Des documents attestant que le prestataire de services peut assurer une disponibilité du service pendant 99,9 % du temps, sur base mensuelle.17. Des pièces attestant que le prestataire de services est capable de garantir les temps de réaction repris à l'article 17. Fait à, le Nom : Qualité : Signature : Vu pour être annexé à l'arrêté du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil.
Donné à Bruxelles, le 17 juillet 2014.
PHILIPPE Par le Roi : La Vice-Première Ministre et Ministre de l'Intérieur et de l' Egalité des Chances, Mme J. MILQUET Le Ministre des Finances, chargé de la Fonction publique, K. GEENS Le Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics, H. BOGAERT