publié le 13 août 2021
Arrêté royal relatif aux mesures de sécurité et aux normes techniques minimales des systèmes informatiques policiers qui produisent le cachet électronique avancé et aux mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée
18 JUILLET 2021. - Arrêté royal relatif aux mesures de sécurité et aux normes techniques minimales des systèmes informatiques policiers qui produisent le cachet électronique avancé et aux mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée
RAPPORT AU ROI Sire, Le projet d'arrêté royal que nous avons l'honneur de soumettre à la signature de Votre Majesté est relatif aux mesures de sécurité et aux normes techniques minimales des systèmes informatiques policiers qui produisent le cachet électronique avancé et aux mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée. 1. CONSIDERATIONS GENERALES Sire, l'article 40, § 3 de la loi sur la fonction de police donne au Roi deux missions en matière de signature électronique des procès-verbaux par la police intégrée.(1) Il doit premièrement fixer « les mesures de sécurité et les normes techniques minimales auxquelles doivent répondre les systèmes informatiques policiers qui produisent le cachet électronique avancé ». L'établissement de ces mesures de sécurité et normes techniques minimales relatives au cachet électronique avancé dans le cadre de la signature des procès-verbaux a pour but de renforcer la confiance dans l'utilisation qui en est faite par la police intégrée sur la base de l'article 40, § 2, 1° à 3° de la loi sur la fonction de police et dès lors son acceptation forte, non seulement par les partenaires de la chaîne pénale et de sécurité mais aussi par les citoyens.
Ce cadre d'utilisation du cachet électronique avancé concerne trois catégories de procès-verbaux, à savoir : 1° ) celle où le verbalisateur n'est légalement pas tenu de s'identifier nominativement dans le procès-verbal ;2° ) celle comprenant les procès-verbaux qui doivent être signés en grand volume relatifs aux constatations effectuées dans le cadre des articles 62 et 65, § 1er, de la loi du 16 mars 1968Documents pertinents retrouvés type loi prom. 16/03/1968 pub. 21/10/1998 numac 1998000446 source ministere de l'interieur Loi relative à la police de la circulation routière, coordonnée par l'arrêté royal du 16 mars 1968 portant coordination des lois relatives à la police de la circulation routière . - Traduction allemande Le texte q(...) - la loi du 10 octobre 1967 contenant le Code judiciaire (Moniteur belge du 31 octobre 1967); - (...) fermer relative à la police de la circulation routière ;3° ) les catégories de procès-verbaux déterminées par le Collège des procureurs généraux relatifs à des infractions déterminées qui, en fonction de la nature des faits et des circonstances de l'affaire, ne font pas ou pas encore l'objet de poursuites de la part du ministère public. Si la technologie du cachet électronique avancé est utilisée pour signer les procès-verbaux, c'est essentiellement parce qu'elle permet de signer en une seule fois une quantité importante de procès-verbaux, ce qui est gage d'efficacité dans certains processus policiers, tels ceux relatifs aux perceptions immédiates, tout en maintenant un haut degré de sécurité.
L'importance de la confiance qui doit être accordée à la signature à l'aide d'un cachet électronique avancé a été d'emblée soulignée ; cependant, celle-ci ne saurait bien entendu pas d'office impliquer de dévoiler dans les moindres détails, l'ensemble de ces mesures de sécurité et normes techniques sous-jacentes à sa production, sous peine précisément de compromettre la sécurité desdits systèmes et donc paradoxalement de nuire à la sécurité originellement recherchée.
Néanmoins, comme sollicité par le Conseil d'Etat dans son avis 66.584/2 du 14 octobre 2019 et par l'Organe de contrôle de l'information policière dans son avis DA190008 du 11 avril 2019, le projet a été complété en vue de donner plus de précisions quant aux mesures de sécurité et aux normes techniques minimales auxquelles doivent répondre les systèmes informatiques policiers qui produisent le cachet électronique avancé.
C'est dans cette optique que les articles 2 à 11 et l'annexe au présent : - énoncent les dispositions relatives aux éléments de sécurité standards des systèmes informatiques utilisés lors de la production du cachet électronique avancé ; - décrivent la fonction de hash utilisée ; - déterminent le processus d'utilisation des certificats et des clés de chiffrement, les modalités de stockage des certificats, le mécanisme d'horodatage, l'identification et l'authentification des membres du personnel ; - rendent obligatoires les journalisations et un contrôle humain lors de l'apposition du cachet ; - prévoient un audit régulier des mesures et du système de management de la sécurité de l'information et - déterminent les exigences en cas de sous-traitance qui devront être mises en place pour mettre en oeuvre le service de signature de la police ou en anglais le Police Signing Service (ci-après « PSS ») qui permet de produire le cachet électronique avancé.
Ces mesures de sécurité et normes techniques sont établies conformément au Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. L'implémentation de ces normes techniques est liée à l'évolution constante de la technologie et est donc par essence mouvante (voir par exemple à cet égard les travaux du comité technique ESI (Electronic Signatures and Infrastructures) de l'ETSI (European Telecommunications Standards Institute)).
Cette évolution constante va aussi être reflétée dans les audits de ces normes et mesures de sécurité qui seront réalisés tous les 5 ans.
Les normes techniques et mesures de sécurité présentes dans le projet d'arrêté royal constituent néanmoins le socle commun entourant la production et l'utilisation du cachet électronique avancé dans le cadre de la signature des procès-verbaux précisée à l'article 40, § 2, 1° à 3° de la loi sur la fonction de police. Par ailleurs, pour répondre à une des remarques du Conseil d'Etat, ces normes techniques se basent, d'une part, sur les standards généraux de sécurité des systèmes de la police intégrée et, d'autre part, sur les standards spécifiques d'application en matière de cachet électronique avancé dont, bien entendu, ceux découlant du Règlement européen eIDAS, et en particulier son article 36, à savoir le fait que le cachet avancé doit : 1° ) permettre d'identifier le créateur du cachet, ce qui est notamment précisé à l'article 4 ;2° ) être lié au créateur du cachet de manière univoque : cette condition est rencontrée par le fait que la clé privée fait l'objet de mesures de sécurité idoines et ne peut donc pas être contrefaite par un tiers ;3° ) avoir été créé à l'aide de données de création du cachet électronique que le créateur du cachet peut, avec un niveau de confiance élevé, utiliser sous son contrôle : il s'agit pour la police de créer, dans un environnement qu'elle gère, directement le cachet électronique avancé, d'appliquer des procédures de sécurité spécifiques en matière de gestion et d'administration et d'utiliser des systèmes et des produits de confiance afin de garantir que l'environnement de création de signatures électroniques est fiable et qu'il est utilisé sous son contrôle exclusif.C'est dans cette optique que les clés privées font l'objet de mesures de sécurité idoines et que les certificats de signature sont gérés sur la base de l'article 5 par la police, conformément sur la base de procédures auditables ; 4° ) et être lié aux données auxquelles il est associé de telle sorte qu'une possibilité de modification indétectable de données soit exclue : l'article 3 précise à cet effet le mécanisme de hachage qui est utilisé. Il s'agit donc pour la police d'adopter des mesures techniques pour assurer un lien logique entre le procès-verbal et la signature par cachet électronique avancé de sorte que toute modification ultérieure puisse être détectée. (2) L'article 40, § 3 de la loi sur la fonction de police demande ensuite au Roi de déterminer les mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée. Si la signature électronique se différencie de la signature écrite notamment par le fait qu'elle n'est pas visuelle mais correspond en réalité à un nombre ou une suite de chiffres, il doit être possible de visualiser lors du traitement électronique qu'une signature électronique a été utilisée.
Il va de soi que cette matérialisation doit aussi être apportée « sur papier », même si la signature électronique est par essence appelée à exister et à rester dans un monde digital.
Enfin, Sire, s'il est compréhensible que la mise en oeuvre de la signature électronique puisse susciter des craintes vu son caractère relativement neuf, notamment au sein de certains services publics, il est néanmoins important de rappeler dans cette introduction générale qu'elle offre des avantages importants en termes de sécurité (intégrité du document, authentification du signataire, infalsifiabilité et non répudiation par le signataire), de praticabilité (signer un lot de procès-verbaux en une seule fois, il y a autant d'originaux que de documents signés électroniquement) et d'interopérabilité, qui ne sont simplement pas possibles avec une signature manuelle, même si cette dernière est, uniquement pour des raisons historiques, considérée comme une référence. 2. COMMENTAIRE DU CHAPITRE PREMIER L'article premier introduit les définitions nécessaires.Concernant le « règlement eIDAS », la « signature électronique qualifiée » et le « cachet électronique avancé », il est renvoyé au règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. Le « service de signature de la police » est défini comme le service informatique policier qui produit le cachet électronique avancé, ainsi que les mentions qui figurent dans le cachet électronique avancé. Ce service intègre différents composants technologiques, des processus et des procédures de travail spécifiques et repose sur d'autres services IT transversaux aux systèmes policiers.
La notion « d'authentification forte » est également définie.
L'authentification forte mise en place comprend des éléments appartenant aux deux catégories suivantes : -"connaissance" (quelque chose que seul l'utilisateur connaît), - "possession" (quelque chose que seul l'utilisateur possède), lesquels sont indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité de l'autre, de manière à protéger la confidentialité des données d'authentification.
Enfin, il est également précisé que le procès-verbal vise tant le corps du procès-verbal que, le cas échéant, ses annexes.
Pour répondre à une remarque du Conseil d'Etat, la partie utilisatrice est celle qui va recevoir le procès-verbal (le verbalisé, son avocat, le juge,...) et le signataire est le membre du personnel qui appose le cachet électronique ou la signature qualifiée. Si le cachet avancé est créé par une personne morale, c'est in fine bien entendu un membre du personnel et donc une personne physique qui va l'utiliser pour signer un procès-verbal. Néanmoins, comme recommandé par le Conseil d'Etat, le présent projet n'utilise pas le terme signataire lorsqu'il est question de cachet électronique. 3. COMMENTAIRE DU CHAPITRE II L'article 2 précise les mesures de sécurité applicables aux systèmes informatiques qui seront utilisés.Ces mesures établissent un socle de base pour l'ensemble de l'infrastructure technique.
L'article 3 décrit le système technologique de « hash » (fonction de hachage cryptographique) qui est utilisé en vue de prouver l'intégrité du fichier informatique qui est signé. En créant un « condensé » (un hash) unique au moyen d'un algorithme informatique, il peut à tout moment être démontré que le document signé n'est ni modifié ni altéré.
Le chiffrement SHA256, exigé comme minimum sur la base des connaissances actuelles, calcule une empreinte numérique de 256 bits soit 32 octets, dont l'écriture hexadécimale comprend 64 caractères.
L'article 4 décrit le mécanisme utilisé en vue de procéder à la vérification de l'identité du créateur du cachet. Le mécanisme de cryptographie asymétrique utilisé est un domaine de la cryptographie où il existe une distinction entre des données publiques et privées.
Dans le cas présent, une clé privée est utilisée pour signer et la clé publique disponible sur un site internet permet de vérifier que le document a bien été signé par une entité autorisée.
Un des éléments essentiels de la sécurité du processus de chiffrement est de garantir la sécurité des clés utilisées. Dans le cadre du PSS, la protection des clés privées est bien entendu aussi un élément essentiel de l'ensemble des mesures de sécurité. Il est dès lors prévu que le délégué à la protection des données désigné auprès du Commissariat général donne un avis quant au stockage et à la gestion des certificats de signature électronique.
L'article 5 fixe les conditions de sécurisation des certificats de signature électronique et des clés privées. Ce volet « sécurisation » devra aussi faire partie de l'audit prévu à l'article 1 1.
Le processus de signature électronique vise entre autres à pouvoir fixer et démontrer que les certificats de signature sont valables et que les procès-verbaux signés l'ont été à un moment précis. Le mécanisme utilisé pour ce faire et mentionné à l'article 6 est l'horodatage (en anglais timestamping) qui consiste à associer une date et une heure à un événement, la signature dans le cas présent.
L'article 7 décrit les exigences d'identification et d'authentification des membres des services de police avant d'accéder au PSS. Cette identification en amont est un élément clé du processus lorsqu'elle est couplée à la vérification des fonctions et mandats de la personne qui s'identifie. En effet, de la sorte, seuls les membres du personnel qui occupent une fonction spécifique et qui sont autorisés, sauront accéder à ces systèmes informatiques.
Autrement formulé, il s'agira dès lors que ces systèmes : - identifient le membre du personnel qui souhaite utiliser un cachet électronique ; - soient paramétrés de telle sorte que seuls ceux qui y sont autorisés puissent utiliser le module applicatif relatif au cachet électronique avancé.
Ceci implique notamment que les systèmes policiers puissent réaliser une distinction entre différents types de profils : par exemple un utilisateur qui a un mandat technique pour intervenir sur le module de cachet, d'un utilisateur, fonctionnaire de police ou membre du personnel du cadre administratif et logistique habilité qui souhaite apposer un cachet électronique avancé sur des procès-verbaux.
Cette identification est décrite dans les articles 4, 7 et 9 de l'arrêté royal.
En outre, dès lors que le membre du personnel s'est identifié et que ses droits ont été vérifiés, il doit aussi s'authentifier avant de pouvoir engendrer un cachet électronique sur des procès-verbaux (au moyen d'un système d'authentification forte (cfr. article 7)). Cette authentification forte peut être utilisée une seule fois pour un lot de procès-verbaux. Elle sera en outre reprise dans les journaux (voir articles 8 et 9). Par cet acte d'authentification forte, le verbalisateur formalise sa volonté individuelle et libre de prendre à son nom propre et à son compte les constatations qui sont faites dans les procès-verbaux.
Cette authentification forte et les journalisations y associées renforcent par ailleurs le fait que le signataire qui a engendré le cachet sur un procès-verbal ne pourra pas ultérieurement le nier.
Le recours à un cachet électronique pour signer les procès-verbaux constitue un traitement spécifique qui aura un impact sur le reste de la chaîne pénale. Dès lors, le respect des règles permettant d'assurer la traçabilité de tous les actes posés est assuré via le recours à des journaux de traitements (Loggings) devant permettre d'établir pour tous les traitements liés au cachetage des procès-verbaux, qui a réalisé quel traitement, à quel moment et pourquoi (cfr. articles 8 et 9).
Cette traçabilité est bien entendu un élément déterminant en termes d'« accountability ». La signature électronique des procès-verbaux est un traitement qui relève du titre II de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. L'obligation de journalisation prévue à l'article 56 s'applique dès lors. L'article 8 fixe le délai de conservation de ces loggings à 5 ans après la destruction du procès-verbal en se basant sur les délais fixés dans la loi sur la fonction de police.
L'article 9 apporte une garantie supplémentaire quant à l'utilisation du PSS : un cachet électronique avancé ne peut être apposé que suite à une décision volontaire de la personne habilitée à l'apposer.
En exécution de l'article 10, les mesures de sécurité en vue de s'assurer que le PSS réponde aux objectifs de sécurité que sont la confidentialité, la disponibilité, l'intégrité et la non-répudiation doivent être auditables. Les dispositions reprises en annexe à l'arrêté royal serviront de modèle à cet audit. Elles sont directement inspirées des normes ISO/IEC 27001 :2013 Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences, ISO/IEC 27002 :2013 Technologies de l'information - Techniques de sécurité - Code de bonne pratique pour le management de la sécurité de l'information et ISO/IEC 27005 :2018 Technologies de l'information - Techniques de sécurité - Gestion des risques liés à la sécurité de l'information.
Les mécanismes de signature électronique résultant de systèmes technologiques parfois complexes, il est important de pouvoir démontrer que les mesures de sécurité et les normes techniques sont bien implémentées. Pour ce faire, le PSS et les processus et procédures nécessaires à son fonctionnement seront audités par un service compétant désigné pour ce faire, dépendant directement du Commissaire général de la police fédérale.
Le premier audit sera réalisé un an après la publication de l'arrêté royal et renouvelé tous les 5 ans. L'audit prendra en compte l'ensemble des paramètres du système de management de la sécurité de l'information repris dans l'annexe 1. Ces paramètres ont été fixés en se basant sur la norme ISO/IEC 27001 :2013 Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences.
Par ailleurs, comme responsable du traitement de police judiciaire (article 44/4 de la loi sur la fonction de police les procès-verbaux relèvent en effet exclusivement de la police judiciaire), le ministre de la Justice pourra bénéficier des avis et conseils du délégué à la protection des données (DPO) désigné pour ce traitement. Il s'agit du DPO désigné auprès du Commissariat général qui est par ailleurs également compétent pour les traitements policiers dont les ministres sont également responsables. Il sera associé aux évaluations et aux choix des mesures de sécurité mises en place (voir entre autre l'article 5). Le DPO aura bien évidemment accès aux locaux, aux informations techniques et autres procédures utilisées pour rendre ses différents avis en la matière.
Conformément à la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, le rapport d'audit sera transmis à l'Organe de contrôle de l'information policière qui pourra également lui-même évaluer ces mesures et normes techniques.
Le recours à la sous-traitance est autorisé. Si tel est le cas, l'ensemble des mesures de sécurité et normes techniques seront également applicables tout comme l'obligation de se soumettre à un audit (article 11). 4. COMMENTAIRE DU CHAPITRE III Article 12 Fondamentalement, une signature électronique est totalement différente d'une signature traditionnelle et manuscrite.Dans le « panneau des signatures », elle apparaît sous la forme d'une série de nombres et de lettres associées à un fichier et à la personne à l'origine de la signature.
L'ajout d'un élément visuel n'est donc en soi un élément nécessaire ni au niveau juridique ni au niveau technique mais c'est un des facteurs qui permet de renforcer la confiance et l'acceptabilité vis-à-vis de la signature électronique.
Cet élément restera assurément utile dans un environnement matérialisé tant que l'informatisation ne sera pas généralisée `end to end' et qu'il subsistera des traitements papier de dossiers.
Au niveau d'un environnement matérialisé (un PV imprimé) et donc d'un monde papier, il s'agira donc de préciser que le PV est signé électroniquement, ainsi que de mettre les nom et prénom du ou des signataires lorsque le procès-verbal est signé via une signature électronique qualifiée et les coordonnées de la personne morale lorsque le procès-verbal est signé par cachet électronique avancé.
Dans cette dernière hypothèse, le(s) nom(s) des verbalisateurs sont de toute façon d'office repris dans le corps du procès-verbal.
La visualisation d'une signature digitale (signature électronique qualifiée et cachet électronique avancé) sur un écran est bien entendu tributaire des logiciels de lecture.
Ces différents logiciels ont cependant au moins en commun d'afficher les informations du signataire (le nom et prénom de la personne physique en cas de signature qualifiée et les données de la personne morale en cas de signature avec le cachet - dans cette dernière hypothèse, le(s) nom(s) des verbalisateurs sont de toute façon d'office repris dans le corps du procès-verbal), de donner les informations relatives à la validité du certificat de signature (cachet électronique avancé ou signature électronique qualifiée) et de mentionner la date de la signature électronique du procès-verbal.
Dans les hypothèses où la sécurité ou l'intégrité des membres du personnel sont en jeu et où le législateur a déjà décidé que l'identification du verbalisateur n'était dès lors pas requise (par exemple pour les procès-verbaux visés à l'article 41, § 2, de la loi sur la fonction de police, ainsi que ceux visés aux articles 112quater et 112quinquies du Code d'instruction criminelle), la mention de ses nom et prénom sera remplacée par un numéro unique attribué au signataire. Il s'agit soit du numéro visé à l'article 41, § 2 de la loi sur la fonction de police ou celui visé à l'article 112quater du Code d'instruction criminelle. Bien entendu, cela ne s'applique pas à la signature qualifiée.
Le cas échéant, d'autres mesures de protection de l'identité peuvent bien entendu être appliquées pour protéger l'anonymat du verbalisateur, comme par exemple la signature du procès-verbal par le chef de service lorsque ces mesures sont préconisées par l'autorité judiciaire.
Dans ce cas, l'exception prévue par l'article 40, § 3, 1° ne joue pas et les règles génériques en matière de signature des procès-verbaux sont d'application.
J'ai l'honneur d'être, Sire, de Votre Majesté le très respectueux et très fidèle serviteur, Le Ministre de la Justice, V. VAN QUICKENBORNE La Ministre de l'Intérieur A. VERLINDEN 18 JUILLET 2021. - Arrêté royal relatif aux mesures de sécurité et aux normes techniques minimales des systèmes informatiques policiers qui produisent le cachet électronique avancé et aux mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.
Vu la Loi du 5 août 1992Documents pertinents retrouvés type loi prom. 05/08/1992 pub. 21/10/1999 numac 1999015203 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation internationale Loi portant approbation du Protocole modifiant l'article 81 du Traité instituant l'Union économique Benelux du 3 février 1958, fait à Bruxelles le 16 février 1990 fermer sur la fonction de police, l'article 40, § 3, alinéa 4, modifié par la Loi du 25 mai 2018 ;
Vu l'avis n° DA 190008 de l'Organe de contrôle de l'information policière rendu le 11 avril 2019 ;
Vu les avis des Inspecteurs généraux des Finances, donnés les 19 et le 20 avril 2019 ;
Vu l'accord du ministre du Budget, donné le 21 juin 2019 ;
Vu l'avis 66.584/2 du Conseil d'Etat, donné le 14 octobre 2019, en application de l'article 84, § 1, alinéa 1er, 2°, des lois coordonnées sur le Conseil d'Etat ;
Considérant le Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
Considérant la Loi du 21 juillet 2016Documents pertinents retrouvés type loi prom. 21/07/2016 pub. 28/09/2016 numac 2016009485 source service public federal justice Loi mettant en oeuvre et complétant le règlement n° 910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, portant insertion du titre 2 dans le livre XII « Droit de l'économie électronique » du Code de droit économique et portant insertion des définitions propres au titre 2 du livre XII et des dispositions d'application de la loi propres au titre 2 du livre XII, dans les livres I, XV et XVII du Code de droit économique fermer mettant en oeuvre et complétant le Règlement (UE) n° 910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, portant insertion du titre 2 dans le livre XII "Droit de l'économie électronique" du Code de droit économique et portant insertion des définitions propres au titre 2 du livre XII et des dispositions d'application de la loi propres au titre 2 du livre XII, dans les livres I, XV et XVII du Code de droit économique ;
Sur la proposition des ministres de la Justice et de l'Intérieur, Nous avons arrêté et arrêtons : CHAPITRE Ier. - DEFINITIONS
Article 1er.Pour l'exécution du présent arrêté, on entend par : 1° « Règlement eIDAS » : le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; 2° « signature électronique qualifiée » : la signature visée à l'article 3.12 du Règlement eIDAS ; 3° « cachet électronique avancé » : le cachet visé à l'article 3.26 du Règlement eIDAS ; 4° « service de signature de la police » (Police Signing Service) : le service informatique de la police qui produit le cachet électronique avancé, ainsi que les mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée ;5° « coordonnées de la personne morale »: pour la police locale et la police fédérale, leur numéro d'entreprise respectif auprès de la Banque Carrefour des Entreprises ;6° « authentification forte » : une authentification des membres du personnel des services de police dont l'identité est préalablement vérifiée dans le registre national des personnes physiques et dont les fonctions sont précisées et tenues à jour dans un registre interne aux services de police, et reposant sur l'utilisation de deux éléments : un élément "connaissance" (quelque chose que seul le membre du personnel connaît) et un élément "possession" (quelque chose que seul le membre du personnel possède) ;7° « procès-verbal » : le corps du procès-verbal et, le cas échéant, ses annexes ; 8° « données relatives à l'identification du créateur du cachet avancé » : Geïntegreerde Politie - Police Intégrée - Integrierte Polizei, BE, OrganizationIdentifier : PSDBE-NTRBE-0869909460, Mail : dri.services@police.belgium.eu, Téléphone : +32 2 554 40 00 ; 9° clé privée et clé publique : les clés utilisées dans la cryptographie asymétrique qui servent à chiffrer et déchiffrer les données. CHAPITRE II. - MESURES DE SECURITE ET NORMES TECHNIQUES MINIMALES DES SYSTEMES POLICIERS QUI PRODUISENT LE CACHET ELECTRONIQUE AVANCE
Art. 2.Le service de signature de la police est intégré dans un environnement informatique comprenant : a) un antimalware et un antivirus à jour ;b) un système de détection et de blocage des intrusions ou des accès non autorisés ;c) une procédure de mise à jour des logiciels ;d) une gestion des incidents, y compris leur communication ;e) des procédures de back-up et de continuité des activités.
Art. 3.Afin d'assurer l'intégrité des données, le service de signature de la police utilise une fonction de condensation des procès-verbaux.
La fonction de condensation permet d'assurer que le procès-verbal est associé à un seul condensé.
L'algorithme de condensation sécurisé doit être au moins un « Secure Hash Algorithm 256 ».
L'algorithme est calculé sur la base du contenu du procès-verbal signé électroniquement ayant fait l'objet de la condensation de sorte que sur la base d'une condensation déterminée, il n'y ait qu'un seul code de condensation qui corresponde à un contenu déterminé.
Si le contenu d'un procès-verbal signé électroniquement par cachet avancé est modifié, le code de condensation est différent.
Le code de condensation original permet également de déterminer si le procès-verbal signé électroniquement a été modifié.
Art. 4.Le service de signature de la police utilise un mécanisme de chiffrement du condensé du procès-verbal basé sur l'emploi d'une clé privée et d'un certificat électronique.
La vérification de l'identité du créateur du cachet est réalisée en ouvrant un procès-verbal signé par cachet avancé à l'aide du programme qui visualise le procès-verbal et qui utilise la clé publique associée à la clé privée pour déchiffrer les informations de signature électronique.
La validité du procès-verbal et de la signature peut être vérifiée au moyen d'un certificat de clé publique mis à disposition en ligne par la police intégrée, de sorte que ce certificat puisse être importé sur un appareil afin qu'il soit identifié comme un certificat de confiance lorsqu'il est utilisé pour une vérification ultérieure de l'identité.
Ce certificat de clé publique comprend notamment les données relatives à l'identification du créateur du cachet avancé (« DRI integrated police »), la clé publique ainsi que la durée de validité.
Art. 5.Le stockage et la gestion des certificats de signature électronique valides, expirés ou périmés sont réalisés par la direction de l'information policière et des moyens ICT de la police fédérale, après avis du délégué à la protection des données désigné auprès du Commissariat général.
Les clés privées sont sécurisées de manière adéquate dans l'infrastructure informatique et les bâtiments de la police intégrée, tant durant leur stockage que pendant leur utilisation.
Art. 6.Le service de signature de la police utilise un mécanisme d'horodatage. Ce mécanisme est associé à chaque signature par cachet.
Art. 7.Le service de signature électronique de la police n'est accessible à des fins de signature que pour les membres des services de police s'étant préalablement : a) identifiés avec un identifiant unique en fonction d'un profil d'accès spécifique et b) authentifiés à l'aide d'un moyen d'authentification forte.
Art. 8.Les traitements réalisés à l'aide de ce service font l'objet d'une journalisation au sens de l'article 56 de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel qui est conservée 5 ans après la destruction du procès-verbal. Cette journalisation permet notamment de réaliser un traçage de toute création, modification ou destruction du procès-verbal, signé par cachet avancé.
Art. 9.Lors de l'utilisation du service de signature de la police dans le cadre de l'article 40, § 3 de la loi sur la fonction de police, le cachet électronique avancé est apposé par le membre du personnel qui utilise le cachet avancé uniquement lors d'un processus humain volontaire et ne peut pas être apposé inopinément.
Cette apposition est reprise dans la journalisation de sorte que le moment d'apposition, la personne qui a demandé cette apposition et les procès-verbaux signés puissent être contrôlés.
Lors de l'utilisation du service de signature de la police dans le cadre de l'article 40, § 6 de la loi sur la fonction de police, le cachet électronique avancé est apposé lors d'un processus automatique maîtrisé et le cachet ne peut pas être apposé inopinément.
Art. 10.Les mesures de sécurité et les normes techniques permettant d'assurer un niveau de confidentialité, de disponibilité, d'intégrité, de fiabilité, d'authenticité et d'irréfutabilité du service de signature électronique de la police sont auditées au minimum tous les 5 ans.
Le rapport d'audit détaille les 15 paramètres repris dans l'annexe 1.
Le Commissariat général de la police fédérale réalise ces audits.
Le premier audit a lieu au plus tard 12 mois après la parution de cet arrêté royal. Le rapport d'audit est transmis à l'Organe de contrôle de l'information policière.
Art. 11.En cas de traitement par un sous-traitant, les mesures de sécurité et normes techniques reprises au chapitre II du présent arrêté sont contractuellement applicables au sous-traitant. Les traitements qui sont réalisés par un sous-traitant font également l'objet de l'audit prévu à l'article 10. CHAPITRE III. - Mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée
Art. 12.§ 1er. Quand un procès-verbal est signé avec le cachet électronique avancé ou la signature électronique qualifiée, les mentions suivantes sont visualisées dans un environnement matérialisé : a) « signé électroniquement », dans la langue de rédaction du procès-verbal ;b) les données d'identification du ou des signataire(s) en cas de signature électronique qualifiée et les coordonnées de la personne morale qui signe en cas de signature par cachet électronique avancé. § 2. Quand un procès-verbal est signé avec le cachet électronique avancé ou la signature électronique qualifiée, au minimum, les mentions suivantes sont visualisées dans un environnement dématérialisé : 1° les données d'identification du ou des signataire(s) en cas de signature électronique qualifiée et les coordonnées de la personne morale qui signe en cas de signature par cachet électronique avancé ;2° les mentions relatives à la validité du certificat de cachet électronique avancé ou de signature électronique qualifiée ;3° la date de la signature électronique du procès-verbal. § 3. Les mentions visées aux §§ 1er et 2 sont créées au moment de l'utilisation du cachet électronique avancé ou de la signature électronique qualifiée.
Art. 13.Le Ministre qui a l'Intérieur dans ses attributions et le Ministre qui a la Justice dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.
Donné à Bruxelles, le 18 juillet 2021.
PHILIPPE Par le Roi : Le Ministre de la Justice V. VAN QUICKENBORNE La Ministre de l'Intérieur A.VERLINDEN Annexe à l'arrêté royal du 18 juillet 2021 relatif aux mesures de sécurité et aux normes techniques minimales des systèmes informatiques policiers qui produisent le cachet électronique avancé et aux mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée L'audit des mesures de sécurité et des normes techniques permettant d'assurer un niveau de confidentialité, de disponibilité, d'intégrité, de fiabilité, d'authenticité, d'irréfutabilité du service de signature électronique de la police (Police Signing Service) porte sur les 15 paramètres suivants : 1) La politique de sécurité de l'information et les plans de sécurité concernant le Police Signing Service, c'est-à-dire : a) la stratégie des services de police ;b) les réglementations, la législation et les contrats ;c) l'environnement réel et anticipé des menaces liées à la sécurité de l'information.2) L'organisation de la sécurité relative au Police Signing Service, c'est-à-dire : a) l'identification des rôles et responsabilités des différents acteurs concernés par la sécurité de l'information ;b) les données relatives au délégué à la protection des données compétent pour la mise en oeuvre et le suivi des mesures de sécurité ;c) l'identification des membres du personnel et les tiers opérant sous la responsabilité de la police ;d) le contrôle d'accès / la gestion des autorisations ;e) le retrait des droits ;f) la confidentialité des données ;g) l'accès physique aux bâtiments et aux infrastructures ;h) les systèmes d'accès et la confidentialité des données d'accès ;i) les mesures permettant de déterminer l'utilisation correcte des outils de travail mis à disposition (tels que les appareils mobiles) ;j) les mesures qui sont prises pour contrôler les activités (accès, destruction de stockage, accès à distance, journalisation) ;k) la gestion des certificats et des clés.3) La sécurité concernant les ressources humaines, c'est-à-dire que : a) seuls des membres du personnel et, le cas échéant, des sous-traitants qui possèdent l'expertise, la fiabilité, l'expérience et les qualifications nécessaires et qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité seront employés pour mettre en oeuvre le Police Signing Service.b) les modalités visant à l'adhésion de tous les collaborateurs internes et externes aux instructions internes de l'organisation doivent être documentées et connues ;c) les responsabilités et les obligations relatives à la sécurité de l'information et à la protection des données demeurent après la résiliation ou le changement d'emploi et que ces conditions doivent être clairement communiquées et intégrées dans le processus de gestion des collaborateurs (internes ou externes) ;d) un contrat de confidentialité est conclu avec toute personne, non soumise au statut des membres de la police intégrée, ayant accès aux systèmes d'information des services de police.4) La sensibilisation et la formation des membres du personnel et des collaborateurs externes. Un programme de sensibilisation/formation est mis en place afin : a) de conscientiser les membres du personnel et les collaborateurs externes à la sécurité de l'information et à la protection de la vie privée (en mettant l'accent sur le Police Signing Service) ;b) d'expliquer clairement les responsabilités respectives de l'autorité hiérarchique, d'un service spécifique, du collaborateur et des personnes chargées du contrôle de l'application des mesures de sécurité en lien avec le Police Signing Service.5) La gestion des actifs relatifs au Police Signing Service. L'inventaire des actifs nécessaires au Police Signing Service, quels que soient leurs types (informations, données, applications, réseaux, processus, systèmes) est réalisé.
Chaque actif sera détaillé et tous les éléments seront repris et tenus à jour afin de bénéficier d'une cartographie correcte de l'architecture des systèmes et de l'information de l'organisation.
Un responsable fonctionnel est identifié pour chaque élément de cet inventaire et sa tâche est précisée dans le plan de sécurité concerné. 6) Le contrôle d'accès relatif au Police Signing Service. Pour l'accès au Police Signing Service, les services de police définissent les règles d'accès dans des procédures spécifiques.
Un processus qui garantit l'identification et l'authentification forte du membre du personnel lorsque celui-ci souhaite exercer ses tâches est mis en place. 7) La protection des données à caractère personnel. Les données à caractère personnel contenues dans les procès-verbaux, en ce compris la signature électronique, doivent être protégées de manière appropriée pendant leur utilisation, leur stockage, et leur transmission. Le niveau de protection tient compte de l'analyse de risque avec, selon les besoins, des mesures de pseudonymisation ou de chiffrement des données ou de l'information, ou toute autre mesure permettant de garantir le niveau de protection approprié. 8) La sécurité physique. Les services de police sécurisent les infrastructures dans lesquelles le Police Signing Service est mis en oeuvre. Ils prennent les mesures de protection et de sécurisation afin de gérer l'accès des personnes autorisées aux bâtiments et aux locaux.
Les mesures sont adaptées en fonction de la présence physique de personnes dans les locaux.
Les services de police protègent leurs données et leurs supports de données. Ils prennent des mesures préventives contre la perte, la divulgation non autorisée, la détérioration, le vol, l'accès non autorisé des actifs de l'organisation et contre une éventuelle interruption des activités de l'organisation. 9) La sécurité opérationnelle. Les services de police mettent en oeuvre des mesures spécifiques pour chaque actif essentiel du Police Signing Service : tout acte suspect ou tout incident est rapporté et investigué. Une trace du suivi de ces incidents est également conservée. Les systèmes et les produits mis en oeuvre pour le Police Signing Service sont fiables et protégés contre les modifications. La sécurité technique et la fiabilité des processus sont prises en charge. 10) La sécurité de la communication des informations. Les services de police prennent des mesures spécifiques pour sécuriser la communication de l'information, afin d'éviter les accès non autorisés aux données et informations. 11) L'acquisition, le développement et la maintenance des systèmes d'information. Lors de l'achat, du développement et de la maintenance du Police Signing Service, les services de police conçoivent et utilisent des processus et des procédures pour protéger les informations et ce, aussi bien pendant la phase de son développement que lors de son utilisation opérationnelle.
Le Police Signing Service et les processus de traitement de données sont développés et conçus pour protéger par défaut les données et informations. 12) Les relations avec les tiers (fournisseurs, autorités). Les services de police définissent les relations avec les fournisseurs et les autorités pour mettre en oeuvre le Police Signing Service.
Ces relations sont formalisées dans un document qui indique clairement, le cas échéant : a) qui est (sont) le(s) responsable(s) du traitement ;b) quelle partie est le sous-traitant ;c) comment les responsabilités sont réparties ;d) comment la protection des données est organisée, y compris : o la sécurité et le comportement requis ; o la gestion des incidents ; o le signalement des violations ; o le contact avec les autorités. 13) La gestion des incidents liés à la sécurité de l'information. Les membres du personnel ainsi que les collaborateurs externes et d'autres personnes impliquées dans le Police Signing Service disposent d'une procédure permettant de signaler les activités suspectes.
Il s'agit d'une procédure permettant de rapporter, d'enregistrer et de gérer des violations potentielles ou présumées de données à caractère personnel ou de la sécurité du Police Signing Service afin que les vulnérabilités puissent être traitées rapidement et de manière structurée.
Cette procédure reprendra : les rôles et les responsabilités de tous les acteurs impliqués.
Un registre interne des incidents contenant tous les incidents de sécurité signalés sera tenu à jour. 14) Les aspects de la gestion de la continuité des activités liés à la sécurité de l'information. Le Police Signing Service fait l'objet d'un plan de protection garantissant la disponibilité des données et de l'information.
Les mesures permettent de prévoir la protection nécessaire de l'information et des données qui sont traitées dans le système contre la perte, la modification ou la destruction non autorisée, soit par accident soit par acte malveillant.
Les services de police veillent à ce que la disponibilité et l'accès à des informations ou à des données soient rétablis en temps utile après un incident physique ou technique.
Les services de police prévoient une solution afin d'assurer la continuité du Police Signing Service. Dans cette solution, les codes de développement des applications seront au maximum conservés. 15) L'évaluation des points 1 à 14 est réalisée au moins en fonction : a) des changements dans les menaces et des leçons tirées suite à la gestion d'incidents ;b) des résultats d'analyses de risques, d'enquêtes de contrôle ou d'audits ;c) de changements de l'organisation ou du contexte juridique, réglementaire ou technologique. Vu pour être annexé à Notre arrêté du 18 juillet 2021 relatif aux mesures de sécurité et aux normes techniques minimales des systèmes informatiques policiers qui produisent le cachet électronique avancé et aux mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée.
PHILIPPE Par le Roi : Le Ministre de la Justice, V. VAN QUICKENBORNE La Ministre de l'Intérieur, A.VERLINDEN