publié le 08 novembre 2017
Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques
22 OCTOBRE 2017. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques
RAPPORT AU ROI Sire, 1. INTRODUCTION Le présent projet d'arrêté royal s'inscrit dans la politique d'e-gouvernement globale du gouvernement.L'e-gouvernement ou « administration électronique » recouvre le développement d'une structure informatique et la prise d'initiatives afin de permettre aux administrations et aux citoyens d'utiliser les technologies de l'information et de la communication dans le cadre d'applications publiques numériques.
L'article 10, §§ 2, 7 et 8 de la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer relative à l'identification électronique constitue la base légale du présent arrêté. Conformément à cet article, le service public fédéral Stratégie et Appui agit en tant qu'autorité d'agrément pour des services d'identification électronique sur des applications publiques numériques basés sur un moyen d'identification électronique. Le Roi prévoit les conditions, la procédure et les conséquences de cet agrément.
Par le biais d'un arrêté royal précédent, du 17 juillet 2014, un règlement a été élaboré dans le but de fixer les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique sur des applications publiques numériques qui utilisent des moyens d'identification sans fil.
L'arrêté précité concerne des lecteurs de cartes d'identité électroniques qui ne sont pas reliées physiquement à l'appareil avec lequel l'accès est demandé à l'application publique numérique (il s'agit en d'autres termes de lecteurs de cartes sans fil). Il vise en particulier les lecteurs de cartes qui sont principalement utilisés à une fin autre que l'identification sur des applications publiques numériques, par exemple les lecteurs de cartes pour l'e-banking qui peuvent être utilisés aussi comme moyens d'identification sur des applications publiques numériques.
Le présent projet d'arrêté va plus loin que l'arrêté précité en ce sens qu'il étend le cadre de l'agrément afin de permettre également des services d'identification électronique basés sur d'autres options d'identification. Ce faisant, d'autres options d'identification développées pour des applications numériques privées peuvent, après l'agrément accordé par le service public fédéral Stratégie et Appui, également être utilisées pour des applications publiques numériques.
En outre, le présent projet d'arrêté permet d'élaborer un cadre qui peut évoluer avec les développements technologiques et ainsi tenir compte à court terme des innovations technologiques. Le présent projet d'arrêté offre un cadre d'agrément plus large qui sert à stimuler le développement d'un nombre plus important d'options d'identification innovantes.
Pour accéder à des applications publiques numériques, les citoyens disposent actuellement de différentes possibilités d'identification fiables, parmi lesquelles l'authentification sur la base de la carte d'identité électronique. Au vu de l'utilisation croissante, entre autres, des tablettes et des smartphones, l'Administration se retrouve face au défi d'également pouvoir offrir sur ces nouveaux appareils l'accès aux applications publiques numériques, toujours plus nombreuses. Simultanément, des solutions sont recherchées afin de simplifier et de rendre plus accessibles pour les utilisateurs les identifications à l'aide des cartes d'identité électroniques et d'autres moyens d'identification électroniques.
Alors que, pour certaines applications publiques numériques, un processus d'identification relativement simple assorti d'un niveau de sécurité concluant suffirait, il convient, pour d'autres applications publiques, d'offrir toutes les garanties possibles en termes de fiabilité et de sécurité. Les fournisseurs de services d'identification électronique peuvent, conformément au présent projet d'arrêté royal, faire agréer un service d'identification électronique assorti d'un niveau de garantie substantiel ou élevé.
Les niveaux de garantie devraient caractériser le niveau de fiabilité d'un service d'identification électronique pour établir l'identité d'une personne, garantissant ainsi que la personne revendiquant une identité particulière est bien la personne à laquelle cette identité a été attribuée. Ces niveaux de garantie s'inspirent du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, qui prévoit une notification de schémas nationaux d'identification électronique.Le règlement classe ces schémas selon leur fiabilité. Le règlement d'exécution (UE) 2015/1502 de la Commission européenne du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014, définit pour chaque aspect du schéma national les exigences minimales à respecter pour chaque niveau de garantie.
Le présent projet d'arrêté reprend le règlement d'exécution dans la mesure où il détermine les exigences minimales auxquelles les services d'identification électronique doivent satisfaire pour les niveaux de garantie substantiel et élevé.
Le présent projet d'arrêté royal élabore notamment un règlement d'agrément national pour les services d'identification électronique.
Il fixe les spécifications fonctionnelles et techniques auxquelles doivent satisfaire les options d'identification pour vérifier l'identité de l'utilisateur qui demande un accès à une application publique numérique.
Il convient d'insister sur le fait que l'agrément d'un service d'identification électronique conformément au présent arrêté ne garantit aucunement que ce service d'identification électronique sera effectivement repris dans un schéma national d'identification électronique qui sera notifié au niveau européen au sens du règlement susmentionné.
Le présent projet d'arrêté royal vise à créer un cadre étendu dans lequel un fournisseur de services d'identification électronique pourra obtenir un agrément afin de pouvoir mettre à disposition l'option d'identification qu'il propose pour une utilisation dans des applications publiques numériques dans le contexte national.
Le présent projet d'arrêté royal permet en outre de proposer de façon très rentable pour l'Administration des services d'identification électronique pour applications publiques numériques, sans pour autant sacrifier la sécurité.
Le projet prévoit un règlement de transition pour l'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques qui utilisent des moyens d'identification sans fil. Même si, après l'entrée en vigueur du présent projet d'arrêté, il ne sera plus possible d'obtenir un agrément conformément à l'arrêté royal du 17 juillet 2014, les services d'identification électronique agréés conformément à cet arrêté royal conserveront leur agrément et ce, conformément aux conditions d'agrément précisées dans cet arrêté royal.
Vu que les conditions d'agrément relevant de l'arrêté royal du 17 juillet 2014 offrent les mêmes garanties que les conditions d'agrément pour le niveau de garantie élevé relevant du présent projet d'arrêté royal, les services d'identification électronique agréés conformément à l'arrêté royal du 17 juillet 2014 pourront être utilisés pour l'identification sur des applications publiques numériques, qui exigent une garantie faible, substantielle ou élevée pour l'identification. Et ce, pour la durée restante de l'agrément initial.
Un service d'identification électronique agréé conformément à l'arrêté royal du 17 juillet 2014 perd son agrément dès qu'un service d'identification électronique agréé par le biais du présent arrêté utilise la même option d'identification, délivrée par le même prestataire de services. 2. DISCUSSION DES CHAPITRES 2.1. Chapitre Ier Au chapitre Ier, les termes utilisés dans le projet d'arrêté royal sont définis (art. 1er) et l'objet de l'arrêté royal est exposé (art. 2). 2.2. Chapitre II Le chapitre II prévoit les conditions auxquelles doit répondre un prestataire de services pour obtenir un agrément.
La section 1re de ce chapitre est consacrée aux conditions fonctionnelles et techniques, et la sous-section 1re contient les conditions fonctionnelles et techniques relatives au service d'identification électronique. Quelques spécifications purement techniques seront déterminées par l'autorité d'agrément.
La sous-section 2 est consacrée à l'enregistrement de l'utilisateur pour le service d'identification électronique. L'enregistrement se fait d'une manière qui coïncide avec le niveau de garantie correspondant comme décrit au point 2.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502. Contrairement à la remarque aux points 10 et suivants de l'avis 18/2017 du 12 avril 2017 de la Commission de la protection de la vie privée, ce règlement d'exécution impose à tous les niveaux que la personne puisse être présumée en possession d'un élément d'identification reconnu par l'Etat membre dans lequel est déposée la demande relative au moyen d'identité électronique et représentant l'identité alléguée (ce qui correspond à une eID pour les Belges). Il faut aussi au minimum vérifier si cet élément d'identification est valable (CHECKDOC en Belgique) et si l'identité alléguée existe dans une source faisant autorité (Registre national en Belgique).
La sous-section 3 traite de l'envoi du numéro d'identification unique (numéro de Registre national ou numéro de Banque Carrefour) lors de l'identification par l'utilisateur.
La sous-section 4 règle l'échange d'informations entre le prestataire de services et l'autorité d'agrément.
La sous-section 5 comprend des garanties supplémentaires relatives à la protection des données à caractère personnel. Les données à caractère personnel qui sont envoyées à la suite de l'identification ne peuvent être utilisées par le prestataire de services que pour le service d'identification électronique à proprement dit. Tout autre usage des données à caractère personnel n'est possible qu'après accord explicite et préalable de la personne concernée. On prévoit également l'installation par le prestataire de services d'une piste d'audit ou « piste d'audit sécurisée ». Le délai de conservation de 10 ans des informations dans la piste d'audit se base sur les délais de prescription de droit commun. Il n'y a d'accès au Registre national à aucun moment. En tant que sous-traitant de l'autorité d'agrément au sens de l'article 5, alinéa 1er, 3°, de la loi du 8 août 1983 organisant un Registre national des personnes physiques, le prestataire de services agréé utilisera le numéro de Registre national mais cette utilisation se limite strictement à l'exécution des missions d'identification et d'authentification pour le service fédéral d'authentification. Le numéro de Banque Carrefour est utilisé à défaut de numéro de Registre national.
L'élaboration des spécifications techniques auxquelles le service d'identification électronique doit répondre sera fixée dans un manuel technique.
La section 2 prévoit les conditions relatives à la prestation de services.
La sous-section 1re aborde la disponibilité du service qui doit être, sur base mensuelle, d'au moins 99,9 %.
La sous-section 2 règle la disponibilité des services de support. A cet égard, une distinction est établie entre, d'une part, les appels provenant des utilisateurs et des services publics autres que l'autorité d'agrément et, d'autre part, les appels provenant de l'autorité d'agrément. Pour la première catégorie d'appels, le prestataire de services doit proposer aux utilisateurs, durant les heures de bureau prolongées, et dans les trois langues nationales ainsi qu'en anglais, un service de chat, un support téléphonique et une page Internet proposant des questions fréquemment posées. Le choix de l'anglais comme quatrième langue est dû au nombre croissant d'utilisateurs qui ne maîtrisent aucune des trois langues nationales.
Pour la deuxième catégorie d'appels, le prestataire de services prévoit, dans les trois langues nationales, un support téléphonique et une plateforme de support numérique, et ce, 24 heures sur 24 et 7 jours sur 7. A la demande de l'autorité d'agrément, le service de support pour la première catégorie d'appels peut être étendu en dehors des heures de bureau prolongées.
La sous-section 3 règle la gestion du déploiement.
La sous-section 4 traite de la continuité du service.
Il s'agit de l'obligation d'offrir le service pendant toute la durée de l'agrément.
La sous-section 5 règle les obligations d'établissement de rapports qui incombent au prestataire de services.
La section 3 établit les conditions économiques et juridiques auxquelles doit satisfaire un demandeur ou un prestataire de services, selon le cas.
En vérifiant les obligations concernant le paiement des cotisations de sécurité sociale et des impôts, on tiendra compte des seuils - qui sont utilisés dans le domaine des marchés publics - en dessous desquels les entreprises concernées ne sont pas censées avoir des dettes.
En décrivant objectivement les conditions d'agrément, l'arrêté garantit le traitement égal des fournisseurs de services d'identification électronique. Les conditions du point 2.4 de l'annexe au règlement d'exécution (UE) n° 2015/1502 auquel il est fait référence prévoient l'exigence de mettre en place un plan de cessation d'activités efficace. Ce plan comporte des mesures concernant l'organisation en cas d'arrêt de fourniture du service ou de la reprise de la fourniture par un autre fournisseur, la façon dont les autorités compétentes et les utilisateurs finaux sont informés, ainsi que des détails sur les modalités de protection, conservation et destruction des informations. Cela répond à la remarque 44 de l'avis n° 18/2017 du 12 avril 2017 de la Commission de la protection de la vie privée. 2.3. Chapitre III Le chapitre III règle la procédure d'agrément. Les dispositions relatives à l'introduction de la demande d'agrément sont reprises à la section 1re de ce chapitre.
La section 2 règle le traitement de la demande d'agrément par le service public fédéral Stratégie et Appui dans son rôle d'autorité d'agrément.
Pendant la procédure d'agrément aussi, il existe suffisamment de garanties de respect des principes généraux de bonne gouvernance.
Notamment en décrivant de manière transparente la procédure d'agrément, on garantit que les fournisseurs de services d'identification électronique sont traités sur un pied d'égalité. En outre, toute partie qui introduit une demande d'agrément a le droit d'être entendue pendant la procédure d'agrément. Grâce à l'exigence d'introduction d'une demande d'agrément très documentée, l'Administration peut, conformément au principe de diligence, prendre une décision sur la demande d'agrément en connaissance de cause.
Enfin, l'autorité d'agrément est tenue, dans un délai de 3 mois, de se prononcer sur la demande d'agrément, afin de respecter le délai raisonnable. 2.4. Chapitre IV Le chapitre IV traite des conséquences de l'agrément du prestataire de services.
La section 1re traite des conséquences opérationnelles de l'agrément.
L'une des conséquences opérationnelles de l'agrément est que le fournisseur du service agréé d'identification électronique est automatiquement autorisé à utiliser le numéro de Registre national pour la gestion de l'accès et des utilisateurs par le biais du service fédéral d'authentification (FAS) pour les applications développées pour les missions d'intérêt général et en tant que sous-traitant au sens de l'article 5, alinéa 1er, 3°, de la loi du 8 août 1983 organisant un Registre national des personnes physiques. De ce fait, les fournisseurs de services agréés d'identification électronique peuvent utiliser le numéro de Registre national via le FAS exclusivement pour offrir ces services. Le numéro d'identification unique peut, à défaut du numéro de Registre national, également être le numéro de Banque Carrefour de la Sécurité sociale.
Conformément à l'article 8, § 1er, alinéa 2, de la loi du 8 août 1983 organisant un Registre national des personnes physiques, le présent projet d'arrêté est soumis à l'avis de la Commission de la protection de la vie privée et soumis pour concertation au Conseil des Ministres.
L'autorité d'agrément ne peut en aucun cas être tenue responsable des dommages qui découlent de perturbations, interruptions et erreurs dans le fonctionnement d'un service agréé d'identification électronique.
La section 2 du chapitre IV règle les conséquences financières de l'agrément.
L'autorité d'agrément rembourse une petite partie des frais du prestataire de services pour pouvoir offrir le service d'identification électronique.
La section 3 établit que l'agrément a une durée de validité de 3 ans.
Le renouvellement de l'agrément suppose une nouvelle demande.
En déterminant clairement les conséquences de l'agrément (opérationnelles, financières et temporelles), l'arrêté offre suffisamment de garanties en matière de sécurité juridique. 2.5. Chapitre V Le chapitre V contient des dispositions relatives au contrôle, à la suspension et au retrait de l'agrément.
Le contrôle est réglé à la section 1re.
La section 2 règle la suspension et le retrait de l'agrément.
Dans tous les cas de suspension ou de retrait d'un agrément, le prestataire de services sera entendu par l'autorité d'agrément. 2.6. Chapitre VI Le chapitre VI contient les dispositions finales.
Une annexe est jointe à l'arrêté. Elle contient le modèle de formulaire pour la demande d'agrément.
J'ai l'honneur d'être, Sire, de Votre Majesté le très respectueux et très fidèle serviteur, Le Vice-Premier ministre et ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste, A. DE CROO
Conseil d'Etat Section de législation
Avis n 61.959/2/V du 13 septembre 2017 sur un projet d''arrêté royal `fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques' Le 24 juillet 2017, le Conseil d'Etat, section de législation, a été invité par le Vice Premier Ministre et Ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste à communiquer un avis, dans un délai de trente jours prorogé de plein droit * et prorogé jusqu'au 14 septembre 2017 ^, sur un projet d'arrêté royal `fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques'.
Le projet a été examiné par la deuxième chambre des vacations le 13 septembre 2017. La chambre était composée de Pierre LIENARDY, président de chambre, Martine BAGUET et Bernard BLERO, conseillers d'Etat, et Anne-Catherine VAN GEERSDAELE, greffier.
Le rapport a été présenté par Anne VAGMAN, premier auditeur.
La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Pierre LIENARDY. L'avis, dont le texte suit, a été donné le 13 septembre 2017.
Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 2°, des lois `sur le Conseil d'Etat', coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.
Sur ces trois points, le projet appelle les observations suivantes FORMALITES PREALABLES 1. L'alinéa 5 du préambule fait mention de la « communication à la Commission européenne du 27 juin 2017, en application de l'article 8, alinéa 1er, de la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et règles des services de la société de l'information ». Cette communication ne figure toutefois pas au dossier transmis à la section de législation.
L'auteur du projet s'assurera du bon accomplissement de la formalité requise, tout en ayant égard au fait que la directive 98/34/CE a été remplacée par la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 `prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information'. 2. Selon l'article VI.128 du Code de droit économique, lorsque, dans les domaines visés par les titres 1er à 5 du livre VI de ce code, des mesures à prendre, à l'initiative d'autres ministres que ceux qui ont l'Economie, les Classes moyennes et la Consommation dans leurs attributions concernent des biens ou des services réglementés ou susceptibles d'être réglementés en exécution du livre VI, ces mesures doivent porter dans leur préambule, la référence à l'accord des ministres intéressés. Le cas échéant, ces mesures sont proposées conjointement par les ministres intéressés et exécutées par eux, d'un commun accord, chacun en ce qui le concerne.
En l'espèce, il convient dès lors de soumettre à tout le moins l'arrêté en projet à l'accord préalable des ministres qui ont l'Economie, les Classes moyennes et la Consommation dans leurs attributions (1).
OBSERVATION PREALABLE La loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer `relative à l'identification numérique' utilise la notion d'application publique. Tel est le cas des articles 9, § 1er, alinéa 1er, et 10, §§ 1er et 2. Il y a lieu d'utiliser uniquement cette notion légale. L'intitulé et le projet seront revus en conséquence.
Préambule 1. L'alinéa 1er sera rédigé comme suit : « Vu la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer relative à l'identification électronique, l'article 10, §§ 2, 7 et 8 ;». 2. L'avis de la Commission de la protection de la vie privée sera mentionné au préambule avant l'avis du Conseil d'Etat.3. Le préambule sera complété par la mention de l'analyse d'impact intégrée effectuée en application de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer `portant des dispositions diverses concernant la simplification administrative', laquelle analyse figure au dossier transmis à la section de législation. Dispositif Article 1er Le « règlement d'exécution (UE) n° 2015/1502 » est déjà défini à l'article 2, § 1er, 3°, de la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer `relative à l'identification électronique'.
Cette notion ne doit plus être définie dans l'arrêté en projet.
Le 11° sera par conséquent omis.
Article 2 nouveau (à insérer) Conformément à l'article 9 de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, il conviendra d'insérer une disposition nouvelle qui fera référence à cette directive (2).
Article 7 La question se pose de savoir quelle est l'autorité compétente pour fixer les spécifications techniques que l'autorité d'agrément publiera sur son site web (3).
A ce propos, il est rappelé qu'il n'est pas admissible que les agents d'une administration qui ne répondent pas politiquement de leurs actes devant les représentants de la Nation, soient investis de compétences de nature réglementaire. Une subdélégation à de telles autorités n'est concevable que si elle concerne la détermination de mesures de pure administration ou de nature essentiellement technique, ce qui paraît pouvoir être justifié en l'espèce, ceci dépendant toutefois du caractère effectivement technique des « spécifications techniques » concernées.
L'article 7 sera réexaminé à la lumière de cette observation.
Articles 18 et 23 Le rapport au Roi gagnerait à expliquer comment se combinent les articles 18 et 23.
Article 27 La phrase introductive de l'article 27 sera rédigée ainsi : « Le demandeur ou le prestataire de services ne peut être agréé qu'aux conditions suivantes : ».
La suite de cet article doit être rédigée en tenant compte de l'observation qui précède.
Il y a lieu de prévoir que ces conditions doivent être respectées pendant la période de l'agrément. 2. En ce qui concerne le point 4, il convient que le rapport au Roi illustre, par rapport à la matière ici réglée, ce que l'auteur du texte entend par « délit affectant [l]a moralité professionnelle [du demandeur ou du prestataire de services agréé] ». La section de législation suppose également qu'il y a lieu de remplacer le terme « délit » par les termes « délit ou crime ». 3. Au point 8, la section de législation s'interroge sur la différence entre le fait de se « rendre coupable de fausses déclarations » et le fait de « se rendre gravement coupable de fausses déclarations ». Il y a lieu de préciser que les fausses déclarations visées au point 8 sont celles relatives aux renseignements fournis en vertu de l'arrêté en projet. 4. Au point 9, le rapport au Roi gagnerait à mentionner les dispositions législatives ou réglementaires qui fixent le cadre juridique dans lequel des « mesures correctrices » pourraient être prises par la Commission de la protection de la vie privée.S'agissant de l'article 58, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 `relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/45/CE (règlement général sur la protection des données)', celui-ci n'est applicable qu'à partir du 1er mai 2018, en vertu de son article 99, paragraphe 2.
Article 39 Dans un souci de sécurité juridique, aux points 5, 6 et 7, il y a lieu de préciser le moment à partir duquel le délai de quinze jours commence à courir.
Article 40 Dans la version française, le mot « survenant » sera remplacé par le mot « fournies ».
Article 41 L'article 41 du projet est rédigé comme suit : « Le prestataire de services est responsable des dommages qui découlent de perturbations, interruptions ou erreurs éventuelles dans le fonctionnement ou l'offre de son service d'identification électronique agréé ».
Le rapport au Roi mentionne à ce propos que « En aucun cas l'autorité d'agrément ne peut être tenue responsable des dommages qui découlent de perturbations, interruptions et erreurs dans le fonctionnement d'un service agréé d'identification électronique ».
Dans ce contexte, la question se pose de savoir quelle est l'intention réelle de l'auteur du projet : s'agit-il de rappeler le régime de droit commun de la responsabilité civile, en ce compris les causes de justification comme la force majeure, ou bien souhaite-t-on créer un régime de responsabilité étendue du prestataire de services, qui dérogerait aux règles de droit commun de la responsabilité civile ? A cet égard : 1° si l'intention est de se limiter à rappeler l'applicabilité du régime de droit commun de la responsabilité civile, alors il convient de souligner que le procédé qui consiste à reproduire ou à paraphraser des dispositions législatives dans un texte de nature réglementaire ne peut être admis ;il en va d'autant plus ainsi lorsque des nuances, des ajouts ou des retraits sont ainsi apportés aux dispositions législatives ; pareil procédé est en effet de nature à induire en erreur sur la nature juridique exacte des règles en question. En outre, lorsque le texte des dispositions réglementaires diffère de celui des dispositions législatives, il est susceptible de modifier la portée de ces dernières et partant, de les méconnaître ; 2° si l'intention est de créer un régime de responsabilité étendue du prestataire de services qui dérogerait aux règles de droit commun de la responsabilité civile, alors la mise en place d'un tel régime dérogatoire nécessite une habilitation légale expresse, qui fait défaut en l'espèce. Dans les deux hypothèses, la disposition à l'examen doit être omise.
Articles 42 et 43 Conformément à l'article 10, § 8, de la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer (4), compris à la lumière des travaux préparatoires (5), l'auteur du projet doit être en mesure de justifier que le régime d'« indemnités » prévu par les dispositions à l'examen se limite à conférer aux prestataires de services agréés un remboursement partiel des coûts exposés par ceux-ci (6).
Article 43 Le paragraphe 2, alinéa 2, mentionne de manière contradictoire un « nombre total d'utilisateurs actifs pour l'ensemble des prestataires de services [...] inférieur à 6.000.000 et ce [...] jusqu'au 6.000.000eutilisateur compris ». Cette incertitude sera levée en remplaçant le mot « inférieur » par les mots « inférieur ou égal ».
Article 44 L'article 44 manque.
Article 46 L'article 46 du projet paraphrase, en y ajoutant, l'article 10, § 6, de la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer.
Pour les motifs déjà exposés à l'observation faite sous l'article 41 ci-avant, l'article 46 sera donc omis.
Article 47 L'article 47 du projet est libellé comme suit : « Lorsque l'autorité d'agrément constate que le service ne concorde pas avec les conditions d'agrément, avec les spécifications techniques ou avec le contrat de collaboration mentionnés dans le présent arrêté, elle prend les mesures qu'elle considère adéquates ».
Cette disposition doit être mise en rapport avec l'article 10, § 7, de la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer, duquel il résulte que c'est au Roi qu'il appartient de déterminer les mesures que l'autorité d'agrément peut prendre en cas de non-conformité de la prestation de services avec les conditions d'agrément.
Le texte en projet ne peut donc se limiter à habiliter l'autorité d'agrément à « prendre les mesures qu'elle considère adéquates ».
L'arrêté en projet sera revu et complété de sorte qu'il détermine lui-même ces mesures de manière précise et complète.
Article 48 L'article 48 gagnerait à être rédigé plus clairement pour définir sans ambiguïté les causes d'une suspension ou d'un retrait éventuel de l'agrément, spécialement le caractère cumulatif ou non des conditions dans lesquelles l'agrément peut être suspendu (7) ou retiré (8), ainsi que l'articulation entre les deux types de mesures.
Article 49 1. Le paragraphe 1er n'est admissible que dans la mesure où il n'entend pas attribuer à l'autorité d'agrément le pouvoir de conférer un effet rétroactif à la suspension ou au retrait de l'agrément.2. Tel qu'il est rédigé, le paragraphe 2 peut être compris comme laissant à l'autorité le pouvoir discrétionnaire d'apprécier si l'intéressé sera ou non entendu préalablement à la suspension ou au retrait. Au regard du principe d'égalité et du respect de la procédure contradictoire, la section de législation n'aperçoit pas comment un tel système pourrait se justifier.
Le texte en projet sera revu de manière à permettre aux prestataires de services de faire valoir leur point de vue dans des conditions conformes au principe d'égalité (9). 3. S'agissant du paragraphe 3, il est renvoyé, mutatis mutandis, à l'observation faite sous l'article 47 ci-avant.4. Dès lors que la décision de suspension ou de retrait est soumise à la loi du 29 juillet 1991Documents pertinents retrouvés type loi prom. 29/07/1991 pub. 18/12/2007 numac 2007001008 source service public federal interieur Loi relative à la motivation formelle des actes administratifs. - Traduction allemande fermer `relative à la motivation formelle des actes administratifs', il n'y a pas lieu de prévoir, comme le fait le paragraphe 4 de la disposition à l'examen, que cette décision doit être notifiée au prestataire de services « ainsi que les raisons [de la décision] ». Au paragraphe 4, les mots « , ainsi que les raisons, » seront donc omis.
Article 50 Compte tenu du régime transitoire mis en place par l'article 51 du projet, prévoir l'abrogation de l'arrêté royal du 17 juillet 2014 `fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil', seulement cinq ans après l'entrée en vigueur de l'arrêté en projet, non seulement, est inutile, mais en outre, peut être source de confusion et d'insécurité juridique.
L'article 50 se limitera dès lors à prévoir que : « L'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil est abrogé ».
Observation finale Le texte français du projet sera revu de manière à lever toute ambiguïté et à garantir l'utilisation d'une terminologie juridique appropriée.
Annexe 1. Dans l'intitulé de l'annexe, les mots « Art.N1.Annexe » sont incorrects et doivent être omis 2. Il y a lieu de mentionner sous l'annexe la formule requise, de dater celle-ci comme l'arrêté et de la soumettre aux mêmes signatures que l'arrêté (10). Le greffier, Anne-Catherine VAN GEERSDAELE Le président, Pierre LIENARDY _______ Notes * Ce délai résulte de l'article 84, § 1er, alinéa 1er, 2°, in fine, des lois `sur le Conseil d'Etat', coordonnées le 12 janvier 1973 qui précise que ce délai est prolongé de plein droit de quinze jours lorsqu'il prend cours du 15 juillet au 31 juillet ou lorsqu'il expire entre le 15 juillet et le 15 aout. ^ Par courriel du 25 juillet 2017. (1) En ce sens, voir l'avis n° 56.329/2 donné le 4 juin 2014 sur un projet devenu l'arrêté royal du 17 juillet 2014 `fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification pour applications publiques numériques qui utilisent des moyens d'identification sans fil', http://www.raadvst-consetat.be/dbx/avis/56329.pdf. (2) Voir dans le même sens l'avis n° 61.433/4 donné le 30 mai 2017 sur un avant-projet de la Communauté française `relatif à la protection culturelle du livre', http://www.raadvst-consetat.be/dbx/avis/61433.pdf. (3) L'article 1er, 19°, du projet qui définit les « spécifications techniques » ne désigne pas plus l'autorité compétente pour les arrêter.(4) Ce paragraphe dispose comme suit : « § 8.Le Roi peut déterminer le régime d'indemnités à payer par l'autorité d'agrément aux fournisseurs de services d'identification électronique agréés ». (5) Doc.parl., Chambre, 2016-2017, 54-2512/001, pp. 13 à 17. (6) Dès lors que la mise en place de ce régime d'indemnités est permise par l'article 10, § 8, de la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer, laquelle disposition a fait l'objet d'observations de la section de législation dans son avis n° 60.899/4 donné le 20 février 2017 sur l'avant-projet devenu la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer (Doc. parl., Chambre, 2016-2017, 54-2512/001, pp. 42-43), spécialement en ce qui concerne la qualification juridique découlant de ce régime et ses conséquences, observations auxquelles l'auteur de l'avant-projet devenu la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer a entendu répondre dans les travaux préparatoires de celle-ci (Ibid., pp. 16 à 17), il n'appartient pas à la section de législation, au stade du projet à l'examen, de se prononcer à nouveau sur les questions déjà soulevées dans son avis n° 60.899/4, ni sur la réponse que l'auteur de l'avant-projet de loi a entendu y apporter. (7) Les conditions énumérées au paragraphe 1er apparaissent cumulatives, alors que l'on peut supposer qu'elles ne le sont pas.(8) N'y-a-t-il pas lieu d'ajouter un « ou », au paragraphe 2, point 1 ? (9) Le principe « audi alteram partem » permet de ne pas procéder à l'audition de l'intéressé en cas d'urgence.Si l'existence d'une telle urgence pourrait le cas échéant se concevoir dans le cadre d'une suspension de l'agrément, par contre, l'on n'aperçoit pas comment elle pourrait se justifier dans le cadre d'une procédure de retrait de l'agrément, dès lors précisément que le texte en projet met en place une procédure de suspension. (10) Principes de technique législative - Guide de rédaction des textes législatifs et réglementaires, www.conseildetat.be, onglet « Technique législative », recommandation n° 172 et formule F 4-8-1. 22 OCTOBRE 2017. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.
Vu la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer relative à l'identification électronique, l'article 10, §§ 2, 7 et 8;
Vu l'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques qui utilisent des moyens d'identification sans fil;
Vu l'avis de l'Inspection des Finances, donné le 30 mai 2017;
Vu l'accord du Ministre du Budget, donné le 10 juillet 2017;
Vu la communication à la Commission européenne du 27 juin 2017, en application de l'article 5, alinéa 1er, de la directive (UE) 2015/1535 du Parlement Européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information;
Vu l'avis n° 18/2017 de la Commission de la protection de la vie privée, donné le 12 avril 2017;
Vu l'analyse d'impact effectuée le 26 juin 2017, conformément aux articles 6 et 7 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses concernant la simplification administrative;
Vu l'avis n° 61.959/2/V du Conseil d'Etat donné le 13 septembre 2017, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois coordonnées sur le Conseil d'Etat;
Considérant que le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, prévoit notamment l'attribution de niveaux de garantie aux schémas d'identification électronique;
Considérant que le règlement d'exécution (UE) 2015/1502 de la Commission européenne du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, détermine notamment les exigences minimales à respecter par les services d'identification électronique assortis d'un niveau de garantie spécifique;
Sur la proposition du Vice-Premier ministre et ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste, et de l'avis de Nos Ministres qui en ont délibéré en Conseil, Nous avons arrêté et arrêtons : CHAPITRE Ier. - Définitions et dispositions introductives
Article 1er.Pour l'application du présent arrêté, on entend par : 1° « service d'identification électronique » : le service garantissant l'identité de l'utilisateur qui tente d'accéder à des applications publiques sur la base d'une option d'identification 2° « moyen d'identification électronique » : un élément matériel et/ou immatériel contenant des données d'identification personnelle et utilisé pour s'authentifier sur une application publique 3° « option d'identification » : l'application logicielle ou matérielle utilisée pour le service d'identification électronique et conforme aux spécifications techniques 4° « prestataire de services » : personne qui offre un service d'identification électronique agréé 5° « demandeur » : le prestataire de services qui souhaite obtenir l'agrément pour la prestation de services 6° « utilisateur » : la personne qui fait appel au service 7° « autorité d'agrément » : le service public fédéral Stratégie et Appui, Direction générale Transformation digitale (« DTO »), désigné conformément à l'article 10 de la loi du 18 juillet 2017Documents pertinents retrouvés type loi prom. 18/07/2017 pub. 09/08/2017 numac 2017020539 source service public federal strategie et appui Loi relative à l'identification électronique fermer relative à l'identification électronique 8° « prestation de services » : l'offre d'un service d'identification électronique 9° « service d'identification électronique à garantie substantielle » : le service d'identification électronique répondant aux exigences de l'agrément pour le niveau de garantie « substantiel » et reconnu en tant que tel 10° « service d'identification électronique à garantie élevée » : le service d'identification électronique répondant aux exigences de l'agrément pour le niveau de garantie « élevé » et reconnu en tant que tel 11° « service opérationnel » : le service de l'autorité d'agrément responsable de la communication des données d'identification avec le prestataire de services 12° « risques en matière de sécurité » : attaques;effractions, tant physiques qu'électroniques; dommages à la réputation et à l'image et tout préjudice éventuel qui peut avoir des conséquences négatives sur la prestation de services 13° « temps de réaction » : le temps de chargement des interactions individuelles entre l'utilisateur et le prestataire de services, abstraction faite de la vitesse de connexion entre l'utilisateur et le prestataire de services ainsi que des actions de l'utilisateur 14° « service de chat » : un service permettant de mener une conversation en échangeant des messages textuels en temps réel ou en échangeant des fichiers son ou vidéo entre deux ou plusieurs utilisateurs d'équipements terminaux connectés à un réseau de communications électroniques et se trouvant généralement à différents endroits 15° « problème » : la cause d'un ou de plusieurs incidents 16° « personne de contact » : la personne que le prestataire de services renseigne comme unique point de contact entre le prestataire de services et l'autorité d'agrément 17° « contrat de collaboration » : un contrat entre le prestataire de services et l'autorité d'agrément relatif au niveau de service 18° « spécifications techniques » : le manuel comprenant les spécifications techniques auxquelles l'option d'identification doit satisfaire en exécution du présent arrêté 19° « transaction » : une identification réussie au moyen d'un service d'identification électronique agréé 20° « utilisateur actif » : utilisateur qui réalise au minimum trois authentifications réussies par an par le biais d'un prestataire de services, quel que soit le nombre ou le niveau de garantie des services d'identification électronique agréés de ce prestataire Art.2. § 1er. Les fournisseurs qui prouvent que leur service d'identification électronique satisfait aux conditions d'agrément et, sur cette base, ont reçu un agrément, peuvent mettre leur service d'identification électronique à disposition à des fins d'utilisation sur des applications publiques. § 2. Le service d'identification électronique est reconnu comme un service d'identification électronique assorti d'un niveau de garantie substantiel ou élevé. § 3. Un service d'identification électronique agréé dont le niveau de garantie est élevé peut être utilisé pour l'identification sur une application publique, qui exige un niveau de garantie faible, substantiel ou élevé pour l'identification.
Un service d'identification électronique agréé dont le niveau de garantie est substantiel peut être utilisé pour l'identification sur une application publique, qui exige niveau de garantie faible ou substantiel pour l'identification.
Art. 3.Chaque service d'identification électronique agréé n'utilise qu'une seule option d'identification.
Les prestataires de services peuvent faire agréer un ou plusieurs services d'identification électronique. CHAPITRE II. - Conditions d'agrément Section 1re. - Conditions fonctionnelles et techniques
Sous-section 1re. - Le service d'identification électronique
Art. 4.Le service d'identification électronique pour lequel l'agrément est demandé utilise une option d'identification avec laquelle l'accès à l'application publique est demandé.
Art. 5.Le moyen d'identification électronique utilisé par l'option d'identification satisfait aux exigences du niveau de garantie substantiel ou élevé comme décrit au point 2.2 de l'annexe au règlement d'exécution (UE) n° 2015/1502.
Art. 6.Le service d'identification électronique prévoit un mécanisme d'authentification qui correspond au niveau de garantie substantiel ou élevé comme décrit au point 2.3.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502.
Art. 7.Le service d'identification électronique répond aux spécifications techniques que l'autorité d'agrément publie sur son site web.
Sous-section 2. - L'enregistrement et le choix de l'utilisateur pour le service d'identification électronique
Art. 8.Le service d'identification électronique prévoit une procédure d'enregistrement qui satisfait aux exigences décrites au point 2.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502 pour le niveau de garantie substantiel ou élevé.
Art. 9.§ 1er. Le service d'identification électronique prévoit la possibilité pour l'utilisateur de choisir le service d'identification électronique agréé et, à tout moment, de modifier ou de mettre fin à son choix relatif au service d'identification électronique. § 2. L'utilisateur qui a mis fin à son choix pourra ultérieurement à nouveau choisir le même service d'identification électronique.
Art. 10.L'utilisateur peut choisir un ou plusieurs services d'identification électronique agréés.
Sous-section 3. - Identification par l'utilisateur
Art. 11.Lors de chaque identification, le service d'identification électronique envoie à l'autorité d'agrément le numéro d'identification unique de l'utilisateur, sur la base duquel l'autorité d'agrément détermine l'identité de l'utilisateur.
Sous-section 4. - Echange d'informations entre le prestataire de services et l'autorité d'agrément
Art. 12.Dans le cadre du service d'identification électronique, l'échange d'informations entre le prestataire de services et l'autorité d'agrément se déroule conformément aux protocoles techniques exposés dans les spécifications techniques.
Art. 13.§ 1er. Lors de chaque échange d'informations entre l'autorité d'agrément et le prestataire de services, ainsi qu'entre le prestataire de services et l'utilisateur, le service d'identification électronique effectue des contrôles afin d'éviter, au moins, les abus suivants : 1. le nouvel envoi d'un même message ou d'une même tentative d'identification;2. la modification du contenu des informations échangées;3. une tierce partie qui se fait passer pour le service opérationnel ou le prestataire de services. § 2. Les abus mentionnés au paragraphe 1er sont détectés et mènent à l'échec de l'identification. § 3. Le service d'identification électronique comprend suffisamment de mécanismes de contrôle afin de détecter pro-activement des risques éventuels en matière de sécurité. Le prestataire de services établit des rapports à ce sujet conformément à la procédure décrite à la sous-section 5 de la section 2.
Sous-section 5. - Respect de la vie privée
Art. 14.Le prestataire de services traitera les données à caractère personnel conformément à la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, aux arrêtés d'exécution et aux directives et recommandations de la Commission de la protection de la vie privée ainsi qu'au Règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Art. 15.Le service d'identification électronique prévoit des mécanismes visant à protéger les données à caractère personnel pour le niveau substantiel ou élevé comme décrit au point 2.3.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502.
Art. 16.§ 1er. Le prestataire de services ne prend pas connaissance des applications publiques auxquelles l'utilisateur demande accès à l'aide du service d'identification électronique. § 2. Le prestataire de services établit une piste d'audit sécurisée afin que les données puissent être reconstituées pour chaque transaction spécifique, et ce, en vue de la sécurisation des données et de la protection de la vie privée. A cet effet, le prestataire de services conserve, pour chaque identification et tentative d'identification, les données suivantes, et ce, pour une durée de dix ans à compter du moment de ladite identification ou tentative d'identification : 1. le numéro d'identification unique de l'utilisateur;2. le service d'identification électronique du prestataire de services avec lequel l'utilisateur s'identifie ou essaie de s'identifier;et 3. le moment de l'identification ou de la tentative d'identification.
Art. 17.Le prestataire de services prend des mesures afin de garantir que le numéro d'identification unique de l'utilisateur n'est utilisé que pour la finalité de l'identification électronique par le biais du portail d'accès de l'autorité d'agrément. Section 2. - Conditions relatives à la gestion des services
Sous-section 1re. - Disponibilité du service
Art. 18.Sur base mensuelle, le service est disponible pendant 99,9 % du temps.
Art. 19.Le temps de réaction lors de l'identification d'un utilisateur n'excède pas : 1. 1 seconde pour 95 % des identifications;2. 2 secondes pour 98 % des identifications;et 3. 5 secondes pour 99,5 % des identifications. Sous-section 2. - Disponibilité des services de support
Art. 20.§ 1er. Pour les appels provenant d'utilisateurs et de services publics autres que l'autorité d'agrément, le prestataire de services offre des services de support dans les trois langues nationales pour les appels des services publics et des utilisateurs, ainsi qu'en anglais pour les appels provenant d'utilisateurs, au minimum tous les jours ouvrables de 8 heures à 18 heures. Ces services de support comprennent au moins : 1. un service de chat;2. un support téléphonique;3. une page Internet proposant des questions fréquemment posées (FAQ) ainsi qu'un manuel facilement accessible. § 2. Pour les appels provenant de l'autorité d'agrément, le prestataire de services offre des services de support dans les trois langues nationales, tous les jours et 24 heures sur 24.
Ces services de support comprennent au moins : 1. un support téléphonique;et 2. une plateforme de support numérique par laquelle l'autorité d'agrément reçoit une notification lui indiquant que son appel a été enregistré et qu'elle recevra une réponse le plus vite possible. § 3. A la demande explicite de l'autorité d'agrément, des services de support seront prévus pour les appels provenant d'utilisateurs et d'autres services publics, dans les trois langues nationales, hors des périodes mentionnées au paragraphe 1er. Ces services de support comprennent au moins : 1. un service de chat;2. un support téléphonique;3. une page Internet proposant des questions fréquemment posées (FAQ) ainsi qu'un manuel facilement accessible. Sous-section 3. - Gestion du déploiement
Art. 21.§ 1er. Le prestataire de services développe des systèmes qui garantissent la gestion du déploiement. Sauf décision contraire de l'autorité d'agrément, cette gestion du déploiement tient compte du fait que l'autorité d'agrément prend en considération, tous les six mois, de nouvelles versions logicielles afin d'introduire un déploiement logiciel ultérieur. § 2. La gestion du déploiement du prestataire de services suit celle de l'autorité d'agrément. A cet effet, le prestataire de services assure une compatibilité avec ses versions logicielles précédentes.
Art. 22.Le prestataire de services soumet à l'approbation de l'autorité d'agrément chaque nouvelle version logicielle qui a un impact significatif sur l'utilisateur, au plus tard un mois avant la date d'introduction du déploiement, et l'accompagne d'une analyse d'impact, afin que l'autorité d'agrément puisse minimiser l'impact éventuel des modifications sur l'utilisateur.
Sous-section 4. - Continuité du service
Art. 23.Le prestataire de services développe des mécanismes qui garantissent un service ininterrompu pendant la durée de l'agrément.
Sous-section 5. - Rapports
Art. 24.Le prestataire de services met à tout moment à la disposition de l'autorité d'agrément toute information relative à la gestion des plaintes, aux enquêtes de sécurité, ainsi qu'aux problèmes et incidents liés au service.
Art. 25.Dès le moindre soupçon de risques en matière de sécurité liés au service, le prestataire de services informe immédiatement l'autorité d'agrément.
Art. 26.Le prestataire de services désigne une personne de contact qui, à compter de la décision d'agrément, remettra tous les six mois à l'autorité d'agrément un rapport sur les conditions relatives à la gestion des services, accompagné des pièces justificatives pertinentes. Section 3. - Conditions économiques, juridiques et organisationnelles
Art. 27.A chaque stade de la procédure d'agrément et pendant l'agrément, tant le demandeur que le prestataire de services doivent veiller à ne pas se trouver dans l'une des situations suivantes : 1. être en état de faillite, de liquidation, de cessation d'activités, de réorganisation judiciaire ou dans toute situation analogue résultant d'une procédure de même nature existant dans d'autres réglementations nationales;2. avoir fait l'aveu de sa faillite ou fait l'objet d'une procédure de liquidation, de réorganisation judiciaire ou de toute autre procédure de même nature existant dans d'autres réglementations nationales;3. avoir fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour toute infraction à la législation relative à la protection de la vie privée;4. avoir fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour tout délit ou crime affectant son intégrité professionnelle;5. en matière professionnelle, avoir commis une faute grave dûment constatée par tout moyen dont l'autorité d'agrément pourra justifier;6. ne pas être en règle avec ses obligations relatives au paiement de ses cotisations de sécurité sociale;7. ne pas être en règle avec ses obligations relatives au paiement de ses impôts et taxes selon la législation belge ou celle du pays dans lequel il est établi;8. s'être rendu, en application du présent arrêté, gravement coupable de fausses déclarations en fournissant des renseignements exigibles ou en n'ayant pas fourni ces renseignements;9. avoir fait l'objet d'une mesure corrective imposée par la Commission de la protection de la vie privée conformément à l'article 58, alinéa 2 et à l'article 83 du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dès qu'il est applicable.
Art. 28.Le demandeur doit satisfaire à toutes les conditions suivantes : 1. satisfaire aux exigences telles que prévues pour les niveaux de garantie substantiel ou élevé au point 2.4 de l'annexe au règlement d'exécution (UE) n° 2015/1502; 2. disposer d'un service d'identification électronique déjà opérationnel et accessible pour tout utilisateur pour qui la preuve et la vérification d'identité satisfont aux exigences pour le niveau de garantie substantiel ou élevé spécifiées au point 2.1.2 de l'annexe du règlement d'exécution (UE) n° 2015/1502. CHAPITRE III. - La procédure d'agrément Section 1re. - Introduction de la demande d'agrément
Art. 29.§ 1er. Le demandeur introduit, au moyen du modèle de formulaire annexé au présent arrêté, une demande d'agrément pour un service d'identification électronique dont le niveau de garantie est substantiel ou élevé. Il joint à sa demande un dossier de référence inventorié. § 2. La demande d'agrément est au minimum introduite sur support électronique, éventuellement confirmée sur support physique fourni à l'autorité d'agrément. § 3. L'autorité d'agrément remet immédiatement au demandeur une notification de réception de la demande d'agrément et du dossier de référence. § 4. Chaque message électronique envoyé à l'autorité d'agrément qui présente un virus ou toute autre instruction nuisible fera l'objet d'un archivage de sécurité. Le demandeur en sera immédiatement informé.
Art. 30.Le dossier de référence comprend au moins les éléments suivants : 1. une description technique détaillée et un rapport d'audit externe attestant de la conformité du service d'identification électronique aux conditions décrites au chapitre II, section 1re, et aux spécifications techniques;2. des documents attestant que le service d'identification électronique est capable de satisfaire aux exigences de disponibilité telles que décrites au chapitre II, section 2, sous-section 1re;3. des documents attestant que les services de support du service d'identification électronique répondent aux conditions décrites au chapitre II, section 2, sous-section 2;4. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3;5. un rapport d'audit externe attestant que le prestataire de services peut garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants : 1° une description de la gestion des changements;2° une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;3° une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant à la protection des données à caractère personnel, à la confidentialité, à l'intégrité et à la disponibilité du service;4° une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;6. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à la disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;7. des documents attestant que le prestataire de services satisfait aux conditions décrites au chapitre II, section 3, et un rapport d'audit externe attestant la conformité du service d'identification électronique aux conditions décrites à l'article 28 du présent arrêté. Section 2. - Traitement de la demande d'agrément par l'autorité
d'agrément
Art. 31.§ 1er. Au plus tard trois mois après réception de la demande d'agrément et du dossier de référence, l'autorité d'agrément agréera le demandeur, après consultation de représentants du Collège des présidents des services publics fédéraux et des services publics de programmation, du Collège des administrateurs délégués des institutions de la sécurité sociale et du Collège des administrateurs délégués des organismes d'intérêt public fédéraux, pour autant que la demande d'agrément et le dossier de référence comprennent toutes les pièces définies à l'article 30 et qu'il en ressorte que les conditions énumérées au chapitre II du présent arrêté sont respectées. Ce délai peut être prolongé de trois mois. Dans ce cas, l'autorité d'agrément en informera immédiatement le demandeur. § 2. Si la demande d'agrément soumise ou le dossier de référence sont incomplets ou si les pièces prouvent que les conditions énumérées dans le présent arrêté ne sont pas respectées, l'autorité d'agrément avertit le demandeur, par envoi recommandé, du refus de l'agrément, et ce, au plus tard un mois après la réception de la demande d'agrément et du dossier de référence. § 3. Le demandeur peut introduire une nouvelle demande si les raisons du refus ne s'appliquent plus.
Art. 32.Durant la procédure d'agrément, les demandeurs peuvent être entendus, et ce, à leur demande ou à la demande de l'autorité d'agrément. CHAPITRE IV. - Conséquences de l'agrément Section 1re. - Conséquences opérationnelles
Art. 33.Lors de l'identification de l'utilisateur sur une application publique numérique, le service fédéral d'authentification connecte l'utilisateur au service d'identification électronique agréé choisi par l'utilisateur.
Art. 34.§ 1er. Les services d'identification électronique agréés sont mentionnés comme l'une des options d'identification pour les applications publiques sur le portail d'accès de l'autorité d'agrément. § 2. Le portail d'accès mentionne également le niveau de garantie du service d'identification électronique agréé.
Art. 35.Le fournisseur d'un service d'identification électronique agréé utilise le numéro d'identification unique pour offrir, par le biais du portail d'accès de l'autorité d'agrément, le service d'identification électronique agréé.
Art. 36.Le prestataire de services conclut un contrat de collaboration avec l'autorité d'agrément.
Art. 37.Le prestataire de services et l'autorité d'agrément conviennent d'un plan commun pour le lancement du service et sa communication.
Art. 38.La prestation de services se fait conformément aux dispositions du présent arrêté, aux spécifications techniques ainsi qu'aux éléments et conditions repris dans le contrat de collaboration.
Art. 39.Le prestataire de services confirme qu'il satisfait toujours aux conditions d'agrément pour le niveau de garantie concerné : 1. dans un délai de 15 jours suivant la demande de l'autorité d'agrément;2. dans un délai de 15 jours suivant chaque date anniversaire de la décision d'agrément;3. avant une modification du contrôle du prestataire de services qui peut avoir un impact sur le service;4. avant une modification du service;5. dans un délai de 15 jours suivant la prise de connaissance d'une modification des conditions d'agrément; 6. dans un délai de 15 jours suivant la prise de connaissance d'une modification des éléments exigés pour être reconnu pour le niveau de garantie concerné, comme décrit aux points 2.1 et 2.3.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502; 7. dans un délai de 15 jours suivant la prise de connaissance d'une modification de la législation relative à la protection des données à caractère personnel.
Art. 40.§ 1er. Toute modification des données fournies au moment de la demande d'agrément et pouvant avoir un impact sur la prestation de services doit être notifiée à l'autorité d'agrément dans un délai d'un mois. Dans cette notification, le prestataire de services spécifie et motive la modification apportée. § 2. A l'occasion de chaque modification mentionnée au paragraphe 1er, l'autorité d'agrément peut décider de suspendre ou de retirer d'office l'agrément lorsque les conditions d'agrément ne sont plus respectées. Section 2. - Conséquences financières
Art. 41.§ 1er. L'autorité d'agrément réserve un montant de maximum 450.000 euros par an pour l'indemnisation de l'ensemble des prestataires de services. § 2. A partir de l'agrément, l'autorité d'agrément paie par année civile à chaque prestataire de services une indemnité afin de couvrir une partie des coûts réalisés par le prestataire de services pour offrir le service d'identification électronique agréé. § 3. L'indemnité annuelle visée au § 2 est payée au cours du troisième trimestre de l'année civile suivant l'année civile au cours de laquelle l'indemnité est calculée. § 4. La prestation de services est gratuite pour les utilisateurs.
Art. 42.§ 1er. Le calcul de l'indemnité pour chaque prestataire de services d'un service d'identification électronique agréé, telle que visée à l'article 41, § 2, se fait sur la base du nombre d'utilisateurs actifs. § 2. Le montant de l'indemnité par utilisateur actif s'élève à 0,666 euro si le nombre total d'utilisateurs actifs pour l'ensemble des prestataires de services est inférieur ou égal à 300.000.
Le montant de l'indemnité par utilisateur actif s'élève à 0,043 euro si le nombre total d'utilisateurs actifs pour l' ensemble des prestataires de services est supérieur à 300.000 et inférieur ou égal à 6.000.000 et ce, du 300.001ème utilisateur au 6.000.000ème utilisateur compris. Pour les autres utilisateurs actifs, l'alinéa 1 reste d'application.
Le montant maximum tel que déterminé à l'article 41, § 1er, est réparti proportionnellement au nombre d'utilisateurs actifs par prestataire de services si le nombre total d'utilisateurs actifs pour l'ensemble des prestataires de services est supérieur à 6.000.000 et ce, pour tous les utilisateurs actifs. Section 3. - Durée de l'agrément
Art. 43.L'agrément a une durée de validité de trois ans. Son renouvellement est conditionné à l'introduction d'une nouvelle demande. CHAPITRE V. - Contrôle, suspension et retrait de l'agrément Section 1re. - Contrôle
Art. 44.Lorsque l'autorité d'agrément constate que le service ne concorde pas avec les conditions d'agrément, avec les spécifications techniques ou avec le contrat de collaboration mentionnés dans le présent arrêté, elle peut demander des explications détaillées au prestataire de services et, si nécessaire, imposer un audit de la prestation de services. Section 2. - Suspension et retrait de l'agrément
Art. 45.§ 1er. L'autorité d'agrément peut suspendre l'agrément de la prestation de services pour une période de douze mois maximum lorsque la prestation de services n'est pas conforme aux conditions d'agrément, aux spécifications techniques et au contrat de collaboration mentionnés dans le présent arrêté et qu'elle estime que des mesures correctives appropriées peuvent remédier à cette non-conformité dans un délai raisonnable. § 2. L'autorité d'agrément peut retirer l'agrément lorsque le prestataire de services : 1. ne satisfait plus aux conditions d'agrément mentionnées dans le présent arrêté;ou 2. enfreint les spécifications techniques ou le contrat de collaboration;ou 3. n'a pas pris les mesures nécessaires visant à remédier aux manquements qui ont mené à la suspension de l'agrément conformément au paragraphe 1er.
Art. 46.§ 1er. L'autorité d'agrément détermine la date d'entrée en vigueur de la suspension ou du retrait de l'agrément. § 2. Dans tous les cas de suspension ou de retrait d'un agrément, le prestataire de services sera entendu par l'autorité d'agrément. § 3. La décision de suspension ou de retrait est immédiatement notifiée par envoi recommandé au prestataire de services. § 4. Après la décision de suspension ou de retrait, les services d'identification électronique sont supprimés de la liste des options d'identification reprises sur le portail d'accès de l'autorité d'agrément. § 5. L'autorité d'agrément peut anticipativement lever la suspension à partir d'une date qu'elle aura déterminée, lorsqu'elle juge que les motifs de la suspension ne sont plus d'actualité. Cette levée de suspension est notifiée par envoi recommandé au prestataire de services concerné. CHAPITRE VI. - Dispositions finales
Art. 47.L'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques qui utilisent des moyens d'identification sans fil est abrogé.
Art. 48.§ 1er. Dès l'entrée en vigueur du présent arrêté, les fournisseurs d'options d'identification ne pourront plus être agréés par le biais de l'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques qui utilisent des moyens d'identification sans fil. § 2. Les services d'identification électronique qui, à la date de l'entrée en vigueur du présent arrêté, ont été agréés par le biais de l'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques qui utilisent des moyens d'identification sans fil : 1. continueront d'être agréés selon ces règles jusqu'à la fin ou le retrait de l'agrément;2. peuvent être utilisés pour l'identification sur une application publique numérique, qui exige une garantie faible, substantielle ou élevée : 3.perdent d'office cet agrément dès qu'un service d'identification électronique qui utilise la même option d'identification, délivrée par le même prestataire de services, est agréé par le biais du présent arrêté.
Art. 49.L'annexe relative au modèle de formulaire pour la demande d'agrément d'un service d'identification électronique pour des applications publiques est jointe à l'arrêté.
Art. 50.Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.
Art. 51.Le ministre chargé de l'Agenda numérique est chargé de l'exécution du présent arrêté.
Donné à Bruxelles, le 22 octobre 2017.
PHILIPPE Par le Roi : Le Vice-Premier ministre et ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste, A. DE CROO
ANNEXE Modèle de formulaire pour la demande d'agrément d'un service d'identification électronique pour applications publiques Manuel d'utilisation Ce document contient le relevé des données qui doivent être remplies et transmises à l'autorité d'agrément, en vue de l'obtention de l'agrément d'un service d'identification électronique pour applications publiques.
L'ensemble des points décrits et des informations demandées doivent être les plus complets possible.
Le modèle du formulaire d'enregistrement peut être téléchargé depuis le site www.bosa.belgium.be Le formulaire d'enregistrement dûment complété ainsi que toutes les annexes nécessaires doivent être envoyés : a) par la poste, à l'adresse suivante : Service public fédéral Stratégie et Appui, Direction générale Transformation digitale Boulevard S.Bolivar 30 1000 Bruxelles b) par e-mail : servicedesk@fedict.be I. IDENTIFICATION DU DEMANDEUR L'identification du demandeur de l'agrément du service d'identification électronique.
Nom complet de l'entreprise : Numéro d'entreprise : Personne de contact : Numéro de téléphone de la personne de contact : E-mail : II. INDICATION DU NIVEAU DE GARANTIE Cette partie indique pour quel niveau de garantie l'agrément du service d'identification électronique est demandé : garantie élevée ou substantielle.
III. DESCRIPTION SUCCINCTE DU SERVICE D'IDENTIFICATION ELECTRONIQUE Cette partie décrit succinctement le service d'identification électronique pour lequel l'agrément est demandé. La description porte également sur les caractéristiques essentielles de ce service.
IV. CRITERES D'EXCLUSION Dans la mesure où les documents ne peuvent pas être demandés par l'autorité d'agrément elle-même, ils sont joints par le demandeur à la demande d'agrément.
V. DOSSIER DE REFERENCE Le dossier de référence comprend au minimum les éléments suivants : 1. une description technique détaillée et un rapport d'audit externe attestant de la conformité du service d'identification électronique aux conditions décrites au chapitre II, section 1re, et aux spécifications techniques;2. des documents attestant que le service d'identification électronique est capable de satisfaire aux exigences de disponibilité telles que décrites au chapitre II, section 2, sous-section 1re;3. des documents attestant que les services de support du service d'identification électronique répondent aux conditions décrites au chapitre II, section 2, sous-section 2;4. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3;5. un rapport d'audit externe attestant que le prestataire de services peut garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants : 1° une description de la gestion des changements;2° une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;3° une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant à la protection des données à caractère personnel, à la confidentialité, à l'intégrité et à la disponibilité du service;4° une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;6. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à la disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;7. des documents attestant que le prestataire de services satisfait aux conditions décrites au chapitre II, section 3, et un rapport d'audit externe attestant de la conformité du service d'identification électronique aux conditions décrites à l'article 28 du présent arrêté. Fait à, le Nom : Qualité : Signature : Vu pour être annexé à l'arrêté royal du 22 octobre 2017 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques.
PHILIPPE Par le Roi : Le Vice-Premier ministre et ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste A. DE CROO