Texte 2017031391

22 OCTOBRE 2017. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques

ELI
Justel
Source
Stratégie et Appui
Publication
8-11-2017
Numéro
2017031391
Page
97882
PDF
version originale
Dossier numéro
2017-10-22/11
Entrée en vigueur / Effet
08-11-2017
Texte modifié
2014002049
belgiquelex

Chapitre 1er.- Définitions et dispositions introductives

Article 1er. Pour l'application du présent arrêté, on entend par :

" service d'identification électronique " : le service garantissant l'identité de l'utilisateur qui tente d'accéder à des applications publiques sur la base d'une option d'identification

" moyen d'identification électronique " : un élément matériel et/ou immatériel contenant des données d'identification personnelle et utilisé pour s'authentifier sur une application publique

" option d'identification " : l'application logicielle ou matérielle utilisée pour le service d'identification électronique et conforme aux spécifications techniques

" prestataire de services " : personne qui offre un service d'identification électronique agréé

" demandeur " : le prestataire de services qui souhaite obtenir l'agrément pour la prestation de services

" utilisateur " : la personne qui fait appel au service

" autorité d'agrément " : le service public fédéral Stratégie et Appui, Direction générale Transformation digitale (" DTO "), désigné conformément à l'article 10 de la loi du 18 juillet 2017 relative à l'identification électronique

" prestation de services " : l'offre d'un service d'identification électronique

" service d'identification électronique à garantie substantielle " : le service d'identification électronique répondant aux exigences de l'agrément pour le niveau de garantie " substantiel " et reconnu en tant que tel

10°" service d'identification électronique à garantie élevée " : le service d'identification électronique répondant aux exigences de l'agrément pour le niveau de garantie " élevé " et reconnu en tant que tel

11°" service opérationnel " : le service de l'autorité d'agrément responsable de la communication des données d'identification avec le prestataire de services

12°" risques en matière de sécurité " : attaques; effractions, tant physiques qu'électroniques; dommages à la réputation et à l'image et tout préjudice éventuel qui peut avoir des conséquences négatives sur la prestation de services

13°" temps de réaction " : le temps de chargement des interactions individuelles entre l'utilisateur et le prestataire de services, abstraction faite de la vitesse de connexion entre l'utilisateur et le prestataire de services ainsi que des actions de l'utilisateur

14°" service de chat " : un service permettant de mener une conversation en échangeant des messages textuels en temps réel ou en échangeant des fichiers son ou vidéo entre deux ou plusieurs utilisateurs d'équipements terminaux connectés à un réseau de communications électroniques et se trouvant généralement à différents endroits

15°" problème " : la cause d'un ou de plusieurs incidents

16°" personne de contact " : la personne que le prestataire de services renseigne comme unique point de contact entre le prestataire de services et l'autorité d'agrément

17°" contrat de collaboration " : un contrat entre le prestataire de services et l'autorité d'agrément relatif au niveau de service

18°" spécifications techniques " : le manuel comprenant les spécifications techniques auxquelles l'option d'identification doit satisfaire en exécution du présent arrêté

19°" transaction " : une identification réussie au moyen d'un service d'identification électronique agréé

20°" utilisateur actif " : utilisateur qui réalise au minimum trois authentifications réussies par an par le biais d'un prestataire de services, quel que soit le nombre ou le niveau de garantie des services d'identification électronique agréés de ce prestataire

Art. 2.§ 1er. Les fournisseurs qui prouvent que leur service d'identification électronique satisfait aux conditions d'agrément et, sur cette base, ont reçu un agrément, peuvent mettre leur service d'identification électronique à disposition à des fins d'utilisation sur des applications publiques.

§ 2. Le service d'identification électronique est reconnu comme un service d'identification électronique assorti d'un niveau de garantie substantiel ou élevé.

§ 3. Un service d'identification électronique agréé dont le niveau de garantie est élevé peut être utilisé pour l'identification sur une application publique, qui exige un niveau de garantie faible, substantiel ou élevé pour l'identification.

Un service d'identification électronique agréé dont le niveau de garantie est substantiel peut être utilisé pour l'identification sur une application publique, qui exige niveau de garantie faible ou substantiel pour l'identification.

Art. 3.Chaque service d'identification électronique agréé n'utilise qu'une seule option d'identification.

Les prestataires de services peuvent faire agréer un ou plusieurs services d'identification électronique.

Chapitre 2.- Conditions d'agrément

Section 1ère.- Conditions fonctionnelles et techniques

Sous-section 1ère.- Le service d'identification électronique

Art. 4.Le service d'identification électronique pour lequel l'agrément est demandé utilise une option d'identification avec laquelle l'accès à l'application publique est demandé.

Art. 5.Le moyen d'identification électronique utilisé par l'option d'identification satisfait aux exigences du niveau de garantie substantiel ou élevé comme décrit au point 2.2 de l'annexe au règlement d'exécution (UE) n° 2015/1502.

Art. 6.Le service d'identification électronique prévoit un mécanisme d'authentification qui correspond au niveau de garantie substantiel ou élevé comme décrit au point 2.3.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502.

Art. 7.Le service d'identification électronique répond aux spécifications techniques que l'autorité d'agrément publie sur son site web.

Sous-section 2.- L'enregistrement et le choix de l'utilisateur pour le service d'identification électronique

Art. 8.Le service d'identification électronique prévoit une procédure d'enregistrement qui satisfait aux exigences décrites au point 2.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502 pour le niveau de garantie substantiel ou élevé.

Art. 9.§ 1er. Le service d'identification électronique prévoit la possibilité pour l'utilisateur de choisir le service d'identification électronique agréé et, à tout moment, de modifier ou de mettre fin à son choix relatif au service d'identification électronique.

§ 2. L'utilisateur qui a mis fin à son choix pourra ultérieurement à nouveau choisir le même service d'identification électronique.

Art. 10.L'utilisateur peut choisir un ou plusieurs services d'identification électronique agréés.

Sous-section 3.- Identification par l'utilisateur

Art. 11.Lors de chaque identification, le service d'identification électronique envoie à l'autorité d'agrément le numéro d'identification unique de l'utilisateur, sur la base duquel l'autorité d'agrément détermine l'identité de l'utilisateur.

Sous-section 4.- Echange d'informations entre le prestataire de services et l'autorité d'agrément

Art. 12.Dans le cadre du service d'identification électronique, l'échange d'informations entre le prestataire de services et l'autorité d'agrément se déroule conformément aux protocoles techniques exposés dans les spécifications techniques.

Art. 13.§ 1er. Lors de chaque échange d'informations entre l'autorité d'agrément et le prestataire de services, ainsi qu'entre le prestataire de services et l'utilisateur, le service d'identification électronique effectue des contrôles afin d'éviter, au moins, les abus suivants :

1. le nouvel envoi d'un même message ou d'une même tentative d'identification;

2. la modification du contenu des informations échangées;

3. une tierce partie qui se fait passer pour le service opérationnel ou le prestataire de services.

§ 2. Les abus mentionnés au paragraphe 1er sont détectés et mènent à l'échec de l'identification.

§ 3. Le service d'identification électronique comprend suffisamment de mécanismes de contrôle afin de détecter pro-activement des risques éventuels en matière de sécurité. Le prestataire de services établit des rapports à ce sujet conformément à la procédure décrite à la sous-section 5 de la section 2.

Sous-section 5.- Respect de la vie privée

Art. 14.Le prestataire de services traitera les données à caractère personnel conformément à la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, aux arrêtés d'exécution et aux directives et recommandations de la Commission de la protection de la vie privée ainsi qu'au Règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Art. 15.Le service d'identification électronique prévoit des mécanismes visant à protéger les données à caractère personnel pour le niveau substantiel ou élevé comme décrit au point 2.3.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502.

Art. 16.§ 1er. Le prestataire de services ne prend pas connaissance des applications publiques auxquelles l'utilisateur demande accès à l'aide du service d'identification électronique.

§ 2. Le prestataire de services établit une piste d'audit sécurisée afin que les données puissent être reconstituées pour chaque transaction spécifique, et ce, en vue de la sécurisation des données et de la protection de la vie privée. A cet effet, le prestataire de services conserve, pour chaque identification et tentative d'identification, les données suivantes, et ce, pour une durée de dix ans à compter du moment de ladite identification ou tentative d'identification :

1. le numéro d'identification unique de l'utilisateur;

2. le service d'identification électronique du prestataire de services avec lequel l'utilisateur s'identifie ou essaie de s'identifier; et

3. le moment de l'identification ou de la tentative d'identification.

Art. 17.Le prestataire de services prend des mesures afin de garantir que le numéro d'identification unique de l'utilisateur n'est utilisé que pour la finalité de l'identification électronique par le biais du portail d'accès de l'autorité d'agrément.

Section 2.- Conditions relatives à la gestion des services

Sous-section 1ère.- Disponibilité du service

Art. 18.Sur base mensuelle, le service est disponible pendant 99,9 % du temps.

Art. 19.Le temps de réaction lors de l'identification d'un utilisateur n'excède pas :

1. 1 seconde pour 95 % des identifications;

2. 2 secondes pour 98 % des identifications; et

3. 5 secondes pour 99,5 % des identifications.

Sous-section 2.- Disponibilité des services de support

Art. 20.§ 1er. Pour les appels provenant d'utilisateurs et de services publics autres que l'autorité d'agrément, le prestataire de services offre des services de support dans les trois langues nationales pour les appels des services publics et des utilisateurs, ainsi qu'en anglais pour les appels provenant d'utilisateurs, au minimum tous les jours ouvrables de 8 heures à 18 heures. Ces services de support comprennent au moins :

1. un service de chat;

2. un support téléphonique;

3. une page Internet proposant des questions fréquemment posées (FAQ) ainsi qu'un manuel facilement accessible.

§ 2. Pour les appels provenant de l'autorité d'agrément, le prestataire de services offre des services de support dans les trois langues nationales, tous les jours et 24 heures sur 24.

Ces services de support comprennent au moins :

1. un support téléphonique; et

2. une plateforme de support numérique par laquelle l'autorité d'agrément reçoit une notification lui indiquant que son appel a été enregistré et qu'elle recevra une réponse le plus vite possible.

§ 3. A la demande explicite de l'autorité d'agrément, des services de support seront prévus pour les appels provenant d'utilisateurs et d'autres services publics, dans les trois langues nationales, hors des périodes mentionnées au paragraphe 1er. Ces services de support comprennent au moins :

1. un service de chat;

2. un support téléphonique;

3. une page Internet proposant des questions fréquemment posées (FAQ) ainsi qu'un manuel facilement accessible.

Sous-section 3.- Gestion du déploiement

Art. 21.§ 1er. Le prestataire de services développe des systèmes qui garantissent la gestion du déploiement. Sauf décision contraire de l'autorité d'agrément, cette gestion du déploiement tient compte du fait que l'autorité d'agrément prend en considération, tous les six mois, de nouvelles versions logicielles afin d'introduire un déploiement logiciel ultérieur.

§ 2. La gestion du déploiement du prestataire de services suit celle de l'autorité d'agrément. A cet effet, le prestataire de services assure une compatibilité avec ses versions logicielles précédentes.

Art. 22.Le prestataire de services soumet à l'approbation de l'autorité d'agrément chaque nouvelle version logicielle qui a un impact significatif sur l'utilisateur, au plus tard un mois avant la date d'introduction du déploiement, et l'accompagne d'une analyse d'impact, afin que l'autorité d'agrément puisse minimiser l'impact éventuel des modifications sur l'utilisateur.

Sous-section 4.- Continuité du service

Art. 23.Le prestataire de services développe des mécanismes qui garantissent un service ininterrompu pendant la durée de l'agrément.

Sous-section 5.- Rapports

Art. 24.Le prestataire de services met à tout moment à la disposition de l'autorité d'agrément toute information relative à la gestion des plaintes, aux enquêtes de sécurité, ainsi qu'aux problèmes et incidents liés au service.

Art. 25.Dès le moindre soupçon de risques en matière de sécurité liés au service, le prestataire de services informe immédiatement l'autorité d'agrément.

Art. 26.Le prestataire de services désigne une personne de contact qui, à compter de la décision d'agrément, remettra tous les six mois à l'autorité d'agrément un rapport sur les conditions relatives à la gestion des services, accompagné des pièces justificatives pertinentes.

Section 3.- Conditions économiques, juridiques et organisationnelles

Art. 27.A chaque stade de la procédure d'agrément et pendant l'agrément, tant le demandeur que le prestataire de services doivent veiller à ne pas se trouver dans l'une des situations suivantes :

1. être en état de faillite, de liquidation, de cessation d'activités, de réorganisation judiciaire ou dans toute situation analogue résultant d'une procédure de même nature existant dans d'autres réglementations nationales;

2. avoir fait l'aveu de sa faillite ou fait l'objet d'une procédure de liquidation, de réorganisation judiciaire ou de toute autre procédure de même nature existant dans d'autres réglementations nationales;

3. avoir fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour toute infraction à la législation relative à la protection de la vie privée;

4. avoir fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour tout délit ou crime affectant son intégrité professionnelle;

5. en matière professionnelle, avoir commis une faute grave dûment constatée par tout moyen dont l'autorité d'agrément pourra justifier;

6. ne pas être en règle avec ses obligations relatives au paiement de ses cotisations de sécurité sociale;

7. ne pas être en règle avec ses obligations relatives au paiement de ses impôts et taxes selon la législation belge ou celle du pays dans lequel il est établi;

8. s'être rendu, en application du présent arrêté, gravement coupable de fausses déclarations en fournissant des renseignements exigibles ou en n'ayant pas fourni ces renseignements;

9. avoir fait l'objet d'une mesure corrective imposée par la Commission de la protection de la vie privée conformément à l'article 58, alinéa 2 et à l'article 83 du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dès qu'il est applicable.

Art. 28.Le demandeur doit satisfaire à toutes les conditions suivantes :

1. satisfaire aux exigences telles que prévues pour les niveaux de garantie substantiel ou élevé au point 2.4 de l'annexe au règlement d'exécution (UE) n° 2015/1502;

2. disposer d'un service d'identification électronique déjà opérationnel et accessible pour tout utilisateur pour qui la preuve et la vérification d'identité satisfont aux exigences pour le niveau de garantie substantiel ou élevé spécifiées au point 2.1.2 de l'annexe du règlement d'exécution (UE) n° 2015/1502.

Chapitre 3.- La procédure d'agrément

Section 1ère.- Introduction de la demande d'agrément

Art. 29.§ 1er. Le demandeur introduit, au moyen du modèle de formulaire annexé au présent arrêté, une demande d'agrément pour un service d'identification électronique dont le niveau de garantie est substantiel ou élevé. Il joint à sa demande un dossier de référence inventorié.

§ 2. La demande d'agrément est au minimum introduite sur support électronique, éventuellement confirmée sur support physique fourni à l'autorité d'agrément.

§ 3. L'autorité d'agrément remet immédiatement au demandeur une notification de réception de la demande d'agrément et du dossier de référence.

§ 4. Chaque message électronique envoyé à l'autorité d'agrément qui présente un virus ou toute autre instruction nuisible fera l'objet d'un archivage de sécurité. Le demandeur en sera immédiatement informé.

Art. 30.Le dossier de référence comprend au moins les éléments suivants :

1. une description technique détaillée et un rapport d'audit externe attestant de la conformité du service d'identification électronique aux conditions décrites au chapitre II, section 1re, et aux spécifications techniques;

2. des documents attestant que le service d'identification électronique est capable de satisfaire aux exigences de disponibilité telles que décrites au chapitre II, section 2, sous-section 1re;

3. des documents attestant que les services de support du service d'identification électronique répondent aux conditions décrites au chapitre II, section 2, sous-section 2;

4. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3;

5. un rapport d'audit externe attestant que le prestataire de services peut garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants :

une description de la gestion des changements;

une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;

une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant à la protection des données à caractère personnel, à la confidentialité, à l'intégrité et à la disponibilité du service;

une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;

6. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à la disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;

7. des documents attestant que le prestataire de services satisfait aux conditions décrites au chapitre II, section 3, et un rapport d'audit externe attestant la conformité du service d'identification électronique aux conditions décrites à l'article 28 du présent arrêté.

Section 2.- Traitement de la demande d'agrément par l'autorité d'agrément

Art. 31.§ 1er. Au plus tard trois mois après réception de la demande d'agrément et du dossier de référence, l'autorité d'agrément agréera le demandeur, après consultation de représentants du Collège des présidents des services publics fédéraux et des services publics de programmation, du Collège des administrateurs délégués des institutions de la sécurité sociale et du Collège des administrateurs délégués des organismes d'intérêt public fédéraux, pour autant que la demande d'agrément et le dossier de référence comprennent toutes les pièces définies à l'article 30 et qu'il en ressorte que les conditions énumérées au chapitre II du présent arrêté sont respectées. Ce délai peut être prolongé de trois mois. Dans ce cas, l'autorité d'agrément en informera immédiatement le demandeur.

§ 2. Si la demande d'agrément soumise ou le dossier de référence sont incomplets ou si les pièces prouvent que les conditions énumérées dans le présent arrêté ne sont pas respectées, l'autorité d'agrément avertit le demandeur, par envoi recommandé, du refus de l'agrément, et ce, au plus tard un mois après la réception de la demande d'agrément et du dossier de référence.

§ 3. Le demandeur peut introduire une nouvelle demande si les raisons du refus ne s'appliquent plus.

Art. 32.Durant la procédure d'agrément, les demandeurs peuvent être entendus, et ce, à leur demande ou à la demande de l'autorité d'agrément.

Chapitre 4.- Conséquences de l'agrément

Section 1ère.- Conséquences opérationnelles

Art. 33.Lors de l'identification de l'utilisateur sur une application publique numérique, le service fédéral d'authentification connecte l'utilisateur au service d'identification électronique agréé choisi par l'utilisateur.

Art. 34.§ 1er. Les services d'identification électronique agréés sont mentionnés comme l'une des options d'identification pour les applications publiques sur le portail d'accès de l'autorité d'agrément.

§ 2. Le portail d'accès mentionne également le niveau de garantie du service d'identification électronique agréé.

Art. 35.Le fournisseur d'un service d'identification électronique agréé utilise le numéro d'identification unique pour offrir, par le biais du portail d'accès de l'autorité d'agrément, le service d'identification électronique agréé.

Art. 36.Le prestataire de services conclut un contrat de collaboration avec l'autorité d'agrément.

Art. 37.Le prestataire de services et l'autorité d'agrément conviennent d'un plan commun pour le lancement du service et sa communication.

Art. 38.La prestation de services se fait conformément aux dispositions du présent arrêté, aux spécifications techniques ainsi qu'aux éléments et conditions repris dans le contrat de collaboration.

Art. 39.Le prestataire de services confirme qu'il satisfait toujours aux conditions d'agrément pour le niveau de garantie concerné :

1. dans un délai de 15 jours suivant la demande de l'autorité d'agrément;

2. dans un délai de 15 jours suivant chaque date anniversaire de la décision d'agrément;

3. avant une modification du contrôle du prestataire de services qui peut avoir un impact sur le service;

4. avant une modification du service;

5. dans un délai de 15 jours suivant la prise de connaissance d'une modification des conditions d'agrément;

6. dans un délai de 15 jours suivant la prise de connaissance d'une modification des éléments exigés pour être reconnu pour le niveau de garantie concerné, comme décrit aux points 2.1 et 2.3.1 de l'annexe au règlement d'exécution (UE) n° 2015/1502;

7. dans un délai de 15 jours suivant la prise de connaissance d'une modification de la législation relative à la protection des données à caractère personnel.

Art. 40.§ 1er. Toute modification des données fournies au moment de la demande d'agrément et pouvant avoir un impact sur la prestation de services doit être notifiée à l'autorité d'agrément dans un délai d'un mois. Dans cette notification, le prestataire de services spécifie et motive la modification apportée.

§ 2. A l'occasion de chaque modification mentionnée au paragraphe 1er, l'autorité d'agrément peut décider de suspendre ou de retirer d'office l'agrément lorsque les conditions d'agrément ne sont plus respectées.

Section 2.- Conséquences financières

Art. 41.§ 1er. L'autorité d'agrément réserve un montant de maximum 450.000 euros par an pour l'indemnisation de l'ensemble des prestataires de services.

§ 2. A partir de l'agrément, l'autorité d'agrément paie par année civile à chaque prestataire de services une indemnité afin de couvrir une partie des coûts réalisés par le prestataire de services pour offrir le service d'identification électronique agréé.

§ 3. L'indemnité annuelle visée au § 2 est payée au cours du troisième trimestre de l'année civile suivant l'année civile au cours de laquelle l'indemnité est calculée.

§ 4. La prestation de services est gratuite pour les utilisateurs.

Art. 42.§ 1er. Le calcul de l'indemnité pour chaque prestataire de services d'un service d'identification électronique agréé, telle que visée à l'article 41, § 2, se fait sur la base du nombre d'utilisateurs actifs.

§ 2. Le montant de l'indemnité par utilisateur actif s'élève à 0,666 euro si le nombre total d'utilisateurs actifs pour l'ensemble des prestataires de services est inférieur ou égal à 300.000.

Le montant de l'indemnité par utilisateur actif s'élève à 0,043 euro si le nombre total d'utilisateurs actifs pour l' ensemble des prestataires de services est supérieur à 300.000 et inférieur ou égal à 6.000.000 et ce, du 300.001ème utilisateur au 6.000.000ème utilisateur compris. Pour les autres utilisateurs actifs, l'alinéa 1 reste d'application.

Le montant maximum tel que déterminé à l'article 41, § 1er, est réparti proportionnellement au nombre d'utilisateurs actifs par prestataire de services si le nombre total d'utilisateurs actifs pour l'ensemble des prestataires de services est supérieur à 6.000.000 et ce, pour tous les utilisateurs actifs.

Section 3.- Durée de l'agrément

Art. 43.L'agrément a une durée de validité de trois ans. Son renouvellement est conditionné à l'introduction d'une nouvelle demande.

Chapitre 5.- Contrôle, suspension et retrait de l'agrément

Section 1ère.- Contrôle

Art. 44.Lorsque l'autorité d'agrément constate que le service ne concorde pas avec les conditions d'agrément, avec les spécifications techniques ou avec le contrat de collaboration mentionnés dans le présent arrêté, elle peut demander des explications détaillées au prestataire de services et, si nécessaire, imposer un audit de la prestation de services.

Section 2.- Suspension et retrait de l'agrément

Art. 45.§ 1er. L'autorité d'agrément peut suspendre l'agrément de la prestation de services pour une période de douze mois maximum lorsque la prestation de services n'est pas conforme aux conditions d'agrément, aux spécifications techniques et au contrat de collaboration mentionnés dans le présent arrêté et qu'elle estime que des mesures correctives appropriées peuvent remédier à cette non-conformité dans un délai raisonnable.

§ 2. L'autorité d'agrément peut retirer l'agrément lorsque le prestataire de services :

1. ne satisfait plus aux conditions d'agrément mentionnées dans le présent arrêté; ou

2. enfreint les spécifications techniques ou le contrat de collaboration; ou

3. n'a pas pris les mesures nécessaires visant à remédier aux manquements qui ont mené à la suspension de l'agrément conformément au paragraphe 1er.

Art. 46.§ 1er. L'autorité d'agrément détermine la date d'entrée en vigueur de la suspension ou du retrait de l'agrément.

§ 2. Dans tous les cas de suspension ou de retrait d'un agrément, le prestataire de services sera entendu par l'autorité d'agrément.

§ 3. La décision de suspension ou de retrait est immédiatement notifiée par envoi recommandé au prestataire de services.

§ 4. Après la décision de suspension ou de retrait, les services d'identification électronique sont supprimés de la liste des options d'identification reprises sur le portail d'accès de l'autorité d'agrément.

§ 5. L'autorité d'agrément peut anticipativement lever la suspension à partir d'une date qu'elle aura déterminée, lorsqu'elle juge que les motifs de la suspension ne sont plus d'actualité. Cette levée de suspension est notifiée par envoi recommandé au prestataire de services concerné.

Chapitre 6.- Dispositions finales

Art. 47.L'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques qui utilisent des moyens d'identification sans fil est abrogé.

Art. 48.§ 1er. Dès l'entrée en vigueur du présent arrêté, les fournisseurs d'options d'identification ne pourront plus être agréés par le biais de l'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques qui utilisent des moyens d'identification sans fil.

§ 2. Les services d'identification électronique qui, à la date de l'entrée en vigueur du présent arrêté, ont été agréés par le biais de l'arrêté royal du 17 juillet 2014 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques qui utilisent des moyens d'identification sans fil :

1. continueront d'être agréés selon ces règles jusqu'à la fin ou le retrait de l'agrément;

2. peuvent être utilisés pour l'identification sur une application publique numérique, qui exige une garantie faible, substantielle ou élevée :

3. perdent d'office cet agrément dès qu'un service d'identification électronique qui utilise la même option d'identification, délivrée par le même prestataire de services, est agréé par le biais du présent arrêté.

Art. 49.L'annexe relative au modèle de formulaire pour la demande d'agrément d'un service d'identification électronique pour des applications publiques est jointe à l'arrêté.

Art. 50.Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.

Art. 51.Le ministre chargé de l'Agenda numérique est chargé de l'exécution du présent arrêté.

Annexe.

Art. N1.Modèle de formulaire pour la demande d'agrément d'un service d'identification électronique pour applications publiques

Manuel d'utilisation

Ce document contient le relevé des données qui doivent être remplies et transmises à l'autorité d'agrément, en vue de l'obtention de l'agrément d'un service d'identification électronique pour applications publiques.

L'ensemble des points décrits et des informations demandées doivent être les plus complets possible.

Le modèle du formulaire d'enregistrement peut être téléchargé depuis le site www.bosa.belgium.be

Le formulaire d'enregistrement dûment complété ainsi que toutes les annexes nécessaires doivent être envoyés :

a)par la poste, à l'adresse suivante :

Service public fédéral Stratégie et Appui, Direction générale Transformation digitale

Boulevard S. Bolivar 30

1000 Bruxelles

b)par e-mail : servicedesk@fedict.be

I. IDENTIFICATION DU DEMANDEUR

L'identification du demandeur de l'agrément du service d'identification électronique.

Nom complet de l'entreprise :

Numéro d'entreprise :

Personne de contact :

Numéro de téléphone de la personne de contact :

E-mail :

II. INDICATION DU NIVEAU DE GARANTIE

Cette partie indique pour quel niveau de garantie l'agrément du service d'identification électronique est demandé : garantie élevée ou substantielle.

III. DESCRIPTION SUCCINCTE DU SERVICE D'IDENTIFICATION ELECTRONIQUE

Cette partie décrit succinctement le service d'identification électronique pour lequel l'agrément est demandé. La description porte également sur les caractéristiques essentielles de ce service.

IV. CRITERES D'EXCLUSION

Dans la mesure où les documents ne peuvent pas être demandés par l'autorité d'agrément elle-même, ils sont joints par le demandeur à la demande d'agrément.

V. DOSSIER DE REFERENCE

Le dossier de référence comprend au minimum les éléments suivants :

1. une description technique détaillée et un rapport d'audit externe attestant de la conformité du service d'identification électronique aux conditions décrites au chapitre II, section 1re, et aux spécifications techniques;

2. des documents attestant que le service d'identification électronique est capable de satisfaire aux exigences de disponibilité telles que décrites au chapitre II, section 2, sous-section 1re;

3. des documents attestant que les services de support du service d'identification électronique répondent aux conditions décrites au chapitre II, section 2, sous-section 2;

4. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3;

5. un rapport d'audit externe attestant que le prestataire de services peut garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants :

une description de la gestion des changements;

une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;

une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant à la protection des données à caractère personnel, à la confidentialité, à l'intégrité et à la disponibilité du service;

une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;

6. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à la disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;

7. des documents attestant que le prestataire de services satisfait aux conditions décrites au chapitre II, section 3, et un rapport d'audit externe attestant de la conformité du service d'identification électronique aux conditions décrites à l'article 28 du présent arrêté.

Fait à,

le

Nom :

Qualité :

Signature :

Lex Iterata est un site web qui propose les textes législatifs consolidés du Moniteur Belge sous une nouvelle forme. Lex Iterata fait partie de Refli, qui vise à simplifier le calcul de salaire. Ces deux projets sont conçus par la société namuroise de développement informatique Hypered.