2 JUIN 2019. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox

Chapitre 1er.- Définitions et dispositions introductives

Article 1er. Pour l'application du présent arrêté, on entend par :

1°" service d'extraction de données " : le service qui consiste à extraire et visualiser pour des destinataires des messages électroniques disponibles dans l'eBox de personnes physiques

2°" prestataire de services " : un demandeur qui a obtenu un agrément pour fournir un service d'extraction de données

3°" demandeur " : la personne physique ou morale qui n'est pas une instance publique et qui essaie d'obtenir un agrément pour la prestation de services

4°" prestation de services " : l'offre d'un service d'extraction de données

5°" destinataire " : l'individu qui utilise le service d'extraction de données

6°" autorité d'agrément " : le service public fédéral compétent pour la Transformation digitale (" DTO "), visé à l'article 11 § 1er de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox

7°" service d'identification électronique à garantie substantielle " : un service d'identification électronique répondant aux exigences du niveau de garantie " substantiel " tel que défini dans le Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, et dans le règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur

8°" risques en matière de sécurité " : circonstance ou évènement qui peut avoir des conséquences négatives sur la sécurité de la prestation de services

9°" problème " : la cause d'un ou de plusieurs incidents

10°" personne de contact " : la personne que le prestataire de services renseigne comme unique point de contact entre le prestataire de services et l'autorité d'agrément

11°" contrat de collaboration " : un contrat entre le prestataire de services et l'autorité d'agrément relatif au niveau de service

12°" spécifications techniques " : le manuel comprenant les instructions techniques, déterminé conformément l'article 11, § 2 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox

13°" transaction " : une extraction et une visualisation réussies pour le destinataire d'un message disponible dans son eBox par un service agréé d'extraction de données

Art. 2.Les prestataires de services offrent gratuitement leur service d'extraction de données aux destinataires utilisant leur service, nonobstant le droit des prestataires de services d'imputer un coût aux destinataires pour d'éventuels services supplémentaires qu'ils leur fournissent.

Art. 3.§ 1er. Par le biais de leur service d'extraction de données, les prestataires de services extraient et visualisent pour chaque destinataire utilisant leur service tout message électronique se trouvant dans l'eBox de ce destinataire, sans aucune discrimination ni aucun filtrage de messages électroniques.

§ 2. Les prestataires de services assurent que leur prestation de services satisfait en tout temps aux conditions d'agrément telles qu'exposées dans cet arrêté, pendant la durée de l'agrément. Si, à un quelconque moment, ils disposent d'indications fondées selon lesquelles leur prestation de services ne satisfait plus aux conditions d'agrément, ils suspendent sans plus tarder leur prestation de services et signalent la cause possible de la non-conformité à l'autorité d'agrément.

Chapitre 2.- Conditions d'agrément

Section 1ère.- Conditions fonctionnelles et techniques

Sous-section 1ère.- Le service d'extraction de données

Art. 4.Le demandeur propose un service qui consiste en l'extraction et la visualisation de messages électroniques de tiers, autres que le demandeur lui-même, à des destinataires belges, depuis au moins deux ans déjà avant l'introduction de la demande d'agrément, ou a déjà extrait via un tel service des messages pour au minimum 50.000 destinataires belges au moment de l'introduction de la demande d'agrément, ou a achevé avec succès une phase pilote d'un tel service de minimum six mois avec l'autorité d'agrément au moment de l'introduction de la demande d'agrément.

Art. 5.§ 1er. Le service d'extraction de données satisfait aux spécifications techniques que l'autorité d'agrément publie sur son site web.

§ 2. Les sites web ou applications mobiles utilisés pour offrir le service d'extraction de données satisfont aux exigences légales d'accessibilité applicables respectivement aux sites web ou applications mobiles d'instances publiques.

Sous-section 2.- Le choix du destinataire pour le service d'extraction de données

Art. 6.§ 1er. Le service d'extraction de données n'est pas activé par le prestataire de services à l'égard d'un destinataire tant que ce dernier n'a pas donné son consentement conformément à l'article 6 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox au prestataire de l'eBox visé à la même loi.

Le service d'extraction de données n'est pas activé par le prestataire de services à l'égard d'un destinataire tant que ce dernier n'a pas conclu un contrat avec le prestataire de services.

§ 2. Le prestataire de services informe le destinataire que ses messages sont aussi disponibles via son eBox sans faire appel à la prestation de services et ne peut en aucune façon empêcher ou décourager le destinataire d'utiliser l'eBox d'une manière autre que par le biais de la prestation de services.

Sous-section 3.- Identification par le destinataire

Art. 7.§ 1er. Le service d'extraction de données utilise un service d'identification électronique à garantie substantielle afin d'authentifier le destinataire avant qu'une transaction ne puisse être effectuée par le biais de la prestation de services.

§ 2. Lors de chaque identification, le service d'extraction de données envoie à l'autorité d'agrément le numéro d'identification unique du destinataire, sur la base duquel l'autorité d'agrément établit l'identité du destinataire et peut offrir au prestataire de services l'information concernant les éventuels messages disponibles dans l'eBox pour une transaction.

Sous-section 4.- Echange d'informations entre l'eBox, le prestataire de services et le destinataire

Art. 8.Dans le cadre du service d'extraction de données, l'échange d'informations entre l'eBox et le prestataire de services se déroule conformément aux protocoles techniques exposés dans les spécifications techniques.

Art. 9.§ 1er. Lors de tout échange d'informations entre le prestataire de services et l'eBox, ainsi que lors de toute transaction entre le prestataire de services et le destinataire, le prestataire de services effectue des contrôles et prend des mesures afin d'éviter, au moins, les abus suivants :

1. la modification du contenu des messages électroniques;

2. la modification des métadonnées des messages électroniques, en ce compris l'origine, la nomenclature ou le type de fichier;

3. une tierce partie, autre que le destinataire, qui accède à tout message électronique dans une eBox du destinataire, ou en prend connaissance, par le biais du service d'extraction de données; et

4. une tierce partie qui se fait passer pour l'eBox.

§ 2. Le prestataire de services met en oeuvre des techniques de contrôle correspondant à l'état de l'art afin de détecter les abus mentionnés au paragraphe 1er. En cas de détection d'un abus probable, le prestataire de services assure qu'aucun message ne sera extrait pour le destinataire par le prestataire de services.

§ 3. Le service d'extraction de données comprend suffisamment de mécanismes de contrôle afin de détecter préventivement des risques éventuels en matière de sécurité. Le prestataire de services établit des rapports à ce sujet conformément à la procédure décrite à la sous-section 5 de la section 2.

§ 4. Le prestataire de services informe le destinataire de la présence de chaque nouveau message électronique disponible via le service d'extraction de données, à moins que le destinataire choisisse explicitement de ne pas recevoir de notification.

§ 5. En cas de cessation du service au destinataire pour quelque raison que ce soit:

- le prestataire de services informe l'autorité d'agrément;

- le prestataire de services renvoie le destinataire à l'eBox, accessible via le myebox du service public fédéral compétent en matière d'Agenda numérique, où ses messages sont disponibles pendant le délai fixé par l'utilisateur, sauf si le destinataire a retiré son consentement à l'égard de l'échange de messages via l'eBox;

- le prestataire de services détruit toutes les données liées à l'utilisation du service par le destinataire.

Sous-section 5.- Respect de la vie privée

Art. 10.Le prestataire de services désigne un délégué à la protection des données qui satisfait aux articles 38 et 39 du Règlement général sur la protection des données 2016/679 et assure que chaque traitement tel que visé à l'article 11, § 3, 4 et 5 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox se fait sous le contrôle de ce délégué à la protection des données.

Art. 11.Le prestataire de services prend des mesures organisationnelles et techniques appropriées afin de garantir un niveau de sécurité adapté au risque pour chaque prestation de services et chaque transaction. Le prestataire de services documente dans un rapport de sécurité, qui peut en tout temps être demandé par l'autorité d'agrément, ces mesures et la façon dont elles maintiennent sous contrôle les risques de sécurité de manière appropriée.

Art. 12.Le prestataire de services établit une piste d'audit sécurisée afin que chaque transaction spécifique puisse être reconstituée, et ce, en vue de la sécurisation des données et de la protection de la vie privée. A cet effet, le prestataire de services conserve, pour chaque transaction et tentative de transaction, les données suivantes, et ce, pour une durée de dix ans à compter du 1er janvier de l'année suivant le moment de ladite transaction ou tentative de transaction :

1. le numéro d'identification unique du destinataire;

2. l'identification du service d'extraction de données du prestataire de services avec lequel le destinataire initialise la transaction ou la tentative de transaction;

3. La clef d'identification du destinataire, utilisé par le prestataire de services, pour autoriser la transaction ou la tentative de transaction;

4. le moment de la transaction ou de la tentative de transaction; et

5. si la transaction est achevée avec succès, les métadonnées du message électronique ou des messages électroniques qui ont été extraits dans la transaction, à savoir le nom du fichier, le type de fichier et la taille du fichier.

6. le moment d'envoi et l'identification de la notification, lié à l'identification du service de notification.

Art. 13.§ 1 . Le prestataire de services prend des mesures techniques et organisationnelles appropriées pour garantir, conformément à l'article 11 § 3 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox, que le numéro de registre national du destinataire n'est utilisé qu'à des fins d'identification et d'authentification.

§ 2 . Le prestataire de services prend des mesures techniques et organisationnelles appropriées pour garantir, conformément à l'article 11 § 5 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox, qu'il ne prend pas connaissance du contenu des messages ou ne les utilise pas d'une autre manière pour la fourniture du service d'extraction de données.

§ 3. Le prestataire de services prend des mesures techniques et organisationnelles appropriées pour garantir, conformément à l'article 11 § 5 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox, qu'il ne prend connaissance du contenu des messages échangés que si cela est strictement nécessaire pour offrir le service à valeur ajoutée conformément à l'article 11 § 6 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox, comme demandé par le destinataire et moyennant son consentement explicite et préalable qui est clairement lié au service à valeur ajoutée demandé.

§ 4. Le prestataire de services prévoit pour chaque destinataire des informations claires sur les services à valeur ajoutée demandés par le destinataire conformément à l'article 11, § 6, de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox, sur les autorisations que le destinataire a données conformément à l'article 11, § 5, de cette loi pour chacun de ces services, et sur la portée de ces autorisations.

Pour chaque nouveau service à valeur ajoutée offert par le prestataire de services, ce dernier fournit à l'autorité d'agrément des informations démontrant comment cette obligation a été respectée.

§ 5. Le prestataire de services documente les mesures visées à cet article.

Section 2.- Conditions relatives à la gestion de la prestation de services

Sous-section 1ère.- Disponibilité de la prestation de services

Art. 14.Sur base mensuelle, le service est disponible pendant au moins 99,9% du temps. Pour le calcul de la disponibilité, les indisponibilités prévues et l'indisponibilité des systèmes de l'autorité d'agrément ne sont pas considérées comme des indisponibilités.

Art. 15.Le prestataire de services constate les erreurs de système de la prestation de services et enregistre les moments auxquels des erreurs de système empêchent les envois ou les réceptions et met ces informations à la disposition de l'autorité d'agrément, des utilisateurs et des destinataires.

Sous-section 2.- Disponibilité des services de support

Art. 16.§ 1er. Pour les appels provenant des destinataires et de services publics autres que l'autorité d'agrément, le prestataire de services offre des services de support au minimum tous les jours ouvrables de 8 heures à 18 heures. Ces services de support comprennent au moins :

1. un support téléphonique ou un autre canal pour support personnalisé;

2. une page Internet proposant des questions fréquemment posées (FAQ) ainsi qu'un manuel facilement accessible.

§ 2. Pour les appels provenant de l'autorité d'agrément, le prestataire de services offre des services de support tous les jours et 24 heures sur 24.

Ces services de support comprennent au moins : un support téléphonique.

Sous-section 3.- Gestion du déploiement

Art. 17.§ 1er. Le prestataire de services développe des systèmes qui garantissent la gestion du déploiement. Sauf décision contraire de l'autorité d'agrément, cette gestion du déploiement tient compte du fait que l'autorité d'agrément prend en considération, tous les six mois, de nouvelles versions logicielles afin d'introduire un déploiement logiciel ultérieur.

§ 2. La gestion du déploiement du prestataire de services suit celle de l'autorité d'agrément

Art. 18.Le prestataire de services soumet pour information à l'autorité d'agrément chaque nouvelle version logicielle qui a un impact significatif sur les destinataires ou l'autorité d'agrément, au plus tard trois mois avant la date d'introduction du déploiement, et l'accompagne d'une analyse d'impact, afin que l'autorité d'agrément puisse minimiser l'impact éventuel des modifications.

Sous-section 4.- Continuité du service

Art. 19.Le prestataire de services développe des mécanismes qui garantissent un service ininterrompu pendant la durée de l'agrément.

Sous-section 5.- Rapports

Art. 20.Le prestataire de services met en tout temps à la disposition de l'autorité d'agrément toute information relative à la disponibilité, au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services, ainsi que toute information que l'autorité d'agrément demanderait et qui est nécessaire pour contrôler le respect de cet arrêté.

Art. 21.Le prestataire de services avertit immédiatement de sa propre initiative l'autorité d'agrément en cas du moindre soupçon de risques en matière de sécurité relatifs à la prestation de services, ainsi que de toute violation de la sécurité du service d'extraction de données entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de messages dans une eBox transmis, conservés ou traités d'une autre manière, ou l'accès non autorisé à de tels messages. Cette notification contient toutes les informations exigées à l'article 33, paragraphe 3 du Règlement général sur la protection des données 2016/679.

Art. 22.Le prestataire de services désigne une personne de contact qui, en concertation avec le délégué à la protection des données du prestataire de services, à compter de la décision d'agrément, remettra tous les six mois à l'autorité d'agrément un rapport sur les conditions relatives à la gestion des services, accompagné des pièces justificatives pertinentes.

Section 3.- Conditions économiques, juridiques et organisationnelles

Art. 23.A chaque stade de la procédure d'agrément et pendant l'agrément, le demandeur ne se trouve pas dans l'une des situations suivantes :

1. être en état de faillite, de liquidation, de cessation d'activités, de réorganisation judiciaire ou dans toute situation analogue résultant d'une procédure de même nature existant dans d'autres réglementations nationales;

2. avoir fait l'aveu de sa faillite ou fait l'objet d'une procédure de liquidation, de réorganisation judiciaire ou de toute autre procédure de même nature existant dans d'autres réglementations nationales;

3. avoir fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour toute infraction à la législation relative à la protection de la vie privée;

4. avoir fait l'objet d'une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour tout délit ou crime affectant son intégrité professionnelle;

5. en matière professionnelle, avoir commis une faute grave dûment constatée par un moyen dont l'autorité d'agrément pourra justifier de manière circonstanciée;

6. ne pas être en règle avec ses obligations relatives au paiement de ses cotisations de sécurité sociale;

7. ne pas être en règle avec ses obligations relatives au paiement de ses impôts et taxes selon la législation belge ou celle du pays dans lequel il est établi;

8. s'être rendu, en application du présent arrêté, gravement coupable de fausses déclarations en fournissant des renseignements exigibles ou en n'ayant pas fourni ces renseignements;

9. pendant les deux dernières années, avoir fait l'objet d'une mesure corrective imposée par l'Autorité de protection des données en conséquence d'une infraction présumée au Règlement général sur la protection des données 2016/679 sans qu'elle n'ait été corrigée conformément au délai imposé.

Art. 24.Le demandeur dispose de moyens financiers en suffisance pour fonctionner de manière conforme au présent arrêté et démontre notamment sa capacité à assumer le risque de responsabilité des dommages causés par la prestation de services, par exemple par la souscription à une assurance adéquate.

Art. 25.Le demandeur doit disposer d'un plan de cessation efficace. Ce plan comporte des mesures concernant l'organisation en cas d'arrêt de la prestation de services ou de la reprise de la prestation de services par un autre prestataire de services, la façon dont les destinataires sont informés, ainsi que la façon dont les données à caractère personnel sont détruites ou transférées à l'autorité d'agrément ou à un autre prestataire de services.

Chapitre 3.- La procédure d'agrément

Section 1ère.- Introduction de la demande d'agrément

Art. 26.§ 1er. Le demandeur introduit une demande d'agrément pour un service d'extraction de données d'après le modèle de formulaire repris en annexe au présent arrêté. Il joint à sa demande un dossier de référence inventorié.

§ 2. La demande d'agrément est au minimum introduite sur support électronique, éventuellement confirmée sur support physique fourni à l'autorité d'agrément.

§ 3. L'autorité d'agrément remet immédiatement au demandeur une notification de réception de la demande d'agrément et du dossier de référence.

Art. 27.Le dossier de référence comprend au moins les éléments suivants :

1. une description technique détaillée et un rapport d'audit externe attestant la conformité du service d'extraction de données aux conditions décrites au chapitre II, section 1re, et aux spécifications techniques;

2. des documents garantissant dans une mesure suffisante que le service d'extraction de données est capable de satisfaire aux exigences de disponibilité telles que décrites au chapitre II, section 2, sous-section 1re;

3. des documents garantissant dans une mesure suffisante que les services de support du service d'extraction de données répondent aux conditions décrites au chapitre II, section 2, sous-section 2;

4. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3;

5. un rapport d'audit externe attestant que le prestataire de services a pris des mesures raisonnables pour garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants :

1°une description de la gestion des changements;

2°une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;

3°une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant à la protection des données à caractère personnel, à la confidentialité, à l'intégrité et à la disponibilité du service;

4°une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;

6. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à la disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;

7. des documents attestant que le prestataire de services satisfait aux conditions décrites au chapitre II, section 3.

Section 2.- Traitement de la demande d'agrément par l'autorité d'agrément

Art. 28.§ 1er. Au plus tard trois mois après réception de la demande d'agrément et du dossier de référence, l'autorité d'agrément agréera le demandeur, pour autant que la demande d'agrément et le dossier de référence comprennent toutes les pièces définies à l'article 28 et qu'il en ressorte que les conditions énumérées au chapitre II du présent arrêté sont respectées. Ce délai peut être prolongé de trois mois. Dans ce cas, l'autorité d'agrément en informera immédiatement le demandeur.

§ 2. Si la demande d'agrément soumise ou le dossier de référence sont incomplets, l'autorité d'agrément avertit le demandeur, par envoi recommandé, du refus de l'agrément, et ce, au plus tard un mois après la réception de la demande d'agrément et du dossier de référence.

§ 3. Le demandeur peut introduire une nouvelle demande si les raisons du refus ne s'appliquent plus.

Art. 29.Durant la procédure d'agrément, les demandeurs peuvent être entendus, et ce, à leur demande ou à la demande de l'autorité d'agrément.

Chapitre 4.- Conséquences de l'agrément

Section 1ère.- Conséquences opérationnelles

Art. 30.Pendant la durée de l'agrément, le prestataire de services procédera à l'extraction et à la visualisation de messages électroniques dans l'eBox pour le destinataire qui en fait le choix conformément à l'article 6 § 1er.

Art. 31.§ 1er. Le service d'extraction de données est repris comme l'une des options d'accès à l'eBox sur le site web de l'autorité d'agrément, en ce compris le nom du prestataire de services.

§ 2. Le service d'extraction de données peut aussi être mentionné comme l'une des options d'accès à l'eBox sur le site web ou sur toute autre communication destinée au public de toute instance publique qui procède à l'extraction des messages électroniques par le biais de l'eBox, en ce compris le nom du prestataire de services.

§ 3. Les services agréés d'extraction électronique de données peuvent utiliser le service d'authentification tel que visé à l'article 9 de la loi du 18 juillet 2017 relative à l'identification électronique en vue de l'authentification du destinataire avant qu'une transaction ne soit effectuée par la biais de la prestation de services.

Art. 32.Le prestataire de services conclut un contrat de collaboration avec l'autorité d'agrément.

Art. 33.Le prestataire de services participe de bonne foi aux mécanismes de concertation et moments de concertation mis en place par l'autorité d'agrément à l'égard de tous les prestataires de services agréés. A cette fin, le prestataire de services fournit à l'autorité d'agrément toutes les informations qui sont nécessaires à cette dernière pour évaluer le fonctionnement et la qualité des services d'extraction électronique de données. L'autorité d'agrément veille à la confidentialité éventuelle de ces données à l'égard d'autres prestataires de services.

Art. 34.Le prestataire de services et l'autorité d'agrément conviennent d'un plan commun pour le lancement et la communication de la prestation de services.

Art. 35.La prestation de services se fait conformément aux dispositions du présent arrêté, aux spécifications techniques ainsi qu'aux éléments et conditions repris dans le contrat de collaboration.

Art. 36.Le prestataire de services confirme qu'il satisfait toujours aux conditions d'agrément :

1. dans un délai de 15 jours suivant la demande de l'autorité d'agrément;

2. dans un délai de 15 jours suivant chaque date anniversaire de la décision d'agrément;

3. avant une modification du contrôle du prestataire de services qui peut avoir un impact sur le service;

4. avant une modification du service;

5. dans un délai de 15 jours suivant la prise de connaissance d'une modification des conditions d'agrément;

6. dans un délai de 15 jours suivant la prise de connaissance d'une modification de la législation relative à la protection des données à caractère personnel.

Art. 37.§ 1er. Toute modification des données survenant au moment de la demande d'agrément et pouvant avoir un impact sur la prestation de services doit être notifiée à l'autorité d'agrément dans un délai d'un mois. Dans cette notification, le prestataire de services spécifie et motive la modification apportée.

§ 2. Si, de la notification conforme au 1er, il s'avère que la modification a un impact significatif sur la prestation de services et la modification concerne des éléments de la prestation de services qui nécessitaient un rapport d'audit externe conformément à l'article 27, l'autorité d'agrément peut demander un nouveau rapport d'audit externe.

§ 3. A l'occasion de chaque modification mentionnée au paragraphe 1er, l'autorité d'agrément peut décider de suspendre ou de retirer d'office l'agrément conformément à l'article 41.

Section 2.- Conséquences financières

Art. 38.Les prestataires de services ne reçoivent pas d'indemnités pour offrir leur service d'extraction de données.

Section 3.- Durée de l'agrément

Art. 39.L'agrément a une durée de validité de trois ans. Sa prolongation est soumise à l'introduction d'une simple demande de prolongation d'un an, au maximum trois fois, à introduire au moins trois mois avant la fin de la période d'agrément à prolonger. Après trois prolongations, le prestataire de services doit soumettre une nouvelle demande d'agrément conformément aux articles 26 et 27 pour continuer la prestation de service.

Art. 40.Lorsque le prestataire de services souhaite mettre fin à la prestation de services avant la fin de la période de trois ans, il envoie à l'autorité d'agrément un courrier motivé au plus tard trois mois avant la fin de la prestation de services.

Chapitre 5.- Suspension et retrait de l'agrément

Art. 41.§ 1er. L'autorité d'agrément peut suspendre ou retirer l'agrément de la prestation de services conformément à l'article 11 § 8 et 9 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox si la prestation de services ne correspond pas aux conditions d'agrément, aux spécifications techniques ou au contrat de collaboration repris dans cet arrêté.

§ 2. Dans tous les cas de suspension ou de retrait d'un agrément, le prestataire de services sera entendu par l'autorité d'agrément.

§ 3. La décision de suspension ou de retrait est immédiatement notifiée par envoi recommandé au prestataire de services. Le prestataire de services mettra immédiatement fin à la prestation de services et supprimera toute référence à la prestation de services.

§ 4. Après la décision de suspension ou de retrait, l'autorité d'agrément supprime le service d'extraction de données des options d'accès pour l'eBox.

§ 5. L'autorité d'agrément peut anticipativement lever la suspension à partir d'une date qu'elle aura déterminée, lorsqu'elle juge que les motifs de la suspension ne sont plus d'actualité. Cette levée de suspension est notifiée par envoi recommandé au prestataire de services concerné.

Lorsque les motifs de la suspension existent toujours à l'expiration de la période de suspension, l'agrément sera retiré.

Chapitre 6.- Dispositions finales

Art. 42.Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.

Art. 43.Le ministre chargé de l'Agenda numérique est chargé de l'exécution du présent arrêté.

Annexe.

Art. N1.Modèle de formulaire pour la demande d'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox

Manuel d'utilisation

Ce document contient le relevé des données qui doivent être remplies et transmises à l'autorité d'agrément, en vue de l'obtention de l'agrément d'un prestataire de services pour l'échange électronique de messages par le biais de l'eBox.

L'ensemble des points décrits et des informations demandées doivent être les plus complets possible.

Le modèle du formulaire d'enregistrement peut être téléchargé sur le site web www.bosa.belgium.be.

Le formulaire d'enregistrement dûment complété ainsi que toutes les annexes nécessaires doivent être envoyés :

par e-mail : servicedesk.dto@bosa.fgov.be

Optionnellement

par la poste, à l'adresse suivante :

Service public fédéral Stratégie et Appui, Direction générale Transformation digitale

Boulevard S. Bolivar 30

1000 Bruxelles

I. IDENTIFICATION DU DEMANDEUR

L'identification du demandeur de l'agrément.

Nom complet de l'entreprise : . . . . .

Numéro d'entreprise : . . . . .

Personne de contact : . . . . .

Numéro de téléphone de la personne de contact : . . . . .

E-mail : . . . . .

II. DESCRIPTION SUCCINCTE DU SERVICE D'ECHANGE ELECTRONIQUE DE MESSAGES POUR LEQUEL UN AGREMENT EST DEMANDE

Cette partie décrira en détail le service pour lequel l'agrément est demandé. La description portera également sur les caractéristiques essentielles de ce service.

III. CRITERES ARTICLE 23

Dans la mesure où les documents ne peuvent être demandés par l'autorité d'agrément elle-même, ils sont joints par le demandeur à la demande d'agrément.

IV. DOSSIER DE REFERENCE

Le dossier de référence comprend au minimum les éléments suivants :

1. une description technique détaillée et un rapport d'audit externe attestant la conformité du service d'extraction de données aux conditions décrites au chapitre II, section 1re, et aux spécifications techniques;

2. des documents attestant que le service d'extraction de données est capable de satisfaire aux exigences de disponibilité telles que décrites au chapitre II, section 2, sous-section 1re;

3. des documents attestant que les services de support du service d'extraction de données répondent aux conditions décrites au chapitre II, section 2, sous-section 2;

4. une description détaillée de la gestion du déploiement telle que décrite au chapitre II, section 2, sous-section 3;

5. un rapport d'audit externe attestant que le prestataire de services peut garantir la continuité du service, conformément aux dispositions décrites au chapitre II, section 2, sous-section 4, et dans lequel seront repris les éléments suivants :

1°une description de la gestion des changements;

2°une description des contrôles internes portant sur la prestation de services, ainsi que leur fréquence;

3°une évaluation de l'effectivité de ces contrôles internes donnant des garanties quant à la protection des données à caractère personnel, à la confidentialité, à l'intégrité et à la disponibilité du service;

4°une description des rapports établis pour l'autorité d'agrément relatifs à toute modification ayant un impact sur la prestation de services;

6. une description détaillée des processus et systèmes de rapports qui permettent, à tout moment, de mettre à la disposition de l'autorité d'agrément toute information relative au traitement des plaintes, aux enquêtes de sécurité ainsi qu'aux problèmes et incidents liés à la prestation de services;

7. des documents attestant que le prestataire de services satisfait aux conditions décrites au chapitre II, section 3.

Fait à, . . . . . le . . . . .

Nom : . . . . .

Qualité : . . . . .

Signature :