18 JUILLET 2021. - Arrêté royal relatif aux mesures de sécurité et aux normes techniques minimales des systèmes informatiques policiers qui produisent le cachet électronique avancé et aux mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée

Chapitre 1er.- DEFINITIONS

Article 1er. Pour l'exécution du présent arrêté, on entend par :

1°" Règlement eIDAS " : le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;

2°" signature électronique qualifiée " : la signature visée à l'article 3.12 du Règlement eIDAS ;

3°" cachet électronique avancé " : le cachet visé à l'article 3.26 du Règlement eIDAS ;

4°" service de signature de la police " (Police Signing Service) : le service informatique de la police qui produit le cachet électronique avancé, ainsi que les mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée ;

5°" coordonnées de la personne morale ": pour la police locale et la police fédérale, leur numéro d'entreprise respectif auprès de la Banque Carrefour des Entreprises ;

6°" authentification forte " : une authentification des membres du personnel des services de police dont l'identité est préalablement vérifiée dans le registre national des personnes physiques et dont les fonctions sont précisées et tenues à jour dans un registre interne aux services de police, et reposant sur l'utilisation de deux éléments : un élément "connaissance" (quelque chose que seul le membre du personnel connaît) et un élément "possession" (quelque chose que seul le membre du personnel possède) ;

7°" procès-verbal " : le corps du procès-verbal et, le cas échéant, ses annexes ;

8°" données relatives à l'identification du créateur du cachet avancé " : Geïntegreerde Politie - Police Intégrée - Integrierte Polizei, BE, OrganizationIdentifier : PSDBE-NTRBE-0869909460, Mail : dri.services@police.belgium.eu, Téléphone : +32 2 554 40 00 ;

9°clé privée et clé publique : les clés utilisées dans la cryptographie asymétrique qui servent à chiffrer et déchiffrer les données.

Chapitre 2.- MESURES DE SECURITE ET NORMES TECHNIQUES MINIMALES DES SYSTEMES POLICIERS QUI PRODUISENT LE CACHET ELECTRONIQUE AVANCE

Art. 2.Le service de signature de la police est intégré dans un environnement informatique comprenant :

a)un antimalware et un antivirus à jour ;

b)un système de détection et de blocage des intrusions ou des accès non autorisés ;

c)une procédure de mise à jour des logiciels ;

d)une gestion des incidents, y compris leur communication ;

e)des procédures de back-up et de continuité des activités.

Art. 3.Afin d'assurer l'intégrité des données, le service de signature de la police utilise une fonction de condensation des procès-verbaux.

La fonction de condensation permet d'assurer que le procès-verbal est associé à un seul condensé.

L'algorithme de condensation sécurisé doit être au moins un " Secure Hash Algorithm 256 ".

L'algorithme est calculé sur la base du contenu du procès-verbal signé électroniquement ayant fait l'objet de la condensation de sorte que sur la base d'une condensation déterminée, il n'y ait qu'un seul code de condensation qui corresponde à un contenu déterminé.

Si le contenu d'un procès-verbal signé électroniquement par cachet avancé est modifié, le code de condensation est différent.

Le code de condensation original permet également de déterminer si le procès-verbal signé électroniquement a été modifié.

Art. 4.Le service de signature de la police utilise un mécanisme de chiffrement du condensé du procès-verbal basé sur l'emploi d'une clé privée et d'un certificat électronique.

La vérification de l'identité du créateur du cachet est réalisée en ouvrant un procès-verbal signé par cachet avancé à l'aide du programme qui visualise le procès-verbal et qui utilise la clé publique associée à la clé privée pour déchiffrer les informations de signature électronique.

La validité du procès-verbal et de la signature peut être vérifiée au moyen d'un certificat de clé publique mis à disposition en ligne par la police intégrée, de sorte que ce certificat puisse être importé sur un appareil afin qu'il soit identifié comme un certificat de confiance lorsqu'il est utilisé pour une vérification ultérieure de l'identité.

Ce certificat de clé publique comprend notamment les données relatives à l'identification du créateur du cachet avancé (" DRI integrated police "), la clé publique ainsi que la durée de validité.

Art. 5.Le stockage et la gestion des certificats de signature électronique valides, expirés ou périmés sont réalisés par la direction de l'information policière et des moyens ICT de la police fédérale, après avis du délégué à la protection des données désigné auprès du Commissariat général.

Les clés privées sont sécurisées de manière adéquate dans l'infrastructure informatique et les bâtiments de la police intégrée, tant durant leur stockage que pendant leur utilisation.

Art. 6.Le service de signature de la police utilise un mécanisme d'horodatage. Ce mécanisme est associé à chaque signature par cachet.

Art. 7.Le service de signature électronique de la police n'est accessible à des fins de signature que pour les membres des services de police s'étant préalablement :

a)identifiés avec un identifiant unique en fonction d'un profil d'accès spécifique et

b)authentifiés à l'aide d'un moyen d'authentification forte.

Art. 8.Les traitements réalisés à l'aide de ce service font l'objet d'une journalisation au sens de l'article 56 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel qui est conservée 5 ans après la destruction du procès-verbal. Cette journalisation permet notamment de réaliser un traçage de toute création, modification ou destruction du procès-verbal, signé par cachet avancé.

Art. 9.Lors de l'utilisation du service de signature de la police dans le cadre de l'article 40, § 3 de la loi sur la fonction de police, le cachet électronique avancé est apposé par le membre du personnel qui utilise le cachet avancé uniquement lors d'un processus humain volontaire et ne peut pas être apposé inopinément.

Cette apposition est reprise dans la journalisation de sorte que le moment d'apposition, la personne qui a demandé cette apposition et les procès-verbaux signés puissent être contrôlés.

Lors de l'utilisation du service de signature de la police dans le cadre de l'article 40, § 6 de la loi sur la fonction de police, le cachet électronique avancé est apposé lors d'un processus automatique maîtrisé et le cachet ne peut pas être apposé inopinément.

Art. 10.Les mesures de sécurité et les normes techniques permettant d'assurer un niveau de confidentialité, de disponibilité, d'intégrité, de fiabilité, d'authenticité et d'irréfutabilité du service de signature électronique de la police sont auditées au minimum tous les 5 ans.

Le rapport d'audit détaille les 15 paramètres repris dans l'annexe 1.

Le Commissariat général de la police fédérale réalise ces audits.

Le premier audit a lieu au plus tard 12 mois après la parution de cet arrêté royal. Le rapport d'audit est transmis à l'Organe de contrôle de l'information policière.

Art. 11.En cas de traitement par un sous-traitant, les mesures de sécurité et normes techniques reprises au chapitre II du présent arrêté sont contractuellement applicables au sous-traitant. Les traitements qui sont réalisés par un sous-traitant font également l'objet de l'audit prévu à l'article 10.

Chapitre 3.- Mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée

Art. 12.§ 1er. Quand un procès-verbal est signé avec le cachet électronique avancé ou la signature électronique qualifiée, les mentions suivantes sont visualisées dans un environnement matérialisé :

a)" signé électroniquement ", dans la langue de rédaction du procès-verbal ;

b)les données d'identification du ou des signataire(s) en cas de signature électronique qualifiée et les coordonnées de la personne morale qui signe en cas de signature par cachet électronique avancé.

§ 2. Quand un procès-verbal est signé avec le cachet électronique avancé ou la signature électronique qualifiée, au minimum, les mentions suivantes sont visualisées dans un environnement dématérialisé :

1°les données d'identification du ou des signataire(s) en cas de signature électronique qualifiée et les coordonnées de la personne morale qui signe en cas de signature par cachet électronique avancé ;

2°les mentions relatives à la validité du certificat de cachet électronique avancé ou de signature électronique qualifiée ;

3°la date de la signature électronique du procès-verbal.

§ 3. Les mentions visées aux §§ 1er et 2 sont créées au moment de l'utilisation du cachet électronique avancé ou de la signature électronique qualifiée.

Art. 13.Le Ministre qui a l'Intérieur dans ses attributions et le Ministre qui a la Justice dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.

Annexe.

Art. N1.L'audit des mesures de sécurité et des normes techniques permettant d'assurer un niveau de confidentialité, de disponibilité, d'intégrité, de fiabilité, d'authenticité, d'irréfutabilité du service de signature électronique de la police (Police Signing Service) porte sur les 15 paramètres suivants :

1)La politique de sécurité de l'information et les plans de sécurité concernant le Police Signing Service, c'est-à-dire :

a)la stratégie des services de police ;

b)les réglementations, la législation et les contrats ;

c)l'environnement réel et anticipé des menaces liées à la sécurité de l'information.

2)L'organisation de la sécurité relative au Police Signing Service, c'est-à-dire :

a)l'identification des rôles et responsabilités des différents acteurs concernés par la sécurité de l'information ;

b)les données relatives au délégué à la protection des données compétent pour la mise en oeuvre et le suivi des mesures de sécurité ;

c)l'identification des membres du personnel et les tiers opérant sous la responsabilité de la police ;

d)le contrôle d'accès / la gestion des autorisations ;

e)le retrait des droits ;

f)la confidentialité des données ;

g)l'accès physique aux bâtiments et aux infrastructures ;

h)les systèmes d'accès et la confidentialité des données d'accès ;

i)les mesures permettant de déterminer l'utilisation correcte des outils de travail mis à disposition (tels que les appareils mobiles) ;

j)les mesures qui sont prises pour contrôler les activités (accès, destruction de stockage, accès à distance, journalisation) ;

k)la gestion des certificats et des clés.

3)La sécurité concernant les ressources humaines, c'est-à-dire que :

a)seuls des membres du personnel et, le cas échéant, des sous-traitants qui possèdent l'expertise, la fiabilité, l'expérience et les qualifications nécessaires et qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité seront employés pour mettre en oeuvre le Police Signing Service.

b)les modalités visant à l'adhésion de tous les collaborateurs internes et externes aux instructions internes de l'organisation doivent être documentées et connues ;

c)les responsabilités et les obligations relatives à la sécurité de l'information et à la protection des données demeurent après la résiliation ou le changement d'emploi et que ces conditions doivent être clairement communiquées et intégrées dans le processus de gestion des collaborateurs (internes ou externes) ;

d)un contrat de confidentialité est conclu avec toute personne, non soumise au statut des membres de la police intégrée, ayant accès aux systèmes d'information des services de police.

4)La sensibilisation et la formation des membres du personnel et des collaborateurs externes.

Un programme de sensibilisation/formation est mis en place afin :

a)de conscientiser les membres du personnel et les collaborateurs externes à la sécurité de l'information et à la protection de la vie privée (en mettant l'accent sur le Police Signing Service) ;

b)d'expliquer clairement les responsabilités respectives de l'autorité hiérarchique, d'un service spécifique, du collaborateur et des personnes chargées du contrôle de l'application des mesures de sécurité en lien avec le Police Signing Service.

5)La gestion des actifs relatifs au Police Signing Service.

L'inventaire des actifs nécessaires au Police Signing Service, quels que soient leurs types (informations, données, applications, réseaux, processus, systèmes) est réalisé.

Chaque actif sera détaillé et tous les éléments seront repris et tenus à jour afin de bénéficier d'une cartographie correcte de l'architecture des systèmes et de l'information de l'organisation.

Un responsable fonctionnel est identifié pour chaque élément de cet inventaire et sa tâche est précisée dans le plan de sécurité concerné.

6)Le contrôle d'accès relatif au Police Signing Service.

Pour l'accès au Police Signing Service, les services de police définissent les règles d'accès dans des procédures spécifiques.

Un processus qui garantit l'identification et l'authentification forte du membre du personnel lorsque celui-ci souhaite exercer ses tâches est mis en place.

7)La protection des données à caractère personnel.

Les données à caractère personnel contenues dans les procès-verbaux, en ce compris la signature électronique, doivent être protégées de manière appropriée pendant leur utilisation, leur stockage, et leur transmission. Le niveau de protection tient compte de l'analyse de risque avec, selon les besoins, des mesures de pseudonymisation ou de chiffrement des données ou de l'information, ou toute autre mesure permettant de garantir le niveau de protection approprié.

8)La sécurité physique.

Les services de police sécurisent les infrastructures dans lesquelles le Police Signing Service est mis en oeuvre. Ils prennent les mesures de protection et de sécurisation afin de gérer l'accès des personnes autorisées aux bâtiments et aux locaux.

Les mesures sont adaptées en fonction de la présence physique de personnes dans les locaux.

Les services de police protègent leurs données et leurs supports de données. Ils prennent des mesures préventives contre la perte, la divulgation non autorisée, la détérioration, le vol, l'accès non autorisé des actifs de l'organisation et contre une éventuelle interruption des activités de l'organisation.

9)La sécurité opérationnelle.

Les services de police mettent en oeuvre des mesures spécifiques pour chaque actif essentiel du Police Signing Service : tout acte suspect ou tout incident est rapporté et investigué. Une trace du suivi de ces incidents est également conservée. Les systèmes et les produits mis en oeuvre pour le Police Signing Service sont fiables et protégés contre les modifications. La sécurité technique et la fiabilité des processus sont prises en charge.

10) La sécurité de la communication des informations.

Les services de police prennent des mesures spécifiques pour sécuriser la communication de l'information, afin d'éviter les accès non autorisés aux données et informations.

11) L'acquisition, le développement et la maintenance des systèmes d'information.

Lors de l'achat, du développement et de la maintenance du Police Signing Service, les services de police conçoivent et utilisent des processus et des procédures pour protéger les informations et ce, aussi bien pendant la phase de son développement que lors de son utilisation opérationnelle.

Le Police Signing Service et les processus de traitement de données sont développés et conçus pour protéger par défaut les données et informations.

12) Les relations avec les tiers (fournisseurs, autorités).

Les services de police définissent les relations avec les fournisseurs et les autorités pour mettre en oeuvre le Police Signing Service.

Ces relations sont formalisées dans un document qui indique clairement, le cas échéant :

a)qui est (sont) le(s) responsable(s) du traitement ;

b)quelle partie est le sous-traitant ;

c)comment les responsabilités sont réparties ;

d)comment la protection des données est organisée, y compris :

o la sécurité et le comportement requis ;

o la gestion des incidents ;

o le signalement des violations ;

o le contact avec les autorités.

13) La gestion des incidents liés à la sécurité de l'information.

Les membres du personnel ainsi que les collaborateurs externes et d'autres personnes impliquées dans le Police Signing Service disposent d'une procédure permettant de signaler les activités suspectes.

Il s'agit d'une procédure permettant de rapporter, d'enregistrer et de gérer des violations potentielles ou présumées de données à caractère personnel ou de la sécurité du Police Signing Service afin que les vulnérabilités puissent être traitées rapidement et de manière structurée.

Cette procédure reprendra : les rôles et les responsabilités de tous les acteurs impliqués.

Un registre interne des incidents contenant tous les incidents de sécurité signalés sera tenu à jour.

14) Les aspects de la gestion de la continuité des activités liés à la sécurité de l'information.

Le Police Signing Service fait l'objet d'un plan de protection garantissant la disponibilité des données et de l'information.

Les mesures permettent de prévoir la protection nécessaire de l'information et des données qui sont traitées dans le système contre la perte, la modification ou la destruction non autorisée, soit par accident soit par acte malveillant.

Les services de police veillent à ce que la disponibilité et l'accès à des informations ou à des données soient rétablis en temps utile après un incident physique ou technique.

Les services de police prévoient une solution afin d'assurer la continuité du Police Signing Service. Dans cette solution, les codes de développement des applications seront au maximum conservés.

15) L'évaluation des points 1 à 14 est réalisée au moins en fonction :

a)des changements dans les menaces et des leçons tirées suite à la gestion d'incidents ;

b)des résultats d'analyses de risques, d'enquêtes de contrôle ou d'audits ;

c)de changements de l'organisation ou du contexte juridique, réglementaire ou technologique.