Texte 2022204364

20 JUILLET 2022. - Loi relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité

ELI
Justel
Source
Chancellerie du Premier Ministre
Publication
5-8-2022
Numéro
2022204364
Page
60924
PDF
version originale
Dossier numéro
2022-07-20/11
Entrée en vigueur / Effet
05-08-2022
Texte modifié
199800315820020033922003014009
belgiquelex

Chapitre 1er.- Définitions et dispositions générales

Section 1ère.- Objet et champ d'application

Sous-section 1ère.- Objet

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Art. 2.La présente loi met en oeuvre partiellement le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013, ci-après : le " Règlement sur la cybersécurité ".

Sous-section 2.- Champ d'application

Art. 3.§ 1er. La présente loi s'applique à la certification européenne volontaire de cybersécurité des produits TIC, services TIC et processus TIC visée par le Règlement sur la cybersécurité.

§ 2. Les chapitres 1er à 4, 7 et 8, ainsi que les articles 21 et 22, s'appliquent également à une certification européenne de cybersécurité rendue obligatoire.

Lors de la mise en oeuvre des articles 21 et 22 dans le cadre de la certification visée à l'alinéa 1er, les articles 19 et 26 sont applicables.

Le Roi peut, par arrêté délibéré en Conseil des ministres, rendre applicables, en tout ou en partie, les chapitres 5 et 6 dans le cadre de la certification visée à l'alinéa 1er.

§ 3. La présente loi est sans préjudice des compétences de rendre obligatoire une certification de cybersécurité et d'en assurer le contrôle dont disposent les autorités publiques, notamment les autorités de surveillance de marché ou les autorités sectorielles visées à l'article 6, 2°, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, de l'article 3, 3°, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques et de l'article 2, alinéa 1er, 1°, de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien.

Dans le respect du paragraphe 2, les autorités visées à l'alinéa 1er et les services d'inspection compétents assurent le contrôle et les sanctions des certifications européennes de cybersécurité rendues obligatoires.

§ 4. L'article 5, § § 2 à 4, n'est applicable ni à la Banque nationale de Belgique visée à la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique ni à la FSMA visée à la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers ni au SPF Economie visé au Code de droit économique.

§ 5. La présente loi ne porte pas préjudice à l'application de l'arrêté royal du 31 janvier 2006 portant création du système BELAC d'accréditation des organismes d'évaluation de la conformité.

Section 2.- Définitions

Art. 4.Pour l'application de la présente loi, on entend par:

" autorité nationale de certification de cybersécurité " : l'autorité visée à l'article 58 du Règlement sur la cybersécurité et désignée par le Roi conformément à l'article 5, § 1er;

" GECC " : le Groupe européen de certification de cybersécurité visé à l'article 62 du Règlement sur la cybersécurité;

" autorité nationale d'accréditation " : l'organisme national d'accréditation unique créé par le Roi en exécution de l'article VIII.30 du Code de droit économique et visé à l'article 2, 16), du Règlement sur la cybersécurité;

" autorité publique " : l'autorité publique au sens de l'article 5 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel;

" service d'inspection " : le service d'inspection visé à l'article 13, § 1er.

Chapitre 2.- Autorités compétentes et coopération au niveau national

Section 1ère.- Autorités compétentes

Art. 5.§ 1er. Le Roi désigne l'autorité qui est chargée, en tant qu'autorité nationale de certification de cybersécurité, des tâches et missions visées par le Règlement sur la cybersécurité et par la présente loi.

§ 2. En fonction de l'objet du schéma de certification concerné et à la demande de l'autorité publique concernée, le Roi peut, par dérogation, confier, par arrêté délibéré en Conseil des ministres, en tout ou en partie, les missions visées aux chapitres 5 et 6 de l'autorité visée au paragraphe 1er à une autre autorité publique, à l'exception des missions visées aux articles 21 et 22.

Le Roi veille à tenir compte de l'expertise de l'autorité publique concernée lors de l'attribution éventuelle de tâches de contrôle.

§ 3. Dans l'hypothèse visée au paragraphe 2, le Roi sollicite l'avis et se concerte au préalable avec l'autorité visée au paragraphe 1er et l'autorité publique concernée.

§ 4. Dans l'exercice de ces missions confiées par le Roi et sans préjudice de ses compétences légales en matière de contrôle et de sanctions, l'autorité publique concernée dispose des mêmes droits et obligations que ceux visés aux chapitres 5 et 6.

Section 2.- Coopération au niveau national

Art. 6.§ 1er. L'autorité visée à l'article 5, § 1er, et l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 accomplissent leurs tâches en concertation avec les autorités publiques, notamment avec l'autorité nationale d'accréditation. En fonction de l'objet précis du schéma de certification, l'autorité visée à l'article 5, § 1er, et l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 peuvent également consulter les acteurs privés concernés par la certification en matière de cybersécurité.

§ 2. Conformément à l'article 58, paragraphe 7, h), du Règlement sur la cybersécurité, l'autorité visée à l'article 5, § 1er, et l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, d'une part, les autorités sectorielles et les services d'inspection, visés respectivement aux articles 3, 3°, et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ou à l'article 7, § § 3 et 5, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, l'Institut belge des services postaux et des télécommunications et l'autorité nationale d'accréditation, d'autre part, s'échangent les informations nécessaires à l'application du Règlement sur la cybersécurité, de la présente loi ou des articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques, notamment en matière de délivrance de certificats, de contrôle, de sanctions et de réclamations. Lorsqu'un échange d'informations porte sur des données à caractère personnel, cet échange est effectué conformément aux dispositions du chapitre 8. Les modalités d'échange d'informations préservent la confidentialité des informations concernées.

§ 3. L'autorité visée à l'article 5, § 1er, et l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 communiquent aux destinataires, à savoir une autorité sectorielle, un service d'inspection, l'inspection aéroportuaire, l'inspection aéronautique ou la Belgian Supervising Authority for Air Navigation Services visés respectivement aux articles 3, 3°, et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, à l'article 7, § § 3 et 5, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ou aux articles 2, alinéa 1er, 1° et 9°, et 15, §§ 1er à 3, de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien, toute information obtenue dans le cadre de l'exécution du Règlement sur la cybersécurité, de la présente loi ou d'un schéma européen de certification de cybersécurité lorsque cette information porte sur un manquement à l'article 13 de la loi précitée du 1er juillet 2011, aux articles 20, 21, § 1er, et 33, de la loi précitée du 7 avril 2019, à l'article 11 de l'arrêté royal précité du 2 décembre 2011 ou aux sections 1.7 et 11.2.8 du règlement d'exécution (UE) 2015/1998 de la Commission du 5 novembre 2015 fixant des mesures détaillées pour la mise en oeuvre des normes de base communes dans le domaine de la sûreté de l'aviation civile, et que l'entité concernée par l'information se trouve sous la surveillance desdits destinataires.

§ 4. Dans le cadre de la coopération prévue aux paragraphes 2 et 3, les autorités publiques dépositaires, par état, des secrets ou informations confidentielles qu'on leur confie sont autorisées à faire connaître ces secrets ou ces informations confidentielles à l'autorité visée à l'article 5, § 1er, ou à l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 lorsque cela est nécessaire à l'application du Règlement sur la cybersécurité ou de la présente loi.

Seules les informations nécessaires en matière de contrôle, de sanctions et de réclamations peuvent être communiquées. Lorsque ces informations portent sur des données à caractère personnel, le chapitre 8 est d'application. Les modalités d'échange d'informations préservent la confidentialité des informations concernées.

Art. 7.Dans le cadre des missions et pouvoirs qui leur sont attribués par la loi, les autorités publiques peuvent assister l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, dans ses missions de contrôle visées par la présente loi.

Chapitre 3.- Autorité nationale de certification de cybersécurité

Section 1ère.- Représentation au Groupe européen de certification de cybersécurité

Art. 8.§ 1er. L'autorité visée à l'article 5, § 1er, représente la Belgique au sein du GECC.

§ 2. Dans le cadre de sa mission de représentation de la Belgique au sein du GECC, l'autorité visée à l'article 5, § 1er, se concerte avec les autres autorités publiques désignées par le Roi, en particulier en ce qui concerne la préparation et l'adoption d'un avis sur un schéma de certification candidat au sens de l'article 49 du Règlement sur la cybersécurité.

§ 3. D'autres autorités publiques peuvent assister avec l'autorité visée à l'article 5, § 1er, aux travaux et réunions du GECC.

Section 2.- Indépendance

Art. 9.§ 1er. L'autorité visée à l'article 5, § 1er, prend les mesures nécessaires afin d'assurer l'indépendance des membres de son personnel, de prévenir, d'identifier et de résoudre efficacement les conflits d'intérêts lors de l'exécution de ses tâches de contrôle ou de certification en matière de cybersécurité, afin d'éviter des distorsions de concurrence et de garantir l'égalité de traitement de tous.

La notion de conflit d'intérêts vise au moins les situations dans lesquelles un membre du personnel de l'autorité visée à l'article 5, § 1er, chargé de la certification ou du contrôle a, directement ou indirectement, un intérêt financier, économique ou un autre intérêt personnel qui pourrait être perçu comme compromettant son impartialité et son indépendance dans le cadre de sa mission ou de ses fonctions.

§ 2. Les membres du personnel de l'autorité visée à l'article 5, § 1er, ne reçoivent ni ne cherchent dans les limites de leurs attributions, de façon directe ou indirecte, d'instructions de personne.

Il leur est interdit d'être présents lors d'une délibération ou décision sur les dossiers pour lesquels ils ont un intérêt personnel ou direct ou pour lesquels leurs parents ou alliés jusqu'au troisième degré ont un intérêt personnel ou direct.

Le Roi peut également désigner d'autres situations comme étant des conflits d'intérêts.

Chapitre 4.- Délivrance des certificats européens

Section 1ère.- Certificats de cybersécurité européens attestant d'un niveau d'assurance " élémentaire " ou " substantiel "

Art. 10.§ 1er. Conformément à l'article 56, paragraphe 4, du Règlement sur la cybersécurité, les organismes d'évaluation de la conformité accrédités par l'autorité nationale d'accréditation délivrent les certificats de cybersécurité européens attestant d'un niveau d'assurance dit " élémentaire " ou " substantiel ".

§ 2. Conformément à l'article 56, paragraphe 5, a), du Règlement sur la cybersécurité, lorsque le schéma européen de certification de cybersécurité l'impose, la délivrance des certificats visés au paragraphe 1er est réservée à l'autorité visée à l'article 5, § 1er.

§ 3. Conformément à l'article 56, paragraphe 5, b), du Règlement sur la cybersécurité, en fonction des exigences techniques du schéma de certification et moyennant une délégation préalable, l'autorité visée à l'article 5, § 1er, peut déléguer en tout ou en partie la délivrance d'un certificat visé au paragraphe 2 à un organisme public accrédité par l'autorité nationale d'accréditation en tant qu'organisme d'évaluation de la conformité.

Section 2.- Certificats de cybersécurité européens attestant d'un niveau d'assurance " élevé "

Art. 11.§ 1er. Conformément à l'article 56, paragraphe 6, du Règlement sur la cybersécurité, l'autorité visée à l'article 5, § 1er, délivre les certificats de cybersécurité européens attestant d'un niveau d'assurance dit " élevé ".

§ 2. Conformément à l'article 56, paragraphe 6, b), du Règlement sur la cybersécurité, en fonction des exigences techniques du schéma de certification et moyennant une délégation préalable, l'autorité visée à l'article 5, § 1er, peut toutefois déléguer en tout ou en partie cette tâche à un organisme d'évaluation de la conformité accrédité par l'autorité nationale d'accréditation.

Section 3.- Réclamation en cas de refus de délivrance

Art. 12.Conformément à l'article 63, paragraphe 1er, du Règlement sur la cybersécurité, en cas de refus de délivrance d'un certificat de cybersécurité européen par l'autorité visée à l'article 5, § 1er, ou par un organisme d'évaluation de la conformité dans le cadre de la délégation prévue à l'article 10, § 3, ou à l'article 11, § 2, le demandeur peut introduire une réclamation devant l'autorité visée à l'article 5, § 1er, selon les modalités prévues au chapitre 7.

Chapitre 5.- Contrôle

Art. 13.§ 1er. Conformément à l'article 58, paragraphes 7 et 8, du Règlement sur la cybersécurité, l'autorité visée à l'article 5, § 1er, et l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 disposent chacune d'un service d'inspection qui peut à tout moment réaliser des contrôles du respect par les organismes d'évaluation de la conformité, les titulaires de certificats de cybersécurité européens volontaires et les émetteurs de déclarations de conformité de l'Union européenne des règles imposées par le règlement sur la cybersécurité, les schémas européens de certification de cybersécurité, la présente loi ou ses arrêtés d'exécution.

Les compétences de ce service d'inspection sont sans préjudice de l'application de l'arrêté royal du 31 janvier 2006 portant création du système BELAC d'accréditation des organismes d'évaluation de la conformité.

Conformément à l'article 58, paragraphe 4, du Règlement sur la cybersécurité, dans l'exécution de ses tâches de contrôle, le service d'inspection agit de manière indépendante des autres services de l'autorité visée à l'article 5, § 1er, notamment du service chargé de la délivrance des certificats de cybersécurité, ou des autres services de l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6.

§ 2. Au moment de formuler une demande d'informations ou de preuves, le service d'inspection mentionne la finalité de la demande, les dispositions légales ainsi que, le cas échéant, la ou les parties du schéma européen de certification de cybersécurité et précise le délai dans lequel les informations ou preuves doivent être fournies.

§ 3. En fonction des caractéristiques propres à chaque schéma européen de certification de cybersécurité, le service d'inspection peut faire appel à des experts qui sont soumis au secret professionnel visé au paragraphe 4.

Les frais de recours à des experts peuvent être mis à charge des organismes d'évaluation de la conformité, des titulaires de certificats de cybersécurité européens ou des émetteurs de déclarations de conformité de l'Union européenne.

§ 4. Les membres du personnel du service d'inspection sont tenus au secret professionnel en ce qui concerne les informations en rapport à l'exécution de la présente loi.

Art. 14.Lorsqu'un organisme d'évaluation de la conformité, un titulaire de certificats de cybersécurité européens volontaires ou un émetteur de déclarations de conformité de l'Union européenne est situé en dehors du territoire belge, le service d'inspection peut solliciter la coopération et l'assistance des autorités nationales de certification de cybersécurité compétentes des Etats concernés.

Art. 15.§ 1er. Les membres assermentés du service d'inspection sont dotés d'une carte de légitimation dont le modèle est fixé par le Roi. Ils prêtent serment auprès du fonctionnaire dirigeant de leur service.

§ 2. Les membres assermentés du service d'inspection ou les experts appelés à participer à l'inspection ne peuvent avoir un intérêt quelconque, direct ou indirect, dans les organismes d'évaluation de la conformité, titulaires de certificats de cybersécurité européens ou émetteurs de déclarations de conformité de l'Union européenne qu'ils sont chargés de contrôler, susceptible de compromettre leur objectivité.

§ 3. Afin de mener à bien les activités de supervision visées à l'article 58 du Règlement sur la cybersécurité et sans préjudice des attributions des officiers de police judiciaire visées à l'article 8 du Code d'instruction criminelle, les membres assermentés du service d'inspection disposent, à tout moment, des compétences de contrôle suivantes dans l'exercice de leur mission :

pénétrer sans avertissement préalable, sur présentation de leur carte de légitimation, dans tous les lieux utilisés par l'organisme d'évaluation de la conformité, le titulaire de certificats de cybersécurité européens ou l'émetteur de déclarations de conformité de l'Union européenne; ils n'ont accès aux locaux habités que moyennant autorisation préalable délivrée par un juge d'instruction;

prendre connaissance sur place et obtenir une copie du certificat ou de la déclaration de conformité de l'Union européenne, ainsi que de tout acte, tout document et toute autre source d'informations nécessaires à l'exercice de leur mission;

procéder à tout examen, contrôle et audition, et requérir toutes les informations qu'ils estiment nécessaires à l'exercice de leur mission;

relever et vérifier l'identité des personnes qui se trouvent sur les lieux utilisés par l'organisme d'évaluation de la conformité, le titulaire de certificats de cybersécurité européens ou l'émetteur de déclarations de conformité de l'Union européenne et dont ils estiment l'audition nécessaire pour l'exercice de leur mission. A cet effet, ils peuvent exiger de ces personnes la présentation de documents officiels d'identification;

§ 4. Pour obtenir l'autorisation de pénétrer dans des locaux habités, les membres assermentés du personnel du service d'inspection adressent une demande motivée au juge d'instruction. Cette demande contient au moins les données suivantes :

l'identification des espaces habités auxquels les membres assermentés du personnel du service d'inspection souhaitent avoir accès;

les infractions présumées qui font l'objet du contrôle;

la législation qui donne lieu au contrôle pour lequel les inspecteurs estiment nécessaire d'obtenir une autorisation de visite;

tous les documents et renseignements desquels il ressort que l'utilisation de ce moyen est nécessaire;

la proportionnalité et la subsidiarité à l'égard de tout autre devoir d'enquête.

Le juge d'instruction décide dans un délai de 48 heures maximum après réception de la demande. La décision du juge d'instruction est motivée. En l'absence de décision dans le délai prescrit, la visite des lieux est réputée être refusée. Le service d'inspection peut introduire un recours contre la décision de refus ou l'absence de décision devant la chambre des mises en accusation dans les quinze jours de la notification de la décision ou de l'expiration du délai.

Les visites sans autorisation de l'occupant dans des locaux habités se font entre cinq et vingt-et-une heures par au moins deux membres assermentés du service d'inspection agissant conjointement.

§ 5. Au début de toute audition, il est communiqué à la personne interrogée:

que ses déclarations peuvent être utilisées comme preuve en justice;

qu'elle peut demander que toutes les questions qui lui sont posées et les réponses qu'elle donne soient actées dans les termes utilisés;

qu'elle a le droit de garder le silence et de ne pas contribuer à sa propre incrimination.

Toute personne interrogée peut utiliser les documents en sa possession, sans que cela puisse entraîner le report de l'audition. Elle peut, lors de l'audition ou ultérieurement, exiger que ces documents soient joints à l'audition.

L'audition mentionne avec précision l'heure à laquelle elle a pris cours, est éventuellement interrompue et reprise, et prend fin. Elle mentionne l'identité des personnes qui interviennent lors de l'audition ou à une partie de celle-ci.

A la fin de l'audition, la personne interrogée a le droit de relire le procès-verbal de son audition ou de demander que lecture lui en soit faite. Elle peut demander à ce que ses déclarations soient corrigées ou complétées.

Les membres du personnel du service d'inspection qui interrogent une personne l'informent qu'elle peut demander une copie du texte de son audition. Cette copie lui est délivrée gratuitement.

§ 6. Les membres du service d'inspection peuvent consulter tous les supports d'information et les données qu'ils contiennent. Ils peuvent se faire produire sur place le système informatique et les données qu'il contient dont ils ont besoin pour leurs examens et constatations, et en prendre ou en demander gratuitement des extraits, des duplicatas ou des copies, sous une forme lisible et intelligible qu'ils ont demandée.

S'il n'est pas possible de prendre des copies sur place, les membres du service d'inspection peuvent saisir, contre récépissé contenant un inventaire, le système informatique et les données qu'il contient.

§ 7. Pour étendre les recherches dans un système informatique ou une partie de celui-ci, entamées sur la base du paragraphe 6, vers un système informatique ou une partie de celui-ci qui se trouve dans un autre lieu que celui où la recherche est effectuée, le service d'inspection peut solliciter l'autorisation d'un juge d'instruction, selon les mêmes conditions que celles prévues au paragraphe 4.

§ 8. Lorsque cela s'avère nécessaire, les membres du service d'inspection disposent d'une habilitation de sécurité correspondant au niveau de classification, au sens de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, des informations auxquelles ils doivent avoir accès afin de réaliser leur contrôle.

§ 9. Lorsque cela est nécessaire à la réalisation des activités de contrôle visées au présent chapitre et que les autres moyens ne suffisent pas, les membres assermentés du service d'inspection peuvent avoir accès aux informations ou secrets visés à l'article 458 du Code pénal et dont un titulaire de certificats de cybersécurité européens ou un émetteur de déclarations de conformité de l'Union européenne est le dépositaire, et les traiter.

§ 10. Lors de l'exécution de leurs pouvoirs de contrôle visés au présent article, les membres assermentés du service d'inspection veillent à ce que les moyens qu'ils utilisent soient appropriés et nécessaires pour le contrôle des dispositions du Règlement sur la cybersécurité ou d'un schéma de certification dont ils contrôlent le respect.

Art. 16.§ 1er. A la fin des inspections, un rapport est dressé par le service d'inspection. Une copie de ce rapport est transmise à l'organisme d'évaluation de la conformité, au titulaire de certificats de cybersécurité européens ou à l'émetteur de déclarations de conformité de l'Union européenne inspecté.

§ 2. Les rapports dressés par le service d'inspection ne peuvent contenir, ni les données à caractère personnel des clients des titulaires de certificats de cybersécurité européens ou des émetteurs de déclarations de conformité de l'Union européenne, ni les données à caractère personnel traitées par ces clients.

§ 3. A leur demande et pour autant que cela poursuive l'accomplissement des missions prévues à l'article VIII.30, § 2, du Code de droit économique, au chapitre II du règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil, aux articles 58, paragraphe 7, c), et 60, paragraphes 1er et 4, du Règlement sur la cybersécurité ou aux articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques, l'autorité nationale d'accréditation ou l'Institut belge des services postaux et des télécommunications peut recevoir une copie du rapport visé au paragraphe 1er.

Par dérogation à l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, la transmission de rapport prévue à l'alinéa 1er ne doit pas être formalisée par un protocole pour autant que:

le transfert soit nécessaire à l'exécution de l'alinéa 1er;

l'autorité destinataire des données traite celles-ci dans le respect des dispositions de la loi, des articles 58, paragraphe 7, c), et 60, paragraphes 1er et 4, du Règlement sur la cybersécurité ou des articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques;

le transfert concerne des données d'identification personnelle, comme un nom, un prénom, une adresse de courriel privée ou professionnelle, des données d'authentification ou des données de communications électroniques;

le transfert de données à caractère personnel se fasse de manière sécurisée dans un format numérique ou papier.

§ 4. Dans le respect des articles 20, 21, § 1er, et 33 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et de l'article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi en vertu de l'article 5, § 2, transmet une copie du rapport prévu au paragraphe 1er à l'autorité sectorielle et au service d'inspection, visés respectivement aux articles 3, 3°, et 24, § 2, de la loi précitée du 1er juillet 2011 et à l'article 7, § § 3 et 5, de la loi précitée du 7 avril 2019, compétents en fonction du prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné, au sens de l'article 2, 12° à 14°, du Règlement sur la cybersécurité, lorsque ce rapport est lié à un contrôle effectué auprès d'une infrastructure critique, d'un opérateur de services essentiels ou d'un fournisseur de service numérique au sens de la loi précitée du 1er juillet 2011 ou de la loi précitée du 7 avril 2019.

Afin d'assurer le respect de l'article 11 de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien et des sections 1.7 et 11.2.8 du règlement d'exécution (UE) 2015/1998 de la Commission du 5 novembre 2015 fixant des mesures détaillées pour la mise en oeuvre des normes de base communes dans le domaine de la sûreté de l'aviation civile, l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi en vertu de l'article 5, § 2, transmet une copie du rapport prévu au paragraphe 1er à l'inspection aéroportuaire, à l'inspection aéronautique ou à la Belgian Supervising Authority for Air Navigation Services, au sens des articles 2, alinéa 1er, 1° et 9°, et 15, § § 1er à 3, de l'arrêté royal précité du 2 décembre 2011, lorsque ce rapport est lié à un contrôle effectué auprès d'une infrastructure critique, au sens de cet arrêté royal.

Par dérogation à l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, la transmission de rapport prévue au présent paragraphe ne doit pas être formalisée par un protocole pour autant que :

le transfert soit nécessaire à l'exécution de l'alinéa 2;

l'autorité destinataire des données traite celles-ci dans le respect des dispositions de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien;

le transfert concerne des données d'identification personnelle, comme un nom, un prénom, une adresse de courriel privée ou professionnelle, des données d'authentification ou des données de communications électroniques;

le transfert de données à caractère personnel se fasse de manière sécurisée dans un format numérique ou papier.

Art. 17.§ 1er. Les membres assermentés du service d'inspection rédigent des procès-verbaux visés à l'article 20, § 1er.

§ 2. A leur demande et pour autant que cela poursuive l'accomplissement des missions prévues à l'article VIII.30, § 2, du Code de droit économique, au chapitre II du règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil ainsi qu'aux articles 58, paragraphe 7, c), et 60, paragraphes 1er et 4, du Règlement sur la cybersécurité ou aux articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques, l'autorité nationale d'accréditation ou l'Institut belge des services postaux et des télécommunications reçoit une copie d'un procès-verbal ainsi que de toutes les informations complémentaires liées à un contrôle effectué par l'autorité visée à l'article 5, § 1er, ou par l'autorité publique désignée par le Roi en vertu de l'article 5, § 2.

Par dérogation à l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, la transmission de procès-verbal prévue à l'alinéa 1er ne doit pas être formalisée par un protocole pour autant que :

le transfert soit nécessaire à l'exécution de l'alinéa 1er;

l'autorité destinataire des données traite celles-ci dans le respect des dispositions de la loi, des articles 58, paragraphe 7, c), et 60, paragraphes 1er et 4, du Règlement sur la cybersécurité ou des articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques;

le transfert concerne des données d'identification personnelle, comme un nom, un prénom, une adresse de courriel privée ou professionnelle, des données d'authentification ou des données de communications électroniques;

le transfert de données à caractère personnel se fasse de manière sécurisée dans un format numérique ou papier.

§ 3. Dans le respect de l'article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques et des articles 20, 21, § 1er, et 33 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi en vertu de l'article 5, § 2, transmet à l'autorité sectorielle et au service d'inspection compétents, visés respectivement aux articles 3, 3°, et 24, § 2, de la loi précitée du 1er juillet 2011 et à l'article 7, § § 3 et 5, de la loi précitée du 7 avril 2019, en fonction du prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné, au sens de l'article 2, 12) à 14), du Règlement sur la cybersécurité, une copie complète du procès-verbal ainsi que de toutes les informations complémentaires liées à un contrôle effectué auprès d'une infrastructure critique, d'un opérateur de services essentiels ou d'un fournisseur de service numérique au sens de la loi précitée du 1er juillet 2011 ou de la loi précitée du 7 avril 2019.

Dans le respect de l'article 11 de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien et des sections 1.7 et 11.2.8 du règlement d'exécution (UE) 2015/1998 de la Commission du 5 novembre 2015 fixant des mesures détaillées pour la mise en oeuvre des normes de base communes dans le domaine de la sûreté de l'aviation civile, l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi en vertu de l'article 5, § 2, transmet une copie du procès-verbal ainsi que de toutes les informations complémentaires liées à un contrôle effectué auprès d'une infrastructure critique, au sens de l'article 2, 3°, de l'arrêté royal précité du 2 décembre 2011, à l'inspection aéroportuaire, à l'inspection aéronautique ou à la Belgian Supervising Authority for Air Navigation Services, au sens des articles 2, alinéa 1er, 1° et 9°, et 15, § § 1er à 3, de cet arrêté royal.

Par dérogation à l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, la transmission de procès-verbal prévue au présent paragraphe ne doit pas être formalisée par un protocole pour autant que :

le transfert soit nécessaire à l'exécution de l'alinéa 2;

l'autorité destinataire des données traite celles-ci dans le respect des dispositions de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien;

le transfert concerne des données d'identification personnelle, comme un nom, un prénom, une adresse de courriel privée ou professionnelle, des données d'authentification ou des données de communications électroniques;

le transfert de données à caractère personnel se fasse de manière sécurisée dans un format numérique ou papier.

Art. 18.§ 1er. Conformément aux articles 53, paragraphe 3, et 58, paragraphe 8, a), du Règlement sur la cybersécurité, l'organisme d'évaluation de la conformité, le titulaire de certificats de cybersécurité européens volontaires ou l'émetteur de déclarations de conformité de l'Union européenne apporte son entière collaboration aux membres du service d'inspection ou aux experts appelés à participer à l'inspection dans l'exercice de leurs fonctions et notamment pour informer ceux-ci au mieux de toutes les mesures de sécurité existantes.

Si nécessaire, l'organisme d'évaluation de la conformité, le titulaire de certificats de cybersécurité européens volontaires ou l'émetteur de déclarations de conformité de l'Union européenne met à disposition des membres du service d'inspection et des experts appelés à participer à l'inspection le matériel nécessaire de manière à ce qu'ils remplissent les consignes de sécurité lors des inspections.

§ 2. Après avis de l'autorité visée à l'article 5, § 1er, le Roi peut déterminer des rétributions relatives à la délivrance et aux prestations d'inspections réalisées dans le cadre du recours volontaire à des certifications et déclarations de conformité visées par le Règlement sur la cybersécurité.

Ces rétributions sont à charge des organismes d'évaluation de la conformité, des titulaires de certificats de cybersécurité européens volontaires et des émetteurs de déclarations de conformité de l'Union européenne. Le Roi fixe les modalités de calcul et de paiement.

Chapitre 6.- Sanctions

Section 1ère.- Procédure

Art. 19.§ 1er. Lorsqu'un ou plusieurs manquements aux exigences imposées par le Règlement sur la cybersécurité, la présente loi ou ses arrêtés d'exécution ou aux exigences de schémas de certification volontaire de cybersécurité sont constatés, le service d'inspection met en demeure le contrevenant de se conformer, dans un délai raisonnable qu'il fixe, aux obligations qui lui incombent.

Le délai est déterminé en tenant compte des conditions de fonctionnement du contrevenant et des mesures à mettre en oeuvre.

§ 2. Au préalable, le service d'inspection informe, de manière motivée, le contrevenant de son intention de lui adresser une mise en demeure et lui fait part de son droit, dans les quinze jours de la réception de cette information, de formuler par écrit ses moyens de défense ou de solliciter d'être d'entendu. L'information est présumée reçue par le contrevenant le sixième jour suivant son envoi par le service d'inspection.

Art. 20.§ 1er. Lorsque le service d'inspection constate que le contrevenant n'a pas respecté les obligations découlant de la loi ou du Règlement sur la cybersécurité, les faits sont constatés dans un procès-verbal rédigé par les membres assermentés du service d'inspection.

§ 2. Le fait pour quiconque d'empêcher ou entraver volontairement l'exécution d'un contrôle effectué par les membres du service d'inspection, de refuser de communiquer les informations qui lui sont demandées à l'occasion de ce contrôle, ou de communiquer sciemment des informations inexactes ou incomplètes est constaté par les membres assermentés du service d'inspection dans un procès-verbal.

§ 3. Les procès-verbaux rédigés par les membres assermentés du service d'inspection font foi jusqu'à preuve du contraire.

Section 2.- Retrait d'un certificat

Art. 21.Conformément à l'article 58, paragraphe 8, e), du Règlement sur la cybersécurité, l'autorité visée à l'article 5, § 1er, retire un certificat de cybersécurité lorsque le bénéficiaire ne respecte pas le Règlement sur la cybersécurité ou un schéma européen de certification de cybersécurité.

Section 3.- Limitation, suspension ou retrait d'une autorisation ou d'une délégation

Art. 22.Conformément à l'article 58, paragraphe 7, e), du Règlement sur la cybersécurité, l'autorité visée à l'article 5, § 1er, limite, suspend ou retire les autorisations ainsi que les délégations qu'elle a accordées aux organismes d'évaluation de la conformité, lorsque le bénéficiaire de l'autorisation ou de la délégation ne respecte pas le Règlement sur la cybersécurité ou un schéma européen de certification de cybersécurité.

Section 4.- Amendes administratives

Art. 23.§ 1er. Est puni d'une amende administrative de 500 à 75 000 euros quiconque ne répond pas à une demande d'information de l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6.

§ 2. Est puni d'une amende administrative de 500 à 100 000 euros le fabricant ou fournisseur de produits TIC, services TIC ou processus TIC qui ne se conforme pas aux dispositions relatives à l'autoévaluation de la conformité visées à l'article 53 du Règlement sur la cybersécurité.

§ 3. Est puni d'une amende administrative de 500 à 100 000 euros le titulaire d'un certificat de cybersécurité européen attestant du niveau d'assurance dit "élémentaire" qui ne se conforme pas aux obligations émanant du schéma européen de certification de cybersécurité correspondant.

§ 4. Est puni d'une amende administrative de 500 à 125 000 euros le titulaire d'un certificat de cybersécurité européen attestant du niveau d'assurance dit "substantiel" ou "élevé" qui ne se conforme pas aux obligations émanant du schéma européen de certification de cybersécurité correspondant.

§ 5. Sans préjudice de l'article 15, § 5, alinéa 1er, 3°, est puni d'une amende administrative de 500 à 150 000 euros quiconque ne coopère pas lors d'un contrôle en refusant de communiquer les informations qui lui sont demandées à l'occasion de ce contrôle ou ne coopère pas lors d'un contrôle de toute autre manière.

§ 6. Est puni d'une amende administrative de 500 à 200 000 euros quiconque communique sciemment des informations inexactes ou incomplètes ou se rend coupable de tout autre acte ou omission frauduleux dans le cadre de l'exécution du Règlement sur la cybersécurité, de la présente loi et de ses arrêtés d'exécution.

Art. 24.§ 1er. La décision d'imposer une amende administrative mentionne le montant de l'amende administrative et les infractions visées.

§ 2. L'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, informe au préalable le contrevenant de sa proposition motivée de sanction administrative telle que visée aux articles 21, 22 ou 23 et lui fait part de son droit, dans les quinze jours de la réception de la proposition, de formuler par écrit ses moyens de défense ou de solliciter d'être d'entendu. La proposition est présumée reçue par le contrevenant le sixième jour suivant son envoi par l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6.

§ 3. En tenant compte des moyens de défense invoqués dans le délai visé au paragraphe 2 ou en l'absence de réaction du contrevenant dans ce même délai, l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, peut adopter une sanction administrative visée à l'article 23.

§ 4. L'amende administrative est proportionnelle à la gravité, la durée, les moyens utilisés, les dommages causés et les circonstances des faits.

L'amende administrative est doublée en cas de récidive pour les mêmes faits dans un délai de trois ans.

§ 5. Le concours de plusieurs infractions peut donner lieu à une amende administrative unique proportionnelle à la gravité de l'ensemble des faits.

Art. 25.La décision est notifiée par envoi recommandé au contrevenant.

Une invitation à acquitter l'amende administrative dans un délai d'un mois est jointe à la décision.

Art. 26.Le contrevenant peut contester la décision prise en vertu du chapitre 6 par l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, devant la Cour des marchés.

La Cour des marchés est saisie du fond du litige et dispose d'une compétence de pleine juridiction.

La demande est introduite par requête contradictoire introduite, à peine de déchéance, dans les soixante jours de la notification de la décision de l'autorité visée à l'article 5, § 1er, ou de l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6.

La cause est traitée selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire.

Art. 27.§ 1er. Lorsque le contrevenant reste en défaut de payer l'amende administrative dans le délai imparti, la décision d'infliger une amende administrative a force exécutoire et l'autorité visée l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, peut décerner une contrainte.

La contrainte est décernée par le représentant légal de l'autorité visée à l'article 5, § 1er, ou de l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, ou par un membre du personnel habilité à cette fin.

§ 2. La contrainte est signifiée au contrevenant par exploit d'huissier de justice. La signification contient un commandement de payer dans les vingt-quatre heures, à peine d'exécution par voie de saisie, de même qu'une justification comptable des sommes exigées ainsi que copie de l'exécutoire.

§ 3. Le contrevenant peut former opposition à la contrainte devant le juge des saisies.

L'opposition est motivée à peine de nullité. Elle est formée au moyen d'une citation à l'autorité visée à l'article 5, § 1er, ou à l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, par exploit d'huissier dans les quinze jours à partir de la signification de la contrainte.

Les dispositions du chapitre VIII de la première partie du Code judiciaire sont applicables à ce délai.

L'exercice de l'opposition à la contrainte suspend l'exécution de la contrainte, ainsi que la prescription des créances contenues dans la contrainte, jusqu'à ce qu'il ait été statué sur son bien-fondé. Les saisies déjà pratiquées antérieurement conservent leur caractère conservatoire.

§ 4. L'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, peut faire pratiquer la saisie conservatoire et exécuter la contrainte en usant des voies d'exécution prévues à la cinquième partie du Code judiciaire.

Les paiements partiels effectués en suite de la signification d'une contrainte ne font pas obstacle à la continuation des poursuites.

§ 5. Les frais de signification de la contrainte de même que les frais de l'exécution ou des mesures conservatoires sont à charge du contrevenant.

Ils sont déterminés suivant les règles établies pour les actes accomplis par les huissiers de justice en matière civile et commerciale.

Art. 28.L'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, ne peut imposer d'amende administrative à l'échéance d'un délai de trois ans, à compter du jour où le fait a été commis.

Chapitre 7.- Réclamations

Section 1ère.- Saisine de l'autorité nationale de certification de cybersécurité

Art. 29.Conformément à l'article 63, paragraphe 1er, du Règlement sur la cybersécurité, l'autorité visée à l'article 5, § 1er, reçoit et traite les réclamations liées à un certificat de cybersécurité européen délivré par l'autorité visée à l'article 5, § 1er, ou par un organisme d'évaluation de la conformité dans le cadre de la délégation visée à l'article 10, § 3, ou 11, § 2, au refus de délivrance d'un tel certificat ou à une déclaration de conformité de l'Union européenne.

Art. 30.Le dépôt d'une réclamation par toute personne physique ou morale au sens de l'article 63 du Règlement sur la cybersécurité est sans frais.

Art. 31.§ 1er. L'autorité compétente examine si la réclamation est recevable.

§ 2. Une réclamation est recevable lorsqu'elle:

- est rédigée dans l'une des langues nationales;

- contient un exposé des faits et les indications nécessaires pour identifier le certificat de cybersécurité européen, le refus de délivrance d'un certificat ou la déclaration de conformité de l'Union européenne sur laquelle elle porte;

- relève de la compétence de l'autorité visée à l'article 5, § 1er, en vertu du Règlement sur la cybersécurité.

§ 3. L'autorité compétente peut inviter l'auteur de la réclamation à préciser sa réclamation.

Art. 32.L'affaire est traitée dans la langue de la réclamation.

Art. 33.La décision portant sur la recevabilité de la réclamation est portée à la connaissance de l'auteur de la réclamation.

Art. 34.Si l'autorité visée à l'article 5, § 1er, conclut à la recevabilité de la réclamation, elle peut exercer les pouvoirs qui lui sont conférés conformément aux articles 10, 11, 21 et 22.

L'autorité visée à l'article 5, § 1er, peut délivrer elle-même la certification demandée.

Section 2.- Recours

Art. 35.Conformément à l'article 64, paragraphe 1er, du Règlement sur la cybersécurité, le réclamant peut contester la décision prise en vertu de la section 1re par l'autorité visée à l'article 5, § 1er, devant la Cour des marchés.

La Cour des marchés est saisie du fond du litige et dispose d'une compétence de pleine juridiction.

La demande est introduite par requête contradictoire introduite, à peine de déchéance, dans les soixante jours de la notification de la décision de l'autorité visée à l'article 5, § 1er.

La cause est traitée selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire.

Ce recours ne suspend pas l'exécution de la décision.

Chapitre 8.- Traitement des données à caractère personnel

Section 1ère.- Principes relatifs au traitement, base légale et finalités

Art. 36.§ 1er. Les finalités pour lesquelles des traitements de données à caractère personnel sont effectués, sont les suivantes :

la délivrance des certificats de cybersécurité européen et la gestion des réclamations y relatives par l'autorité visée à l'article 5, § 1er;

le contrôle des titulaires de certificats de cybersécurité européens, des émetteurs de déclarations de conformité de l'Union européenne et des organismes d'évaluation de la conformité et, le cas échéant, l'imposition de sanctions conformément aux chapitres 5 et 6;

la participation de l'autorité visée à l'article 5, § 1er, ou de toute autre autorité publique qui en fait la demande, au GECC;

la coopération avec les autorités sectorielles et les services d'inspection, visés respectivement aux articles 3, 3°, et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, à l'article 7, § § 3 et 5, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ou aux articles 2, alinéa 1er, 1° et 9°, et 15, § § 1er à 3, de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien, compétents en fonction du prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné au sens de l'article 2, 12) à 14), du Règlement sur la cybersécurité, dans le cadre de leurs pouvoirs visés à l'article 24, § 1er, de la loi précitée du 1er juillet 2011 ou aux articles 7, § 3, alinéa 1er, § 5, et 42, § 1er, de la loi précitée du 7 avril 2019;

la coopération avec les autorités publiques disposant de missions spécifiques en matière de cybersécurité, au sens de l'article 2, 1), du Règlement sur la cybersécurité, conformément à l'article 58, paragraphe 7, a), c) et h), du même règlement.

§ 2. L'autorité visée à l'article 5, § 1er, et l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 sont chacune responsables des traitements qu'elles effectuent pour la réalisation des finalités visées au paragraphe 1er.

§ 3. Les catégories de données à caractère personnel traitées par les responsables de traitement visés au paragraphe 2 sont les suivantes:

pour la finalité visée au paragraphe 1er, 1°: les données d'identification de toute personne physique intervenant directement dans une demande de délivrance d'un certificat de cybersécurité européen ou dans une réclamation y relative par l'autorité visée à l'article 5, § 1er, c'est-à-dire le nom, le prénom, l'adresse, le numéro de téléphone et l'adresse e-mail;

pour la finalité visée au paragraphe 1er, 2°: toute donnée à caractère personnel nécessaire à l'exercice des missions de contrôle et de sanction visées aux chapitres 5 et 6;

pour la finalité visée au paragraphe 1er, 3°: les données d'identification des personnes physiques ayant vocation à participer au GECC, c'est-à-dire leur nom, leur prénom, leur adresse, leur numéro de téléphone et leur adresse e-mail;

pour la finalité visée au paragraphe 1er, 4°: les données d'identification, c'est-à-dire le nom, le prénom, l' adresse, le numéro de téléphone et l'adresse e-mail, ou les données de communications électroniques au sens de l'article 2, 91°, de la loi du 13 juin 2005 relative aux communications électroniques directement liées au prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné, au sens de l'article 2, 12) à 14), du Règlement sur la cybersécurité et collectées par le service d'inspection dans le cadre de ses missions de contrôle et de sanction visées aux chapitres 5 et 6, sans que ces données puissent porter sur les personnes physiques, clientes du titulaire de certificats de cybersécurité européens ou de l'émetteur de déclarations de conformité de l'Union européenne concerné, ou sur les données à caractère personnel traitées par ces clients;

pour la finalité visée au paragraphe 1er, 5°: les données d'identification, c'est-à-dire le nom, le prénom, l'adresse, le numéro de téléphone et l'adresse e-mail, ou les données de communications électroniques au sens de l'article 2, 91°, de la loi du 13 juin 2005 relative aux communications électroniques directement liées au prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné, au sens de l'article 2, 12) à 14), du Règlement sur la cybersécurité et collectées par le service d'inspection dans le cadre de ses missions de contrôle et de sanction visées aux chapitres 5 et 6, sans que ces données puissent porter sur les personnes physiques, clientes du titulaire de certificats de cybersécurité européens ou de l'émetteur de déclarations de conformité de l'Union européenne concerné, ou sur les données à caractère personnel traitées par ces clients.

Dans le cas mentionné à l'alinéa 1er, 2°, les données à caractère personnel des clients des titulaires de certificats de cybersécurité européens ou des émetteurs de déclarations de conformité de l'Union européenne et les données à caractère personnel traitées par ces clients, ne peuvent être traitées que si elles se révèlent nécessaires aux missions de contrôle visées au chapitre 5.

Chaque fois que possible, les données visées à l'alinéa 2 sont pseudonymisées ou agrégées de façon à diminuer le risque d'une utilisation de données personnelles incompatible avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ou les lois et règlements qui le complètent ou le précisent.

§ 4. Sans préjudice du paragraphe 3, 2°, les échanges d'informations entre autorités publiques visés par la présente loi ne peuvent porter, ni sur les données à caractère personnel des clients des titulaires de certificats de cybersécurité européens ou des émetteurs de déclarations de conformité de l'Union européenne, ni sur les données à caractère personnel traitées par ces clients.

§ 5. Les catégories de personnes dont les données à caractère personnel sont susceptibles de faire l'objet de traitements sont les suivantes :

toute personne physique intervenant pour les organismes d'évaluation de la conformité, les titulaires de certificats de cybersécurité européens, les émetteurs de déclarations de conformité de l'Union européenne ou une autorité publique;

toute personne physique participant à un contrôle ou à une audition dans le cadre des missions de contrôle prévues au chapitre 5;

toute personne physique introduisant une réclamation;

toute personne physique participant au GECC;

toute personne physique dont les données à caractère personnel sont présentes au sein des produits TIC, services TIC ou processus TIC, au sens de l'article 2, 12) à 14), du Règlement sur la cybersécurité.

Art. 37.§ 1er. En application de l'article 23, paragraphe 1er, c), e) et h), du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), certaines obligations et droits prévus par ledit règlement sont limités ou exclus, conformément aux dispositions du présent article. Ces limitations ou exclusions ne portent pas préjudice à l'essence des libertés et droits fondamentaux et sont appliquées dans la stricte mesure nécessaire au but poursuivi.

§ 2. Les articles 12 à 16, 18 et 19 dudit règlement ne sont pas applicables aux traitements de données à caractère personnel, effectués par l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, agissant en tant que responsable de traitement des données, pour la finalité visée à l'article 36, § 1er, 2°, dans la mesure où l'exercice des droits consacrés par ces articles nuirait aux besoins du contrôle ou des actes préparatoires à celui-ci.

§ 3. L'exemption vaut, sous réserve du principe de proportionnalité et le cas échéant de minimisation des données, pour toutes les catégories de données à caractère personnel, dans la mesure où le traitement de ces données est conforme aux finalités précitées. Cette exemption vaut également pour les actes préparatoires ou pour les procédures visant à l'application éventuelle d'une sanction administrative.

§ 4. L'exemption ne s'applique que pendant la période au cours de laquelle la personne concernée fait l'objet d'un contrôle ou d'actes préparatoires à celui-ci, dans la mesure où l'exercice des droits faisant l'objet de la dérogation visée au présent article nuirait aux besoins du contrôle ou des actes préparatoires à celui-ci et, en tous les cas, ne s'applique que jusqu'à un an après réception de la demande d'exercice du droit faisant l'objet de la dérogation prévue au présent article.

La durée des actes préparatoires, visés à l'alinéa 1er, pendant laquelle les articles visés au paragraphe 2 ne sont pas applicables, ne peut excéder un an à partir de la réception d'une demande relative à l'application d'un des droits consacrés par ces articles.

§ 5. Dès réception d'une demande concernant l'exercice d'un des droits consacrés par les articles visés au paragraphe 2, le délégué à la protection des données du responsable du traitement en accuse réception.

Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation aux droits consacrés par les articles visés au paragraphe 2, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre la finalité énoncée au paragraphe 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.

Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.

Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.

Lorsque le service d'inspection a fait usage de l'exemption visée au paragraphe 2, cette dernière est immédiatement levée après la clôture du contrôle. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.

Section 2.- Durée de conservation

Art. 38.Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, visé à l'article 89 du règlement (UE) 2016/679, les données à caractère personnel traitées par l'autorité visée à l'article 5, § 1er, ou l'autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 en vue de réaliser les finalités visées à l'article 36, § 1er, sont conservées, sans préjudice de recours éventuels, par le responsable du traitement dix ans après la fin du traitement effectué.

Chapitre 9.- Dispositions modificatives

Section 1ère.- Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges

Art. 39.L'article 14, § 1er, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges, modifié en dernier lieu par la loi du 17 février 2022, est complété par un 7° rédigé comme suit:

" 7° l'exercice des missions de contrôle et de sanctions qui lui sont confiées par l'arrêté royal visant à exécuter l'article 5, § 2, de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité. ".

Art. 40.Dans l'article 14, § 2, 3°, g), de la même loi, inséré par la loi du 10 juillet 2012, les mots " en ce compris la sécurité des réseaux et des systèmes d'information, " sont insérés entre les mots " sécurité publique, " et les mots " ou de sécurité et protection civile ".

Section 2.- Modifications de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers

Art. 41.L'article 45 de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers, modifié en dernier lieu par la loi du 23 février 2022, est complété par un paragraphe 6, rédigé comme suit:

" § 6. A la demande de la FSMA et en fonction de l'objet du schéma de certification de cybersécurité concerné, le Roi peut, à condition qu'elle dispose de l'expertise requise à ces fins, confier à la FSMA, par arrêté délibéré en Conseil des ministres, en tout ou en partie, les missions visées aux chapitres 5 et 6, à l'exception des articles 21 et 22, de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité. Dans cette hypothèse, le Roi sollicite l'avis et se concerte au préalable avec l'autorité visée à l'article 5, § 1er, de la loi précitée et la FSMA. La FSMA exerce ces missions de contrôle uniquement vis-à-vis des entités sur lesquelles elle exerce le contrôle en vertu du paragraphe 1er, 2°, et des lois particulières qui régissent le contrôle des établissements financiers. ".

Art. 42.L'article 75, § 1er, de la même loi, modifié en dernier lieu par la loi du 23 février 2022, est complété par un 27°, rédigé comme suit :

" 27° à l'autorité visée à l'article 5, § 1er, de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité ou aux autorités désignées par le Roi en vertu de l'article 5, § 2, de la même loi. ".

Section 3.- Modifications de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique

Art. 43.Dans l'article 36/14, § 1er, de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique, inséré par l'arrêté royal du 3 mars 2011 et modifié en dernier lieu par la loi du 11 juillet 2021, il est inséré un 20°/2 rédigé comme suit :

" 20°/2 dans les limites du droit de l'Union européenne, à l'autorité visée à l'article 5, § 1er, de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité, ou aux autorités désignées par le Roi en vertu de l'article 5, § 2, de la même loi; ".

Art. 44.Dans le chapitre IV/4 de la même loi, inséré par la loi du 7 avril 2019 et modifié par la loi du 11 juillet 2021, il est inséré un article 36/48/1 rédigé comme suit: :

" Art. 36/48/1. A la demande de la Banque et en fonction de l'objet du schéma de certification de cybersécurité concerné, le Roi peut, à condition qu'elle dispose de l'expertise requise à ces fins, confier à la Banque, par arrêté délibéré en Conseil des ministres, en tout ou en partie, les missions visées aux chapitres 5 et 6, à l'exception des articles 21 et 22, de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité. Dans cette hypothèse, le Roi sollicite l'avis et se concerte au préalable avec l'autorité visée à l'article 5, § 1er, de la loi précitée et la Banque. La Banque exerce ces missions de contrôle uniquement vis-à-vis des entités sur lesquelles elle exerce le contrôle en vertu des articles 8 et 12bis et des lois particulières qui régissent le contrôle des établissements financiers. ".

Section 4.- Modifications du Code de droit économique

Art. 45.L'article I.20 du Code de droit économique, inséré par la loi du 17 juillet 2013 et modifié en dernier lieu par la loi du 8 mai 2022, est complété par un 12° rédigé comme suit: :

" 12° Règlement sur la cybersécurité: règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013. "

Art. 46.Dans le livre XV, titre 1er, chapitre 2, du même Code, inséré par la loi du 20 novembre 2013, il est inséré une section 10 intitulée " Section 10. Certification de cybersécurité ".

Art. 47.Dans la section 10, insérée par l'article 46, il est inséré une sous-section 1re intitulée " Sous-section 1re. Certification de cybersécurité volontaire ".

Art. 48.Dans la sous-section 1re, insérée par l'article 47, il est inséré un article XV.30/3, rédigé comme suit:

" Art. XV.30/3. En matière de certification de cybersécurité volontaire, le Roi peut, par arrêté délibéré en Conseil des ministres, confier certaines missions visées aux chapitres 5 et 6, à l'exception des articles 21 et 22, de la loi du 20 juillet 2022 relative à la certification de la cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité, à certains agents du SPF Economie, à condition que le SPF Economie dispose de l'expertise requise à ces fins. Dans cette hypothèse, le Roi sollicite l'avis et se concerte au préalable avec l'autorité visée à l'article 5, § 1er, de la loi précitée. Le SPF Economie exerce ces missions de contrôle uniquement sur les produits ou entités réglementés par le présent Code, ses arrêtés d'exécution ou les règlements de l'Union européenne relatifs aux matières qui, conformément aux livres VI, VII, IX et XII du présent Code, relèvent du pouvoir réglementaire du Roi. ".

Art. 49.Dans la section 10, insérée par l'article 46, il est inséré une sous-section 2 intitulée " Sous-section 2. Certification de cybersécurité obligatoire ".

Art. 50.Dans la sous-section 2, insérée par l'article 49, il est inséré un article XV.30/4, rédigé comme suit:

" Art. XV.30/4. § 1er. En matière de certification européenne de cybersécurité rendue obligatoire en vertu du droit de l'Union ou du droit national, après avis de l'autorité nationale de certification de cybersécurité, le Roi peut, par arrêté délibéré en Conseil des ministres, confier certaines missions en matière de contrôle relatives au règlement sur la cybersécurité ou relatives à la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité, à certains agents du SPF Economie, à condition que ce dernier dispose de l'expertise requise à ces fins.

§ 2. Les missions en matière de contrôle visées au paragraphe 1er, y compris la recherche, la constatation, la poursuite et la sanction des infractions, s'effectuent conformément aux dispositions du présent livre. ".

Art. 51.Dans le livre XV, titre 3, chapitre 2, section 11/3, du même Code, insérée par la loi du 18 avril 2017, sont insérés les articles XV.125/4/1 et XV.125/4/2, rédigés comme suit: :

" Art. XV.125/4/1. Dans le cadre de la surveillance visée à l'article XV.30/4, sont punis d'une sanction de niveau 2 :

le titulaire d'un certificat de cybersécurité rendu obligatoire en vertu du droit de l'Union ou du droit national attestant du niveau d'assurance dit " élémentaire " qui ne se conforme pas aux obligations émanant du schéma de certification de cybersécurité correspondant;

quiconque ne coopère pas lors d'un contrôle en refusant de communiquer les informations qui lui sont demandées à l'occasion de ce contrôle ou ne coopère pas lors d'un contrôle de toute autre manière.

Art. 15.125/4/2.Dans le cadre de la surveillance visée à l'article XV.30/4, sont punis d'une sanction de niveau 3 :

le titulaire d'un certificat de cybersécurité rendu obligatoire en vertu du droit de l'Union ou du droit national attestant du niveau d'assurance dit " substantiel " ou " élevé " qui ne se conforme pas aux obligations émanant du schéma de certification de cybersécurité correspondant;

quiconque communique sciemment des informations inexactes ou incomplètes ou se rend coupable de tout autre acte ou omission frauduleuse dans le cadre de l'exécution du Règlement sur la cybersécurité. ".

Chapitre 10.- Entrée en vigueur

Art. 52.La présente loi entre en vigueur le jour de sa publication au Moniteur belge.

Lex Iterata est un site web qui propose les textes législatifs consolidés du Moniteur Belge sous une nouvelle forme. Lex Iterata fait partie de Refli, qui vise à simplifier le calcul de salaire. Ces deux projets sont conçus par la société namuroise de développement informatique Hypered.