16 JUIN 2016. - Arrêté royal portant création de la communication électronique conformément à l'article 32ter du Code judiciaire
RAPPORT AU ROI
Sire,
L'article 3 de la loi du 19 octobre 2015 modifiant le droit de la procédure civile et portant des dispositions diverses en matière de justice insère un article 32ter dans le Code judiciaire.
Vu la nécessité d'une communication électronique performante et sécurisée entre les acteurs de la justice, ainsi que la base légale créée à cet effet, il convient de prendre un arrêté royal offrant les garanties nécessaires en matière d'effectivité et de confidentialité des systèmes informatiques choisis et décrivant les modalités de ces systèmes.
Le projet d'arrêté royal soumis pour approbation concerne dès lors la mise en oeuvre et l'entrée en vigueur des principes établis à l'article 3 de la loi du 19 octobre 2015.
Vu la modification de loi décrite ci-dessus, les éléments suivants doivent être réglés par arrêté royal :
* le système informatique dont il est fait usage;
* les modalités de ce système informatique, la confidentialité et l'effectivité de la communication étant garanties.
L'arrêté royal qui Vous est à présent soumis entend servir de base pour les technologies actuelles et futures utilisées aux fins de la communication électronique au sein de la Justice.
Le présent arrêté tient compte des avis du Conseil d'Etat (avis 58.556/2 et 58.860/2 des 21 décembre 2015 et 17 février 2016) et de la Commission de la protection de la vie privée (avis n° 58/2015 du 16 décembre 2015).
Commentaire des articles
Article 1er. L'article 1er désigne les systèmes informatiques pour les différents actes prévus à l'article 32ter du Code judiciaire.
Les systèmes informatiques sont en rapide et constante évolution. Cet article permet de faire face à l'actuel besoin technologique en la matière au sein de la Justice en ménageant la possibilité de substituer ou d'ajouter à tout moment la technologie la plus avancée aux systèmes choisis.
Le paragraphe premier désigne le système informatique utilisé en règle générale, tandis que le paragraphe 2 instaure l'exception.
Un ajout contenant les éléments techniques d'e-Box et d'e-Deposit, comme suggéré par le Conseil d'Etat, ne semble pas d'actualité dans ce rapport. Non seulement cette technique est en permanence sujette à modification, mais les manuels (techniques) de ces systèmes informatiques sont publiquement disponibles via le site internet du SPF Justice, comme c'est déjà le cas pour la sécurité sociale via l'URL mentionnée par le Conseil d'Etat (https://www.socialsecurity.be).
Concernant e-Deposit, il peut déjà être renvoyé à http://justice.belgium.be/fr/ordre_judiciaire/e-services/e-deposit et à https://e-services.just.fgov.be/edeposit/fr_BE.
Art. 2. Sont désignés ici les types d'actes à accomplir à l'aide du système informatique spécifique.
A la demande de la Commission de la protection de la vie privée, le responsable du traitement est également désigné.
Art. 3. Cet article définit les conditions auxquelles le système informatique doit satisfaire.
Pour ce faire, l'e-Box a recours à des techniques de journalisation, à l'horodatage, à l'identification et à l'authentification de l'expéditeur et du destinataire et à des notifications de statut chez l'expéditeur et le destinataire.
Conformément à la demande de la Commission de la protection de la vie privée, il est précisé que le recours à des techniques de chiffrement est considéré comme étant inclus dans la norme « préserver l'origine et l'intégrité du contenu de l'envoi au moyen de techniques de sécurisation appropriées », sans que ces techniques de chiffrement doivent explicitement figurer dans le texte de l'arrêté. La responsabilité quant au choix des techniques de chiffrement utilisées de facto incombe au responsable du traitement.
D'un point de vue général, les conditions de confidentialité et de protection, remarque de la Commission de la protection de la vie privée reprise par le Conseil d'Etat, sont contenues dans les techniques énumérées aux articles 3 et 7. Il va de soi que la technique garantira de facto ce niveau de protection, exposé de iure dans l'arrêté. Sur les conseils du Conseil d'Etat, la garantie de confidentialité figure explicitement dans les deux articles.
Conformément aux conclusions de la Commission de la protection de la vie privée, après comparaison avec l'authentification définie pour l'e-Deposit, l'e-Box peut également connaître une authentification à deux facteurs.
L'avantage de l'e-Box réside dans l'existence d'une preuve que le courrier électronique est parvenu au destinataire. En ce sens, tout envoi par ce système informatique répond plus qu'aux conditions essentielles d'un courrier recommandé avec accusé de réception ou d'un pli judiciaire. L'e-Box ne garantit pas que le courrier électronique a effectivement été lu ou, le cas échéant, qu'il a été ouvert, mais bien qu'il est parvenu à destination.
L'e-Box garantit d'emblée que le courrier électronique a été transmis et est parvenu à destination et n'a pas seulement été présenté.
La tenue, au sein du système informatique, d'un journal des dépôts et réceptions dans l'e-Box permet d'apporter à tout moment et indépendamment des parties la preuve non équivoque de l'ensemble de ces éléments. Les documents sont par ailleurs horodatés, l'intégrité du document est assurée et le document est sécurisé. Viennent également s'ajouter les garanties liées au moment de l'envoi et de la réception, ainsi qu'à l'identité de l'expéditeur et du destinataire.
A la demande de la Commission de la protection de la vie privée, pour ce qui est de l'enregistrement et de la journalisation, les données y afférentes ainsi que leur délai de conservation sont indiqués. Conformément à la remarque du Conseil d'Etat concernant le caractère insuffisant du délai, une possibilité de prolongation est prévue tant qu'un recours ordinaire ou extraordinaire est ouvert.
Enfin, l'e-Box permet également de savoir si une défaillance du système est survenue. A cet égard, il peut être renvoyé à l'article 5.
Enfin, la Commission de la protection de la vie privée demande la garantie d'une gestion appropriée et stricte des utilisateurs et des accès. Le système e-Box le prévoit. C'est la raison pour laquelle le principe figure expressément dans l'arrêté. Comme le fait remarquer la Commission, le développement détaillé de cette gestion des utilisateurs et des accès n'est pas d'actualité dans l'arrêté.
L'accès devra en outre être contrôlé par l'identification et l'authentification des utilisateurs. A la suite de la remarque de la Commission, cette authentification figure expressément dans l'arrêté.
Il peut être recouru soit à l'e-ID et à un code pin, soit à un contrôle électronique vérifiant la qualité des utilisateurs au moyen d'une source authentique (p. ex. notaires, avocats, huissiers de justice), soit à un module de gestion des utilisateurs et des accès ou à une combinaison des moyens précités.
Là où la Commission parle d'e-Box « individuelles », il convient de préciser qu'il s'agit toujours d'e-Box liées à la fonction (avocat, magistrat, notaire...). Dans cette optique, il peut évidemment y avoir également des e-Box au niveau de l'organisation.
Pour être complet, il peut encore être confirmé que c'est effectivement à l'identité de l'expéditeur que renvoie le membre de phrase « préserver l'origine de l'envoi ».
Il peut être adhéré à la préoccupation du Conseil d'Etat pour qui les systèmes ne prévoient pas eux-mêmes une gestion des utilisateurs et des accès stricte et adéquate ou les autres garanties (art. 3 et 7), cette obligation reposant effectivement sur le SPF Justice en sa qualité de gestionnaire, en concertation avec ceux qui les utilisent ou y ont accès et à leurs sources authentiques respectives. Elle figure explicitement dans l'arrêté. Le fait que les acteurs de la justice disposent de plein droit d'un droit d'accès et d'utilisation des systèmes informatiques de la Justice découle de l'article 32ter du Code judiciaire même.
Les principes de cette gestion des utilisateurs et des accès sont précisés davantage dans l'arrêté, comme demandé par la Commission et le Conseil d'Etat.
Art. 4. L'article 4 énumère les diverses notifications de statut, désigne le destinataire de ces notifications et décrit la valeur probante de celles-ci.
En référence au commentaire antérieur de l'article 3 (alinéa 6) et afin de satisfaire à la demande de la Commission de la protection de la vie privée de préciser les différentes notifications de statut, ces statuts sont limités dans l'arrêté et expliqués plus en détail ci-dessous.
La notification de statut « publié » que l'on retrouvait initialement dans l'arrêté implique que le message a été chargé dans l'e-Box du destinataire mais qu'il n'est pas encore visible pour celui-ci vu que le système ne montre qu'un nombre limité de messages. En d'autres termes, les messages dont le statut est « publié » sont « en attente ». Ce n'est toutefois pas pertinent d'un point de vue juridique. Il s'agit d'un statut purement technique se rapportant à un message, raison pour laquelle il a été supprimé de l'arrêté.
La notification de statut « reçu » signifie d'un point de vue technique que le destinataire peut effectivement voir lui aussi le message et que, en ce sens, le message a évolué depuis le statut « publié ». Comme l'indique à juste titre la Commission, ce message est néanmoins pertinent sur le plan juridique puisqu'il en signale la réception par le destinataire et tient lieu d'accusé de réception pour l'expéditeur.
La notification de statut définie auparavant comme « lu » ne signifie pas, contrairement à la terminologie utilisée, que le message a effectivement été lu mais qu'il a de fait été ouvert. Pour être clair, il est préférable dès lors de parler d'un statut « ouvert ». Le Conseil d'Etat fait observer à juste titre que ce dernier statut ne constitue pas une garantie pour la régularité de l'envoi; celui-ci a par conséquent été supprimé de l'arrêté. Enfin, le statut « envoyé » est ajouté à l'arrêté et précise une date fixe pour la communication.
...Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI