2 JUIN 2019. - Arrêté royal fixant les conditions, la procédure et les conséquences de l'agrément de prestataires de services pour l'échange électronique de messages par le biais de l'eBox
RAPPORT AU ROI
Sire,
-
INTRODUCTION
La stimulation d'une communication électronique sécurisée avec les autorités constitue une étape importante de la concrétisation de la transformation numérique des autorités.
Avec la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox, un cadre légal est créé pour les échanges électroniques de messages entre instances publiques (utilisateurs) et personnes physiques, entreprises ou autres instances publiques.
L'objectif de l'eBox est double. D'une part, il s'agit d'offrir aux citoyens/entreprises un lieu central, fiable et moderne pour l'échange de messages avec les services publics. D'autre part, la volonté est d'offrir un outil aux services publics pour dématérialiser l'envoi de messages officiels et réduire ainsi considérablement les frais d'envoi postal (lettres et envois recommandés).
L'article 11 de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox constitue la base légale du présent arrêté. Conformément à cet article, le Service public fédéral Stratégie et Appui agit en tant qu'autorité d'agrément pour des services d'extraction de l'eBox pour les citoyens. Le Roi prévoit les conditions, la procédure et les conséquences de cet agrément. Le système d'agrément n'existe pas pour l'eBox Entreprises.
L'objectif est de faire primer la facilité d'utilisation pour les destinataires afin qu'ils puissent utiliser à des fins de communication avec les autorités les services qu'ils utilisent déjà pour leur communication privée. La facilité d'utilisation est combinée au contrôle relatif à la sécurité et à la protection des données, ce qui explique le choix d'un système d'agrément.
Toute personne remplissant les conditions peut obtenir un agrément et offrir ainsi ses services pour des applications publiques.
Les conditions d'agrément à fixer par le Roi garantiront un degré élevé de protection de la vie privée et de confidentialité des données, et doivent au moins concerner les caractéristiques fonctionnelles et techniques, le respect de la vie privée et d'exigences de sécurité, notamment en ce qui concerne la sécurité de l'information l'irréfutabilité (conformément au point 37 de l'avis 47/2018 de la Commission de la protection de la vie privée), la gestion des services ainsi que les caractéristiques juridiques et économiques. Les détails techniques sont fixés et publiés par le service public fédéral compétent pour l'Agenda numérique, en concertation avec la Banque Carrefour de la Sécurité Sociale.
-
DISCUSSION DES CHAPITRES
2.1 Chapitre Ier
Au chapitre Ier, les termes utilisés dans le projet d'arrêté royal sont définis (art. 1er) et l'objet de l'arrêté royal est exposé (art. 2 et 3).
2.2 Chapitre II
Le chapitre II prévoit les conditions auxquelles un prestataire de services doit satisfaire pour obtenir un agrément.
La section 1re de ce chapitre est consacrée aux conditions fonctionnelles et techniques, et la sous-section 1re contient les conditions fonctionnelles et techniques relatives au service d'extraction de données. Plusieurs spécifications purement techniques seront déterminées par l'autorité d'agrément.
Afin de répondre au point 13 de l'avis 16/2019 de l'Autorité de protection des données, il est important de préciser que le candidat à l'agrément doit offrir un service qui consiste en l'extraction et la visualisation de messages électroniques de tiers, autres que le demandeur lui-même, adressés à des citoyens belges ou des personnes morales établies en Belgique. Il ne s'agit donc pas du service agréé mais d'un service similaire. Soit il propose ce service depuis déjà deux ans, soit il compte déjà 50.000 clients, soit il passe avec succès une phase pilote auprès de l'autorité d'agrément. Satisfaire à l'une de ces conditions au moment de l'introduction de la demande d'agrément est suffisant.
La Loi du 19 juillet 2018 relative à l'accessibilité des sites internet et des applications mobiles des organismes du secteur public s'applique aux organismes publics. Cet arrêté demande le respect de ces règles également pour les prestataires de services qui veulent se faire agréer pour l'extraction de l'eBox.
La sous-section 2 est consacrée au choix du destinataire pour le service d'extraction de données.
Le consentement pourra être donné et retiré par des personnes physiques.
Le consentement de la personne physique doit être conforme au Règlement général sur la protection des données. Cela signifie qu'il doit s'agir d'une action positive et explicite, d'un acte positif de la personne concernée (non implicite), démontrable, d'un choix véritablement libre (pas de déséquilibre) et qu'il convient de prévoir une possibilité simple de retrait du consentement et de fournir des informations claires sur cette possibilité. Les informations doivent être disponibles sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.
Le destinataire peut choisir un ou plusieurs prestataires de services. Le prestataire de services ne peut pas empêcher ou décourager le destinataire d'avoir (également) recours à un autre prestataire de services afin de consulter l'eBox, ou de consulter l'eBox sans prestataire de services.
La prestation de services du prestataire de services se limite à la fourniture d'un service d'extraction de données tel que défini dans le présent arrêté, et ne concerne donc pas l'enregistrement, d'autres services supplémentaires ou tout autre traitement de messages électroniques par le prestataire de services, sauf lorsqu'un destinataire a conclu un contrat à ce sujet et opère donc clairement ce choix. Le consentement du destinataire à donner accès à ses messages au prestataire de services dans le cadre d'un service supplémentaire doit satisfaire aux exigences de l'article 4, 11° du Règlement général sur la protection des données.
La sous-section 3 traite de l'envoi du numéro d'identification unique (numéro de Registre national ou numéro de Banque Carrefour) lors de l'identification par l'utilisateur.
Le niveau de garantie « substantiel » qui est demandé pour le service d'identification électronique se cumule avec le niveau de garantie « adapté » requis par le Règlement général sur la protection des données 2016/679 et il faut comprendre le « niveau de garantie substantielle » au sens de l'article 8, paragraphe 2, du règlement (UE) 910/2014, qui précise « le niveau de garantie substantiel renvoie à un moyen d'identification électronique dans le cadre d'un schéma d'identification électronique qui accorde un degré substantiel de fiabilité à l'identité revendiquée ou prétendue d'une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l'objectif est de réduire substantiellement le risque d'utilisation abusive ou d'altération de l'identité ».
La sous-section 4 règle l'échange d'informations entre le prestataire de services et l'autorité d'agrément.
La sous-section 5 comprend des garanties supplémentaires relatives à la protection des données à caractère personnel.
Le prestataire de services traitera toutes les données à caractère personnel comprises dans un message ou une transaction conformément à l'article 11, § 4 et 5, de la loi du 27 février 2019 relative à l'échange électronique de messages par le biais de l'eBox, aux dispositions du Règlement général sur la protection des données, et à toutes les éventuelles dispositions supplémentaires ou complémentaires relatives à la protection de la vie privée.
Lors de la transaction, le prestataire d'un service agréé ne prend pas connaissance du contenu des messages échangés par son biais, et n'utilise les messages d'aucune manière pour la fourniture du service agréé. A cette fin, le prestataire de services prend les mesures nécessaires et les documente.
Conformément la clarification demandée au point 14 de l'avis 16/2019 de l'Autorité de protection des données, le prestataire de services ne reçoit de l'autorité d'agrément que des métadonnées concernant le message, de sorte qu'il puisse avertir le destinataire qui peut alors consulter le contenu du message. Après accord indubitable et préalable de la personne concernée, le prestataire de services peut éventuellement avoir accès au contenu des messages pour la fourniture d'un service à valeur ajoutée. Ici aussi, le prestataire de services doit garantir les mesures nécessaires pour assurer un consentement libre, spécifique, informé et indubitable et le documenter.
Conformément au point 10, 3° de l'avis 16/2019 de l'Autorité de protection des données, il est spécifié que la personne peut donner son consentement pour que le prestataire de services ait accès au contenu d'un message uniquement pour la réception de services à valeur ajoutée dans le but de traiter les données strictement nécessaires pour offrir le service à valeur ajoutée. Strictement nécessaires veut dire que le service ne peut être offert sans le traitement de ces données.
Les remarques de l'Autorité aux points 5 à 9 ne peuvent cependant pas être prises en compte.
La possibilité pour les prestataires de services agréés d'accéder au contenu des messages est en effet explicitement prévue à l'article 11, § 5, de la loi du 27 février 2019. Cette possibilité a été prévue par le législateur afin que les prestataires de services agréés puissent offrir des services innovants pour lesquels le traitement de données de fond est strictement nécessaire. Si ces services à valeur ajoutée peuvent être offerts purement sur la base de de métadonnées, les prestataires de services ne peuvent donc pas demander au destinataire, en vertu de la loi, un accès au contenu des messages pour offrir ces services.
Une première garantie relative au traitement de données de fond est l'exigence de nécessité : le prestataire ne peut demander au destinataire l'autorisation de bénéficier d'un accès que lorsqu'il est techniquement impossible...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI