Arrêté royal relatif aux mesures de sécurité et aux normes techniques minimales des systèmes informatiques policiers qui produisent le cachet électronique avancé et aux mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée, de 18 juillet 2021
CHAPITRE Ier. - DEFINITIONS
Article 1er. Pour l'exécution du présent arrêté, on entend par :
-
" Règlement eIDAS " : le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
-
" signature électronique qualifiée " : la signature visée à l'article 3.12 du Règlement eIDAS ;
-
" cachet électronique avancé " : le cachet visé à l'article 3.26 du Règlement eIDAS ;
-
" service de signature de la police " (Police Signing Service) : le service informatique de la police qui produit le cachet électronique avancé, ainsi que les mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée ;
-
" coordonnées de la personne morale ": pour la police locale et la police fédérale, leur numéro d'entreprise respectif auprès de la Banque Carrefour des Entreprises ;
-
" authentification forte " : une authentification des membres du personnel des services de police dont l'identité est préalablement vérifiée dans le registre national des personnes physiques et dont les fonctions sont précisées et tenues à jour dans un registre interne aux services de police, et reposant sur l'utilisation de deux éléments : un élément "connaissance" (quelque chose que seul le membre du personnel connaît) et un élément "possession" (quelque chose que seul le membre du personnel possède) ;
-
" procès-verbal " : le corps du procès-verbal et, le cas échéant, ses annexes ;
-
" données relatives à l'identification du créateur du cachet avancé " : Geïntegreerde Politie - Police Intégrée - Integrierte Polizei, BE, OrganizationIdentifier : PSDBE-NTRBE-0869909460, Mail : dri.services@police.belgium.eu, Téléphone : +32 2 554 40 00 ;
-
clé privée et clé publique : les clés utilisées dans la cryptographie asymétrique qui servent à chiffrer et déchiffrer les données.
CHAPITRE II. - MESURES DE SECURITE ET NORMES TECHNIQUES MINIMALES DES SYSTEMES POLICIERS QUI PRODUISENT LE CACHET ELECTRONIQUE AVANCE
Art. 2. Le service de signature de la police est intégré dans un environnement informatique comprenant :
-
un antimalware et un antivirus à jour ;
-
un système de détection et de blocage des intrusions ou des accès non autorisés ;
-
une procédure de mise à jour des logiciels ;
-
une gestion des incidents, y compris leur communication ;
-
des procédures de back-up et de continuité des activités.
Art. 3. Afin d'assurer l'intégrité des données, le service de signature de la police utilise une fonction de condensation des procès-verbaux.
La fonction de condensation permet d'assurer que le procès-verbal est associé à un seul condensé.
L'algorithme de condensation sécurisé doit être au moins un " Secure Hash Algorithm 256 ".
L'algorithme est calculé sur la base du contenu du procès-verbal signé électroniquement ayant fait l'objet de la condensation de sorte que sur la base d'une condensation déterminée, il n'y ait qu'un seul code de condensation qui corresponde à un contenu déterminé.
Si le contenu d'un procès-verbal signé électroniquement par cachet avancé est modifié, le code de condensation est différent.
Le code de condensation original permet également de déterminer si le procès-verbal signé électroniquement a été modifié.
Art. 4. Le service de signature de la police utilise un mécanisme de chiffrement du condensé du procès-verbal basé sur l'emploi d'une clé privée et d'un certificat électronique.
La vérification de l'identité du créateur du cachet est réalisée en ouvrant un procès-verbal signé par cachet avancé à l'aide du programme qui visualise le procès-verbal et qui utilise la clé publique associée à la clé privée pour déchiffrer les informations de signature électronique.
La validité du procès-verbal et de la signature peut être vérifiée au moyen d'un certificat de clé publique mis à disposition en ligne par la police intégrée, de sorte que ce certificat puisse être importé sur un appareil afin qu'il soit identifié comme un certificat de confiance lorsqu'il est utilisé pour une vérification ultérieure de l'identité.
Ce certificat de clé publique comprend notamment les données relatives à l'identification du créateur du cachet avancé (" DRI integrated police "), la clé publique ainsi que la durée de validité.
Art. 5. Le stockage et la gestion des certificats de signature électronique valides, expirés ou périmés sont réalisés par la direction de l'information policière et des moyens ICT de la police fédérale, après avis du délégué à la protection des données désigné auprès du Commissariat général.
Les clés privées sont sécurisées de manière adéquate dans l'infrastructure informatique et les bâtiments de la police intégrée, tant durant leur stockage que pendant leur utilisation.
Art. 6. Le service de signature de la police utilise un mécanisme d'horodatage. Ce mécanisme est associé à chaque signature par cachet.
Art. 7. Le service de signature électronique de la police n'est accessible à des fins de signature que pour les membres des services de police s'étant préalablement :
-
identifiés avec un identifiant unique en fonction d'un profil d'accès spécifique et
-
authentifiés à l'aide d'un moyen d'authentification forte.
Art. 8. Les traitements réalisés à l'aide de ce service font l'objet d'une journalisation au sens de l'article 56 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel qui est conservée 5 ans après la destruction du procès-verbal. Cette journalisation permet notamment de réaliser un traçage de toute création, modification ou destruction du procès-verbal, signé par cachet avancé.
Art. 9. Lors de l'utilisation du service de signature de la police dans le cadre de l'article 40, § 3 de la loi sur la fonction de police, le cachet électronique avancé est apposé par le membre du personnel qui utilise le cachet avancé uniquement lors d'un processus humain volontaire et ne peut pas être apposé inopinément.
Cette apposition est reprise dans la journalisation de sorte que le moment d'apposition, la personne qui a demandé cette apposition et les procès-verbaux signés puissent être contrôlés.
Lors de l'utilisation du service de signature de la police dans le cadre de l'article 40, § 6 de la loi sur la fonction de police, le cachet électronique avancé est apposé lors d'un processus automatique maîtrisé et le cachet ne peut pas être apposé inopinément.
Art. 10. Les mesures de sécurité et les normes techniques permettant d'assurer un niveau de confidentialité, de disponibilité, d'intégrité, de fiabilité, d'authenticité et d'irréfutabilité du service de signature électronique de la police sont auditées au minimum tous les 5 ans.
Le rapport d'audit détaille les 15 paramètres repris dans l'annexe 1.
Le Commissariat général de la police fédérale réalise ces audits.
Le premier audit a lieu au plus tard 12 mois après la parution de cet arrêté royal. Le rapport d'audit est transmis à l'Organe de contrôle de l'information policière.
Art. 11. En cas de traitement par un sous-traitant, les mesures de sécurité et normes techniques reprises au chapitre II du présent arrêté sont contractuellement applicables au sous-traitant. Les traitements qui sont réalisés par un sous-traitant font également l'objet de l'audit prévu à l'article 10.
CHAPITRE III. - Mentions qui figurent dans le cachet électronique avancé et dans la signature électronique qualifiée
Art. 12. § 1er. Quand un procès-verbal est signé avec le cachet électronique avancé ou la signature électronique qualifiée, les mentions suivantes sont visualisées dans un environnement matérialisé :
-
" signé électroniquement ", dans la langue de rédaction du procès-verbal ;
-
les données d'identification du ou des signataire(s) en cas de signature électronique qualifiée et les coordonnées de la personne morale qui signe en cas de signature par cachet électronique avancé.
§ 2. Quand un procès-verbal est signé avec le cachet électronique avancé ou la signature électronique qualifiée, au minimum, les mentions suivantes sont visualisées dans un environnement dématérialisé :
-
-
les données d'identification du ou des signataire(s) en cas de signature électronique qualifiée et les coordonnées de la personne morale qui signe en cas de signature par cachet électronique avancé ;
-
les mentions relatives à la validité du certificat de cachet électronique avancé ou de signature électronique qualifiée ;
-
la date de la signature électronique du procès-verbal.
§ 3. Les mentions visées aux §§ 1er et 2 sont créées au moment de l'utilisation du cachet électronique avancé ou de la signature électronique qualifiée.
Art. 13. Le Ministre qui a l'Intérieur dans ses attributions et le Ministre qui a la Justice dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.
ANNEXE.
Art. N.L'audit des mesures de sécurité et des normes techniques permettant d'assurer un niveau de confidentialité, de disponibilité, d'intégrité, de fiabilité, d'authenticité, d'irréfutabilité du service de signature électronique de la police (Police Signing Service) porte sur les 15 paramètres suivants :
1) La politique de sécurité de l'information et les plans de sécurité concernant le Police Signing Service, c'est-à-dire :
-
la stratégie des services de police ;
-
les réglementations, la législation et les contrats ;
-
l'environnement réel et anticipé des menaces liées à la sécurité de l'information.
2) L'organisation de la sécurité relative au Police Signing Service, c'est-à-dire :
-
l'identification des rôles et responsabilités des différents acteurs concernés par la sécurité de l'information ;
-
les données relatives au délégué à la protection des données compétent pour la mise en oeuvre et le...
-
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI