SERVICE PUBLIC FEDERAL INTERIEUR

Appel aux candidatures en vue de l'obtention d'un agrément en tant qu'organisme d'avis pour la vérification de la conformité des systèmes de collecte en ligne utilisés pour la collecte des déclarations de soutien à une initiative citoyenne lorsque les données collectées sont conservées en Belgique, aux spécifications techniques fixées par la Commission européenne en exécution du Règlement européen (EU) n° 211/2011 du 16 février 2011 du Parlement européen et du Conseil relatif à l'initiative citoyenne 1. Agrément Le présent avis constitue un appel aux candidatures à l'obtention d'un agrément en tant qu'organisme d'avis pour la vérification de la conformité aux spécifications techniques fixées par le Règlement d'exécution (UE) n° 1179/2011 de la Commission du 17 novembre 2011 « établissant des spécifications techniques pour les systèmes de collecte en ligne conformément au Règlement (UE) n° 211/2011 du Parlement européen et du Conseil relatif à l'initiative citoyenne », publié au journal officiel de l'Union européenne le 18/11/2011, des systèmes de collecte en ligne utilisés pour la collecte des déclarations de soutien exprimées en faveur d'une initiative citoyenne lorsque les données collectées sont conservées en Belgique. Seules les candidatures des organismes disposant d'une certification ISO/IEC 27.006 délivrée par un organisme accrédité au niveau européen seront prises en considération.

Parmi les dossiers de candidatures qui seront introduits pour le 30 mars 2012 au plus tard, suite à cette publicité, le Ministre de l'Intérieur soumettra au Roi, via le Conseil des Ministres, un projet d'arrêté portant agrément des organismes qui auront satisfait aux conditions reprises aux points 5 et 6 du présent avis.

L'agrément du ou des organismes en question sera notifié aux organismes qui se seront portés candidats. Les organismes qui n'ont pu obtenir un agrément car ne réunissant pas les conditions pour être agréés en seront également informés. 2. Introduction : le cadre juridique 2.1. Le règlement relatif à l'initiative citoyenne a été adopté par le Parlement européen et le Conseil de l'Union européenne, respectivement en décembre 2010 et le 14 février 2011, et signé par ces deux institutions le 16 février 2011 (publié au Journal officiel de l'Union européenne du 11 mars 2011).

Cet instrument de démocratie participative permet à un million de citoyens issus d'au moins un quart des Etats membres, d'appeler la Commission à modifier la loi européenne.

Instaurée par le traité de Lisbonne, l'initiative citoyenne est ainsi une nouvelle forme de participation à l'élaboration des politiques de l'Union européenne.

En vertu du nouveau règlement, l'Initiative citoyenne doit concerner « un problème où une loi de l'Union qui peut être adoptée afin de mettre en oeuvre les traités » et se situer « dans le cadre des pouvoirs de la Commission de faire une proposition ». 2.2. Dans chaque Etat membre de l'UE, le nombre minimal de signatures à recueillir est calculé en multipliant par 750 le nombre de ses députés au Parlement européen. L'âge minimal des signataires sera celui requis pour voter aux élections européennes. Pour la Belgique, le nombre minimum de signatures à recueillir est fixé à 16 500. 2.3. Les initiatives proposées devront faire l'objet d'une inscription sur un registre en ligne mis à disposition par la Commission; l'enregistrement pourra être refusé si l'initiative est manifestement contraire aux valeurs fondamentales de l'Union ou qu'elle sort clairement du cadre des compétences de la Commission qui ne peut donc proposer l'acte juridique demandé.

Une fois le feu vert de la Commission obtenu, les organisateurs peuvent commencer à collecter le million de signatures nécessaires.

Les déclarations de soutien pourront être collectées sur papier ou en ligne; les organisateurs de l'initiative citoyenne disposeront d'un an pour recueillir les signatures nécessaires, une fois l'enregistrement de la proposition confirmé par la Commission. 2.4. Afin de faciliter et de sécuriser la collecte en ligne de déclarations de soutien, la Commission a mis au point des normes techniques. Celles-ci sont reprises dans le Règlement d'exécution (UE) n° 1179/2011 de la Commission du 17 novembre 2011 « établissant des spécifications techniques pour les systèmes de collecte en ligne conformément au Règlement (UE) n° 211/2011 du Parlement européen et du Conseil relatif à l'initiative citoyenne », publié au Journal officiel de l'Union européenne le 18 novembre 2011.Un logiciel libre intégrant les dispositifs de sécurité et techniques adéquats pour se conformer aux dispositions du règlement a également été développé. Ce logiciel est mis à disposition gratuitement (https://joinup.ec.europa.eu/ software/ocs/release/100). Les organisateurs d'une initiative citoyenne peuvent également collecter des déclarations de soutien au moyen d'un autre logiciel. Celui-ci doit néanmoins avoir été certifié conforme aux normes techniques édictées par la Commission européenne. 2.5. Chaque Etat membre de l'UE désigne l'autorité compétente chargée de délivrer le certificat attestant que le système de collecte en ligne utilisé pour la collecte des déclarations de soutien est conforme aux conditions posées à l'article 6.4 du règlement (dispositifs de sécurité et dispositifs techniques adéquats). En Belgique, le Ministre de l'Intérieur est désigné comme l'autorité compétente pour certifier les systèmes de collecte en ligne lorsque les données collectées au moyen dudit système sont conservées en Belgique. La Direction générale Institutions et Population au sein du SPF Intérieur prendra en charge la mission consistant dans la supervision et le suivi des audits qui seront réalisés dans ce contexte.

Conformément à l'article 6, § 3, du règlement précité, lorsque le système est conforme aux conditions (dispositifs de sécurité et techniques adéquats) énoncées au § 4 du même article de ce même règlement, mis en oeuvre par le Règlement d'exécution de la Commission (EU) n° 179/2011 du 17 novembre 2011 « établissant les spécifications techniques pour les systèmes de collecte en conformément au Règlement (UE) n° 211/2011 du Parlement européen et du Conseil relatif à l'initiative citoyenne », publié au Journal Officiel du 18 novembre 2011, l'autorité compétente délivre dans un délai d'un mois, un certificat à cet effet, conformément au modèle figurant à l'annexe IV du Règlement n° 211/2011 susvisé. 2.6. Chaque Etat membre désigne également l'autorité compétente chargée de coordonner le processus de vérification des déclarations de soutien (voir article 15, § 2, du Règlement n° 211/2011 précité).

La vérification interviendra pour les personnes résidant en Belgique (inscrites dans les registres belges) et pour les ressortissants belges résidant à l'étranger (inscrits dans les registres consulaires de population), sur la base de la mention de leurs nom et prénoms, de leur lieu et date de naissance, de leur nationalité et de leur résidence. L'authentification des signatures n'est pas requise. La vérification doit être réalisée dans un délai de 3 mois à compter de la réception de la demande soumise par l'organisateur de l'initiative (voir article 8, § 2, du Règlement n° 211/2011 précité).

Pour la Belgique, le Ministre de l'Intérieur a également été désigné, en exécution de l'article 15, § 2, du règlement précité, comme étant l'autorité compétente pour coordonner le processus de vérification des déclarations de soutien et pour délivrer le certificat conforme au modèle figurant à l'annexe VI du Règlement n° 211/2011, la Direction générale Institutions et Population au sein du SPF Intérieur étant chargée d'effectuer ces opérations de vérification. 3. Mise en oeuvre du règlement en ce qui concerne la certification des systèmes de collecte en ligne 3.1. Afin de mettre les technologies modernes au service de la démocratie participative, le Règlement prévoit que les déclarations de soutien peuvent être recueillies aussi bien en ligne que sur papier.

Les données collectées étant des données à caractère personnel, la Directive 95/46 du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données s'applique pleinement de même que la loi belge du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

Dans ce contexte, les organisateurs de l'initiative citoyenne et les autorités compétentes des Etats membres sont les responsables du traitement au sens de la directive et de la loi précitée.

En leur qualité de responsables du traitement des données collectées dans le cadre de l'initiative citoyenne, les organisateurs doivent prendre toutes les mesures appropriées pour se conformer aux obligations concernant la licéité du traitement, la sécurité des activités de traitement des données, la fourniture d'informations et le droit des personnes concernées d'accéder aux données à caractère personnel les concernant ainsi que, le cas échéant, de les faire rectifier et effacer. 3.2. En sa qualité de responsable de traitement, l'autorité nationale désignée pour « certifier » les systèmes de collecte en ligne ne pourra délivrer le certificat ad hoc que si, sur la base des contrôles et vérifications appropriés auxquels elle aura fait procéder, elle dispose des garanties suffisantes que les systèmes de collecte en ligne satisfont aux dispositions de l'article 6, § 4, du Règlement précité quant aux dispositifs de sécurité et techniques adéquats, à savoir : a) seules des personnes physiques peuvent soumettre un formulaire de déclaration de soutien;b) les données fournies en ligne sont collectées et stockées d'une manière sécurisée, afin notamment de garantir qu'elles ne puissent être ni modifiées, ni utilisées à d'autres fins que pour soutenir l'initiative citoyenne concernée et pour protéger les données à caractère personnel d'une destruction fortuite ou illicite, d'une perte, d'une altération, d'une divulgation ou d'un accès non autorisé;c) le système peut générer des formulaires pour les déclarations de soutien sous une forme respectant les modèles figurant à l'annexe III du Règlement, afin de permettre une vérification par les Etats membres. L'objectif de ces exigences est le suivant : - s'assurer que la personne qui soutient une initiative est bien "réelle" et qu'il ne s'agit pas d'un ordinateur. Il y a lieu en effet d'éviter qu'une personne s'inscrive plusieurs fois ou s'inscrive en utilisant les données de quelqu'un d'autre. La fraude est couverte par d'autres dispositions du règlement. - s'assurer que les données fournies par les signataires ne puissent pas être utilisées à d'autres fins (et qu'elles ne puissent donc pas être utilisées pour une autre initiative citoyenne), et qu'on ne puisse pas les falsifier, les perdre, etc. Il s'agit là d'exigences générales contenues dans la législation sur la protection des données, à savoir l'article 6 (1) (b) de la Directive 95/46/CE qui établit le « principe de limitation des finalités » pour les activités de traitement des données, et elles sont notamment déjà prévues par l'article 17 de cette Directive en ce qui concerne l'établissement de mesures techniques et organisationnelles de sécurité adéquates afin de protéger les données à caractère personnel contre un accès illicite ou fortuit, la destruction, la perte, l'altération ou la divulgation. La finalité de cette disposition n'est par conséquent pas d'établir de nouvelles règles mais de veiller à ce que la conformité avec ces dispositions sur la protection des données soit assurée. - de veiller à ce que les systèmes de collecte en ligne puissent générer des déclarations de soutien sous le même format que les déclarations de soutien sur papier afin de s'assurer que tous les Etats membres soient capables de les vérifier. En pratique, cette disposition signifie que le format du formulaire qui apparaît en ligne peut différer du format figurant à l'Annexe III (tel que prévu à l'article 6 (1), troisième paragraphe) et que les formulaires peuvent être adaptés pour les besoins de la collecte en ligne. Une fois que les citoyens se sont inscrits à une initiative citoyenne, le système devrait être à même de générer des déclarations de soutien reprenant les données des signataires sous le même format que celui figurant à l'Annexe III. N.B. Les formulaires de déclaration de soutien étant spécifiques au pays, ils peuvent être adaptés pour chaque Etat membre et ne contenir que les champs de données nécessaires pour chacun d'eux (cf. le point 2.6 du présent avis : la liste des données).

Le constat que les dispositifs de sécurité et techniques dont est doté un système de collecte en ligne sont adéquats au regard des conditions susvisées interviendra sur la base du résultat des vérifications et des contrôles effectués en vue de s'assurer que ledit système est conforme à toutes les spécifications techniques fixées par la Commission. Ces spécifications techniques constituent un point de référence sur lequel se baser pour vérifier le système et délivrer le certificat. 3.3. Au sein du SPF Intérieur, la Direction générale Institutions et Population prendra en charge la supervision et le suivi des opérations d'audit de sécurité qui seront menées dans ce contexte. Elle fera appel, pour l'exécution desdites opérations, à un organisme qui sera préalablement agréé à cette fin par arrêté royal délibéré en Conseil des Ministres. 4. Explications concernant la procédure et le scénario de certification - Portée de la mission de l'organisme d'avis 4.1. Définition Un système de collecte en ligne au sens du Règlement (EU) n° 211/2011 est un système d'information consistant en un software et un hardware, en un environnement d'hébergement, en des processus métier et en une équipe, en vue de réaliser en ligne la collecte des déclarations de soutien. 4.2. Procédure L'article 6 du Règlement prévoit les procédures suivantes pour la certification des systèmes de collecte en ligne : - les organisateurs doivent demander la certification de leur système à l'autorité compétente de l'Etat membre où les données seront stockées (le Règlement spécifie que les données doivent être stockées sur le territoire d'un Etat membre); - un seul Etat membre doit en principe certifier un système de collecte en ligne utilisé pour une initiative se déroulant dans plusieurs Etats membres; - les Etats membres doivent reconnaître les certificats délivrés par les autorités compétentes d'autres Etats membres; - un système ne peut être certifié que pour une seule initiative citoyenne. Si les organisateurs veulent utiliser le même système pour une autre initiative, ils doivent à nouveau faire certifier leur système pour cette nouvelle initiative; - les organisateurs doivent demander la certification même s'ils utilisent le logiciel fourni par la Commission. Le logiciel en tant que tel n'est pas suffisant pour obtenir la certification du système.

Le processus de certification pourrait néanmoins être facilité puisque, à condition que le logiciel n'ait pas été modifié, seule la sécurité de l'infrastructure devrait alors être vérifiée.

L'autorité compétente dispose d'un mois à dater de la demande de l'organisateur de l'initiative citoyenne pour délivrer ou refuser de délivrer le certificat de conformité. 4.3. Les spécifications techniques proprement dites auxquelles doivent répondre les systèmes de collecte en ligne.

Ces spécifications sont fixées par le Règlement d'exécution (UE) n° 1179/2011 de la Commission du 17 novembre 2011 « établissant des spécifications techniques pour les systèmes de collecte en ligne conformément au Règlement (UE) n° 211/2011 du Parlement européen et du Conseil relatif à l'initiative citoyenne », publié au Journal officiel de l'Union européenne le 18 novembre 2011. 4.4. Mission de l'organisme d'avis Effectuer les contrôles et vérifications qui s'imposent, établir un rapport d'audit détaillant pour chacun desdits contrôles et vérifications, la méthode utilisée et le résultat, rapport dont la conclusion consistera en un avis formel et explicite quant à la conformité ou la non-conformité du système de collecte en ligne audité aux exigences posées par l'article 6 (4) du Règlement et aux spécifications techniques visées sous le point 4.3 du présent avis. 5. Conditions minimales auxquelles doivent répondre les organismes pour être agréés en tant qu'organismes d'avis pour la vérification de la conformité des systèmes de collecte en ligne aux spécifications techniques fixées par la Commission européenne en exécution du Règlement européen (EU) n° 211/2011 du 16 février 2011 du Parlement européen et du Conseil relatif à l'initiative citoyenne : 1° être titulaire d'une certification ISO/IEC 27.006 délivrée par un organisme accrédité au niveau européen; 2° justifier d'une expérience opérationnelle utile, au cours des 5 dernières années, dans l'application de la norme ISO/IEC 27.001; 3° s'engager à transmettre par la voie électronique une offre ferme de prix signée dans les 3 jours au plus tard de la demande d'audit émanant de la Direction générale Institutions et Population.Cette offre de prix sera également confirmée par envoi postal; 4° s'engager à remettre les rapports d'audit par courrier électronique et par courrier recommandé à la poste, au plus tard dans les 10 jours de la transmission, par courrier électronique, du bon de commande de l'audit signé par un fonctionnaire dûment habilité de la Direction générale Institutions et Population.La commande sera confirmée par courrier postal recommandé. 6. Dépôt des candidatures Les dossiers de candidatures devront être adressés par lettre recommandée à la poste pour le 30 mars 2012 au plus tard à : SPF Intérieur Direction générale Institutions et Population A l'attention de M.J. VERHEGGEN, Conseiller Park Atrium Rue des Colonies 11 1000 Bruxelles.

Le dossier de candidature établit clairement de manière motivée et avec les pièces et documents nécessaires à l'appui, que l'organisme candidat satisfait aux conditions visées sous le point 5 pour être agréé en tant qu'organisme d'avis pour la vérification de la conformité des systèmes de collecte en ligne utilisés pour la collecte des déclarations de soutien à une initiative citoyenne lorsque les données collectées sont conservées en Belgique, aux spécifications techniques fixées par la Commission européenne en exécution du Règlement européen (EU) n° 211/2011 du 16 février 2011 du Parlement européen et du Conseil relatif à l'initiative citoyenne. Le dossier de candidature devra mentionner les informations étant à considérer comme confidentielles et/ou se rapportant à des secrets techniques ou commerciaux et ne pouvant dès lors être divulguées par l'autorité appelée à octroyer l'agrément sollicité.

Il devra obligatoirement contenir les éléments d'information mentionnés ci-après : * la raison sociale ou la dénomination de l'organisme candidat; * sa forme juridique; * sa nationalité; * son siège social; * les coordonnées de son délégué commercial susceptible d'être consulté; * le numéro et la dénomination du compte financier de l'organisme candidat sur lequel les paiements doivent être effectués ainsi que, si l'organisme candidat a son siège en dehors de la Belgique, l'indication exacte et complète du compte financier sur lequel doivent s'effectuer les paiements; * l'identification et la nationalité des éventuels sous-traitants et membres du personnel auxquels l'organisme candidat sera susceptible de faire appel pour l'accomplissement de sa mission d'audit; * les noms, prénoms, qualité et signature de la personne habilitée à faire acte de candidature au nom de l'organisme candidat (les documents justifiant cette capacité doivent être joints au dossier); * la date à laquelle la personne visée au point précédent a signé la lettre de candidature; * le numéro d'immatriculation complet de l'organisme candidat auprès de la Banque-Carrefour des Entreprises (si l'organisme candidat a son siège en Belgique). 7. Critère pour la désignation de l'organisme chargé d'auditer un système de collecte en ligne utilisé lors d'une initiative citoyenne Lors de chaque initiative citoyenne dans le cadre de laquelle il sera recouru à un système de collecte en ligne pour la collecte des déclarations de soutien lorsque les données collectées seront conservées en Belgique, la Direction générale Institutions et Population enverra par courrier électronique une demande urgente de remise de prix pour l'audit de ce système à l'ensemble des organismes agréés.Cette demande sera confirmée le jour même par courrier postal recommandé.

La mission d'audit du système de collecte en ligne sera confiée à l'organisme agréé qui aura remis, au plus tard dans les trois jours de la demande, par envoi électronique confirmé par voie postale, l'offre de prix ferme la plus basse.

Pour tout renseignement complémentaire, contact peut être pris avec Mme C.ROUMA, Directeur opérationnel (tél : 02-518 20 31- adresse e-mail : christiane.rouma@rrn.ibz.fgov.be ) ou M. Marc Ruymen, Informaticien (tél : 02-518 22 65- adresse e-mail : marc.ruymen@rrn.ibz.fgov.be).

La Ministre de l'Intérieur, Mme J. MILQUET