6 DECEMBRE 2002. - Arrêté royal organisant le contrôle et l'accréditation des prestataires de service de certification qui délivrent des certificats qualifiés

ALBERT II, Roi des Belges, A tous, présents et à venir, Salut.

Vu l'article 108 de la Constitution;

Vu la loi du 9 juillet 2001Documents pertinents retrouvés type loi prom. 09/07/2001 pub. 29/09/2001 numac 2001011298 source ministere des affaires economiques Loi fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification fermer fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification, et notamment l'article 17, § 2, et l'article 20;

Considérant que le Parlement européen et le Conseil ont adopté, le 13 décembre 1999, la Directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques;

Vu l'avis de l'Inspecteur des finances, donné le 23 octobre 2001;

Vu l'accord du Ministre du Budget, donné le 1er février 2002;

Vu la délibération du Conseil des Ministres, le 19 avril 2002 sur la demande d'avis dans le délai d'un mois;

Vu l'avis 33.692/1 du Conseil d'Etat donné le 26 septembre 2002, en application de l'article 84, alinéa 1er, 1°, des lois coordonnées sur le Conseil d'Etat;

Sur la proposition de Notre Ministre de l'Economie, et de l'avis de Nos Ministres qui en ont délibéré en Conseil, Nous avons arrêté et arrêtons : CHAPITRE Ier. - Dispositions préliminaires

Article 1er.Pour l'application du présent arrêté, il faut entendre par : 1° "la loi" : "la loi du 9 juillet 2001Documents pertinents retrouvés type loi prom. 09/07/2001 pub. 29/09/2001 numac 2001011298 source ministere des affaires economiques Loi fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification fermer fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification";2° "déclaration de pratique de certification" : "un document qui décrit les pratiques d'un prestataire de service de certification dans la gestion des services qu'il propose au public, en particulier la délivrance et la gestion des certificats, et le maintien de l'infrastructure à clé publique";3° "instance compétente" : "instance chargée sur la base de dispositions légales ou réglementaires, par l'Etat fédéral, les Régions ou les Communautés, de participer à la conception ou à l'implémentation de l' « e-government »";4° "audit" : "examen des pratiques d'un prestataire de service de certification en vue d'évaluer sa conformité aux critères d'accréditation établis";5° "auditeur" : "personne qui procède, en totalité ou en partie, aux opérations requises pour un audit";6° "critères d'accréditation" : "l'ensemble des exigences reprises dans l'article 17, § 1er, de la loi ainsi que, le cas échéant, des exigences additionnelles nécessaires pour les services complémentaires assurés par ou sous la responsabilité du prestataire de service de certification (par exemple horodatage)";7° "référentiel d'accréditation" : "document de référence détaillant les moyens techniques pouvant être mis en oeuvre pour être conforme aux critères d'accréditation";8° "lignes directrices relatives à l'accréditation" : "documents de référence utilisés lors des audits pour déterminer la façon dont la conformité aux critères d'accréditation peut être démontrée". CHAPITRE II. - Système d'accréditation "BE.SIGN" et procédures

Art. 2.Un système d'accréditation des prestataires de service de certification est créé sur la base des critères et procédures mentionnés ci-après. Ce système d'accréditation est dénommé "BE.SIGN".

Art. 3.§ 1er. La demande visant à l'obtention ou au renouvellement d'une accréditation "BE.SIGN" doit parvenir à l'Administration de la Qualité et de la Sécurité, Division Accréditation, Service de la Signature électronique du Ministère des Affaires économiques par courrier ordinaire, via le site internet http://mineco.fgov.be, ou par courrier électronique à BE.SIGN@mineco.fgov.be. § 2. Les demandes visées aux §§ 1er et 2 se font sur un formulaire établi par l'Administration, disponible également sous forme électronique. La demande doit être datée et signée, qu'elle soit sous forme manuscrite ou électronique. La signature, quand elle se présente sous forme électronique, doit répondre aux exigences de l'article 4, § 4 de la loi.

En annexe à sa demande d'accréditation, le prestataire de service de certification communique sa déclaration de pratique de certification. § 3. Dans les dix jours après réception de la demande, l'Administration fait un accusé de réception et informe le prestataire de service de certification des procédures à suivre. En particulier, l'Administration communique les dernières mises à jour des listes suivantes, en fonction des besoins : 1° les entités définies à l'article 2, 13° de la loi;2° les organismes compétents pour l'évaluation des dispositifs sécurisés de création de signature électronique par rapport aux exigences de l'annexe III de la loi, comme précisé à l'article 7, § 2 de la loi.

Art. 4.§ 1er. Le prestataire de service de certification, s'il ne possède pas encore l'attestation de conformité émise par une entité répondant à l'article 2, 13° de la loi, choisit librement parmi les entités celle qui sera chargée de son évaluation, et la désigne à l'Administration. L'entité désignée doit être indépendante financièrement et administrativement du prestataire de service de certification qu'elle évalue, et doit obtenir des garanties en ce qui concerne le payement de ses prestations d'évaluation et ce, quel que soit le résultat de celles-ci; elle ne peut en aucun cas lui fournir d'autres services. Un devis du coût de ces prestations évalue la garantie nécessaire et suffisante; cette garantie peut être apportée notamment sous la forme d'un payement anticipé, d'une garantie bancaire, d'une somme bloquée sur un compte ou de tout autre moyen accepté par l'entité.

L'entité effectue l'audit d'évaluation le plus rapidement possible et au plus tard dans les six mois suivant sa désignation par le prestataire de service de certification. § 2. L'Administration peut participer comme observateur aux audits d'évaluation des prestataires de service de certification, en collaboration étroite avec les entités. § 3. L'entité évalue le prestataire de service de certification et remet un rapport et une attestation d'audit à l'Administration. § 4. Si tous les éléments du rapport d'audit initial sont positifs, l'Administration octroie une accréditation "BE.SIGN" pour une durée de 3 ans.

En cas de doute, l'Administration peut demander un audit complémentaire. Ces frais d'audits sont à charge des prestataires de service de certification.

L'accréditation est renouvelable, sur base de rapports d'audits positifs. Ces derniers, appelés audits de renouvellement, sont aussi complets que les audits initiaux et sont effectués dans les trois mois qui précèdent la date d'expiration de l'accréditation. § 5. Quand, en raison de circonstances indépendantes de la volonté, soit de l'Administration, soit des entités, soit des prestataires de service de certification accrédités, la procédure de renouvellement ne peut être clôturée avant la date limite de validité de l'accréditation "BE.SIGN", l'Administration fait parvenir un avis de prolongation temporaire de la durée de validité de l'accréditation, dûment motivé et pour une durée maximale de six mois. La prolongation temporaire prend fin dès que la procédure normale est arrivée à son terme et n'entraîne pas de modification du calendrier normal de la procédure. § 6. Une surveillance des prestataires de service de certification accrédités est organisée par des audits périodiques planifiés par l'entité. Le prestataire de service de certification informe l'Administration du planning des audits périodiques et lui communique le résultat de ceux-ci.

En outre, des audits complémentaires peuvent être nécessaires : 1° pour le contrôle de mesures correctives exigées par un auditeur : - lors d'un audit de surveillance ou - lors d'un contrôle tel que prévu à l'article 20 de la loi;2° pour l'évaluation des systèmes utilisés par le prestataire de service de certification ou des éléments de sa gestion, si des changements importants ont été notifiés comme prévu au § 8 du présent article. Les audits complémentaires sont à charge du prestataire de service de certification.

Les audits complémentaires n'entraînent pas de modification du calendrier normal de surveillance. § 7. Tous les audits sont effectués sous la responsabilité des entités désignées.

Les frais d'audit sont à charge des prestataires de service de certification. § 8. Les prestataires de service de certification sont tenus de communiquer tous les changements de système ou de gestion dont la nature pourrait influencer, positivement ou négativement, le niveau de sécurité et de fiabilité qui résulte de la réponse correcte aux exigences reprises dans les annexes de la loi. § 9. Un prestataire de service de certification peut à tout moment demander une suspension de son accréditation "BE.SIGN" ou y renoncer définitivement. § 10. Dans les cas où, à la suite d'audits de surveillance, il apparaît que les conditions d'accréditation ne sont plus remplies, l'Administration applique les mesures précisées à l'article 20 §§ 3, 4 et 5 de la loi, et met en défaut le prestataire de service de certification jusqu'au moment où celui-ci est à nouveau en conformité avec les critères. Le délai de régularisation fixé par l'Administration est de 3 mois au plus, à moins que ce dernier ne soit prolongé à cause d'un recours du prestataire de service de certification, comme précisé à l'article 6, § 4, du présent arrêté. CHAPITRE III. - Le Comité technique : sa composition et ses attributions

Art. 5.§ 1er. Un Comité technique est créé auprès du Ministère des Affaires économiques et est composé de la manière suivante : 1° un représentant du Ministère des Affaires économiques, qui en assume la présidence;2° un représentant de chaque instance compétente telle que définie à l'article 1er, 3°. En outre, peuvent proposer des représentants : 1° les prestataires de service de certification, avec un maximum de trois représentants;2° les organisations les plus représentatives des entreprises concernées, avec un maximum de trois représentants;3° l'ensemble des organisations de consommateurs les plus représentatives, avec un maximum de trois représentants. § 2. Les membres du Comité technique sont désignés sur la base de leur compétence technique en matière d'accréditation des prestataires de service de certification. Ils sont nommés par le Ministre qui a les Affaires économiques dans ses attributions, sur proposition des instances concernées.

Pour chaque membre effectif, un suppléant peut être désigné. § 3. Le secrétariat permanent du Comité technique est assuré par l'Administration. § 4. Le Comité technique arrête son règlement d'ordre intérieur et fait rapport de ses activités au moins une fois par an au Ministre qui a les Affaires économiques dans ses attributions. § 5. Le Comité technique est chargé notamment : 1° de l'élaboration et de l'approbation du référentiel d'accréditation et des lignes directrices relatives à l'accréditation;2° de l'approbation de la liste des documents normatifs d'application en matière de signature électronique, pour l'accréditation des prestataires de service de certification;3° de l'approbation et du contrôle de la liste des entités;4° de veiller à l'instruction des recours et des plaintes tels que visés à l'article 6, § 1er;les membres du Comité technique doivent s'abstenir dans le cas où l'instance qu'ils représentent ou eux-mêmes sont directement concernés par une plainte ou un recours; 5° de la coordination des efforts menés en vue d'une reconnaissance internationale du système d'accréditation "BE.SIGN". CHAPITRE IV. - Du recours et des plaintes

Art. 6.§ 1er. Le Comité technique, sans les représentants des prestataires de service de certification, agit comme une Chambre de Recours qui a pour mission de recevoir et d'instruire : 1° tout recours d'un prestataire de service de certification accrédité, dans le cas où le retrait d'une accréditation "BE.SIGN" est envisagé par l'Administration; 2° tout recours d'un prestataire de service de certification non accrédité ayant été mis en défaut lors d'un contrôle prévu à l'article 7 du présent arrêté;3° toute plainte émise par un prestataire de service de certification, une instance compétente ou toute autre personne intéressée concernant l'exécution des procédures d'accréditation ou de contrôle, la référence au statut de prestataire de service de certification accrédité ou le fonctionnement d'un prestataire de service de certification. § 2. Les recours et plaintes visés à l'article 6, § 1er, doivent être motivés et envoyés par lettre recommandée, ou son équivalent électronique, adressée à la Chambre de Recours.

Tout recours concernant une décision de l'Administration doit être introduit endéans les dix jours suivant la notification de la décision. § 3. La Chambre de Recours procède à l'audition du requérant ou de son représentant et, le cas échéant, les membres d'une équipe d'audit concernée, endéans les soixante jours à dater de la réception du recours ou de la plainte.

La Chambre de Recours se fait délivrer toutes les pièces qu'elle juge utiles à l'instruction du dossier. Elle peut requérir l'avis d'experts.

La Chambre de Recours notifie son avis aux parties intéressées par lettre, ou son équivalent électronique, dans les dix jours après qu'elle ait rendu son avis. § 4. Dans les cas exceptionnels où l'avis de la Chambre de Recours ne pourrait être rendu endéans le délai de régularisation prévu à l'article 4, § 10, fixé par l'Administration, celle-ci augmente raisonnablement le délai afin de permettre au prestataire de service de certification de prendre les mesures correctives nécessaires qui pourraient résulter de la prise en compte de cet avis. CHAPITRE V. - Du contrôle

Art. 7.§ 1er. L'Administration peut, à tout moment, prendre l'initiative d'un contrôle inopiné chez un prestataire de service de certification qui délivre des certificats qualifiés. § 2. L'Administration peut faire appel aux services d'un ou de plusieurs experts afin de l'aider dans sa mission de contrôle.

Les experts désignés doivent être indépendants, financièrement et administrativement, par rapport aux prestataires de service de certification. § 3. L'Administration peut à tout moment soumettre aux prestataires de service de certification actifs une demande de leur "déclaration de pratique de certification".

Les réponses doivent parvenir à l'Administration dans un délai de vingt jours. § 4. Les dépenses relatives aux contrôles sont à charge du Ministère des Affaires économiques.

Les moyens budgétaires requis à cet effet sont inscrits annuellement au budget général des dépenses.

Art. 8.Notre Ministre des Affaires économiques est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, le 6 décembre 2002.

ALBERT Par le Roi : Le Ministre de l'Economie, Ch. PICQUE