Aller au contenu principal
| NL | FR | DE
Connexion S'inscrire

Wetsontwerp relatif à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité SOMMAIRE Pages Résumé 3 Exposé des mots. 4 Avant-projet 40 Analyse d'impact. st Avis du Conseil d'État 75 Projet de loi 88 Tableau de correspondance réglement = projet de loi … 124 Tableau de correspondance projet de lo - règlement … 134

Détails du document

🏛️ KAMER Législature 55 📁 2693 Wetsontwerp 📅 2022-05-24 🌐 FR
Status ✅ AANGENOMEN KAMER
Adoptée 📅 14/04/2022
Commission ECONOMIE, CONSUMENTENBESCHERMING EN DIGITALISERING
Auteur(s) Regering
Rapporteur(s) Leoni, Leslie (PS)
Sujets
BESCHERMING VAN DE CONSUMENT EG-VERORDENING OPENBARE VEILIGHEID GEGEVENSBESCHERMING INFORMATIETECHNOLOGIE COMMUNAUTAIRE CERTIFICATIE

Législation associée

17 FEVRIER 1994. - La Constitution coordonnée. (NOTE : Consultation des versions antérieures à partir du 19-04-1996 et mise à jour au 20-06-2025)

📁 Dossier 55-2693 (6 documents)

📋
001 wetsontwerp
📋
002 wetsontwerp
📊
003 verslag
📊
004 verslag
📊
005 verslag
📋
006 wetsontwerp
Voir le dossier complet sur dekamer.be

Texte intégral

24 mai 2022 de Belgique SOMMAIRE Pages Tableau de correspondance règlement – projet de loi ....124 relatif à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité PROJET DE LOI

N-VA : Nieuw-Vlaamse Alliantie Ecolo-Groen Ecologistes Confédérés pour l’organisation de luttes origi PS Parti Socialiste VB Vlaams Belang MR Mouvement Réformateur CD&V Christen-Democratisch en Vlaams PVDA-PTB Partij van de Arbeid van België – Parti du Travail de Belgi Open Vld Open Vlaamse liberalen en democraten Vooruit Vooruit Les Engagés Les Engagés DéFI Démocrate Fédéraliste Indépendant INDEP-ONAFH : Indépendant – Onafhankelijk

RÉSUMÉ

Ce projet de loi vise à mettre en œuvre le Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013, ci-après : le “Règlement sur la cybersécurité” (ou en anglais Cybersecurity Act – “CSA”).

Ce règlement exige l’adoption de dispositions en droit national afin de le mettre en œuvre, notamment pour les inspections, réclamations, recours, sanctions, collaboration entre autorités. Ce projet de loi est relatif à la certification de cybersécurité des technologies de l’information et des communications et porte désignation d’une autorité nationale de certification de cybersécurité (“ANCC”). Le Règlement sur la cybersécurité crée un cadre pour la délivrance et la reconnaissance mutuelle de certificats européens liés à la cybersécurité.

En établissant un système européen harmonisé de certifications en matière de cybersécurité, le Règlement sur la cybersécurité vise à accroître la transparence de l’assurance en matière de cybersécurité des produits, services et processus des technologies de l’information et des communications (ci-après “TIC”) et, partant, de renforcer la confiance dans le marché intérieur numérique ainsi que sa compétitivité.

Le recours aux certifications prévues par le Règlement sur la cybersécurité demeure volontaire. Toutefois, chaque État membre peut décider éventuellement de rendre obligatoires certaines de ces certifications, ce qui est encadré également par le présent projet. L’utilisation de certificats de cybersécurité pourra aussi faciliter les contrôles des autorités sectorielles ou de surveillance de marché. Les organismes d’évaluation de la conformité accrédités par l’autorité nationale d’accréditation délivreront, en principe, les certificats de cybersécurité européens attestant d’un niveau d’assurance dit “élémentaire” ou “substantiel”.

L’ANCC sera elle chargée de délivrer les certifications au niveau d’assurance élevé dans notre pays. L’ANCC devra également s’assurer que toutes les règles liées à ce règlement seront correctement appliquées dans notre pays. Cette autorité sera également le représentant national au sein du Groupe européen de certification de cybersécurité (GECC)

EXPOSÉ DES MOTIFS

Mesdames, Messieurs, EXPOSÉ GÉNÉRAL (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et n° 526/2013, désigné ci-après le “Règlement sur la cybersécurité”. Cette mise en œuvre exige, en effet, l’adoption de certaines dispositions légales en droit interne pour fixer notamment: les pouvoirs des services d’inspection, les règles de sanctions, les procédures de réclamations et de recours, les habilitations légales pour effectuer certaines délégations, les règles générales d’indépendance, etc

COMMENTAIRE DES ARTICLES

CHAPITRE 1ER

Définitions et dispositions générales Section 1re Objet et champ d’application Sous-section 1re Objet Cette section précise le fondement légal et l’objet du projet de loi. L’autorité fédérale est compétente en cette matière car elle relève de la protection des consommateurs ainsi que de la sécurité publique, deux compétences fédérales. En effet, le Règlement sur la cybersécurité a, selon ses considérants 7 et 10, pour but de renforcer la confiance des consommateurs auprès des fournisseurs de services numériques et de faire en sorte que les consommateurs disposent d’informations précises sur le niveau d’assurance auquel la sécurité de leur produits TIC, services TIC et processus TIC a été certifiée. Pour rappel, la Cour constitutionnelle a jugé, dans son arrêt

n° 101/2013 du 9 juillet 2013 que “L’autorité fédérale est habilitée à fixer les règles générales en matière de protection des consommateurs” et ce, conformément à l’article 6, § 1er, VI, alinéa 4, 2°, de la loi spéciale du 8 août 1980 de réformes institutionnelles. De plus, le Règlement sur la cybersécurité a également pour objectif d’atténuer les risques liés à une numérisation et une connectivité accrue, rendant, selon le considérant 3, “l’ensemble de la société plus vulnérable aux cybermenaces et [exacerbant] les dangers auxquels sont confrontés les individus, notamment les personnes vulnérables telles que les enfants”.

À cette fin, le Règlement entend “prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l’Union afin que les réseaux et systèmes d’information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises – depuis les petites et moyennes entreprises (PME), telles qu’elles sont définies dans la recommandation 2003/361/CE de la Commission, jusqu’aux opérateurs d’infrastructures critiques – soient mieux protégés contre les cybermenaces”, toujours selon le même considérant.

Il en ressort clairement que le Règlement sur la cybersécurité porte sur la sécurité publique. Comme l’a rappelé la section de législation du Conseil d’État à plusieurs reprises, notamment dans ses avis n° 35 678, 43 644/4 et 63 972/4, “les règles relatives à la sécurité publique demeurent en principe de la compétence de l’autorité fédérale”. Sous-section 2 Champ d’application Art. 3 Cet article précise que les certifications de cybersécurité prévues par la présente loi peuvent porter sur plusieurs types d’objet, définis à l’article 2, 12), 13), et 14), du Règlement sur la cybersécurité: un produit TIC (un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma d’information), un service TIC (un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information) ou encore un processus TIC (un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance).

En effet, les organisations, les fabricants ou les fournisseurs impliqués dans la conception et le développement de produits TIC, services TIC ou processus TIC devraient être encouragés à mettre en œuvre, aux stades les plus précoces de la conception et du développement, des

mesures permettant de protéger au mieux la sécurité de ces produits, services et processus, de manière que la survenance de cyberattaques soit présumée et que leur incidence soit anticipée et minimisée. La sécurité devrait être prise en charge tout au long du cycle de vie du produit TIC, service TIC ou processus TIC par les processus de conception et de développement qui évoluent constamment pour réduire le risque de préjudice causé par une utilisation malveillante.

À l’exception des articles 21 et 22, les chapitres 5 et 6 de la loi ne sont pas applicables aux certifications européennes rendues obligatoires en vertu du droit de l’Union ou du droit national. Les articles 21 et 22 visent, en effet, le retrait, la suspension ou la limitation d’un certificat, d’une autorisation ou d’une délégation. Il s’agit d’une prérogative de l’autorité nationale de certification de cybersécurité, que l’on soit dans une certification volontaire ou obligatoire.

Le paragraphe 2, alinéa 2, prévoit que l’autorité nationale de certification de cybersécurité applique les dispositions relatives à la mise en demeure et au recours, lorsqu’elle compte faire usage des prérogatives prévues aux articles 21 et 22 dans le cadre de certification obligatoire. Les chapitres 5 et 6 (à l’exception des articles 21 et 22) ne sont pas applicables aux certifications obligatoires car ces dernières poursuivent, le cas échéant, un but plus spécifique justifiant des règles de contrôle et de sanctions différentes.

En effet, dans le cadre de la certification de cybersécurité volontaire, le régime légal a pour but de renforcer, de manière générale, la confiance des consommateurs et la sécurité publique en proposant des certifications de cybersécurité auxquelles les personnes peuvent choisir de se soumettre. Lorsqu’une certification de cybersécurité est rendue obligatoire en vertu du droit de l’Union ou du droit national, le régime légal poursuit un but plus spécifique: imposer auprès de certaines entités l’obtention du certificat de cybersécurité concerné.

À partir du moment où l’obtention d’un certificat de cybersécurité est considéré comme nécessaire et devient une obligation légale, des contrôles et des sanctions plus strictes peuvent se justifier. Le Roi peut néanmoins décider, à l’initiative de cette autorité publique et si cela s’avère nécessaire, de lui accorder les mêmes pouvoirs de contrôle et de sanctions que ceux attribués à l’autorité nationale de certification de cybersécurité, assortis des mêmes possibilités de recours pour les certifications volontaires et visés aux chapitres 5 et 6 de la loi.

En effet, les autorités publiques qui souhaiteraient rendre obligatoire l’obtention d’un certificat de cybersécurité et qui ne bénéficieraient pas déjà de dispositions similaires en matière de contrôle et de sanction dans leurs lois sectorielles pourraient ainsi appliquer les chapitres 5 et 6 de la présente loi. Conformément à l’article 1, § 2, du Règlement sur la cybersécurité et à l’article 4, § 2, du Traité sur l’Union européenne, la présente loi ne porte pas préjudice à l’adoption de mesures nationales en matière de certification de cybersécurité pour protéger la sécurité publique, la défense, la sécurité nationale et les activités dans le domaine du droit pénal.

De plus, le paragraphe 3 rappelle que la présente loi est sans préjudice des compétences des autorités publiques, notamment les autorités de surveillance de marché et les autorités sectorielles, de rendre obligatoire une certification de cybersécurité et d’en assurer le contrôle ainsi que, le cas échéant, les sanctions, en vertu de leurs compétences légales comme autorité de surveillance de marché, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (ci-après, la “loi NIS”), de la loi du 1er juillet 2011 relative à la protection et la sécurité des infrastructures critiques et de l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien.

En tout état de cause, les autorités de surveillance de marché et les autorités sectorielles devront disposer des moyens humains et budgétaires suffisants pour contrôler les certifications obligatoires. Par ailleurs, un quatrième paragraphe exclut l’application des paragraphes 2 à 4 de l’article 5 à la Banque nationale de Belgique visée par la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique, à la FSMA visée par la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers ainsi qu’au Service Public Fédéral Économie visé au Code de droit économique.

Les paragraphes 2 et 3 de l’article 5 habilitent le Roi à confier, sous certaines conditions, à d’autres autorités administratives ou autorités administratives indépendantes que l’autorité nationale de certification de cybersécurité, des missions de contrôle normalement dévolues à cette dernière. Le paragraphe 4 prévoit que ces entités disposent des mêmes droits et obligations que celles de l’autorité nationale de certification de cybersécurité, sans préjudice de leurs compétences légales existantes.

Cette exclusion s’explique par le fait que de nouvelles dispositions sont insérées dans les lois organiques de la Banque nationale de Belgique, de la FSMA ainsi que dans le Code de droit économique. Enfin, le dernier paragraphe souligne que la loi n’a pas pour vocation de modifier les compétences de l’autorité nationale d’accréditation et les règles liées au système d’accréditation prévues par l’arrêté royal du 31 janvier 2006 portant création du système BELAC d’accréditation des organismes d’évaluation de la conformité.

Section 2 Définitions Art. 4 L’article 4 donne quelques définitions utiles pour le projet de loi. La notion d’autorité publique vise de manière large toutes les autorités publiques du pays et reprend à cet effet la définition de l’article 5 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. CHAPITRE 2 Autorités compétentes et coopération au niveau national Autorités compétentes Art. 5 L’article 58 du Règlement sur la cybersécurité impose à chaque État membre de désigner une ou plusieurs autorités nationales de certification de cybersécurité sur son territoire.

Le projet de loi dispose que le Roi désigne une seule autorité qui sera chargée, en tant qu’autorité nationale de certification de cybersécurité, des tâches et missions visées par le Règlement sur la cybersécurité et la présente loi. La désignation d’une seule autorité nationale de certification de cybersécurité est recommandée afin de faciliter pour tous les acteurs intéressés (fabricants, fournisseurs de services, organismes d’évaluation de la conformité, consommateurs, États membres de l’Union européenne,

etc.) l’accès aux informations nécessaires sur la certification de cybersécurité en Belgique. D’un point de vue organisationnel, il est également souhaitable qu’une seule autorité centrale garde une vue d’ensemble des différents schémas de certification en matière de cybersécurité. Cela est d’autant plus vrai que l’on ne sait pas exactement quels schémas de certification l’Union européenne mettra en place à l’avenir, ni à quels types de produits, services ou processus ils s’appliqueront.

Lors de cette désignation, le Roi tiendra compte de l’arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique (“CCB”) qui confie au CCB les missions légales suivantes: coordonner l’évaluation et la certification de la sécurité des systèmes d’information et de communication, coordonner la représentation belge aux forums internationaux sur la cybersécurité, le suivi des obligations internationales et la présentation du point de vue national en la matière.

En vertu de l’article 60 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (loi NIS) et de son arrêté d’exécution du 12 juillet 2019, le CCB assume également le rôle de centre national de réponse aux incidents de sécurité informatique (“CSIRT national”). Toutefois, le second paragraphe prévoit, à titre dérogatoire, que le Roi peut, par arrêté délibéré en Conseil des ministres, en fonction de l’objet du schéma de certification et à la demande d’une autre autorité publique, attribuer certaines missions de l’autorité nationale de certification de cybersécurité, en matière de contrôle (chapitre 5) et de sanctions (chapitre 6), à l’exception des articles 21 et 22, à cette autre autorité publique.

L’objectif n’est pas que le Roi attribue les tâches de contrôle et de sanction de l’autorité nationale de certification de cybersécurité pour toutes les certifications à d’autres administrations mais de permettre, via une éventuelle décision du Roi prise en concertation avec l’administration concernée et l’autorité nationale de certification de cybersécurité, de confier légalement les tâches de contrôle et de sanction dans le cadre de la présente loi à une autre administration en raison de son expertise particulière par rapport au schéma de certification concerné.

Il ne s’agit toutefois ici que d’une faculté pour le Roi afin d’éviter des doublons dans les inspections et d’assurer une coordination dans les contrôles. À cette occasion, le Roi veille à respecter les répartitions de compétences existantes prévues par la

loi. Il veille ainsi notamment à ce que les compétences de l’autorité qu’il charge d’assurer le contrôle en ce qui concerne une certification de cybersécurité s’étendent uniquement aux entreprises qui tombent déjà dans le champ des compétences de l’autorité concernée. Par ailleurs, le Roi veille à tenir compte de l’expertise de l’autorité concernée lors de l’attribution éventuelle de tâches de contrôle.

Conformément aux articles 58, § 5, et 59, § 2, du Règlement sur la cybersécurité, toute autorité publique qui doit assurer des missions de contrôle doit disposer réaliser ses tâches. Le troisième paragraphe précise que le Roi doit, préalablement au fait de confier certaines tâches de contrôle à une autre autorité, se concerter avec celle-ci. Par ailleurs, le quatrième paragraphe prévoit que ces entités, auxquelles auront été attribuées certaines compétences de l’autorité nationale de certification de cybersécurité, disposent des mêmes droits et obligations que celles de l’autorité nationale de certification de cybersécurité visées au chapitre 5, sans préjudice de leurs compétences légales existantes.

Cette disposition garantit le respect du principe d’égalité et de non-discrimination en imposant le respect des mêmes obligations à toute entité à laquelle serait attribuée une ou plusieurs compétences dévolues, en principe, à l’autorité nationale de certification de cybersécurité en vertu du Règlement sur la cybersécurité ou de la présente loi. Coopération au niveau national Art. 6 Cet article énonce que l’autorité nationale de certification de cybersécurité ou l’autorité visée à l’article 5, § 2 se concerte avec les autres autorités publiques, notamment avec l’autorité nationale d’accréditation.

Il permet également à l’autorité nationale de certification de cybersécurité ou à l’autorité visée à l’article 5, § 2 de consulter, par exemple, les fédérations professionnelles concernées par la certification en matière de cybersécurité. Le Règlement sur la cybersécurité prévoit notamment, en son article 58, § 7, h), que l’autorité nationale de certification de cybersécurité coopère, non seulement avec les autres autorités nationales de certification de cybersécurité, mais également avec d’autres autorités publiques.

Ces autorités se partagent notamment, au

travers de cette coopération, des informations en matière de contrôle du respect des exigences dudit règlement et du schéma de certification de cybersécurité. Conformément au paragraphe 2, l’autorité nationale de certification de cybersécurité et les autres autorités publiques visées par ce paragraphe pourront s’échanger mutuellement toutes les informations nécessaires à l’application du Règlement sur la cybersécurité, de la présente loi ainsi qu’aux articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques, notamment en matière de délivrance de certificats, de contrôle, de sanction et de réclamation.

Les articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques portent sur la sécurité des communications électroniques. Ces dispositions permettent aux opérateurs de prendre des mesures adéquates pour gérer les risques pour la sécurité de leurs réseaux et services. Elles permettent également à l’Institut belge des services postaux et des télécommunications d’imposer des mesures et de contrôler le respect de ces mesures auprès des opérateurs.

Pour rappel, le Règlement sur la cybersécurité définit la cybersécurité comme “les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces”. Les articles 107/2 à 107/5 constituent, en ce sens, des dispositions portant directement sur la cybersécurité et octroyant, à l’Institut belge des services postaux et des télécommunications, des compétences en matière de cybersécurité.

Dès lors, conformément à ce que préconise l’Autorité de protection des données dans son avis n° 08/2022 du 21 janvier 2022 (voir les points 9, 11 et 13 de l’avis), il est possible de prévoir, dans le projet de loi, un échange d’informations pouvant porter sur des données à caractère personnel. Ce partage d’information demeure néanmoins limité à ce qui est pertinent et proportionné à l’objectif de cet échange, notamment dans le respect d’autres dispositions légales nationales ou internationales.

Si la collaboration conduit à une transmission de données à caractère personnel entre autorités, il sera tenu compte des dispositions applicables à la protection des données à caractère personnel et notamment l’article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, des principes du Règlement (UE) 2016/679 (règlement général sur la protection des données), notamment la limitation du

traitement à ce qui est nécessaire en vue de l’objectif poursuivi, ainsi que des dispositions du chapitre 8. En matière d’échange d’informations, le troisième paragraphe permet, plus spécifiquement, à l’autorité nationale de certification de cybersécurité ou aux autorités visées à l’article 5, § 2, de la loi de communiquer toute information obtenue dans le cadre de l’exécution du Règlement sur la cybersécurité ou de la présente loi, aux autorités sectorielles, aux services d’inspection, à l’inspection aéroportuaire, à l’inspection aéronautique et à la “Belgian Supervising Authority for Air Navigation Services” (ci-après, la “BSA-ANS”) visés à la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, la loi NIS ou à l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien.

Les informations dont il est question doivent respecter les autres dispositions de la présente loi. Notamment, la communication d’information prévue au paragraphe 3 n’est opérée qu’auprès des autorités compétentes pour le contrôle de l’entité concernée et ne peut porter sur les données à caractère personnel des clients (ou des données à caractère personnel traitées par ces derniers) des titulaires de certificats de cybersécurité ou des émetteurs de déclarations de conformité contrôlés.

En tous les cas, lorsque l’information communiquée contient des données à caractère personnel, elle est soumise aux dispositions du chapitre 8 relatives au traitement de ce type de données. L’existence de cette communication s’explique de par les compétences, en matière de cybersécurité, que détiennent les autorités citées. En effet, selon l’article 7, § 3, de la loi NIS, les autorités sectorielles ont pour mission de veiller à la mise en œuvre de la loi précitée.

Pour ce faire, elles sont accompagnées de services d’inspection qui, conformément à l’article 7, § 5, de la loi NIS, sont chargés du contrôle du respect des dispositions de cette même loi. À ce titre, ces autorités s’assurent que les entités soumises à la loi NIS adoptent les mesures de sécurité nécessaires pour gérer les risques menaçant la sécurité des réseaux et systèmes d’information dont leurs services essentiels sont tributaires (articles 20 et 33 de la loi NIS) et élaborent une politique de sécurité de leurs systèmes et réseaux d’information (article 21, § 1er, de la loi NIS).

Conformément à l’article 24, § 1er, de la loi du 1 juillet 2011 relative à la sécurité et la protection des infrastructures critiques (ci-après, la “loi IC”), les services d’inspection établis par cette loi sont chargés du contrôle du respect des dispositions de la présente loi. A ce titre, les services d’inspection s’assurent que les plans de

sécurité de l’exploitant, visés à l’article 13 de la loi IC, sont respectés. Enfin, selon les articles 11 et 15 de l’arrêté critiques dans le sous-secteur du transport aérien et les sections 1.7 et 11.2.8 du règlement d’exécution (UE) 2015/1998 de la Commission du 5 novembre 2015 fixant des mesures détaillées pour la mise en œuvre des normes de base communes dans le domaine de la sûreté de l’aviation civile, l’autorité sectorielle, le service d’inspection, l’inspection aéroportuaire, l’inspection aéronautique et la BSA-ANS, visés aux articles 2, alinéa 1er, 1° et 9° et 15, § 1er à § 3, de l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien, sont compétents pour superviser le respect des plans de sécurité de l’exploitant, visés à l’article 13 de la loi IC, ainsi que des dispositions relatives à la sécurité des données et systèmes de technologies de l’information et de la communication du règlement d’exécution (UE) 2015/1998 de la Commission du 5 novembre 2015 fixant des mesures détaillées pour la mise en œuvre des normes de base communes dans le domaine de la sûreté de l’aviation civile.

La publicité des retraits de certificats de cybersécurité européens, évoquée par l’Autorité de protection des données dans son avis n° 08/2022 du 21 janvier 2022, au point 12, n’est pas suffisante pour remplacer l’échange d’information prévu au présent paragraphe car les informations visées par cette disposition ne se retrouveront pas forcément au sein des décisions de retrait. Notamment, les informations relatives à l’octroi, ou au refus d’octroi, d’un certificat de cybersécurité européen dont l’obtention fait partie d’une politique de sécurité des systèmes et réseaux d’information (P.S.I.), d’un plan de sécurité de l’exploitant (P.S.E.) ou des mesures de protection ou de sécurité nécessaires de l’entité soumise à la supervision d’une des entités précitées ne sont pas couvertes par la publicité des décisions de retraits de certificats.

Lorsqu’un certificat de cybersécurité européen ou une déclaration de conformité constitue une mesure de protection ou de sécurité nécessaire ou, le cas échéant, reprise à la P.S.I. ou au P.S.E. de l’entité concernée, il apparaît nécessaire de pouvoir fournir toute information relative à ce certificat ou cette déclaration, constituant une violation de la loi NIS, à l’autorité sectorielle et au service d’inspection concernés.

Cette disposition ne porte pas sur les rapports et procès-verbaux du service d’inspection, qui font l’objet

de dispositions spécifiques (voir infra, les commentaires des articles 16 et 17). Le paragraphe 4 autorise les autorités publiques soumises au secret professionnel à transmettre les informations soumises à ce secret à l’autorité nationale de certification de cybersécurité ou aux autorités visées à l’article 5, § 2 lorsque cela est nécessaire à l’application de la présente loi ou du Règlement sur la cybersécurité.

Bien entendu, cette disposition ne porte pas préjudice à l’application de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. Il s’agit d’un régime juridique distinct de celui du secret professionnel. Ce paragraphe ne permet donc pas de s’affranchir du respect des obligations légales relatives aux traitements d’éventuelles informations classifiées.

Par ailleurs, lorsque les informations visées par cette disposition portent sur des données à caractère personnel, les dispositions du chapitre 8 s’appliquent. Cette disposition ne s’applique pas aux professionnels soumis au secret professionnel, tels que les avocats et les médecins. Une disposition spécifique, prévue à l’article 15, § 9, de la présente loi, s’applique à ces derniers. Art. 7 Sauf attribution par le Roi de certaines missions de contrôle à une autre autorité, le contrôle des certifications volontaires de cybersécurité est assuré par l’autorité nationale de certification de cybersécurité.

Sur base de cet article, l’autorité nationale de certification de cybersécurité ou l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 peut éventuellement solliciter la collaboration d’une autre autorité qui agirait dans le cadre de ses propres compétences légales de contrôle, afin de l’assister dans ses missions de contrôle.

CHAPITRE 3

Autorité nationale Représentation au Groupe européen Art. 8 L’article précise que l’autorité nationale de certification de cybersécurité représentera la Belgique au sein du Groupe européen de certification de cybersécurité (ci-après “GECC”) visé à l’article 62 du Règlement sur la cybersécurité. Le GECC est chargé notamment de conseiller et d’assister la Commission en matière de certification de cybersécurité, d’adopter un avis sur les schémas candidats préparés par l’ENISA (l’agence européenne chargé de la cybersécurité), de demander à l’ENISA de préparer un schéma candidat et de faciliter la coopération entre les autorités nationales de certification de cybersécurité. Lors des discussions relatives à l’adoption d’actes d’exécution liés au Règlement sur la cybersécurité, l’autorité nationale de certification de cybersécurité représentera également la Belgique au cours des réunions visées par le Règlement n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission. Les schémas européens de certification de cybersécurité ont vocation à contribuer à harmoniser les pratiques de cybersécurité au sein de l’Union. Ils doivent contribuer à augmenter le niveau de cybersécurité dans l’Union. La conception des schémas européens de certification de cybersécurité devrait également prendre en compte et permettre la mise au point d’innovations dans le domaine de la cybersécurité. Le deuxième paragraphe souligne que dans le cadre de sa mission de représentation de la Belgique au sein du GECC, l’autorité nationale de certification de cybersécurité se concertera avec les autres autorités publiques concernées (désignées par le Roi), en particulier en ce qui concerne la préparation et l’adoption d’un avis sur un schéma candidat de certification de cybersécurité. Il est, en effet, souhaitable que l’autorité nationale de certification de cybersécurité se concerte au préalable notamment avec les différentes autorités de surveillance

du marché, les autorités sectorielles visées par la loi NIS, les entités fédérées ou d’autres autorités publiques qui pourraient être concernées par le schéma de certification européen proposé. La variété des objets sur lesquels pourront porter les propositions de schémas européens de certification de cybersécurité requiert, en outre, une structure flexible de concertation avec les acteurs concernés au niveau national, en fonction de chaque schéma précis.

De plus, le paragraphe 3 prévoit que ces autres autorités publiques pourront assister avec l’autorité nationale de certification de cybersécurité aux travaux et réunions du GECC. Indépendance Art. 9 Cet article met en œuvre l’article 58, § 3, du Règlement sur la cybersécurité qui impose que chaque autorité nationale de certification de cybersécurité soit indépendante des entités qu’elle surveille en ce qui concerne son organisation, ses décisions de financement, sa structure juridique et son processus décisionnel.

La disposition précise les situations de conflits d’intérêts que l’autorité nationale de certification de cybersécurité doit prévenir, identifier et résoudre lors de l’exécution de ses tâches de contrôle et de certification en matière CHAPITRE 4 Délivrance des certificats européens Certificats de cybersécurité européens attestant d’un niveau d’assurance “élémentaire” ou “substantiel” Art. 10 En vertu de l’article 56, § 4, du Règlement sur la cybersécurité, les organismes d’évaluation de la conformité accrédités délivrent les certificats de cybersécurité européens attestant d’un niveau d’assurance dit “élémentaire” ou “substantiel”.

Les schémas européens de certification de cybersécurité auront pour finalité de garantir que les produits

TIC, services TIC et processus TIC certifiés selon de tels schémas respectent les exigences définies qui visent à protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité de données stockées, transmises ou traitées, ou des fonctions connexes de ces produits, services et processus tout au long de leur cycle de vie, ou des services qu’ils offrent ou qui sont accessibles par leur intermédiaire.

Comme le prévoit l’article 52, § 5, du Règlement sur la cybersécurité, le niveau d’assurance dit “élémentaire” offre l’assurance que les produits TIC, services TIC et processus TIC pour lesquels un certificatif ou une déclaration de conformité de l’Union européenne est délivré(e) satisfont aux exigences de sécurité correspondantes, y compris les fonctionnalités de sécurité, et qu’ils ont été évalués à un niveau qui vise à minimiser les risques élémentaires connus d’incidents et de cyberattaques.

Quant au niveau d’assurance dit “substantiel”, l’article 52, § 6, du Règlement sur la cybersécurité dispose qu’il offre l’assurance que les produits TIC, services TIC et processus TIC pour lesquels un certificat est délivré y compris des fonctionnalités de sécurité, et qu’ils ont liés à la cybersécurité connus, et le risque d’incidents et de cyberattaques émanant d’acteurs aux aptitudes et aux ressources limitées.

L’article 56, § 5, du même Règlement précise que la délivrance de tels certificats est néanmoins réservée à l’autorité nationale de certification de cybersécurité, lorsque le schéma de certification de cybersécurité l’exige. Pour ce faire et conformément à l’article 60, § 2, du Règlement sur la cybersécurité, l’autorité nationale de certification de cybersécurité devra disposer d’une accréditation délivrée par l’organisme national d’accréditation.

L’autorité nationale de certification de cybersécurité peut toutefois déléguer en tout ou en partie cette tâche à un organisme public accrédité en tant qu’organisme d’évaluation de la conformité. L’éventuelle délégation prévue au troisième paragraphe est légalement admissible dès lors qu’elle n’octroie à l’organisme public accrédité en tant qu’organisme d’évaluation de la conformité aucun pouvoir réglementaire.

De plus, cette délégation ne porte que sur une mission technique et spécifique, à savoir la délivrance de certificats de cybersécurité de niveau “élémentaire” ou “substantiel” sur base d’un schéma précis de certification européen.

Certificats de cybersécurité européens attestant d’un niveau d’assurance “élevé” Art. 11 En vertu de l’article 56, § 6, du Règlement sur la cybersécurité, une certification européenne de cybersécurité d’un niveau d’assurance dit “élevé” ne peut être délivrée que par l’autorité nationale de certification de cybersécurité ou, éventuellement, en cas de délégation, par un organisme d’évaluation de la conformité.

Conformément à l’article 60, § 2, du Règlement sur la cybersécurité, l’autorité nationale de certification de cybersécurité devra obtenir une accréditation auprès de l’organisme national d’accréditation. Le projet énonce ainsi que l’autorité nationale de certification de cybersécurité délivre les certificats de cybersécurité européens attestant d’un niveau d’assurance dit “élevé” ou, moyennant une délégation préalable de l’autorité nationale de certification de cybersécurité, un organisme accrédité d’évaluation de la conformité pourrait en tout ou en partie accomplir cette tâche.

L’article 56, § 7, du Règlement précise que l’autorité nationale de certification de cybersécurité ou l’organisme d’évaluation de la conformité peuvent obtenir de la personne physique ou morale sollicitant une certification toutes les informations nécessaires pour accorder celle-ci. L’article 52, § 7, du Règlement sur la cybersécurité indique que le niveau d’assurance dit “élevé” offre l’assurance que les produits TIC, services TIC et processus TIC pour lesquels un certificat est délivré satisfont aux exigences de sécurité correspondantes, y compris des fonctionnalités de sécurité, et qu’ils ont été évalués à un niveau qui vise à minimiser le risque que des cyberattaques de pointe soient menées par des acteurs aux aptitudes solides et aux ressources importantes.

L’éventuelle délégation prévue au deuxième paragraphe est, au travers d’un raisonnement similaire à la délégation prévue à l’article 10, légalement admissible dès lors qu’elle n’octroie à l’organisme accrédité d’évatechnique et spécifique, à savoir la délivrance de certificats de cybersécurité de niveau “haut”. Cette mission exige une expertise particulière, l’intérêt de la présente délégation est de permettre à un organisme accrédité d’évaluation de la conformité possédant déjà cette expertise de s’en acquitter.

Section 3 Réclamation en cas de refus de délivrance Art. 12 Conformément à l’article 63, § 1er, du Règlement, les personnes physiques et morales ont le droit d’introduire une réclamation auprès de l’émetteur d’un certificat de cybersécurité européen ou, lorsque la réclamation est en rapport avec un certificat de cybersécurité européen délivré par un organisme d’évaluation de la conformité agissant conformément à l’article 56, § 6, auprès de l’autorité nationale de certification de cybersécurité concernée.

L’article 58, § 7, f), du Règlement confirme que l’autorité nationale de certification de cybersécurité est compétente pour traiter les réclamations introduites par des personnes physiques ou morales en rapport avec les certificats de cybersécurité européens délivrés par elle ou en rapport avec les certificats de cybersécurité européens délivrés par des organismes d’évaluation de la conformité conformément à l’article 56, § 6.

Sauf les hypothèses particulières précitées de compétence de l’autorité nationale de certification de cybersécurité, le refus de délivrance d’un certificat de niveau “élémentaire” ou “substantiel” peut donc être contesté directement par le demandeur auprès de l’organisme d’évaluation de la conformité concerné. CHAPITRE 5 Contrôle Ce chapitre énonce les règles relatives aux contrôles du respect par les organismes d’évaluation de la conformité, les titulaires de certificats de cybersécurité européens volontaires et les émetteurs de déclarations de conformité de l’Union européenne des règles imposées par le Règlement sur la cybersécurité, la présente loi ou ses arrêtés d’exécution.

Art. 13 Cette disposition indique que l’autorité nationale de certification de cybersécurité ou l’autorité visée à l’article 5, § 2 doit disposer d’un service d’inspection capable, sans préjudice de l’application de l’arrêté royal du 31 janvier 2006 portant création du système BELAC d’accréditation des organismes d’évaluation de

la conformité, de réaliser à tout moment des contrôles du respect des règles relatives au Règlement sur la cybersécurité. L’article 58, § 4, du Règlement exige que les activités de l’autorité nationale de cybersécurité en matière de délivrance de certificats de cybersécurité européens soient strictement distinctes de ses activités de supervision, et à ce que ces deux activités soient exécutées indépendamment l’une de l’autre.

Lors de l’accomplissement de ses missions de contrôle, le service d’inspection de l’autorité nationale de cybersécurité sera entièrement autonome des autres départements de cette autorité, notamment du service chargé de la délivrance des certificats. Afin d’assurer cette indépendance fonctionnelle et cette séparation des tâches, le service d’inspection sera doté d’un directeur, de membres du personnel et d’outils propres pour accomplir ses tâches de supervision.

Règlement sur la cybersécurité, le service d’inspection doit, afin d’assurer ses missions de contrôle, disposer des moyens humains et budgétaires suffisants. Toutefois, ce service d’inspection pourra faire appel à des experts, lesquels sont soumis également au secret professionnel prévu par le paragraphe 4, en fonction des caractéristiques propres à chaque schéma européen de certification de cybersécurité.

L’autorité nationale pourrait ainsi faire appel à des experts externes, par exemple, des organismes privés, des autorités de surveillance du marché ou des autorités sectorielles. Ces experts disposent également d’une certaine expertise dans le contrôle des produits, services ou processus. Une mise en œuvre combinée des contrôles entre les autorités compétentes en vertu de différentes législations est de nature à renforcer le travail de surveillance du marché, ce qui est aussi explicitement prévu par le Règlement sur la cybersécurité.

Ainsi, l’article 58, § 7, a), du Règlement sur la cybersécurité précise bien que les tâches de supervision de l’autorité nationale de certification de cybersécurité doivent être réalisées en coopération avec les autres autorités compétentes de surveillance du marché. Cette disposition permet une collaboration entre l’autorité nationale de certification de cybersécurité ou l’autorité visée à l’article 5, § 2 et une autre autorité publique lorsque les deux parties y trouvent un intérêt commun.

Les experts de l’autorité publique demeureraient attachés à leur service d’origine et se verraient confier,

avec l’accord de cette dernière, des tâches ponctuelles d’assistance pour les services de l’autorité nationale de certification de cybersécurité ou de l’autorité visée à l’article 5, § 2. Les frais d’experts externes requis par le service d’inspection peuvent être mis à charge des organismes d’évaluation de la conformité, les titulaires de certificats de cybersécurité européens ou les émetteurs de déclarations de conformité de l’Union européenne dès lors que, d’une part, ces derniers sollicitent volontairement une autorisation ou une certification, et d’autre part, ces derniers pourraient en tirer un avantage pécuniaire ou commercial.

Le dernier paragraphe tient les membres du personnel du service d’inspection au secret professionnel. En effet, une absence de garanties suffisantes quant au traitement confidentiel des informations fournies au service d’inspection dans le cadre de sa mission de contrôle risquerait de décourager les entreprises qui voudraient avoir recours à des certifications volontaires Bien entendu, les membres du personnel des autres services de l’autorité nationale de cybersécurité sont tenus au respect de leurs obligations statutaires ou contractuelles en matière de confidentialité.

Art. 14 Cet article prévoit la coopération et l’assistance entre le service d’inspection et les autorités nationales de certification de cybersécurité compétentes d’autres États de l’Union européenne lorsqu’un organisme d’évaluation de la conformité, un titulaire de certificats de cybersécurité européens volontaires ou un émetteur de déclarations de conformité est situé en dehors du territoire belge.

Ces mesures peuvent, par exemple, porter sur des échanges d’informations et sur des demandes de mesures de contrôle. Art. 15 Les membres du service d’inspection doivent porter une carte de légitimation dont le modèle sera fixé par le Roi. L’article porte également sur les conflits d’intérêts pouvant concerner les inspecteurs et leur prestation de serment.

Le service d’inspection dispose de larges pouvoirs afin d’effectuer des contrôles approfondis du respect du Règlement sur la cybersécurité et de la présente loi. Étant donné l’étendue des pouvoirs conférés au service d’inspection, l’article 15 précise, en son dixième paragraphe, que les moyens mis en œuvre par les membres assermentés du service d’inspection doivent être appropriés et nécessaires au contrôle du respect du Règlement sur la cybersécurité, de la présente loi et des schémas de certification concernés.

Les membres du service d’inspection peuvent notamment pénétrer sans avertissement préalable dans tous les locaux utilisés par l’organisme d’évaluation de la conformité, le titulaire de certificats de cybersécurité européens volontaires ou l’émetteur de déclarations de conformité de l’Union européenne. Les membres du service d’inspection peuvent pénétrer dans les locaux habités moyennant une autorisation préalable d’un juge d’instruction.

Il est précisé également les règles à respecter en cas d’audition et sur les données consultables. Par ailleurs, lorsque cela s’avère nécessaire pour leurs missions de contrôle, les membres du service d’inspection devront disposer de l’habilitation de sécurité correspondant au niveau de classification, au sens de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, des informations auxquelles ils doivent avoir accès.

Enfin, il est possible, pour les membres assermentés du service d’inspection, d’avoir accès aux informations protégées par le secret professionnel lors de leurs contrôles. En effet, l’accès aux produits, services ou processus TIC faisant l’objet de la certification dont serait titulaire une personne soumise à l’article 458 du Code pénal pourra être nécessaire afin de mener à bien les missions de supervision du service d’inspection.

Les membres assermentés doivent pouvoir, le cas échéant, avoir accès à ces produits, services ou processus TIC. Néanmoins, étant donné la criticité de ces informations et la protection qu’il convient de lui fournir, la disposition prévoit, de manière claire, que l’accès à ces informations n’est possible pour les membres assermentés, seulement lorsque cet accès est nécessaire à leurs missions de supervision.

Par ailleurs, il faut souligner que les membres assermentés ne sont pas des officiers de police judicaire.

Ils ne peuvent faire usage de la contrainte à l’encontre des personnes contrôlées et ne peuvent, dès lors, forcer l’accès aux informations protégées par l’article 458 du Code pénal. De cette manière, la présente disposition s’aligne à ce que prévoit l’article 86 de la loi du 7 décembre 2016 portant organisation de la profession et de la supervision publique des réviseurs d’entreprises. L’Autorité de protection des données préconise une disposition reprenant des garanties similaires à ce que prévoient les articles 56bis et 90octies du Code d’instruction criminelle.

À défaut, le projet de loi doit préciser qu’aucune collecte de ces informations protégées n’est possible. Étant donné que les pouvoirs du service d’inspection sont bien plus limités que ce que prévoit le Code d’instruction criminelle aux article 56bis et 90octies, il a été décidé de ne pas implémenter les garanties demandées par l’Autorité de protection des données dans son avis. Art. 16 Le rapport d’inspection est transmis à l’organisme d’évaluation de la conformité, au titulaire de certificats de cybersécurité européens ou à l’émetteur de déclarations de conformité de l’Union européenne inspecté.

Afin de préserver le droit des personnes concernées, le paragraphe 2 dispose que les rapports ne peuvent contenir de données à caractère personnel des clients (ou des données à caractère personnel traitées par ces derniers) des titulaires de certificats de cybersécurité ou des émetteurs de déclarations de conformité contrôlés. Ce rapport pourra être communiqué à l’autorité nationale d’accréditation ou à l’Institut belge des services postaux et des télécommunications, à leur demande, dans le cadre des missions de contrôle des activités des organismes d’évaluation de la conformité, prévues à l’article VIII.30, § 2, du Code de droit économique, au chapitre II du règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil ainsi qu’aux articles 58, § 7, c), et 60, § 1er et § 4, du Règlement sur la cybersécurité ou des compétences en matière de cybersécurité prévues aux aux communications électroniques.

Le deuxième alinéa du paragraphe 3 permet de déroger à l’obligation de formaliser un transfert de données à caractère personnel par un protocole, prévue à

de données à caractère personnel, pour autant que les conditions énoncées aux 1° à 4° soient respectées. Ces conditions ont pour objectif de préciser explicitement, comme le préconise l’Autorité de protection des données à la page 16 de sa Recommandation n° 02/2020 du 31 janvier 2020 relative à la portée de l’obligation de conclure un protocole afin de formaliser les communications de données à caractère personnel en provenance du secteur public fédéral, “qui (destinataire) se voit transmettre quoi (catégories précises des données communiquées), quand et pourquoi (finalités et modalités de la communication)”.

Le paragraphe 4 prévoit que lorsque des contrôles sont effectués auprès d’une infrastructure critique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ou de l’arrêté critiques dans le sous-secteur du transport aérien ou auprès d’un opérateur de services essentiels ou d’un fournisseur de service numérique au sens de la loi NIS, le rapport prévu au paragraphe 1er est automatiquement transmis à l’autorité sectorielle et au service d’inspection compétents.

En effet, d’une manière similaire à ce que prévoit l’article 6, § 3, les compétences en matière de cybersécurité, décrites au commentaire de l’article 6, dont sont pourvus les autorités sectorielles et les services d’inspection précités, justifient un tel transfert auprès de ceux-ci. D’une manière similaire au deuxième alinéa du paragraphe 3, le troisième alinéa du paragraphe 4 permet, selon des conditions identiques, de déroger à l’article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Cette disposition est reprise au sein de ce paragraphe car, comme l’a précisé l’Autorité de protection des données dans son avis n° 08/2022 du 21 janvier 2022, au considérant 84, le flux de données à caractère personnel doit être encadré au niveau des dispositions qui, elles-mêmes, encadrent les communications de données. Lorsqu’un rapport d’inspection contient des données à caractère personnel, le chapitre 8 s’applique.

Les échanges d’informations prévus aux paragraphes 3 et 4 de cet article sont prévus car, même lorsque les contrôles effectués ne mènent pas à une décision de retrait, les rapports peuvent se révéler importants pour les autorités citées. Dès lors, la publicité des décisions de retrait ne constitue pas un échange d’informations suffisant.

Art. 17 Cet article porte sur les procès-verbaux rédigés par les membres assermentés du service d’inspection, au travers desquels ils constatent les manquements aux obligations découlant du projet de loi ou du Règlement sur la cybersécurité. Le procès-verbal, établi suite à un contrôle, peut, à la demande de l’autorité nationale d’accréditation ou de l’Institut belge des services postaux et des télécommunications, pour autant que cette demande soit faite, soit dans le cadre des compétences légales prévues à l’article VIII.30, § 2, du Code de droit éconoles prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil ainsi qu’aux articles 58, § 7, c), et 60, § 1er et § 4, du Règlement sur la cybersécurité, soit dans le cadre des compétences prévues aux articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques, lui être transmis par l’autorité nationale de certification de cybersécurité ou l’autorité à laquelle le Roi aura attribué certaines missions de contrôle conformément à l’article 5, § 2.

Le deuxième alinéa du paragraphe 2 permet de déroger à l’obligation de formaliser un transfert de données à caractère personnel par un protocole, prévue à l’ardes personnes physiques à l’égard des traitements de données à caractère personnel, pour autant que les données à caractère personnel en provenance du secteur public fédéral, “qui (destinataire) se voit transmettre quoi (catégories précises de données communiquées), quand et pourquoi (finalités et modalités de la communication)”.

Cette disposition, identique à l’alinéa 2 du paragraphe 3 de l’article 16, est reprise ici car, comme l’a précisé l’Autorité de protection des données dans son

Le paragraphe 3 prévoit que l’autorité nationale de certification de cybersécurité ou l’autorité visée à l’article 5, § 2 transmet automatiquement à l’autorité sectorielle ou au service d’inspection concerné les informations relatives à un contrôle, en ce compris le procès-verbal, effectué auprès d’une infrastructure critique, d’un opérateur de services essentiels ou d’un fournisseur de service numérique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, de l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien ou de la loi NIS.

En effet, d’une manière similaire à ce que prévoient les articles 6, § 3, et 16, § 3, les compétences en matière de cybersécurité, décrites au commentaire de l’article 6, dont sont pourvus les autorités sectorielles et les services d’inspection précités, justifient un tel transfert auprès de ceux-ci. graphe 2, le troisième alinéa du paragraphe 3 permet, Lorsque les informations concernées par cette disposition ou un procès-verbal contient des données à caractère personnel, le chapitre 8 s’applique.

Les échanges d’informations prévues aux paragraphes 2 et 3 de cet article sont prévus car, même décision de retrait, les procès-verbaux peuvent se révéler Art. 18 Cette disposition porte sur la collaboration entre les personnes visées par une inspection et le service d’inspection ou les experts. Le Roi peut déterminer des rétributions relatives à la délivrance et aux prestations d’inspections. Il s’agit, en effet, de prévoir la possibilité, le cas échéant, de couvrir les frais assumés par le service d’inspection de l’autorité nationale de certification de cybersécurité

ou de l’autorité visée à l’article 5, § 2 en raison des certifications européennes volontaires accordées en Belgique (frais d’expert, frais de personnel, frais administratifs, etc.). CHAPITRE 6 Sanctions Procédure Art. 19 L’article prévoit une mise en demeure préalable en cas de manquement constaté par le service d’inspection. Préalablement à cette mise en demeure, le contrevenant est informé de l’intention du service d’inspection de le mettre en demeure.

Art. 20 Cette disposition porte sur le constat du non-respect des obligations découlant de la loi ou du Règlement sur la cybersécurité. Ainsi, même si le contrevenant se conforme à la mise en demeure adressée par le service d’inspection, cela n’empêche pas la rédaction d’un procès-verbal et l’imposition d’une sanction à son encontre. Les procès-verbaux font foi jusqu’à preuve du contraire. Retrait d’un certificat Art. 21 En cas de non-respect du Règlement sur la cybersécurité ou d’un schéma européen de certification de cybersécurité peut retirer un certificat de cybersécurité.

L’article 58, § 8, e), du Règlement sur la cybersécurité précise bien que l’autorité de certification de cybersécurité peut retirer les certificats de cybersécurité européens délivrés lorsque de tels certificats ne respectent pas ledit Règlement ou un schéma européen de certification

Dans son avis n° 08/2022 du 21 janvier 2022, l’Autorité de protection des données demandait à ce que la présente loi impose, à l’autorité nationale de certification de cybersécurité, une obligation d’information relative aux retraits de certificats, au travers d’un site web et d’un service d’information (push) qui notifie à tous les acteurs concernés tout retrait de certification. Cette remarque (n° 2) de l’Autorité de protection des données n’a pas été suivie.

En effet, la présente loi ne devrait pas imposer d’obligation d’information car, selon l’article 54, § 1er, p) et s), du Règlement sur la Cybersécurité, tout schéma européen de certification de cybersécurité comprend, entre autres, au moins “le contenu et le format des certificats de cybersécurité européens et des déclarations de conformité de l’Union européenne à délivrer“ ainsi que ”la politique de divulgation concernant les certificats de cybersécurité européens délivrés, modifiés ou retirés dans le cadre du schéma”.

Les schémas européens de certification de cybersécurité préciseront eux-mêmes les modalités de publicité relatives à la délivrance, la modification ou le retrait des certificats concernés. De plus, comme le prévoit l’article 50, § 1er, l’ENISA tient à jour un site internet dédié qui fournit, entre autres, des informations relatives aux certificats de cybersécurité européens qui ont été retirés ou ont expiré et aux déclarations de conformité de l’Union européenne.

Il ressort de ces articles que la publicité relative aux certificats de cybersécurité européens est déjà organisée par le Règlement sur la cybersécurité. Par ailleurs, contrairement à ce qu’avance l’Autorité de protection des données, la publicité suggérée par cette dernière au considérant 15 de son avis n° 08/2022 du 21 janvier 2022 entraîne également un traitement de données à caractère personnel lorsque le titulaire du certificat faisant l’objet du retrait est une personne physique.

Limitation, suspension ou retrait d’une autorisation ou d’une délégation Art. 22 Les autorisations accordées aux organismes d’évaluation de la conformité en vertu de l’article 60, § 3, du Règlement sur la cybersécurité ainsi que les délégations effectuées en vertu des articles 10 et 11 peuvent être limitées, suspendues ou retirées par l’autorité nationale de certification de cybersécurité.

Section 4 Amendes administratives Cette section précise le principe et les montants des amendes administratives et souligne les possibilités de recours à cet égard. L’article 65 du Règlement sur la cybersécurité prévoit que les violations des règles prévues par le Règlement et par les schémas européens de certification de cybersécurité doivent faire l’objet de sanctions. Comme le précise cet article, les sanctions doivent être effectives, proportionnées et dissuasives.

Si le retrait de la certification constitue une forme de sanction, il est nécessaire que l’autorité de certification de cybersécurité dispose également d’une gamme plus étendue et plus dissuasive d’instruments de sanction que le seul retrait de la certification. Bien entendu, si les sanctions doivent être dissuasives, elles doivent également être proportionnées. L’amende doit être proportionnelle à la gravité, à la durée, aux moyens utilisés, aux dommages causés et aux circonstances de fait.

Chaque État membre de l’Union européenne doit, d’ailleurs, informer la Commission du régime de sanction et des mesures ainsi prises, de même que de toute modification apportée ultérieurement à ce régime ou à ces mesures. Cette section prévoit une compétence de pleine juridiction pour la Cour des marchés, en ce qui concerne les recours des décisions de sanctions de l’autorité nationale de certification de cybersécurité ou de l’autorité visée à l’article 5, § 2, prises en vertu du chapitre 6.

Cette Cour a été choisie car elle constitue déjà une juridiction compétente pour des recours similaires prévus par d’autres législations, telles que la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers, la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (loi NIS) ou encore la loi du 3 décembre 2017 portant création de l’Autorité de protection des données.

De plus, il s’agit d’une juridiction spécialisée qui sera à même de fournir l’expertise requise.

CHAPITRE 7

Réclamations Saisine de l’autorité nationale Cette section prévoit les modalités de saisine de pour statuer sur les réclamations en rapport avec un certificat de cybersécurité européen, un refus de délivrance d’un certificat ou une déclaration de conformité de l’Union européenne. agissant conformément à l’article 56, paragraphe 6, auprès de l’autorité nationale de certification de cybersécurité concernée. certificats de cybersécurité européens délivrés par elle, en rapport avec les certificats de cybersécurité européens délivrés par des organismes d’évaluation de la conformité conformément à l’article 56, paragraphe 6 ainsi qu’en rapport avec les déclarations de conformité de l’Union européenne. Il ressort du Règlement qu’en principe, les personnes physiques ou morales adressent leurs réclamations à l’entité concernée par la délivrance du certificat de cybersécurité européen en question, c’est-à-dire l’organisme d’évaluation de la conformité, l’autorité nationale de certification de cybersécurité ou l’organisme publique chargé de la délivrance d’un certificat de cybersécurité européen, en fonction du schéma européen de n’est compétente, pour connaître des réclamations des personnes physiques ou morales en rapport avec un certificat de cybersécurité européen, que lorsque ce dernier est délivré par elle, dans le cadre d’un certificat de cybersécurité européen de niveau “élevé” dont la délivrance a été délégué à un organisme d’évaluation de la conformité ou dans le cadre d’une déclaration de conformité de l’Union européenne.

Conformément à l’article 21, l’autorité nationale de certification de cybersécurité peut notamment retirer un certificat de cybersécurité lorsque le bénéficiaire ne respecte pas le Règlement sur la cybersécurité ou un schéma européen de certification de cybersécurité. L’autorité nationale de certification de cybersécurité peut également limiter, suspendre ou retirer les autorisations et délégations qu’elle a accordées aux organismes d’évaluation de la conformité, comme le prévoit l’article 22.

Recours Art. 35 Comme le prévoit l’article 64 du Règlement sur la cybersécurité, les personnes physiques ou morales disposent d’un droit de recours juridictionnel effectif en ce qui concerne les décisions prises par l’autorité nationale de certification de cybersécurité ou par l’organisme d’évaluation de la conformité accrédité, en ce qui concerne la délivrance non justifiée, la non-délivrance ou la reconnaissance d’un certificat de cybersécurité européen détenu par ces personnes physiques ou morales, ainsi qu’en l’absence de réaction suite à une réclamation.

À cette fin, cet article instaure une compétence de pleine juridiction pour la Cour des marchés. d’une juridictions spécialisée qui sera à même de fournir CHAPITRE 8 Traitement des données à caractère personnel Ce chapitre insère des dispositions relatives aux données à caractère personnel concernées par le projet de loi ainsi qu’à leur traitement. Bien que certaines dispositions fassent directement référence à ce chapitre, ce dernier a vocation à s’appliquer

à tout traitement de données à caractère personnel effectué sur base de ce projet de loi. Principes relatifs au traitement, base légale et finalités Art. 36 Le paragraphe premier de cette disposition énumère les finalités de traitement. Il s’agit de l’obligation de délivrance de certificats de cybersécurité européens, des tâches de supervision dévolues au service d’inspection et des tâches de sanction, de la participation au GECC, de la coopération avec les autorités sectorielles et les services d’inspection compétents, visés aux articles 3, 3°, et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, à l’article 7, § 3 et § 5 de la loi NIS ou aux articles 2, 1° et 9°, et 15, § 1er à § 3, de l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien, dans le cadre de leurs missions touchant à la cybersécurité ainsi que de la coopération avec les autres autorités publiques disposant de compétences en matière de cybersécurité.

L’autorité nationale de certification de cybersécurité ou, le cas échéant, les autorités désignées par le Roi pour accomplir certaines missions en matière de contrôle et de sanction sont chacune responsable pour les traitements de données à caractère personnel qu’elles effectuent dans le cadre de l’exécution de la présente loi ou du Règlement sur la Cybersécurité. Le paragraphe 3 énumère les catégories de données à caractère personnel pouvant être traitées pour chaque finalité énoncée au premier paragraphe.

En ce qui concerne les données à caractère personnel devant être traitées pour la finalité de supervision visée au paragraphe 1er, 2°, la disposition n’énumère pas de catégories de données à caractère personnel à proprement parler. Elle précise que, dans le cadre de cette finalité, toute donnée à caractère personnel nécessaire à son accomplissement peut être traitée. En effet, comme le reconnaît l’Autorité de protection des données, il n’est pas envisageable de les déterminer autrement que de manière fonctionnelle, en précisant qu’il s’agit des données nécessaires à l’exercice des missions de contrôle et de sanction visées aux chapitres 5 et 6 du projet.

Afin de garantir la proportionnalité des traitements réalisés dans le cadre de cette finalité, la disposition précise que, chaque fois que possible, les données à caractère personnel des clients (ou des données à caractère personnel traitées par ces derniers) des titulaires de certificats de cybersécurité ou des émetteurs de déclarations de conformité contrôlés doivent être pseudonymisées ou agrégées de façon à diminuer le risque d’une utilisation de données personnelles incompatible avec le RGPD.

Par ailleurs, le quatrième paragraphe prévoit que les échanges entre autorités publiques prévus par la présente loi ne peuvent porter sur des données à caractère personnel des clients (ou des données à caractère personnel traitées par ces derniers) des titulaires de certificats de cybersécurité ou des émetteurs de déclarations de conformité contrôlés. Le dernier paragraphe énumère, quant à lui, les catégories de personnes concernées par les traitements de données à caractère personnel effectués dans le cadre de l’exécution du Règlement sur la cybersécurité ou de la présente loi.

Art. 37 Cette disposition met en œuvre l’article 23 du Règlement UE 2016/679 (RGPD). Afin d’assurer la sécurité publique et la protection des consommateurs, et dans le cadre des finalités de supervision et de traitement des réclamations visées à l’article 36, § 1er, 2°, les droits des personnes concernées visés aux articles 12 à 16, 18 et 19 du Règlement UE 2016/679 (RGPD) ne sont pas applicables dans les limites prévues par l’article.

L’Autorité de protection des données indique, dans son avis, qu’il n’y a pas lieu de déroger à l’article 12 du RGPD car il ne s’agit pas d’un droit des personnes concernées. Néanmoins, l’article 23, § 1er, du RGPD permet bien de déroger à cet article. La dérogation est donc maintenue. L’exemption ne vaut que pour les traitements effectués dans le cadre de la finalité de supervision prévue à l’article 36, § 1er, 2°, dans la mesure où l’exercice des droits consacrés par les articles faisant l’objet de la dérogation nuirait aux besoins du contrôle ou des actes préparatoires à celui-ci.

Seules l’autorité nationale de certification de cybersécurité ou les autorités désignées par le Roi pour accomplir certaines tâches en matière de contrôle et de sanctions peuvent, lorsqu’elles agissent en tant que responsables de traitement, bénéficier de cette exemption.

Le paragraphe 3 précise que cette limitation des droits ne vaut que sous réserve des principes de proportionnalité et de minimisation des données. Le paragraphe 4 limite la période pendant laquelle il peut être dérogé aux droits des personnes précités. Enfin, le paragraphe 5 établit les garde-fous nécessaires à l’application de la dérogation. Notamment, le délégué à la protection des données doit accuser réception des demandes liées à l’exercice des droits des personnes concernées et informer celles-ci du refus ou de la limitation de leur demande, sauf lorsque cela nuirait aux missions de supervision.

Toute personne concernée ayant souhaité exercer ses droits doit, en tous les cas, être tenue informée une fois la dérogation levée. Durée de conservation Art. 38 L’article 38 dispose que les données à caractère personnel traitées en exécution du projet de loi sont conservées 10 ans suivant la fin du traitement effectué afin d’atteindre une des finalités visées à l’article 36, § 1er, sans préjudice des recours éventuels.

Ce délai a été fixé ainsi afin de permettre la conservation de données à caractère personnel relatives à des schémas de certification de cybersécurité durant la période où des faits de fraude peuvent encore être poursuivis. En effet, si les amendes administratives établies par le projet de loi se prescrivent par 3 ans, il apparaît nécessaire de s’assurer de conserver plus longtemps les données à caractère personnel pouvant être liées à un faux ou usage de faux relatif à une certification de cybersécurité.

Ces infractions sont prescrites après 10 ans.

CHAPITRE 9

Dispositions modificatives Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges Art. 39 L’article 39 insère, au sein de l’article 14, § 1, un 7° afin que l’Institut belge des services postaux et des télécommunications puisse exercer les missions de contrôle lui étant éventuellement confiées par le Roi conformément à l’article 5, § 2, de la loi. Art. 40 Cette disposition clarifie le fait que la sécurité des réseaux et des systèmes d’information fait partie de la notion de sécurité publique afin de s’assurer que l’Institut belge des services postaux et des télécommunications puisse communiquer des informations confidentielles à à l’autorité visée à l’article 5, § 2. L’article 14, § 2, 3°, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges énumère les autorités avec lesquelles les membres du Conseil et les membres du personnel de l’Institut belge des services postaux et des télécommunications peuvent communiquer des informations confidentielles dont ils ont eu connaissance dans le cadre de l’exercice de leur fonction. L’institut peut ainsi communiquer de telles informations aux services publics compétents en matière de sécurité publique. Modifications de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers Art. 41 Cette disposition met en place le régime dérogatoire de l’article 5, §§ 2 à 4, prévu en combinaison avec l’article 3, § 4, et auquel il est fait référence dans le commentaire de ce dernier. Cette disposition insère à l’article 45 de la loi organique de la FSMA un paragraphe 6 habilitant le Roi, à la

demande de la FSMA et en fonction de l’objet du schéma de certification de cybersécurité concerné, à confier à la FSMA les missions visées aux chapitres 5 et 6, à l’exception des articles 21 et 22, en matière de contrôle et de sanctions des certifications européennes volontaires de cybersécurité de l’autorité nationale de certification de cybersécurité, à condition que la FSMA dispose de l’expertise requise.

Dans cette hypothèse, le Roi sollicite l’avis et se concerte au préalable avec l’autorité visée à l’article 5, § 1er, de la loi précitée et la FSMA. Cette autorité n’exerce ces missions de contrôle qu’envers les entités visées au paragraphe 1er, 2°, de l’article 45 de sa loi organique. Art. 42 Cet article vise à insérer une disposition dans la loi organique de la FSMA, afin de lui permettre de communiquer les informations confidentielles dont elle dispose à l’autorité nationale de certification de cybersécurité ou à une autre autorité désignée par le Roi, lorsque cela est nécessaire à l’application de la présente loi.

Modifications de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique Art. 43 organique de la Banque nationale de Belgique, afin de lui permettre de communiquer les informations confidentielles dont elle dispose à l’autorité nationale de certification de cybersécurité ou à une autre autorité désignée par le Roi, lorsque cela est nécessaire à l’application de la présente loi.

Art. 44 à l’article 5, §§ 2 à 4 prévu en combinaison de l’article 3, § 5, auquel il est fait référence au commentaire de ce dernier. L’article 44 insère un article 36/48/1. Ce qui a été exposé au commentaire de l’article 41 est applicable mutatis mutandis au régime institué par cet article, à la différence que la Banque nationale de Belgique n’exerce les missions de contrôle dont il est question qu’envers les entités sur lesquelles elle exerce le contrôle en vertu des articles 8 et 12bis de sa loi

organique et des lois particulières relatives au contrôle des établissements financiers. Modifications du Code de droit économique Art. 45 Cet article vise à insérer une disposition dans le Code de droit économique afin que les termes “Règlement sur la cybersécurité” puissent y être régulièrement employés par la suite. Art. 46 Cet article vise à insérer dans le livre XV du Code de droit économique, les dispositions relatives aux compétences du SPF Économie en matière de certification de cybersécurité volontaire et de certification de cybersécurité rendue obligatoire en vertu du droit de l’Union ou du droit national.

Art. 47 Cet article vise à insérer dans le livre XV du Code de droit économique, les dispositions relatives aux compétences du SPF Économie en matière de certification de cybersécurité volontaire. Art. 48 L’article XV.30/3 précise que en matière de certification européenne de cybersécurité volontaire, le Roi peut confier, par arrêté délibéré en Conseil des ministres, certaines missions de contrôle et de sanction en matière de certification de cybersécurité (les missions visées aux chapitres 5 et 6 de la loi), à l’exception des articles 21 et 22, à des agents du SPF Économie moyennant plusieurs conditions cumulatives à savoir: le Roi doit solliciter l’avis de l’autorité nationale de certification de cybersécurité et le SPF Économie doit disposer de Dans la mesure où il est dérogé à l’article 5, §§ 2 à 4, le Roi pourra également déterminer s’il entend confier ces missions aux agents du SPF Économie en procédant par schéma de certification de cybersécurité ou par toute autre forme (par exemple par entités ou produits faisant déjà l’objet d’une surveillance de la part du SPF Économie, etc.).

Cette attribution de compétences à des agents du SPF Économie n’est possible que dans la mesure où cette attribution est cohérente avec les compétences déjà détenues par le SPF Économie en vertu du Code de droit économique, de ses arrêtés d’exécution ou des règlements européens. Art. 49 de cybersécurité obligatoire. Art. 50 L’article 50 détermine les pouvoirs d’enquête, procédures et sanctions applicables dans le cadre de certifications européennes rendues obligatoires en vertu du droit de l’Union ou du droit national, à savoir ceux prévus dans le Code de droit économique.

En ce qui concerne les sanctions, des articles sont introduits à cet effet dans ce Code par l’article 51. L’article XV.30/5 précise que le Roi peut confier, par arrêté délibéré en Conseil des ministres, certaines missions de contrôle et de sanctions (à l’exception des articles 21 et 22 de la loi) en matière de certification européennes de cybersécurité à des agents du SPF Économie moyennant plusieurs conditions cumulatives à savoir: le Roi doit solliciter l’avis de l’autorité nationale de certification de cybersécurité et le SPF Économie dispose de l’expertise requise.

Les missions qui sont ainsi confiées au SPF Économie portent uniquement sur les tâches de contrôle et de sanctions mais ne portent pas atteinte aux autres chapitres de la loi. Les chapitres 1 à 4, 7 et 8 de la loi restent d’application pour les certifications européennes rendues obligatoires. Art. 51 Cet article vise à déterminer les sanctions applicables en matière de certification obligatoire et fait la distinction entre les infractions qui seront punies d’amendes pénales de niveau 2 au sens de l’article XV.70 du Code de droit économique et celles, plus graves, qui seront punies d’amendes pénales de niveau 3 au sens de l’article XV.70 du même Code.

CHAPITRE 10

Entrée en vigueur Art. 52 Cette disposition précise la date d’entrée en vigueur de la loi. Le premier ministre, Alexander DE CROO Le ministre de l’Économie, Pierre-Yves DERMAGNE Le ministre des Finances, chargé de la Coordination de la lutte contre la fraude, Vincent VAN PETEGHEM La ministre des Télécommunications et de la Poste, Petra DE SUTTER

AVANT-PROJET DE LOI

soumis à l’avis du Conseil d’État relatif à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité Section 1re Art. 1er La présente loi règle une matière visée à l’article 74 de la Constitution. Art. 2 La présente loi met en œuvre partiellement le Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n°526/2013. § 1er. La présente loi s’applique à la certification européenne volontaire de cybersécurité des produits TIC, services TIC et processus TIC visée par le Règlement sur la cybersécurité. § 2. Les chapitres 1 à 4 et 7, ainsi que les articles 21 et 22, s’appliquent également à une certification européenne de cybersécurité rendue obligatoire. Lors de la mise en œuvre des articles 21 et 22 dans le cadre d’une telle certification, les articles 19 et 26 sont applicables. Le Roi peut, par arrêté délibéré en Conseil des ministres, rendre applicables, en tout ou en partie, les chapitres 5 et 6 dans le cadre d’une telle certification. § 3. La présente loi ne porte pas préjudice aux mesures adoptées en droit belge pour protéger la sécurité publique, la

défense, la sécurité nationale et les activités dans le domaine du droit pénal. § 4. La présente loi est sans préjudice des compétences de rendre obligatoire une certification de cybersécurité et d’en assurer le contrôle dont disposent les autorités publiques, notamment les autorités de surveillance de marché ou les autorités sectorielles au sens de l’article 6, § 1er de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (“loi NIS”), de l’article 3, 3° la loi du 1er juillet 2011 relative à la protection et la sécurité des infrastructures critiques et de l’article 2, 1° de l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien.

Dans le respect des dispositions légales applicables et du paragraphe 2, les autorités précitées et les services d’inspection compétents assurent le contrôle et les sanctions des certifications européennes de cybersécurité rendues obligatoires. § 5. L’article 5, §§ 2 à 4 n’est applicable ni à la Banque nationale de Belgique visée par la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique ni à la FSMA visée par la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers ni au SPF Économie visé au Code de droit économique.

Pour l’application de la présente loi, il faut entendre par:

1° “Règlement sur la cybersécurité”: le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n°526/2013;

2° “autorité nationale de certification de cybersécurité”: l’autorité visée à l’article 58 du Règlement sur la cybersécurité et désignée par le Roi conformément à l’article 5, § 1er;

3° “GECC”: Groupe européen de certification de cybersécurité visé à l’article 62 du Règlement sur la cybersécurité;

4° “autorité nationale d’accréditation”: l’organisme créé par le Roi en exécution de l’article VIII.30 du Code de droit économique et visée à l’article 2, 16° du Règlement sur la cybersécurité;

5° “autorité publique”: l’autorité publique au sens de l’article 5 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel;

6° “service d’inspection”: le service d’inspection visé à l’article 13, § 1er. Autorités compétentes et coopération au niveau national § 1er. Le Roi désigne l’autorité qui est chargée, en tant qu’autorité nationale de certification de cybersécurité, des tâches et missions visées par le Règlement sur la cybersécurité et par la présente loi. § 2. En fonction de l’objet du schéma de certification concerné et à la demande de l’autorité publique concernée, le Roi peut, par dérogation, confier, par arrêté délibéré en Conseil des ministres, en tout ou en partie, les missions visées aux chapitres 5 et 6 de l’autorité visée à l’article 5, § 1er à une autre autorité publique, à l’exception des articles 21 et 22.

Le Roi veille à tenir compte de l’expertise de l’autorité publique concernée lors de l’attribution éventuelle de tâches § 3. Dans l’hypothèse visée au paragraphe 2, le Roi sollicite l’avis et se concerte au préalable avec l’autorité visée à l’article 5, § 1er et l’autorité publique concernée. § 4. Dans l’exercice de ces missions confiées par le Roi et sans préjudice de ses compétences légales en matière de contrôle et de sanctions, l’autorité publique concernée dispose des mêmes droits et obligations que ceux visés aux chapitres 5 et 6. § 1er.

L’autorité visée à l’article 5, § 1er et l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 accomplissent leurs tâches en concertation

avec les autorités publiques. En fonction de l’objet précis du schéma de certification, l’autorité visée à l’article 5, § 1er et l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 peuvent également consulter les acteurs privés concernés par la certification en matière de cybersécurité. § 2. Les organismes d’évaluation de la conformité, les titulaires de certificats de cybersécurité européens et les émetteurs de déclarations de conformité de l’Union européenne communiquent à l’autorité visée à l’article 5, § 1er ou l’autorité publique désignée par le Roi en vertu de l’article 5, § 2 toute information dont elle a besoin pour l’exécution de ses tâches. § 3.

L’autorité visée à l’article 5, § 1er et les autorités publiques visées au paragraphe 1er s’échangent les informations nécessaires à l’application du Règlement sur la cybersécurité, de la présente loi ou d’autres dispositions légales, notamment en matière de délivrance de certificat, de contrôle, de sanction et de réclamation. Les informations échangées se limitent à ce qui est pertinent et proportionnée à l’objectif de cet échange, notamment dans le respect du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Les modalités d’échange d’informations préservent la confidentialité des informations concernées. § 4. Les personnes dépositaires, par état ou par profession, des secrets ou informations confidentielles qu’on leur confie sont autorisées à faire connaître ces secrets ou ces informations confidentielles à l’autorité visée à l’article 5, § 1er, ainsi qu’éventuellement à d’autres autorités publiques lorsque cela est nécessaire à l’application du Règlement sur la cybersécurité ou de la présente loi.

Il s’agit notamment des informations nécessaires en matière de délivrance de certificat, de contrôle, de sanction et de réclamation. Les informations échangées se limitent à ce Dans le cadre des missions et pouvoirs qui leur sont attribués par la loi, les autorités publiques peuvent assister l’autorité visée à l’article 5, § 1er dans ses missions de contrôle visées par la présente loi. Autorité nationale de certification de cybersécurité

Représentation au Groupe européen de certification de cybersécurité § 1er. L’autorité visée à l’article 5, § 1er représente la Belgique au sein du GECC. § 2. Dans le cadre de sa mission de représentation de la Belgique au sein du GECC, l’autorité visée à l’article 5, § 1er se concerte avec les autres autorités publiques désignées par le Roi, en particulier en ce qui concerne la préparation et l’adoption d’un avis sur un schéma de certification candidat au sens de l’article 49 du Règlement sur la cybersécurité. § 3.

D’autres autorités publiques peuvent assister avec l’autorité visée à l’article 5, § 1er aux travaux et réunions du GECC. § 1er. L’autorité visée à l’article 5, § 1er prend les mesures nécessaires afin d’assurer l’indépendance des membres de son personnel, de prévenir, d’identifier et de résoudre efficacement les conflits d’intérêts lors de l’exécution de ses tâches de contrôle ou de certification en matière de cybersécurité, afin d’éviter des distorsions de concurrence et de garantir l’égalité de traitement de tous.

La notion de conflit d’intérêts vise au moins les situations dans lesquelles un membre du personnel de l’autorité visée à l’article 5, § 1er chargé de la certification ou du contrôle a, directement ou indirectement, un intérêt financier, économique ou un autre intérêt personnel qui pourrait être perçu comme compromettant son impartialité et son indépendance dans le cadre de sa mission ou de ses fonctions. § 2.

Les membres du personnel de l’autorité visée à l’article 5, § 1er ne reçoivent ni ne cherchent dans les limites de leurs attributions, de façon directe ou indirecte, d’instructions de personne. Il leur est interdit d’être présents lors d’une délibération ou décision sur les dossiers pour lesquels ils ont un intérêt personnel ou direct ou pour lesquels leurs parents ou alliés jusqu’au troisième degré ont un intérêt personnel ou direct.

Le Roi peut également désigner d’autres situations comme étant des conflits d’intérêts. Délivrance des certificats européens

Certificats de cybersécurité européens attestant d’un § 1er. Les organismes d’évaluation de la conformité accrédités par l’autorité nationale d’accréditation délivrent les certificats de cybersécurité européens attestant d’un niveau d’assurance dit “élémentaire” ou “substantiel”. § 2. Lorsque le schéma européen de certification de cybersécurité l’impose, la délivrance de tels certificats est réservée à l’autorité visée à l’article 5, § 1er. § 3.

En fonction des exigences techniques du schéma de certification et moyennant une délégation préalable, l’autorité visée à l’article 5, § 1er peut néanmoins déléguer en tout ou en partie la délivrance d’un certificat visé au paragraphe 2 à un organisme public accrédité par l’autorité nationale d’accréditation en tant qu’organisme d’évaluation de la conformité. niveau d’assurance “élevé” § 1er. L’autorité visée à l’article 5, § 1er délivre les certificats dit “élevé”. § 2.

En fonction des exigences techniques du schéma de visée à l’article 5, § 1er peut toutefois déléguer en tout ou en partie cette tâche à un organisme d’évaluation de la conformité accrédité par l’autorité nationale d’accréditation. En cas de refus de délivrance du certificat, le demandeur peut introduire une réclamation devant l’autorité visée à l’article 5, § 1er selon les modalités prévues au chapitre 7. § 1er.

L’autorité visée à l’article 5, § 1er dispose d’un service d’inspection qui peut à tout moment réaliser des contrôles mité, les titulaires de certificats de cybersécurité européens

volontaires et les émetteurs de déclarations de conformité de l’Union européenne des règles imposées par le Règlement sur la cybersécurité, les schémas européens de certification de cybersécurité, la présente loi ou ses arrêtés d’exécution. Dans l’exécution de ses tâches de contrôle, le service d’inspection agit de manière indépendante des autres services de l’autorité visée à l’article 5, § 1er, notamment du service chargé de la délivrance des certificats de cybersécurité. § 2.

Au moment de formuler une demande d’informations ou de preuves, le service d’inspection mentionne la finalité de la demande et précise le délai dans lequel les informations ou preuves doivent être fournies. § 3. En fonction des caractéristiques propres à chaque schéma européen de certification de cybersécurité, le service d’inspection peut faire appel à des experts, lesquels sont soumis aux règles de l’article 17.

Les frais de recours à des experts peuvent être mis à charge des organismes d’évaluation de la conformité, des titulaires de certificat de cybersécurité européen ou des émetteurs de déclaration de conformité de l’Union européenne. Lorsqu’un organisme d’évaluation de la conformité, un titulaire de certificat de cybersécurité européen volontaire ou un émetteur de déclaration de conformité de l’Union européenne est situé en dehors du territoire belge, le service d’inspection peut solliciter la coopération et l’assistance des autorités nationales de certification de cybersécurité compétentes de ces autres États. § 1er.

Les membres assermentés du service d’inspection sont dotés d’une carte de légitimation dont le modèle est fixé par le Roi. § 2. Les membres assermentés du service d’inspection ou les experts appelés à participer à l’inspection ne peuvent avoir un intérêt quelconque, direct ou indirect, dans les organismes d’évaluation de la conformité, titulaires de certificat de cybersécurité européen ou émetteurs de déclaration de conformité de l’Union européenne qu’ils sont chargés de contrôler, susceptible de compromettre leur objectivité.

Ils prêtent serment auprès du fonctionnaire dirigeant de leur service. § 3. Sans préjudice des attributions des officiers de police judiciaire visées à l’article 8 du Code d’instruction criminelle, les membres assermentés du service d’inspection disposent, à tout moment, des compétences de contrôle suivantes dans l’exercice de leur mission:

1° pénétrer sans avertissement préalable, sur présentation de leur carte de légitimation, dans tous les lieux utilisés par l’organisme d’évaluation de la conformité, le titulaire de certificat de cybersécurité européen ou l’émetteur de déclaration de

conformité de l’Union européenne; ils n’ont accès aux locaux habités que moyennant autorisation préalable délivrée par le juge d’instruction;

2° prendre connaissance sur place et obtenir une copie du certificat ou de la déclaration de conformité de l’Union européenne, ainsi que de tout acte, tout document et toute autre source d’informations nécessaires à l’exercice de leur mission;

3° procéder à tout examen, contrôle et audition, et requérir toutes les informations qu’ils estiment nécessaires à l’exercice de leur mission;

4° relever et vérifier l’identité des personnes qui se trouvent sur les lieux utilisés par l’organisme d’évaluation de la conformité, le titulaire de certificat de cybersécurité européen ou l’émetteur de déclaration de conformité de l’Union européenne et dont ils estiment l’audition nécessaire pour l’exercice de leur mission. À cet effet, ils peuvent exiger de ces personnes la présentation de documents officiels d’identification;

5° requérir l’assistance des services de la police fédérale ou locale. § 4. Pour obtenir l’autorisation de pénétrer dans des locaux habités, les membres du personnel du service d’inspection adressent une demande motivée au juge d’instruction. Cette demande contient au moins les données suivantes:

1° l’identification des espaces habités auxquels les membres du personnel du service d’inspection souhaitent avoir accès;

2° les infractions présumées qui font l’objet du contrôle;

3° la législation qui donne lieu au contrôle pour lequel les inspecteurs estiment nécessaire d’obtenir une autorisation de visite;

4° tous les documents et renseignements desquels il ressort que l’utilisation de ce moyen est nécessaire;

5° la proportionnalité et la subsidiarité à l’égard de tout autre devoir d’enquête. Le juge d’instruction décide dans un délai de 48 heures maximum après réception de la demande. La décision du juge d’instruction est motivée. En l’absence de décision dans le délai prescrit, la visite des lieux est réputée être refusée. Le service d’inspection peut introduire un recours contre la décision de refus ou l’absence de décision devant la chambre des mises en accusation dans les quinze jours de la notification de la décision ou de l’expiration du délai.

Les visites sans autorisation de l’occupant dans des locaux habités se font entre cinq et vingt-et-une heures par au moins deux membres assermentés du service d’inspection agissant conjointement.

§ 5. Au début de toute audition, il est communiqué à la personne interrogée:

1° que ses déclarations peuvent être utilisées comme preuve en justice;

2° qu’elle peut demander que toutes les questions qui lui sont posées et les réponses qu’elle donne soient actées dans les termes utilisés;

3° qu’elle a le droit de garder le silence et de ne pas contribuer à sa propre incrimination. Toute personne interrogée peut utiliser les documents en sa possession, sans que cela puisse entraîner le report de l’audition. Elle peut, lors de l’audition ou ultérieurement, exiger que ces documents soient joints à l’audition. L’audition mentionne avec précision l’heure à laquelle elle a pris cours, est éventuellement interrompue et reprise, et prend fin.

Elle mentionne l’identité des personnes qui interviennent lors de l’audition ou à une partie de celle-ci. À la fin de l’audition, la personne interrogée a le droit de relire celle-ci ou de demander que lecture lui en soit faite. Elle peut demander à ce que ses déclarations soient corrigées ou complétées. Les membres du personnel du service d’inspection qui interrogent une personne l’informent qu’elle peut demander une copie du texte de son audition.

Cette copie lui est délivrée gratuitement. § 6. Les membres du service d’inspection peuvent consulter tous les supports d’information et les données qu’ils contiennent. Ils peuvent se faire produire sur place le système informatique et les données qu’il contient dont ils ont besoin pour leurs examens et constatations, et en prendre ou en demander gratuitement des extraits, des duplicatas ou des copies, sous une forme lisible et intelligible qu’ils ont demandée.

S’il n’est pas possible de prendre des copies sur place, les membres du service d’inspection peuvent saisir, contre récépissé contenant un inventaire, le système informatique et les données qu’il contient. § 7. Pour étendre les recherches dans un système informatique ou une partie de celui-ci, entamées sur la base du paragraphe 6, vers un système informatique ou une partie de celui-ci qui se trouve dans un autre lieu que celui où la recherche est effectuée, le service d’inspection peut solliciter l’autorisation d’un juge d’instruction, selon les mêmes conditions que celles prévues au paragraphe 4. § 8.

Lorsque cela s’avère nécessaire, les membres du service d’inspection disposent d’une habilitation de sécurité correspondant au niveau de classification, au sens de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, des informations auxquelles ils doivent avoir accès afin de réaliser leur contrôle.

§ 1er. À la fin des inspections, un rapport est dressé par le service d’inspection ou par l’autorité publique désignée par le Roi en vertu de l’article 5, § 2. Une copie de ce rapport est transmise à l’organisme d’évaluation de la conformité, au titulaire de certificat de cybersécurité européen ou à l’émetteur de déclaration de conformité de l’Union européenne inspecté. § 2. À sa demande et pour autant que cela poursuive l’accomplissement de ses missions légales, une autre autorité publique peut recevoir une copie du rapport prévu au § 1er. § 3.

Par dérogation au paragraphe 2, l’autorité visée à l’article 5, § 1er ou l’autorité publique désignée par le Roi en vertu de l’article 5, § 2 transmet une copie du rapport prévu au paragraphe 1er à l’autorité sectorielle compétente lorsque celui-ci est lié à un contrôle effectué auprès d’une infrastructure critique, d’un opérateur de services essentiels ou d’un fournisseur de service numérique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique ou de l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien. § 1er.

Le service d’inspection limite l’accès aux informations relatives à l’exécution de ses missions aux personnes ayant besoin d’en connaître et d’y avoir accès pour l’exercice de leurs fonctions ou de leur mission en lien avec la présente loi ou d’autres dispositions légales. § 2. Les membres du personnel du service d’inspection sont tenus au secret professionnel en ce qui concerne les informations en rapport à l’exécution de la présente loi. § 3.

À sa demande et pour autant que cela poursuive publique peut recevoir une copie d’un procès-verbal ainsi que de toutes les informations complémentaires liées à un contrôle effectué par l’autorité visée à l’article 5, § 1er ou par l’autorité publique désignée par le Roi en vertu de l’article 5, § 2. § 4. L’autorité visée à l’article 5, § 1er ou l’autorité publique désignée par le Roi en vertu de l’article 5, § 2 transmet à l’autorité sectorielle compétente une copie complète du procèsverbal ainsi que de toutes les informations complémentaires liées à un contrôle effectué auprès d’une infrastructure critique, d’un opérateur de services essentiels ou d’un fournisseur de service numérique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ou de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique. § 5.

Dans l’exercice de leurs fonctions, les membres du personnel du service d’inspection peuvent:

1° prendre intentionnellement connaissance de l’existence d’une information de toute nature transmise par voie de communication électronique et qui ne leur est pas destinée personnellement;

2° identifier intentionnellement les personnes concernées par la transmission de l’information et son contenu;

3° prendre connaissance intentionnellement de données en matière de communications électroniques et relatives a une autre personne. § 1er. L’organisme d’évaluation de la conformité, le titulaire de certificat de cybersécurité européen volontaire ou l’émetteur de déclaration de conformité de l’Union européenne apporte son entière collaboration aux membres du service d’inspection ou aux experts appelés à participer à l’inspection dans l’exercice de leurs fonctions et notamment pour informer ceux-ci au mieux de toutes les mesures de sécurité existantes.

Si nécessaire, l’organisme d’évaluation de la conformité, le titulaire de certificat de cybersécurité européen volontaire ou met à disposition des membres du service d’inspection et des experts appelés à participer à l’inspection le matériel nécessaire de manière à ce qu’ils remplissent les consignes de sécurité lors des inspections. § 2. Après avis de l’autorité visée à l’article 5, § 1er, le Roi peut déterminer des rétributions relatives à la délivrance et aux prestations d’inspections réalisées dans le cadre du recours volontaire à des certifications et déclarations de conformité visées par le Règlement sur la cybersécurité.

Ces rétributions sont à charge des organismes d’évaluation de la conformité, titulaires de certificat de cybersécurité européen volontaire et des émetteurs de déclaration de conformité de l’Union européenne. Le Roi fixe les modalités de calcul et de paiement. § 1er. Lorsqu’un ou plusieurs manquements aux exigences imposées par le Règlement sur la cybersécurité, la présente loi ou ses arrêtés d’exécution ou aux exigences de schémas de certification volontaire de cybersécurité sont constatés, le service d’inspection met en demeure le contrevenant de se conformer, dans un délai raisonnable qu’il fixe, aux obligations qui lui incombent.

Le délai est déterminé en tenant compte des conditions de fonctionnement du contrevenant et des mesures à mettre en œuvre. § 2. Au préalable, le service d’inspection informe, de manière motivée, le contrevenant de son intention de lui adresser une mise en demeure et lui fait part de son droit, dans les quinze jours de la réception de cette information, de formuler par écrit ses moyens de défense ou de solliciter d’être d’entendu.

L’information est présumée reçue par le contrevenant le sixième jour suivant son envoi par le service d’inspection. § 1er. Lorsque le service d’inspection constate que le contrevenant n’a pas respecté les obligations découlant de la loi ou du Règlement sur la cybersécurité, les faits sont constatés dans un procès-verbal rédigé par les membres assermentés du service d’inspection. § 2. Le fait pour quiconque d’empêcher ou entraver volontairement l’exécution d’un contrôle effectué par les membres du service d’inspection, de refuser de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle, ou de communiquer sciemment des informations inexactes ou incomplètes est constaté par les membres assermentés du service d’inspection dans un procès-verbal. § 3.

Les procès-verbaux rédigés par les membres assermentés du service d’inspection font foi jusqu’à preuve du contraire. L’autorité visée à l’article 5, § 1er retire un certificat de cybersécurité lorsque le bénéficiaire ne respecte pas le Règlement sur la cybersécurité ou un schéma européen de certification Limitation, suspension ou retrait d’une autorisation ou d’une délégation L’autorité visée à l’article 5, § 1er limite, suspend ou retire les autorisations ainsi que les délégations qu’elle a accordées aux organismes d’évaluation de la conformité, lorsque le bénéficiaire de l’autorisation ou de la délégation ne respecte pas le Règlement sur la cybersécurité ou un schéma européen

Art. 23 § 1er. Toute infraction au Règlement sur la cybersécurité, à la présente loi ou ses arrêtés d’exécution peut faire l’objet d’une sanction administrative. § 2. Est puni d’une amende de 500 à 75 000 euros quiconque ne répond pas à une demande d’information de l’autorité visée à l’article 5, § 1er. § 3. Est puni d’une amende de 500 à 100 000 euros le fabricant ou fournisseur de produits TIC, services TIC ou processus TIC qui ne se conforme pas aux dispositions relatives à l’autoévaluation de la conformité visées à l’article 53 du Règlement sur la cybersécurité. § 4.

Est également puni d’une amende de 500 à 100 000 euros le titulaire d’un certificat de cybersécurité européen attestant du niveau d’assurance dit “élémentaire” qui ne se conforme pas aux obligations émanant du schéma européen de certification de cybersécurité correspondant. § 5. Est puni d’une amende de 500 à 125 000 euros le titulaire d’un certificat de cybersécurité européen attestant du niveau d’assurance dit “substantiel” ou “élevé” qui ne se § 6.

Est puni d’une amende de 500 à 150 000 euros quiconque ne coopère pas lors d’un contrôle, par exemple en refusant de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle. § 7. Est puni d’une amende de 500 à 200 000 euros quiconque communique sciemment des informations inexactes ou incomplètes ou se rend coupable de tout autre acte ou omission frauduleuse dans le cadre de l’exécution du Règlement sur la cybersécurité, de la présente loi et de ses arrêtés d’exécution.

Art. 24 § 1er. La décision d’imposer une amende administrative est motivée. Elle mentionne également le montant de l’amende administrative et les infractions visées. § 2. L’autorité visée à l’article 5, § 1er informe au préalable le contrevenant de sa proposition motivée de sanction administrative et lui fait part de son droit, dans les quinze jours de la réception de la proposition, de formuler par écrit ses moyens de défense ou de solliciter d’être d’entendu.

La proposition est présumée reçue par le contrevenant le sixième jour suivant son envoi par de l’autorité visée à l’article 5, § 1er. § 3. En tenant compte des moyens de défense invoqués dans le délai visé au paragraphe 2 ou en l’absence de réaction du

contrevenant dans ce même délai, l’autorité visée à l’article 5, § 1er peut adopter une sanction administrative visée à l’article 23. § 4. L’amende administrative est proportionnelle à la gravité, la durée, les moyens utilisés, les dommages causés et les circonstances des faits. L’amende administrative est doublée en cas de récidive pour les mêmes faits dans un délai de trois ans. § 5. Le concours de plusieurs infractions peut donner lieu à une amende administrative unique proportionnelle à la gravité de l’ensemble des faits.

Art. 25 La décision est notifiée par envoi recommandé au contrevenant. Une invitation à acquitter l’amende dans un délai d’un mois est jointe à la décision. Art. 26 Le contrevenant peut contester la décision prise en vertu du chapitre 6 par l’autorité visée à l’article 5, § 1er devant la Cour des marchés visée à l’article 101 du Code judiciaire. La Cour des marchés est saisie du fond du litige et dispose d’une compétence de pleine juridiction.

La demande est introduite par requête contradictoire introduite, à peine de déchéance, dans les soixante jours de la notification de la décision de l’autorité visée à l’article 5, § 1er. La cause est traitée selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire. Ce recours ne suspend pas l’exécution de la décision. Art. 27 § 1er. Lorsque le contrevenant reste en défaut de payer l’amende administrative dans le délai imparti, la décision d’infliger une amende administrative a force exécutoire et l’autorité visée l’article 5, § 1er peut décerner une contrainte.

La contrainte est décernée par le représentant légal de l’autorité visée à l’article 5, § 1er ou par un membre du personnel habilité à cette fin. § 2. La contrainte est signifiée au contrevenant par exploit d’huissier de justice. La signification contient un commandement de payer dans les vingt-quatre heures, à peine d’exécution

par voie de saisie, de même qu’une justification comptable des sommes exigées ainsi que copie de l’exécutoire. § 3. Le contrevenant peut former opposition à la contrainte devant le juge des saisies. L’opposition est motivée à peine de nullité. Elle est formée au moyen d’une citation à l’autorité visée à l’article 5, § 1er par exploit d’huissier dans les quinze jours à partir de la signification de la contrainte.

Les dispositions du chapitre VIII de la première partie du Code judiciaire sont applicables à ce délai, y compris les prorogations prévues à l’article 50, alinéa 2, et l’article 55 de ce Code. L’exercice de l’opposition à la contrainte suspend l’exécution de la contrainte, ainsi que la prescription des créances contenues dans la contrainte, jusqu’à ce qu’il ait été statué sur son bien-fondé. Les saisies déjà pratiquées antérieurement conservent leur caractère conservatoire. § 4.

L’autorité visée à l’article 5, § 1er peut faire pratiquer la saisie conservatoire et exécuter la contrainte en usant des voies d’exécution prévues à la cinquième partie du Code judiciaire. Les paiements partiels effectués en suite de la signification d’une contrainte ne font pas obstacle à la continuation des poursuites. § 5. Les frais de signification de la contrainte de même que les frais de l’exécution ou des mesures conservatoires sont à charge du contrevenant.

Ils sont déterminés suivant les règles établies pour les actes accomplis par les huissiers de justice en matière civile et commerciale. Art. 28 L’autorité visée à l’article 5, § 1er ne peut imposer d’amende administrative à l’échéance d’un délai de trois ans, à compter du jour où le fait a été commis. Saisine de l’autorité nationale de certification de cybersécurité Art. 29

L’autorité visée à l’article 5, § 1er reçoit et traite les réclamations des personnes en rapport avec un certificat de cybersécurité européen, le refus de délivrance d’un certificat ou une Art. 30 Le dépôt d’une réclamation par toute personne physique ou morale au sens de l’article 63 du Règlement sur la cybersécurité est sans frais. Art. 31 § 1er. L’autorité compétente examine si la réclamation est recevable. § 2.

Une réclamation est recevable lorsqu’elle: — est rédigée dans l’une des langues nationales; — contient un exposé des faits et les indications nécessaires pour identifier le certificat de cybersécurité européen, le refus de délivrance d’un certificat ou la déclaration de conformité de l’Union européenne sur laquelle elle porte; — relève de la compétence de l’autorité visée à l’article 5, § 1er en vertu du Règlement sur la cybersécurité. § 3.

L’autorité compétente peut inviter l’auteur de la réclamation à préciser sa réclamation. Art. 32 L’affaire est traitée dans la langue nationale de la réclamation. Art. 33 La décision portant sur la recevabilité de la réclamation est portée à la connaissance de l’auteur de la réclamation. Si l’autorité visée à l’article 5, § 1er conclut à l’irrecevabilité de la réclamation, l’auteur de la réclamation en est informé par décision motivée.

Art. 34 Si l’autorité visée à l’article 5, § 1er conclut à la recevabilité de la réclamation, elle peut exercer les pouvoirs qui lui sont conférés conformément aux articles 11, 12, 21 et 22. L’autorité visée à l’article 5, § 1er peut délivrer elle-même la certification demandée.

Le réclamant peut contester la décision prise en vertu du chapitre 7 par l’autorité visée à l’article 5, § 1er devant la Cour des marchés visée à l’article 101 du Code judiciaire. Dispositions finales Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges L’article 14, § 1er, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges, est complété par un 7° rédigé comme suit: “7° L’Institut exerce les missions de contrôle et de sanctions qui lui sont confiées par l’arrêté royal visant à exécuter l’article 5, § 2, de la loi du [date] [relatif à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité].” Dans l’article 14, § 2, 3°, g) de la même loi, inséré par la loi du 10 juillet 2012 portant des dispositions diverses en matière de communications électroniques (cité comme: loi Télécom), les mots “en ce compris la sécurité des réseaux et des systèmes d’information,” sont insérés entre les mots “sécurité publique,” et “ou de sécurité et protection civile”.

Modifications de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers L’article 45 de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers est complété par un paragraphe 6, rédigé comme suit: “§ 6. À la demande de la FSMA et en fonction de l’objet du schéma de certification de cybersécurité concerné, le Roi peut, à condition qu’elle dispose de l’expertise requise à ces fins, confier à la FSMA, par arrêté délibéré en Conseil des ministres, en tout ou en partie, les missions visées aux chapitres 5 et 6, à l’exception des articles 21 et 22, de la loi du [date] [relatif à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité].

Dans cette hypothèse, le Roi sollicite l’avis et se concerte au préalable avec l’autorité visée à l’article 5, § 1er de la loi précitée et la FSMA. La FSMA exerce ces missions de contrôle uniquement vis-à-vis des entités sur lesquelles elle exerce le contrôle en vertu du paragraphe 1er, 2° du présent article et des lois particulières qui régissent le contrôle des établissements financiers.” L’article 75, § 1 de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers, est complété par un 26°, rédigé comme suit: “26° à l’autorité visée à l’article 5, § 1er de la loi du […] relative à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité ou aux autorités désignées par le Roi en vertu de l’article 5, § 2 de la même loi.” Modifications de la loi du 22 février 1998 fixant le statut Dans le Chapitre IV/4 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, inséré par la loi du 7 avril 2019 et modifié en dernier lieu par la loi du [date], il est inséré un article 36/48/1 rédigé comme suit: “Art. 36/48/1.

À la demande de la Banque et en fonction de l’objet du schéma de certification de cybersécurité concerné, le Roi peut, à condition qu’elle dispose de l’expertise requise à ces fins, confier à la Banque, par arrêté délibéré en Conseil

chapitres 5 et 6, à l’exception des articles 21 et 22, de la loi du [date] [relatif à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité]. Dans cette hypothèse, le Roi sollicite l’avis et se concerte au préalable avec l’autorité visée à l’article 5, § 1er de la loi précitée et la Banque.

La Banque exerce ces missions de contrôle uniquement vis-à-vis des entités sur lesquelles elle exerce le contrôle en vertu des articles 8 et 12bis et des lois particulières qui régissent le contrôle des Dans l’article 36/14 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, modifié en dernier lieu par la loi du 20 juillet 2020, il est inséré un 20°/2 rédigé comme suit: “20°/2 dans les limites du droit de l’Union européenne, à l’autorité visée à l’article 5, § 1er de la loi du […] relative à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité, ou aux autorités désignées par le Roi en vertu de l’article 5, § 2 de la même loi;” Modification du Code de droit économique L’article I.20 du Code de droit économique, inséré par la loi du 17 juillet 2013 et modifié par les lois du 1er décembre 2016 et du 15 avril 2018, est complété par un 9° rédigé comme suit: “9° Règlement sur la cybersécurité: Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013.”.

Dans le livre XV, titre Ier, chapitre 2, du même Code, inséré par la loi du 18 avril 2017, il est inséré une section 10 intitulée “Section 10. Certification de cybersécurité”. Dans la section 10, inséré par l’article 43, il est inséré une sous-section 1re intitulée “Sous-section 1re. Certification de cybersécurité volontaire”.

Dans la sous-section 1re, inséré par l’article 44, il est inséré un article XV.30/3, rédigé comme suit: “Art. XV.30/3. En matière de certification de cybersécurité volontaire, à la demande du SPF Économie, le Roi peut, par arrêté délibéré en Conseil des ministres, confier certaines missions visées aux chapitres 5 et 6, à l’exception des articles 21 et 22, de la loi du [date] [relative à la certification de la cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité], à certains agents du SPF Économie, à condition que le SPF Économie dispose de l’expertise requise à ces fins.

Dans cette hypothèse, le Roi sollicite l’avis et se concerte au préalable avec l’autorité visée à l’article 5, § 1er de la loi précitée et avec le SPF Économie. Le SPF Économie exerce ces missions de contrôle uniquement sur les produits ou entités réglementés par le présent Code, ses arrêtés d’exécution ou les règlements de l’Union européenne relatifs aux matières qui, conformément aux livres

VI,

VII, IX et XII du présent Code, relèvent du pouvoir réglementaire du Roi. sous-section 2 intitulée “Sous-section 2. Certification de cybersécurité obligatoire”. Par dérogation au paragraphe 2 de l’article 3 de la présente loi, il est inséré dans la sous-section 2, inséré par l’article 46, un article XV.30/4, rédigé comme suit: “Art. XV.30/4. § 1. En matière de certification européenne de cybersécurité rendue obligatoire en vertu du droit de l’Union ou du droit national, à la demande du SPF Économie et après avis de l’autorité nationale de certification de cybersécurité, confier certaines missions en matière de contrôle relatives au règlement sur la cybersécurité ou relatives à la loi du [date] d’une autorité nationale de certification de cybersécurité, à certains agents du SPF Économie, à condition que ce dernier dispose de l’expertise requise à ces fins. § 2.

Les missions en matière de contrôle visées au paragraphe 1er, y compris la recherche, la constatation, la poursuite et la sanction des infractions, s’effectuent conformément aux dispositions du présent livre. Dans le livre XV, titre 3, chapitre 2, section 11/3, du même Code, insérée par la loi du 18 avril 2017, sont insérés les articles XV.125/7 et XV.125/8, rédigés comme suit:

“Art. XV.125/7. Dans le cadre de la surveillance visé à l’article [XV.30/4], sont punis d’une sanction de niveau 2:

1° le titulaire d’un certificat de cybersécurité rendu obligatoire en vertu du droit de l’Union ou du droit national attestant du niveau d’assurance dit “élémentaire” qui ne se conforme pas aux obligations émanant du schéma de certification de cybersécurité correspondant;

2° quiconque ne coopère pas lors d’un contrôle, par exemple en refusant de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle. Art. XV.125/8. Dans le cadre de la surveillance visé à l’article [XV.30/4], sont punis d’une sanction de niveau 3: conforme pas aux obligations émanant du schéma de certification de cybersécurité correspondant;

2° quiconque communique sciemment des informations inexactes ou incomplètes ou se rend coupable de tout autre acte ou omission frauduleuse dans le cadre de l’exécution du Règlement sur la cybersécurité.”. Section 5 Entrée en vigueur et dispositions transitoires La présente loi entre en vigueur le jour de sa publication au Moniteur belge.

Analyse d'impact de RiA- :: Remplissez de préférence le form :: Contactez le Helpdesk si nécessa :: Consultez le manuel, les FAQ, etc Fiche sign Auteur .a. Membre du Gouvernement compétent Premier Ministre Contact cellule stratégique (nom, email, tél.) Administration compétente Contact administration (nom, email, tél.) info@premier.be Centre pour la Cyb legal@ccb.belgium Projet .b. Titre du projet de réglementation Projet de loi relati l'information et d nationale de certi Description succincte du projet de réglementation en mentionnant l'origine réglementaire (traités, directive, accord de coopération, actualité, …), les objectifs poursuivis et la mise en œuvre.

Ce projet de loi vi « Règlement euro en droit national a réclamations, reco Analyses d'impact déjà réalisées ☐Oui ☒Non Consultations sur le projet de réglementation .c. Consultations obligatoires, facultatives ou informelles : Inspecteur des Fin l’Autorité de prote Sources utilisées pour effectuer l’analyse d’impact .d. Statistiques, documents de référence, organisations et personnes de référence : Règlement (UE) 2 relatif à l’ENISA (A certification de cy communications, cybersécurité) Date de finalisation de l’analyse d’impact .e. _

Quel est l’impact du projet de rég > Un projet de réglementation aura généra Une liste non-exhaustive de mots-clés est S’il y a des impacts positifs et / ou négati indiquez les mesures prises pour alléger / Pour les thèmes 3, 10, 11 et 21, des quest Consultez le manuel ou contactez le helpd Lutte contre la pauvreté .1. Revenu minimum conforme à la dignité humaine, accès à des services de compris chez les mineurs), illettrisme, fracture numérique. ☒ Impact positif ☐ Impact négatif ↓ Expliquez.

Accès à des services de qualité – Le Règlement européen mis en place d’une certification de cybersécurité volontaire de produits technologies de l’information et des communcations (ci-après, « qu’en respectant les règles établies par le schéma de certificatio produits, services et/ou processus TIC de qualité accrue car moin Égalité des chances et cohésion sociale .2. Non-discrimination, égalité de traitement, accès aux biens et services, acc effectivité des droits civils, politiques et sociaux (en particulier pour les po handicapées et les minorités). ☐ Impact positif _ _ Égalité entre les femmes et les hommes .3.

Accès des femmes et des hommes aux ressources : revenus, travail, respo mobilité, temps, loisirs, etc. Exercice des droits fondamentaux par les femmes et les hommes : droits 1. Quelles personnes sont directement et indirectement conce groupe(s) de personnes ? Si aucune personne n’est concernée, expliquez pourquoi.

Le projet porte sur la certification de cybersécurité de prod sur l’égalité entre les femmes et les hommes.

↓ Si des personnes sont concernées, répondez à la quest

2. Identifiez les éventuelles différences entre la situation au projet de réglementation.

S’il existe des différences, répondez aux question

3. Certaines de ces différences limitent-elles l’accès femmes ou des hommes (différences problématiq

4. Compte tenu des réponses aux questions précéde l’égalité des femmes et les hommes ?

S’il y a des impacts négatifs, répondez à la q

5. Quelles mesures sont prises pour alléger / c

Santé .4. Accès aux soins de santé de qualité, efficacité de l’offre de soins, espéran (maladies cardiovasculaires, cancers, diabètes et maladies respiratoires c alimentation, pollution), qualité de la vie. Accès aux soins de santé, efficacité de l’offre des soins (disponib santé est dépendant de produits, services et processus TIC. Dès soins de santé qui ont recours à des produits, services ou proces cybersécurité pour octroyer des soins sont moins vulnérables au aux cybermenaces permet un meilleur accès aux soins de santé e Emploi .5.

Accès au marché de l’emploi, emplois de qualité, chômage, travail au noi bien-être au travail, accidents de travail, maladies professionnelles, équil possibilités de formation professionnelle, relations collectives de travail. Modes de consommation et production .6. Stabilité/prévisibilité des prix, information et protection du consommateu externalités (environnementales et sociales) tout au long du cycle de vie d Information et protection du consommateur – Les produits ou se cette certification dans leur communication.

Dès lors, les consom et/ou services plus résilient aux cybermenaces. En achetant des consommateurs seront mieux protégés des cybermenaces. Développement économique .7. Création d’entreprises, production de biens et de services, productivité d accès au marché et à la profession, transparence du marché, accès aux m balance des importations/exportations, économie souterraine, sécurité d organiques. Investissements .8.

Investissements en capital physique (machines, véhicules, infrastructures humain, niveau d’investissement net en pourcentage du PIB. Investissements en capital technologique et intellectuel - L’inves pourra se faire avec plus d’informations quant aux exigences de services ou processus susceptibles de faire l’objet des investissem Recherche et développement .9. Opportunités de recherche et développement, innovation par l’introduct pratiques d’entreprises ou de nouveaux produits et services, dépenses de

PME .10.

Impact sur le développement des PME. Quelles entreprises sont directement et indirectement concern Détaillez le(s) secteur(s), le nombre d’entreprises, le % de PME travailleurs). Si aucune entreprise n’est concernée, expliquez pourquoi.

Toute entreprise qui obtiendrait une certification de cyberséc fait que tous les secteurs reposent sur des produits, services o nombre d’entreprises, un pourcentage de PME ou de micro-e

Si des PME sont concernées, répondez à la question 2.

Identifiez les impacts positifs et négatifs du projet sur les N.B. les impacts sur les charges administratives doivent ê

>Impact positif : Compétitivité, sécurité - Assurance d’un ou processus certifié. >Impact négatif : Coûts - Soumission à de potentielles in certification de cybersécurité obtenu. L’inspection peut, inspections.

S’il y a un impact négatif, répondez aux questions 3

Ces impacts sont-ils proportionnellement plus lourd expliquez

Non, les inspections sont identiques pour toutes le

Ces impacts sont-ils proportionnels à l'objectif pour

Oui, l’inspection est adaptée en fonction du niveau

Quelles mesures sont prises pour alléger / compens

Le projet prévoit que le service d’inspection exécut Charges administratives .11. Réduction des formalités et des obligations administratives liées directemen droit, d’une interdiction ou d’une obligation. Si des citoyens (cf. thème 3) et/ou des entreprises (cf. thème 1 Identifiez, par groupe concerné, les formalités et les obligation S’il n’y a aucune formalité ou obligation, expliquez pourquoi.

a. Rien. Nouvelle réglementation.

S’il y a des formalités et des obligations dans la réglementation actuelle*, répondez aux questions 2a à 4a.

Quels documents et informations chaque groupe concern

_ _*

Comment s’effectue la récolte des informations et des do

Quelles est la périodicité des formalités et des obligation

Quelles mesures sont prises pour alléger / compenser les

Le projet prévoit que le service d’inspection exécute ses Énergie .12. Mix énergétique (bas carbone, renouvelable, fossile), utilisation de la bioma d’énergie de l’industrie, des services, des transports et des ménages, sécurit Mobilité .13. Volume de transport (nombre de kilomètres parcourus et nombre de véhicu et fluviale pour les transports de marchandises, répartitions des modes de tr Alimentation .14.

Accès à une alimentation sûre (contrôle de qualité), alimentation saine et à h Changements climatiques .15. Émissions de gaz à effet de serre, capacité d’adaptation aux effets des chang d’énergies renouvelables, utilisation rationnelle de l’énergie, efficacité énerg Ressources naturelles .16.

Gestion efficiente des ressources, recyclage, réutilisation, qualité et consom qualité et utilisation du sol (pollution, teneur en matières organiques, érosio déforestation. Air intérieur et extérieur .17. Qualité de l’air (y compris l’air intérieur), émissions de polluants (agents chim NH3), particules fines. Biodiversité .18. Niveaux de la diversité biologique, état des écosystèmes (restauration, conse des habitats, biotechnologies, brevets d’invention sur la matière biologique, écosystèmes (purification de l’eau et de l’air, …), espèces domestiquées ou c Nuisances .19.

Nuisances sonores, visuelles ou olfactives, vibrations, rayonnements ionisan Autorités publiques .20. Fonctionnement démocratique des organes de concertation et consultation, d’exécution, investissements publics. Cohérence des politiques en faveur du développement .21. Prise en considération des impacts involontaires des mesures politiques belg Identifiez les éventuels impacts directs et indirects du projet su

○ sécurité alimentaire ○ santé et accès aux médicaments ○ travail décent ○ commerce local et international ○ revenus et mobilisatio ○ mobilité des personn ○ environnement et cha propre) ○ paix et sécurité

Expliquez si aucun pays en développement n’est concerné.

L’avant-projet de loi ne concerne pas les pays en développem

S’il y a des impacts positifs et/ou négatifs, répondez à la q

Précisez les impacts par groupement régional ou économ

S’il y a des impacts négatifs, répondez à la question 3

Quelles mesures sont prises pour les alléger / compe

Indien er personen betrokken zijn, beantwoord dan v

Indien er verschillen zijn, beantwoord dan vrage

Identificeer de positieve en negatieve impact va rekening houdend met de voorgaande antwoord

Indien er een negatieve impact is, beantwo

Welke maatregelen worden genomen om

Indien er kmo’s betrokken zijn, beantwoord dan vraag

Indien er een negatieve impact is, beantwoord d

Is deze impact verhoudingsgewijs zwaarder voor

Nee, de inspecties zijn identiek voor alle ondern

Ja, de inspectie is aangepast in functie van het v

Niets. Nieuwe regelgeving.

Indien er formaliteiten en/of verplichtingen zijn in de huidige* regelgeving, beantwoord dan vragen 2a tot 4a.

Welke documenten en informatie moet elke betrokke

Hoe worden deze documenten en informatie, per bet

Welke is de periodiciteit van de formaliteiten en verpl

Welke maatregelen worden genomen om de eventue

Identificeer de eventuele rechtstreekse of onrechtstreekse van:

○ voedselveiligheid ○ gezondheid en toegang tot geneesmiddelen ○ waardig werk ○ lokale en internationale handel ○ inkomens en m ○ mobiliteit van p ○ leefmilieu en k ○ vrede en veilig

Indien er geen enkelen ontwikkelingsland betrokken is, leg

Indien er een positieve en/of negatieve impact is, bean

Verduidelijk de impact per regionale groepen of econo

Indien er een negatieve impact is, beantwoord da

Welke maatregelen worden genomen om de neg

AVIS DU CONSEIL D’ÉTAT

N° 69.813/2/V DU 30 AOUT 2021 Le 5 juillet 2021, le Conseil d’État, section de législation, a été invité par le Premier ministre à communiquer un avis, dans un délai de trente jours prorogé de plein droit 1* jusqu’au 19 août 2021, sur un avant‑projet de loi “relatif à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité”. L’avant-projet a été examiné par la deuxième chambre des vacations le 30 août 2021. La chambre était composée de Pierre Vandernoot, président de chambre, Bernard Blero et Christine Horevoets, conseillers d’État, Sébastien Van Drooghenbroeck, assesseur, et Béatrice Drapier, greffier. Le rapport a été présenté par Roger Wimmer, premier auditeur. La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Pierre Vandernoot. L’avis, dont le texte suit, a été donné le 30 août 2021. * Comme la demande d’avis est introduite sur la base de l’article 84, § 1er, alinéa 1er, 2°, des lois “sur le Conseil d’État”, coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique de l’avant-projet 2‡, à la compétence de l’auteur de l’acte ainsi qu’à l’accomplissement des formalités préalables, conformément à l’article 84, § 3, des lois coordonnées précitées. Sur ces trois points, l’avant-projet appelle les observations suivantes. Observations générales 1. Le dossier joint à la demande d’avis ne comprenait pas d’explications détaillées quant au lien entre chacune des dispositions de l’avant‑projet et celles du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 “relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le Ce délai résulte de l’article 84, § 1er, alinéa 1er, 2°, in fine, des lois “sur le Conseil d’État”, coordonnées le 12 janvier 1973 qui précise que ce délai est prolongé de plein droit de quinze jours lorsqu’il prend cours du 15 juillet au 31 juillet ou lorsqu’il expire entre le 15 juillet et le 15 août. ‡ S’agissant d’un avant-projet de loi, on entend par “fondement juridique” la conformité aux normes supérieures.

règlement (UE) n° 526/2013” (ci‑après: “le règlement sur la cybersécurité”) qu’elles tendent à mettre en œuvre. Dès lors que l’avant‑projet a pour objet d’exécuter ce règlement et ne peut être correctement appréhendé que par sa lecture conjointe avec celui‑ci, vu également la complexité et la technicité du règlement en question, pareilles explications auraient été utiles à l’instruction et à l’examen de la demande d’avis par la section de législation.

Dans ces conditions, en l’absence de pareilles explications, il ne peut être garanti que le Conseil d’État, dans le délai qui lui a été imparti et compte tenu de ce qu’il est soumis actuellement à un nombre très élevé de demandes d’avis, ait pu procéder à un examen exhaustif de l’avant‑projet de loi, même si le commentaire de certains articles, mais sans exhaustivité, comporte quelques explications sur la relation entre le règlement et l’avant‑projet de loi.

Il est recommandé que pareil document explicatif soit annexé à l’exposé des motifs ou qu’à tout le moins ce dernier, et plus spécialement le commentaire des articles concernés, soit complété par les explications utiles sur ce point. Par ailleurs, lorsque, comme tel est le cas pour tout règlement et donc aussi pour le règlement sur la cybersécurité, un instrument de droit européen est revêtu de l’effet direct, qui en principe fait obstacle à ce que les règles contenues dans le règlement soient reproduites ou paraphrasées dans le texte national d’exécution, il y a lieu en tout état de cause de compléter celles des dispositions de l’avant‑projet qui procèdent de la sorte par la mention selon laquelle elles sont adoptées “conformément à” ces dernières.

La présente observation vaut également pour le lien entre l’avant‑projet et d’autres instruments de droit européen 31. 2.1. Plusieurs dispositions de l’avant‑projet, notamment les articles 6, §§ 2 à 4, 7, 13, 15, §§ 3, 3° et 4°, 6 et 7, 16, § 2, 17, 37, 39 et 41, concernent ou peuvent impliquer le traitement de données à caractère personnel. Comme l’a confirmé le fonctionnaire délégué, l’avant‑projet n’a pas été soumis à l’Autorité de protection des données.

L’article 36, paragraphe 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 “relatif à la des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)” (ci‑après: le “RGPD”), combiné avec l’article 57, paragraphe 1, c), et le considérant 96 de ce règlement, prévoit une obligation de consulter l’autorité de contrôle, à savoir l’Autorité de protection des données créée par la loi du 3 décembre 2017 “portant création de l’Autorité de protection des données”, dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national qui se rapporte au traitement de données à caractère personnel.

Il convient dès lors de veiller à l’accomplissement de cette formalité. 2.2. Il convient toutefois d’attirer déjà l’attention de l’auteur de l’avant‑projet sur les principes fondamentaux régissant Ainsi, par exemple, le règlement sur la cybersécurité fait systématiquement référence à la directive 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 “concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union”.

Le considérant n° 15 du préambule au règlement sur la cybersécurité se réfère à cette directive et énonce également que “[d]’autres actes juridiques tels que le règlement (UE) 2016/679 [du Parlement européen et du Conseil du 27 avril 2016 “relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)”] et les directives 2002/58/CE [‘concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques’] et (UE) 2018/1972 [‘établissant le code des communications électroniques européen’] contribuent également à un niveau élevé de cybersécurité dans le marché unique numérique”.

Les explications relatives aux relations entre le projet de loi et son cadre européen gagneront, s’il y a lieu, à faire état de ces textes, étant entendu que, lorsqu’il s’agit des directives, leurs textes nationaux de transposition seront également renseignés: s’agissant par exemple de la directive 2016/1148, il s’agit de la loi du 7 avril 2019 “établissant un cadre pour la sécurité des réseaux publique” et de l’arrêté royal du 12 juillet 2019 “portant exécution pour la sécurité publique, ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques”.

les traitements des données personnelles envisagés par le texte à l’examen. 2.3. Dans son avis 68.936/AG donné le 7 avril 2021 sur l’avant‑projet devenu la loi du 14 août 2021 “relative aux mesures de police administrative lors d’une situation d’urgence épidémique”, l’assemblée générale de la section de législation a exposé ce qui suit: “101. Conformément à l’article 22 de la Constitution, tout traitement de données à caractère personnel et, plus généralement, toute atteinte au droit à la vie privée, sont soumis au respect d’un principe de légalité formelle […].

En réservant au législateur compétent le pouvoir de fixer dans quels cas et à quelles conditions il peut être porté atteinte au droit au respect de la vie privée, l’article 22 de la Constitution garantit à tout citoyen qu’aucune ingérence dans l’exercice de ce droit ne peut avoir lieu qu’en vertu de règles adoptées par une assemblée délibérante, démocratiquement élue. Une délégation à un autre pouvoir n’est toutefois pas contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et porte sur l’exécution de mesures dont les “éléments essentiels” sont fixés préalablement par le législateur42.

Par conséquent, les “éléments essentiels” des traitements de données à caractère personnel doivent être fixés dans la loi elle-même. À cet égard, la section de législation considère que, quelle que soit la matière concernée, constituent, en principe, des “éléments essentiels” les éléments suivants: 1°) les catégories de données traitées; 2°) les catégories de personnes concernées; 3°) la finalité poursuivie par le traitement; 4°) les catégories de personnes ayant accès aux données traitées; et 5°) le délai maximal de conservation des données. […] 104. Une ingérence des pouvoirs publics dans l’exercice du droit au respect de la vie privée doit non seulement se fonder sur une disposition législative suffisamment précise (principe de légalité matérielle), mais aussi reposer sur une justification objective et raisonnable et, par conséquent, être proportionnée aux buts poursuivis par le législateur, qui dispose en la matière d’une marge d’appréciation.

Cette marge n’est toutefois pas illimitée: pour qu’une norme soit compatible avec le droit au Note de bas de page n° 175 de l’avis cité: Jurisprudence constante de la Cour constitutionnelle: voir notamment C.C., 18 mars 2010, n° 29/2010, B.16.1; C.C., 20 février 2020, n° 27/2020, B.17.

respect de la vie privée, il faut que le législateur ait établi un juste équilibre entre tous les droits et intérêts en cause 53” 64. L’article 7 de la Charte des droits fondamentaux de l’Union européenne, qui garantit notamment le droit au respect de la vie privée, ainsi que l’article 8, paragraphe 1, de la même Charte et l’article 16, paragraphe 1, du Traité sur le fonctionnement de l’Union européenne, lesquels disposent que toute personne a droit à la protection des données à caractère personnel la concernant, ont été mis en œuvre par le RGPD, dont le chapitre II énonce les principes applicables aux traitements Parmi ces principes, l’article 5 du RGPD énonce, en les développant, ceux relatifs à la licéité, à la loyauté et à la transparence, à la limitation des finalités, à la minimisation des données, à l’exactitude, à la limitation de la conservation, à l’intégrité et à la confidentialité, ainsi qu’à la responsabilité.

S’agissant de la licéité du traitement, l’article 6, paragraphes 1, c) et e), et 3, du RGPD énonce ce qui suit: “1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis; e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par: a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis. Note de bas de page n° 185 de l’avis cité: Avis C.E. n° 63.202/2 donné le 26 avril 2018 sur un avant-projet de loi instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du ces données, et abrogeant la directive 95/46/CE (Doc. [p]arl., Chambre, sess. 2017-2018, n° 54‑3185/001, p. 121-122).

Avis 68.936/AG donné le 7 avril 2021 sur l’avant-projet devenu la loi du 14 août 2021 “relative aux mesures de police administrative lors d’une situation d’urgence épidémique” (Doc. parl., Chambre, 2020-2021, n° 55‑1951/001, pp. 119, 121 et 122).

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi”. Ces principes font écho à ceux qui résultent de la légisprudence de la section de législation, tels qu’ils ont été synthétisés dans l’avis 68.936/AG précité du 7 avril 2021 et rappelés ci‑avant. 2.4. L’avant‑projet de loi est lacunaire sur de nombreux aspects touchant aux exigences ainsi résumées, s’agissant spécialement de l’identification expresse des finalités poursuivies, des catégories de données et de personnes concernées, des catégories de destinataires des données et du délai maximal de conservation des données.

Il appartient à l’auteur de l’avant‑projet de le compléter substantiellement sur ces points conformément à l’article 22 de la Constitution, à l’article 8 de la Convention européenne des droits de l’homme et au RGPD. À cet égard, l’indication figurant aux paragraphes 3 et 4 de l’article 6 de l’avant‑projet, aux termes de laquelle les échanges d’information prévues par ces dispositions “se limitent à ce qui est pertinent et proportionné à l’objectif de cet échange, notamment dans le respect du [RGPD]”, ne saurait satisfaire aux obligations tirées du règlement européen, lesquelles impliquent des dispositifs propres au cadre juridique envisagé par la loi en projet et à son champ d’application.

Il convient en outre de rappeler qu’un règlement européen a un effet direct et qu’il n’y a pas lieu d’en rappeler l’applicabilité. Il convient au contraire, lorsque, comme en l’espèce, le règlement prescrit un certain nombre d’obligations pesant sur les autorités nationales, en premier lieu aux législateurs, que ces obligations soient expressément mises en œuvre. 2.5. Il résulte de l’effet direct du RGPD que son chapitre III (“Droits de la personne concernée”) et ses articles 12 à 22 s’appliquent de plein droit.

Compte tenu de l’objet de la législation en projet, la question se pose toutefois s’il n’y a pas lieu pour l’auteur de l’avant‑projet d’envisager l’application de l’article 23, paragraphe 1, du RGPD,

dont il résulte que la loi peut “limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir” divers objectifs énumérés aux litteras a) à j) de cet article 23, paragraphe 1, et à la condition que la “mesure législative visée au paragraphe 1 contien[ne] des dispositions spécifiques relatives, au moins, le cas échéant”, à divers objets énumérés au paragraphe 2 de cet article 23.

2.6. L’avant‑projet de loi doit être fondamentalement revu à la lumière de ces observations et son exposé des motifs contiendra les explications utiles à ce sujet. Observations particulières Articles 2 et 4 Compte tenu du contenu de l’article 3, § 1er, de l’avant‑projet, mieux vaut omettre le 1° de l’article 4 et insérer les mots “, ci‑après: le “règlement sur la cybersécurité”” dans l’article 2, in fine, de l’avant‑projet.

Article 3 1. Au paragraphe 4, il convient de remplacer les mots “l’article 6, § 1er, de la loi du 7 avril 2019” par les mots “l’article 6, 2°, de la loi du 7 avril 2019”. 2. La portée du paragraphe 3 est obscure. Si sa seule vocation est de faire écho à l’article 1, paragraphe 2, du règlement sur la cybersécurité, alors il n’a pas sa place dans l’avant‑projet dès lors que la disposition précitée a elle‑même pour seule portée de rappeler la compétence des États membres “en ce qui concerne les activités relatives à la sécurité publique, à la défense et à la sécurité nationale, et les activités de l’État dans des domaines du droit pénal”.

Si le texte devait avoir une autre portée, elle sera clarifiée dans l’exposé des motifs. 3. De l’accord du fonctionnaire délégué, l’article 3 de l’avant‑projet sera complété par la disposition suivante: “§ 6. La présente loi ne porte pas préjudice à l’application de l’arrêté royal du 31 janvier 2006 portant création du système BELAC d’accréditation des organismes d’évaluation de la conformité”.

Article 5 Aux paragraphes 2, alinéa 1er, et 3, il convient de remplacer les mots “à l’article 5, § 1er” par les mots “au paragraphe 1er”. Article 12 Le fonctionnaire délégué a proposé que l’article 12 soit remplacé par le texte suivant: “En cas de refus de délivrance d’un certificat de cybersécurité européen par l’autorité visée à l’article 5, § 1er, ou par un organisme d’évaluation de la conformité dans le cadre de la délégation prévue à l’article 10, § 3, ou à l’article 11, § 2, le demandeur peut introduire une réclamation devant l’autorité visée à l’article 5, § 1er, selon les modalités prévues au chapitre 7”.

La proposition du fonctionnaire délégué peut être suivie. Article 13 Le fonctionnaire délégué a proposé que l’alinéa 1er du paragraphe 1er soit remplacé par le texte suivant: “L’autorité visée à l’article 5, § 1er, dispose d’un service d’inspection qui, sans préjudice de l’application de l’arrêté royal du 31 janvier 2006 portant création du système BELAC d’accréditation des organismes d’évaluation de la conformité, peut à tout moment réaliser des contrôles du respect par les organismes d’évaluation de la conformité, les titulaires de certificats de cybersécurité européens volontaires et les émetdes règles imposées par le règlement sur la cybersécurité, les schémas européens de certification de cybersécurité, la présente loi ou ses arrêtés d’exécution”.

Article 23 1. L’article 23, § 1er, énonce que “[t]oute infraction au Règlement sur la cybersécurité, ainsi qu’à la loi en projet ou ses arrêtés d’exécution peut faire l’objet d’une sanction administrative”. Il n’apparaît pas clairement si la liste des infractions administratives prévues spécifiquement aux paragraphes suivants de la même disposition épuise de manière exhaustive la gamme des comportements qui seront pareillement sanctionnables sur la base du paragraphe 1er ou s’il ne s’agit là que d’une liste

exemplative, en sorte que d’autres comportements que ceux y visés pourront valoir à leur auteur une sanction administrative. Dans la première hypothèse, le paragraphe 1er serait inutile et devrait être omis pour éviter toute ambiguïté. Dans la seconde, le dispositif en projet devrait être complété pour prévoir75 les montants minimum et maximum des amendes administratives susceptibles de sanctionner les comportements “autres” que ceux qui sont spécifiquement visés par les paragraphes 2 et suivants.

2. Le paragraphe 6 punit d’une amende administrative de 500 à 150 000 euros quiconque ne coopère pas lors d’un contrôle, par exemple en refusant de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle. Comme la section de législation l’a rappelé à diverses reprises, “[l]e droit de ne pas s’auto‑incriminer, garanti par l’article 6 de la Convention européenne des droits de l’homme, fait toutefois obstacle à ce qu’une personne, “pénalement accusée” au sens de cette disposition, puisse être sanctionnée pour avoir refusé de prêter son concours à l’établissement de sa propre culpabilité” 86.

L’article 15, § 5, alinéa 1er, 3°, de l’avant‑projet prévoit au demeurant que la personne auditionnée par le service de l’inspection a le droit de garder le silence et de ne pas contribuer à sa propre incrimination. Partant, et pour toute clarté, il y a lieu d’ajouter au début du paragraphe 6 les mots “Sans préjudice de l’article 15, § 5, alinéa 1er, 3°,”. 3. En outre, compte tenu de ce qu’il convient d’éviter d’insérer des éléments exemplatifs dans un dispositif normatif, au paragraphe 6, les mots “, par exemple en refusant de communiquer Avis 54.983/2/VR donné le 18 février 2014 sur un avant‑projet devenu la loi du 25 avril 2014 “visant à insérer un article 36/45 à la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique” (Doc. parl., Chambre, 2013‑2014, n° 3414/1, pp. 43 à 52; http://www​.raadvst​-consetat​.be​/dbx​/avis​/54983​.pdf).

Avis 60.619/2 donné le 25 janvier 2017 sur un avant‑projet devenu la loi du 2 octobre 2017 “réglementant la sécurité privée et particulière” (Doc. parl., Chambre, 2016‑2017, n° 2388/1, p. 194; http://www​.raadvst​-consetat​.be​/dbx​/avis​/60619​.pdf). Voir aussi les avis 63.296/4 donné le 2 mai 2018 sur un avant‑projet devenu la loi du 7 avril 2019 “établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique” (Doc. parl., Chambre, 2018‑2019, n° 3340/1, pp. 75 à 87; http://www​.raadvst​-consetat​.be​/dbx​/avis​/63296​.pdf) et 64.879/4 donné le 4 février 2019 sur un avant‑projet devenu le décret du 2 mai 2019 “modifiant le Code wallon de l’Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé” (Doc. parl., Parl. wall., 2018‑2019, n° 1332/1, pp. 25 à 35; http://www​.raadvst​-consetat​.be​/dbx​/avis​/64879​.pdf).

les informations qui lui sont demandées à l’occasion de ce contrôle” seront remplacés par les mots “en refusant de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle ou de toute autre manière”. Le commentaire des articles pourra par ailleurs être complété sur ce point. Articles 24 et 33 L’obligation de motivation formelle, prévue aux articles 24, § 1er, première phrase, et 33, alinéa 2, in fine, résulte déjà de la loi du 29 juillet 1991 “relative à la motivation formelle des actes administratifs”.

Elle ne doit dès lors pas être réitérée dans l’avant-projet. Article 26 L’alinéa 5 prévoit que le recours introduit auprès de la Cour des marchés visée à l’article 101 du Code judiciaire ne suspend pas la décision prise en vertu du chapitre 6 par l’autorité visée à l’article 5, § 1er. Compte tenu des lourdes conséquences que l’absence d’effet suspensif de la décision peut avoir sur la situation du contrevenant et de ce que, dans d’autres circonstances pouvant être comparables, un effet suspensif est accordé aux recours introduits, il y a lieu à tout le moins de préciser dans l’exposé des motifs, et compte tenu du juste équilibre à réaliser entre les intérêts en présence 97, les raisons pour lesquelles en l’espèce l’absence d’effet du recours suspensif doit être imposé 108.

Article 29 “L’autorité visée à l’article 5, § 1er, reçoit et traite les réclamations des personnes en rapport avec un certificat de cybersécurité européen délivré par l’autorité visée à l’article 5, Voir en effet Cour eur. D.H., arrêt Janosevic c. Suède, 23 juillet 2002, §§ 105 et 106; Trib. UE, 27 mars 2014, Saint Gobain Glass France S.A. c. Commission, § 104: “En tout état de cause, il y a lieu de relever que la Cour européenne des droits de l’homme, dans son arrêt Janosevic c. Suède, du 23 juillet 2002 (Recueil des arrêts et décisions, 2002‑VII, p. 1, § 106 à 110), a jugé que le droit à la présomption d’innocence ne s’opposait pas, en principe, à ce que des sanctions de nature pénale adoptées par un organe administratif puissent être mises à exécution avant qu’elles soient devenues définitives, au terme d’une procédure de recours devant un tribunal, pourvu qu’une telle exécution s’inscrive dans des limites raisonnables ménageant un juste équilibre entre les intérêts en jeu et que le destinataire de la sanction puisse être rétabli dans sa situation initiale en cas de succès de son recours”.

En ce sens: C.C., 30 juin 2011, n° 119/2011.

§ 1er, ou par un organisme d’évaluation de la conformité dans le cadre de la délégation prévue à l’article 10, § 3, ou 11, § 2, avec le refus de délivrance d’un tel certificat ou avec une déclaration de conformité de l’Union européenne”. Article 34 Il convient de remplacer les mots “articles 11, 12, 21 et 22” par les mots “articles 10, 11, 21 et 22”. Article 35 À l’alinéa 1er, il convient de remplacer les mots “du chapitre 7” par les mots “de la section 1re”.

Articles 40 et 41 Les articles 40 et 41 seront intervertis. Les sections 1ère à 4 du chapitre 8 contiennent des dispositions modificatives de diverses lois et non des dispositions finales. L’intitulé du chapitre 8 sera donc remplacé par le suivant: “Dispositions modificatives”. La section 5 formera en conséquence un chapitre 9 nouveau. Dès lors qu’il ne contient pas de disposition transitoire, les mots “et dispositions transitoires” seront en conséquence omis de son intitulé.

Articles 45 et 47 Dans l’article XV.30/3 en projet du Code de droit économique (article 45 de l’avant‑projet), il est précisé que le Roi peut confier certaines missions relatives à la certification de cybersécurité à la demande du SPF Économie à certains agents de ce SPF. Contrairement à la Banque nationale de Belgique et à l’Autorité des services et marchés financiers (FSMA), lesquelles ont une personnalité juridique distincte de l’État fédéral, le SPF Économie fait partie des services de l’administration générale.

En vertu des articles 37 et 107, alinéa 2, de la Constitution, il revient au Roi de régler l’organisation des services publics

fédéraux. Il en résulte que le législateur doit s’abstenir de s’y immiscer119. Par conséquent, les mots “, à la demande du SPF Économie” (première phrase de l’article XV.30/3 en projet) ainsi que les mots “et avec le SPF Économie” (deuxième phrase de cet article) doivent être omis. La même observation vaut pour l’article XV.30/4, § 1er, en projet du Code de droit économique (article 47 de l’avant-projet).

Article 47 De l’accord du fonctionnaire délégué, dans la phrase liminaire de l’article 47, les mots “Par dérogation au paragraphe 2 de l’article 3 de la présente loi, il est inséré dans la sous‑section 2, inséré par l’article 46, un article XV.30/4” seront remplacés par les mots “Dans la sous‑section 2, insérée par l’article 46, il est inséré un article XV.30/4”. Articles 48 et 49 Actuellement, le livre XV, titre 3, chapitre 2, section 11/3, du Code de droit économique ne contient que les articles XV.125/3 et XV.125/4.

Selon le fonctionnaire délégué, un avant‑projet de loi “portant des dispositions diverses en matière d’économie”, lequel n’a pas encore été soumis à la section de législation, tend à insérer les nouveaux articles XV.125/5 et XV.125/6 dans cette section du Code. Il conviendra, le cas échéant, d’adapter la numérotation des articles XV.125/7 et XV.125/8 en projet. Voir notamment l’avis 37.904/4 donné le 22 décembre 2004 sur une proposition de loi “visant à créer un SPF Migrations, à supprimer l’Office des étrangers et à transférer les missions de politique des étrangers et d’asile du SPF Intérieur au SPF Migrations” (Doc. parl., Chambre, 2004-2005, n° 51- 1465/2; http://www​.raadvst​-consetat​.be​/dbx​/avis​/37904​.pdf).

Article 48 À l’article XI.125/7, 2°, en projet, les mots “, par exemple demandées à l’occasion de ce contrôle” seront remplacés par les mots “en refusant de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle ou de toute autre manière” 1210. Le greffier, Béatrice DRAPIER Le président, Pierre VANDERNOOT Voir l’observation formulée sous l’article 28 de l’avant‑projet.

PHILIPPE

Roi des Belges, À tous, présents et à venir, Salut. Sur la proposition du premier ministre, du ministre de l’Économie, du ministre des Finances, chargé de la Coordination de la lutte contre la fraude et de la ministre des Télécommunications et de la Poste, Nous avons arrêté et arrêtons: Le premier ministre, le ministre de l’Économie, le ministre des Finances, chargé de la Coordination de la lutte contre la fraude et la ministre des Télécommunications et de la Poste sont chargés de présenter en Notre nom teneur suit: Sous-section 1re. – Objet Article 1er La présente loi règle une matière visée à l’article 74 de la Constitution. La présente loi met en œuvre partiellement le Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013, ci-après: le “Règlement sur la cybersécurité”.

Sous-section 2. – Champ d’application § 1er. La présente loi s’applique à la certification européenne volontaire de cybersécurité des produits TIC, services TIC et processus TIC visée par le Règlement § 2. Les chapitres 1er à 4, 7 et 8, ainsi que les articles 21 et 22, s’appliquent également à une certification européenne de cybersécurité rendue obligatoire. Lors de la mise en œuvre des articles 21 et 22 dans le cadre d’une telle certification, les articles 19 et 26 sont applicables.

Le Roi peut, par arrêté délibéré en Conseil des ministres, rendre applicables, en tout ou en partie, les chapitres 5 et 6 dans le cadre d’une telle certification. § 3. La présente loi est sans préjudice des compétences de rendre obligatoire une certification de cybersécurité et d’en assurer le contrôle dont disposent les autorités publiques, notamment les autorités de surveillance de marché ou les autorités sectorielles au sens de l’article 6, 2°, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (“loi NIS”), de l’article 3, 3°, de la loi du 1er juillet 2011 relative à la protection et la sécurité des infrastructures critiques et de l’article 2, 1°, de l’arrêté royal du 2 décembre 2011 concer- Dans le respect des dispositions légales applicables et du paragraphe 2, les autorités précitées et les services d’inspection compétents assurent le contrôle et les sanctions des certifications européennes de cybersécurité rendues obligatoires. § 4.

L’article 5, §§ 2 à 4, n’est applicable ni à la Banque nationale de Belgique visée par la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique ni à la FSMA visée par la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers ni au SPF Économie visé au Code de droit économique. § 5. La présente loi ne porte pas préjudice à l’application de l’arrêté royal du 31 janvier 2006 portant création du système BELAC d’accréditation des organismes

1° “autorité nationale de certification de cybersécurité”: l’autorité visée à l’article 58 du Règlement sur la cybersécurité et désignée par le Roi conformément à l’article 5, § 1er;

2° “GECC”: Groupe européen de certification de cybersécurité visé à l’article 62 du Règlement sur la 3° “autorité nationale d’accréditation”: l’organisme créé par le Roi en exécution de l’article VIII.30 du Code de droit économique et visé à l’article 2, 16°, du Règlement sur la cybersécurité;

4° “autorité publique”: l’autorité publique au sens de l’article 5 de la loi du 30 juillet 2018 relative à la protection données à caractère personnel;

5° “service d’inspection”: le service d’inspection visé à l’article 13, § 1er. Autorités compétentes et coopération au niveau national cybersécurité et par la présente loi. § 2. En fonction de l’objet du schéma de certification concerné et à la demande de l’autorité publique concernée, le Roi peut, par dérogation, confier, par arrêté délibéré en Conseil des ministres, en tout ou en partie, les missions visées aux chapitres 5 et 6 de l’autorité

visée au paragraphe 1er à une autre autorité publique, à l’exception des articles 21 et 22. publique concernée lors de l’attribution éventuelle de § 3. Dans l’hypothèse visée au paragraphe 2, le Roi sollicite l’avis et se concerte au préalable avec l’autorité visée au paragraphe 1er et l’autorité publique concernée. § 4. Dans l’exercice de ces missions confiées par le Roi et sans préjudice de ses compétences légales en matière de contrôle et de sanctions, l’autorité publique concernée dispose des mêmes droits et obligations que ceux visés aux chapitres 5 et 6. § 1er.

L’autorité visée à l’article 5, § 1er, et l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 accomplissent leurs tâches en concertation avec les autorités publiques, notamment avec l’autorité nationale d’accréditation. En fonction de l’objet précis du schéma de certification, l’autorité visée à l’article 5, § 1er, et l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 peuvent également consulter les acteurs privés concernés par la certification en § 2.

Conformément à l’article 58, § 7, h), du Règlement sur la cybersécurité, l’autorité visée à l’article 5, § 1er, et l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, d’une part, les autorités sectorielles et les services d’inspection, visés respectivement aux articles 3, 3° et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ou à l’article 7, § 3 et § 5, de la loi du 7 avril 2019 établissant un cadre pour d’intérêt général pour la sécurité publique, l’Institut belge des services postaux et des télécommunications et l’autorité nationale d’accréditation, d’autre part, s’échangent les informations nécessaires à l’application du Règlement sur la cybersécurité, de la présente loi ou des articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques, notamment en matière de délivrance de certificats, de contrôle, de sanction et de réclamation.

Lorsqu’un échange d’informations porte

sur des données à caractère personnel, cet échange est effectué conformément aux dispositions du chapitre 8. Les modalités d’échange d’informations préservent la confidentialité des informations concernées. § 3. L’autorité visée à l’article 5, § 1er, et l’autorité missions visées aux chapitres 5 et 6 communiquent aux destinataires, à savoir une autorité sectorielle, un service d’inspection, l’inspection aéroportuaire, l’inspection aéronautique ou la BSA-ANS visés respectivement aux articles 3, 3°, et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, à l’article 7, § 3 et § 5, de la loi du 7 avril 2019 établissant ou aux articles 2, alinéa 1er, 1° et 9° et 15, § 1er à § 3, port aérien, toute information obtenue dans le cadre de l’exécution du Règlement sur la cybersécurité, de la présente loi ou d’un schéma européen de certification de cybersécurité lorsque cette information porte sur un manquement à l’article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, aux articles 20, 21, § 1er et 33, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, à l’article 11 de l’arrêté aux sections 1.7 et 11.2.8 du règlement d’exécution (UE) de base communes dans le domaine de la sûreté de l’aviation civile, et que l’entité concernée par l’information se trouve sous la surveillance desdits destinataires. § 4.

Dans le cadre de la coopération prévue aux paragraphes 2 et 3, les autorités publiques dépositaires, par état, des secrets ou informations confidentielles qu’on leur confie sont autorisées à faire connaître ces secrets ou ces informations confidentielles à l’autorité visée à l’article 5, § 1er, ou à l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 lorsque cela est nécessaire à l’application du Règlement sur la cybersécurité ou de la présente loi.

Il s’agit des informations nécessaires en matière de contrôle, de sanction et de réclamation. Lorsque ces informations portent sur des données à caractère

personnel, le chapitre 8 est d’application. Les modalités d’échange d’informations préservent la confidentialité des informations concernées. Dans le cadre des missions et pouvoirs qui leur sont attribués par la loi, les autorités publiques peuvent assister l’autorité visée à l’article 5, § 1er, ou l’autorité missions visées aux chapitres 5 et 6, dans ses missions de contrôle visées par la présente loi.

Autorité nationale de certification de Représentation au Groupe européen de certification de § 1er. L’autorité visée à l’article 5, § 1er, représente la Belgique au sein du GECC. § 2. Dans le cadre de sa mission de représentation de la Belgique au sein du GECC, l’autorité visée à l’article 5, § 1er, se concerte avec les autres autorités publiques désignées par le Roi, en particulier en ce qui concerne la préparation et l’adoption d’un avis sur un schéma de certification candidat au sens de l’article 49 du Règlement § 3.

D’autres autorités publiques peuvent assister avec l’autorité visée à l’article 5, § 1er, aux travaux et réunions du GECC. § 1er. L’autorité visée à l’article 5, § 1er, prend les mesures nécessaires afin d’assurer l’indépendance des membres de son personnel, de prévenir, d’identifier et de résoudre efficacement les conflits d’intérêts lors de l’exécution de ses tâches de contrôle ou de certification en matière de cybersécurité, afin d’éviter

des distorsions de concurrence et de garantir l’égalité de traitement de tous. La notion de conflit d’intérêts vise au moins les situations dans lesquelles un membre du personnel de l’autorité visée à l’article 5, § 1er, chargé de la certification ou du contrôle a, directement ou indirectement, un intérêt financier, économique ou un autre intérêt personnel qui pourrait être perçu comme compromettant son impartialité et son indépendance dans le cadre de sa mission ou de ses fonctions. § 2.

Les membres du personnel de l’autorité visée à l’article 5, § 1er, ne reçoivent ni ne cherchent dans les limites de leurs attributions, de façon directe ou indirecte, d’instructions de personne. Il leur est interdit d’être présents lors d’une délibération ou décision sur les dossiers pour lesquels ils ont un intérêt personnel ou direct ou pour lesquels leurs parents ou alliés jusqu’au troisième degré ont un intérêt personnel ou direct.

Le Roi peut également désigner d’autres situations comme étant des conflits d’intérêts. § 1er. Conformément à l’article 56, § 4, du Règlement sur la cybersécurité, les organismes d’évaluation de la conformité accrédités par l’autorité nationale d’accréditation délivrent les certificats de cybersécurité européens “substantiel”. § 2. Conformément à l’article 56, § 5, a), du Règlement sur la cybersécurité, lorsque le schéma européen de certification de cybersécurité l’impose, la délivrance de tels certificats est réservée à l’autorité visée à l’article 5, § 1er. § 3.

Conformément à l’article 56, § 5, b), du Règlement sur la cybersécurité, en fonction des exigences techniques du schéma de certification et moyennant une délégation préalable, l’autorité visée à l’article 5, § 1er, peut néanmoins déléguer en tout ou en partie la délivrance d’un

certificat visé au paragraphe 2 à un organisme public accrédité par l’autorité nationale d’accréditation en tant qu’organisme d’évaluation de la conformité. § 1er. Conformément à l’article 56, § 6, du Règlement sur la cybersécurité, l’autorité visée à l’article 5, § 1er, délivre les certificats de cybersécurité européens attestant d’un niveau d’assurance dit “élevé”. § 2. Conformément à l’article 56, § 6, b), du Règlement sur la cybersécurité, en fonction des exigences techniques du schéma de certification et moyennant une délégation préalable, l’autorité visée à l’article 5, § 1er, à un organisme d’évaluation de la conformité accrédité par l’autorité nationale d’accréditation.

Conformément à l’article 63, § 1er, du Règlement sur la cybersécurité, en cas de refus de délivrance d’un certificat de cybersécurité européen par l’autorité visée à l’article 5, § 1er, ou par un organisme d’évaluation de la conformité dans le cadre de la délégation prévue à l’article 10, § 3, ou à l’article 11, § 2, le demandeur l’article 5, § 1er, selon les modalités prévues au chapitre 7. § 1er.

Conformément à l’article 58, § 7 et § 8, du Règlement sur la cybersécurité, l’autorité visée à l’article 5, § 1er, et l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6 disposent chacun d’un service d’inspection qui peut à tout moment réaliser des contrôles du respect par les organismes d’évaluation de la conformité,

les titulaires de certificats de cybersécurité européens volontaires et les émetteurs de déclarations de conformité de l’Union européenne des règles imposées par le règlement sur la cybersécurité, les schémas européens de certification de cybersécurité, la présente loi ou ses arrêtés d’exécution. Les compétences de ce service d’inspection sont sans préjudice de l’application de l’arrêté royal du 31 jan- Conformément à l’article 58, § 4, du Règlement sur la cybersécurité, dans l’exécution de ses tâches de contrôle, le service d’inspection agit de manière indépendante des autres services de l’autorité visée à l’article 5, § 1er, notamment du service chargé de la délivrance des certificats de cybersécurité, ou des autres services de certaines missions visées aux chapitres 5 et 6. § 2.

Au moment de formuler une demande d’informations ou de preuves, le service d’inspection mentionne la finalité de la demande, les dispositions légales ainsi que, le cas échéant, la ou les parties du schéma européen de certification de cybersécurité et précise le délai dans lequel les informations ou preuves doivent être fournies. schéma européen de certification de cybersécurité, le service d’inspection peut faire appel à des experts, lesquels sont soumis au secret professionnel prévu par le paragraphe 4.

Les frais de recours à des experts peuvent être mis à charge des organismes d’évaluation de la conformité, des titulaires de certificats de cybersécurité européens ou des émetteurs de déclarations de conformité de § 4. Les membres du personnel du service d’inspection Lorsqu’un organisme d’évaluation de la conformité, un titulaire de certificats de cybersécurité européens volontaires ou un émetteur de déclarations de conformité de l’Union européenne est situé en dehors du territoire belge, le service d’inspection peut solliciter la coopération et l’assistance des autorités nationales de certification de cybersécurité compétentes de ces autres États.

§ 1er. Les membres assermentés du service d’inspection sont dotés d’une carte de légitimation dont le modèle est fixé par le Roi. § 2. Les membres assermentés du service d’inspection ou les experts appelés à participer à l’inspection ne peuvent avoir un intérêt quelconque, direct ou indirect, dans les organismes d’évaluation de la conformité, titulaires de certificats de cybersécurité européens ou émetteurs de déclarations de conformité de l’Union européenne qu’ils sont chargés de contrôler, susceptible de compromettre leur objectivité.

Ils prêtent serment auprès du fonctionnaire dirigeant de leur service. § 3. Afin de mener à bien les activités de supervision visées à l’article 58 du Règlement sur la cybersécurité et sans préjudice des attributions des officiers de police judiciaire visées à l’article 8 du Code d’instruction criminelle, les membres assermentés du service d’inspection disposent, à tout moment, des compétences de contrôle suivantes dans l’exercice de leur mission:

1° pénétrer sans avertissement préalable, sur présentation de leur carte de légitimation, dans tous les lieux utilisés par l’organisme d’évaluation de la conformité, le titulaire de certificats de cybersécurité européens ou l’émetteur de déclarations de conformité de l’Union européenne; ils n’ont accès aux locaux habités que moyennant autorisation préalable délivrée par le juge d’instruction;

2° prendre connaissance sur place et obtenir une copie du certificat ou de la déclaration de conformité de l’Union européenne, ainsi que de tout acte, tout document et toute autre source d’informations nécessaires à l’exercice de leur mission;

3° procéder à tout examen, contrôle et audition, et requérir toutes les informations qu’ils estiment nécessaires à l’exercice de leur mission;

4° relever et vérifier l’identité des personnes qui se trouvent sur les lieux utilisés par l’organisme d’évaluation de la conformité, le titulaire de certificats de cybersécurité européens ou l’émetteur de déclarations de conformité de l’Union européenne et dont ils estiment l’audition nécessaire pour l’exercice de leur mission. À cet effet, ils peuvent exiger de ces personnes la présentation de documents officiels d’identification; § 4. Pour obtenir l’autorisation de pénétrer dans des locaux habités, les membres du personnel du service d’inspection adressent une demande motivée au juge

d’instruction. Cette demande contient au moins les données suivantes:

1° l’identification des espaces habités auxquels les membres du personnel du service d’inspection souhaitent avoir accès;

3° la législation qui donne lieu au contrôle pour lequel les inspecteurs estiment nécessaire d’obtenir une autorisation de visite;

4° tous les documents et renseignements desquels il ressort que l’utilisation de ce moyen est nécessaire;

5° la proportionnalité et la subsidiarité à l’égard de tout autre devoir d’enquête. Le juge d’instruction décide dans un délai de 48 heures maximum après réception de la demande. La décision du juge d’instruction est motivée. En l’absence de décision dans le délai prescrit, la visite des lieux est réputée être refusée. Le service d’inspection peut introduire un recours contre la décision de refus ou l’absence de décision devant la chambre des mises en accusation dans les quinze jours de la notification de la décision ou de l’expiration du délai.

Les visites sans autorisation de l’occupant dans des locaux habités se font entre cinq et vingt-et-une heures par au moins deux membres assermentés du service d’inspection agissant conjointement. § 5. Au début de toute audition, il est communiqué à la personne interrogée:

2° qu’elle peut demander que toutes les questions qui lui sont posées et les réponses qu’elle donne soient actées dans les termes utilisés;

3° qu’elle a le droit de garder le silence et de ne pas contribuer à sa propre incrimination. Toute personne interrogée peut utiliser les documents en sa possession, sans que cela puisse entraîner le report de l’audition. Elle peut, lors de l’audition ou ultérieurement, exiger que ces documents soient joints à l’audition.

L’audition mentionne avec précision l’heure à laquelle elle a pris cours, est éventuellement interrompue et reprise, et prend fin. Elle mentionne l’identité des personnes qui interviennent lors de l’audition ou à une partie de celle-ci. À la fin de l’audition, la personne interrogée a le droit de relire celle-ci ou de demander que lecture lui en soit faite. Elle peut demander à ce que ses déclarations soient corrigées ou complétées.

Les membres du personnel du service d’inspection qui interrogent une personne l’informent qu’elle peut demander une copie du texte de son audition. Cette copie lui est délivrée gratuitement. § 6. Les membres du service d’inspection peuvent consulter tous les supports d’information et les données qu’ils contiennent. Ils peuvent se faire produire sur place le système informatique et les données qu’il contient dont ils ont besoin pour leurs examens et constatations, et en prendre ou en demander gratuitement des extraits, des duplicatas ou des copies, sous une forme lisible et intelligible qu’ils ont demandée. les membres du service d’inspection peuvent saisir, contre récépissé contenant un inventaire, le système informatique et les données qu’il contient. § 7.

Pour étendre les recherches dans un système informatique ou une partie de celui-ci, entamées sur la base du paragraphe 6, vers un système informatique ou une partie de celui-ci qui se trouve dans un autre lieu que celui où la recherche est effectuée, le service d’inspection peut solliciter l’autorisation d’un juge d’instruction, selon les mêmes conditions que celles prévues au paragraphe 4. § 8. Lorsque cela s’avère nécessaire, les membres du service d’inspection disposent d’une habilitation de sécurité correspondant au niveau de classification, au sens de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, des informations auxquelles ils doivent avoir accès afin de réaliser leur contrôle. § 9.

Lorsque cela est nécessaire à la réalisation des activités de contrôle visées au présent chapitre et que les autres moyens ne suffisent pas, les membres assermentés du service d’inspection peuvent avoir accès aux informations ou secrets visés à l’article 458 du Code pénal et dont un titulaire de certificats de cybersécurité européens ou un émetteur de déclarations de conformité de l’Union européenne est le dépositaire, et les traiter.

§ 10. Lors de l’exécution de leurs pouvoirs de contrôle visés au présent article, les membres assermentés du service d’inspection veillent à ce que les moyens qu’ils utilisent soient appropriés et nécessaires pour le contrôle des dispositions du Règlement sur la cybersécurité ou d’un schéma de certification dont ils contrôlent le respect. § 1er. À la fin des inspections, un rapport est dressé par le service d’inspection.

Une copie de ce rapport est titulaire de certificats de cybersécurité européens ou à péenne inspecté. § 2. Les rapports dressés par le service d’inspection ne peuvent contenir, ni les données à caractère personnel des clients des titulaires de certificats de cybersécurité européens ou des émetteurs de déclarations de conformité de l’Union européenne, ni les données à caractère personnel traitées par ces clients. § 3.

À leur demande et pour autant que cela poursuive l’accomplissement des missions prévues à l’article VIII.30, § 2, du Code de droit économique, au chapitre II du règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil, aux articles 58, § 7, c), et 60, § 1er et § 4, du Règlement sur la cybersécurité ou aux articles 107/2 à 107/5 de la loi du 13 juin 2005 relative aux communications électroniques, l’autorité nationale d’accréditation ou l’Institut belge des services postaux et des télécommunications peut recevoir une copie du rapport prévu au paragraphe 1er.

Par dérogation à l’article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, la transmission de rapport prévue à l’alinéa précédent ne doit pas être formalisée par un protocole pour autant que:

1° le transfert soit nécessaire à l’exécution de l’alinéa précédent;

2° l’autorité destinataire des données traite celles-ci afin d’assurer le respect des dispositions de la loi, des articles 58, § 7, c), et 60, § 1er et § 4, du Règlement sur la cybersécurité ou des articles 107/2 à 107/5 de

la loi du 13 juin 2005 relative aux communications électroniques;

3° le transfert concerne des données d’identification personnelle, comme un nom, un prénom, une adresse de courriel privée ou professionnelle, des données d’authentification ou des données de communications 4° le transfert de données à caractère personnel se fasse de manière sécurisée dans un format digital ou papier. § 4. Afin d’assurer le respect des articles 20, 21, § 1er, et 33 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique et de l’article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, l’autorité visée à l’article 5, § 1er, ou l’autorité publique désignée par le Roi en vertu de l’article 5, § 2, transmet une copie du rapport prévu au paragraphe 1er à l’autorité sectorielle et au service d’inspection, visés respectivement aux articles 3, 3° et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, ou à l’article 7, § 3 et § 5, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, compétents en fonction du prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné, au sens de l’article 2, 12° à 14°, du Règlement sur la cybersécurité, lorsque ce rapport est lié à un contrôle effectué auprès d’une infrastructure critique, d’un opérateur de services essentiels ou d’un fournisseur de service numérique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ou de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général Afin d’assurer le respect de l’article 11 de l’arrêté critiques dans le sous-secteur du transport aérien et des des mesures détaillées pour la mise en œuvre des normes de base communes dans le domaine de la sûreté de l’aviation civile, l’autorité visée à l’article 5, § 1er, ou l’autorité publique désignée par le Roi en vertu de l’article 5, § 2, transmet une copie du rapport prévu au paragraphe 1er à l’inspection aéroportuaire, à l’inspection aéronautique ou à la BSA-ANS, au sens des articles 2, alinéa 1er, 1° et 9°, et 15, § 1er à § 3, de l’arrêté

critiques dans le sous-secteur du transport aérien, d’une infrastructure critique, au sens de l’arrêté royal du 2 décembre 2011 concernant les infrastructures let 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, la transmission de rapport prévue au présent paragraphe ne doit pas être formalisée par un protocole 2° l’autorité destinataire des données traite cellesci afin d’assurer le respect des dispositions de la loi des infrastructures critiques, de la loi du 7 avril 2019 étapublique et de l’arrêté royal du 2 décembre 2011 concerdu transport aérien; § 1er.

Les membres assermentés du service d’inspection rédigent des procès-verbaux visés à l’article 20, § 1er. § 2. À leur demande et pour autant que cela poursuive l’accomplissement des missions prévues à l’article VIII.30, § 2, du Code de droit économique, au chapitre II du règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil ainsi qu’aux articles 58, § 7, c), et 60, § 1er et § 4, du Règlement sur la cybersécurité ou aux articles 107/2 à 107/5 de la loi niques, l’autorité nationale d’accréditation ou l’Institut

peut recevoir une copie d’un procès-verbal ainsi que de toutes les informations complémentaires liées à un contrôle effectué par l’autorité visée à l’article 5, § 1er, ou par l’autorité publique désignée par le Roi en vertu de l’article 5, § 2. personnel, la transmission de procès-verbal prévue à l’alinéa précédent ne doit pas être formalisée par un protocole pour autant que: § 3. Afin d’assurer le respect de l’article 13 de la loi des infrastructures critiques et des articles 20, 21, § 1er, et 33 de la loi du 7 avril 2019 établissant un cadre pour d’intérêt général pour la sécurité publique, l’autorité visée à l’article 5, § 1er, ou l’autorité publique désignée par le Roi en vertu de l’article 5, § 2, transmet à l’autorité sectorielle et au service d’inspection compétents, visés respectivement aux articles 3, 3°, et 24, § 2, de la loi des infrastructures critiques et à l’article 7, § 3 et § 5, d’intérêt général pour la sécurité publique, en fonction du prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné, au sens de l’article 2, 12° à 14°, du Règlement sur la cybersécurité, une copie complète du procès-verbal ainsi que de toutes les informations complémentaires liées à un contrôle effectué

la sécurité et la protection des infrastructures critiques ou de la loi du 7 avril 2019 établissant un cadre pour d’intérêt général pour la sécurité publique. de l’article 5, § 2, transmet une copie du procès-verbal ainsi que de toutes les informations complémentaires liées à un contrôle effectué auprès d’une infrastructure critique, au sens de l’article 2, 3°, de l’arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien, à l’inspection aéroportuaire, à l’inspection aéronautique ou à la BSA- ANS, au sens des articles 2, alinéa 1er, 1° et 9°, et 15, § 1er à § 3, de l’arrêté royal du 2 décembre 2011 concerpersonnel, la transmission de procès-verbal prévue au présent paragraphe ne doit pas être formalisée par un

§ 1er. Conformément aux articles 53, § 3, et 58, § 8, a), du Règlement sur la cybersécurité, l’organisme d’évaluation de la conformité, le titulaire de certificats de cybersécurité européens volontaires ou l’émetteur de déclarations de conformité de l’Union européenne apporte son entière collaboration aux membres du service d’inspection ou aux experts appelés à participer à l’inspection dans l’exercice de leurs fonctions et notamment pour informer ceux-ci au mieux de toutes les mesures de sécurité existantes.

Si nécessaire, l’organisme d’évaluation de la conformité, le titulaire de certificats de cybersécurité européens volontaires ou l’émetteur de déclarations de conformité de l’Union européenne met à disposition des membres du service d’inspection et des experts appelés à participer à l’inspection le matériel nécessaire de manière à ce qu’ils remplissent les consignes de sécurité lors des inspections. § 2.

Après avis de l’autorité visée à l’article 5, § 1er, le Roi peut déterminer des rétributions relatives à la délivrance et aux prestations d’inspections réalisées dans le cadre du recours volontaire à des certifications et déclarations de conformité visées par le Règlement Ces rétributions sont à charge des organismes d’évaluation de la conformité, titulaires de certificats de cybersécurité européens volontaires et des émetteurs de déclarations de conformité de l’Union européenne.

Le Roi fixe les modalités de calcul et de paiement. § 1er. Lorsqu’un ou plusieurs manquements aux exigences imposées par le Règlement sur la cybersécurité, la présente loi ou ses arrêtés d’exécution ou aux exigences de schémas de certification volontaire de cybersécurité sont constatés, le service d’inspection met en demeure le

contrevenant de se conformer, dans un délai raisonnable qu’il fixe, aux obligations qui lui incombent. de fonctionnement du contrevenant et des mesures à mettre en œuvre. § 2. Au préalable, le service d’inspection informe, de manière motivée, le contrevenant de son intention de lui adresser une mise en demeure et lui fait part de son droit, dans les quinze jours de la réception de cette information, de formuler par écrit ses moyens de défense ou de solliciter d’être d’entendu.

L’information est présumée reçue par le contrevenant le sixième jour suivant son envoi par le service d’inspection. § 1er. Lorsque le service d’inspection constate que le contrevenant n’a pas respecté les obligations découlant de la loi ou du Règlement sur la cybersécurité, les faits sont constatés dans un procès-verbal rédigé par les membres assermentés du service d’inspection. § 2. Le fait pour quiconque d’empêcher ou entraver volontairement l’exécution d’un contrôle effectué par les membres du service d’inspection, de refuser de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle, ou de communiquer sciemment des informations inexactes ou incomplètes est constaté par les membres assermentés du service d’inspection dans un procès-verbal. § 3.

Les procès-verbaux rédigés par les membres assermentés du service d’inspection font foi jusqu’à preuve du contraire. Conformément à l’article 58, § 8, e), du Règlement retire un certificat de cybersécurité lorsque le bénéficiaire

Limitation, suspension ou retrait d’une autorisation ou d’une délégation Conformément à l’article 58, § 7, e), du Règlement limite, suspend ou retire les autorisations ainsi que les délégations qu’elle a accordées aux organismes d’évaluation de la conformité, lorsque le bénéficiaire de l’autorisation ou de la délégation ne respecte pas le Règlement sur la cybersécurité ou un schéma européen § 1er. Est puni d’une amende de 500 à 75 000 euros quiconque ne répond pas à une demande d’information de l’autorité visée à l’article 5, § 1er, ou l’autorité publique visées aux chapitres 5 et 6. § 2.

Est puni d’une amende de 500 à 100 000 euros le processus TIC qui ne se conforme pas aux dispositions relatives à l’autoévaluation de la conformité visées à l’article 53 du Règlement sur la cybersécurité. § 3. Est également puni d’ une amende de 500 à 100 000 euros le titulaire d’un certificat de cybersécurité européen attestant du niveau d’assurance dit “élémentaire” qui ne se conforme pas aux obligations émanant du schéma européen de certification de cybersécurité correspondant. § 4.

Est puni d’une amende de 500 à 125 000 euros le titulaire d’un certificat de cybersécurité européen attestant du niveau d’assurance dit “substantiel” ou “élevé” qui ne se conforme pas aux obligations émanant du schéma européen de certification de cybersécurité correspondant. § 5. Sans préjudice de l’article 15, § 5, alinéa 1er, 3°, est puni d’une amende de 500 à 150 000 euros quiconque ne coopère pas lors d’un contrôle en refusant de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle ou ne coopère pas lors d’un contrôle de toute autre manière.

§ 6. Est puni d’une amende de 500 à 200 000 euros quiconque communique sciemment des informations inexactes ou incomplètes ou se rend coupable de tout autre acte ou omission frauduleuse dans le cadre de l’exécution du Règlement sur la cybersécurité, de la présente loi et de ses arrêtés d’exécution. § 1er. La décision d’imposer une amende administrative mentionne le montant de l’amende administrative et les infractions visées. § 2.

L’autorité visée à l’article 5, § 1er, ou l’autorité missions visées aux chapitres 5 et 6, informe au préalable le contrevenant de sa proposition motivée de sanction administrative et lui fait part de son droit, dans les quinze jours de la réception de la proposition, de formuler par écrit ses moyens de défense ou de solliciter d’être d’entendu. La proposition est présumée reçue par le contrevenant le sixième jour suivant son envoi par § 3.

En tenant compte des moyens de défense invoqués dans le délai visé au paragraphe 2 ou en l’absence de réaction du contrevenant dans ce même délai, l’autorité par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, peut adopter une sanction administrative visée à l’article 23. § 4. L’amende administrative est proportionnelle à la gravité, la durée, les moyens utilisés, les dommages causés et les circonstances des faits.

L’amende administrative est doublée en cas de récidive pour les mêmes faits dans un délai de trois ans. § 5. Le concours de plusieurs infractions peut donner lieu à une amende administrative unique proportionnelle à la gravité de l’ensemble des faits. Une invitation à acquitter l’amende dans un délai d’un mois est jointe à la décision.

Le contrevenant peut contester la décision prise en vertu du chapitre 6 par l’autorité visée à l’article 5, § 1er, ou l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6, devant la Cour des marchés visée à l’article 101 du Code judiciaire. La Cour des marchés est saisie du fond du litige et dispose d’une compétence de pleine juridiction. La demande est introduite par requête contradictoire introduite, à peine de déchéance, dans les soixante jours de la notification de la décision de l’autorité visée à l’article 5, § 1er, ou de l’autorité publique désignée par chapitres 5 et 6.

La cause est traitée selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire. d’infliger une amende administrative a force exécutoire et l’autorité visée l’article 5, § 1er, ou l’autorité publique visées aux chapitres 5 et 6, peut décerner une contrainte. La contrainte est décernée par le représentant légal de l’autorité visée à l’article 5, § 1er, ou de l’autorité missions visées aux chapitres 5 et 6, ou par un membre du personnel habilité à cette fin. § 2.

La contrainte est signifiée au contrevenant par exploit d’huissier de justice. La signification contient un commandement de payer dans les vingt-quatre heures, à peine d’exécution par voie de saisie, de même qu’une justification comptable des sommes exigées ainsi que copie de l’exécutoire. § 3. Le contrevenant peut former opposition à la contrainte devant le juge des saisies. L’opposition est motivée à peine de nullité.

Elle est formée au moyen d’une citation à l’autorité visée à l’article 5, § 1er, ou à l’autorité publique désignée par le Roi pour accomplir certaines missions visées aux chapitres 5 et 6,

par exploit d’huissier dans les quinze jours à partir de la signification de la contrainte. Les dispositions du chapitre VIII de la première partie du Code judiciaire sont applicables à ce délai, y compris les prorogations prévues à l’article 50, alinéa 2, et l’article 55 de ce Code. L’exercice de l’opposition à la contrainte suspend l’exécution de la contrainte, ainsi que la prescription des créances contenues dans la contrainte, jusqu’à ce qu’il ait été statué sur son bien-fondé.

Les saisies déjà pratiquées antérieurement conservent leur caractère conservatoire. § 4. L’autorité visée à l’article 5, § 1er, ou l’autorité missions visées aux chapitres 5 et 6, peut faire pratiquer la saisie conservatoire et exécuter la contrainte en usant des voies d’exécution prévues à la cinquième partie du Code judiciaire. Les paiements partiels effectués en suite de la signification d’une contrainte ne font pas obstacle à la continuation des poursuites. § 5.

Les frais de signification de la contrainte de même que les frais de l’exécution ou des mesures conservatoires sont à charge du contrevenant. actes accomplis par les huissiers de justice en matière civile et commerciale. visées aux chapitres 5 et 6, ne peut imposer d’amende administrative à l’échéance d’un délai de trois ans, à compter du jour où le fait a été commis.

la cybersécurité, l’autorité visée à l’article 5, § 1er, reçoit et traite les réclamations liées à un certificat de cybersécurité européen délivré par l’autorité visée à l’article 5, § 1er, ou par un organisme d’évaluation de la conformité dans le cadre de la délégation prévue à l’article 10, § 3, ou 11, § 2, au refus de délivrance d’un tel certificat ou à une déclaration de conformité de l’Union européenne.

Le dépôt d’une réclamation par toute personne physique ou morale au sens de l’article 63 du Règlement sur la cybersécurité est sans frais. § 1er. L’autorité compétente examine si la réclamation est recevable. — contient un exposé des faits et les indications nécessaires pour identifier le certificat de cybersécurité européen, le refus de délivrance d’un certificat ou la déclaration de conformité de l’Union européenne sur laquelle elle porte; — relève de la compétence de l’autorité visée à l’article 5, § 1er, en vertu du Règlement sur la cybersécurité. § 3.

L’autorité compétente peut inviter l’auteur de la réclamation à préciser sa réclamation. L’affaire est traitée dans la langue nationale de la réclamation.

La décision portant sur la recevabilité de la réclamation est portée à la connaissance de l’auteur de la Si l’autorité visée à l’article 5, § 1er, conclut à l’irrecevabilité de la réclamation, l’auteur de la réclamation en est informé. Si l’autorité visée à l’article 5, § 1er, conclut à la recevabilité de la réclamation, elle peut exercer les pouvoirs qui lui sont conférés conformément aux articles 10, 11, 21 et 22.

L’autorité visée à l’article 5, § 1er, peut délivrer ellemême la certification demandée. Conformément à l’article 64, § 1er, du Règlement sur la cybersécurité, le réclamant peut contester la décision prise en vertu de la section 1re par l’autorité visée à l’article 5, § 1er, devant la Cour des marchés visée à l’article 101 du Code judiciaire. l’article 5, § 1er.

Principes relatifs au traitement, base légale et finalités § 1er. Les finalités pour lesquelles des traitements de données à caractère personnel sont effectués, sont les suivantes:

1° la délivrance des certificats de cybersécurité européen et la gestion des réclamations y relatives par l’autorité visée à l’article 5, § 1er;

2° le contrôle des titulaires de certificats de cybersécurité européens, des émetteurs de déclarations de conformité de l’Union européenne et des organismes d’évaluation de la conformité et, le cas échéant, l’imposition de sanctions conformément aux chapitres 5 et 6;

3° la participation de l’autorité visée à l’article 5, § 1er, ou de toute autre autorité publique qui en fait la demande, au GECC;

4° la coopération avec les autorités sectorielles et les services d’inspection, visés respectivement aux articles 3, 3°, et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, à l’article 7, § 3 et § 5, de la loi du 7 avril 2019 établissant ou aux articles 2, alinéa 1er, 1° et 9°, et 15, § 1er à § 3, port aérien, compétents en fonction du prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné au sens de l’article 2, 12° à 14°, du Règlement sur la cybersécurité, dans le cadre de leurs pouvoirs visés à l’article 24, § 1er, de la loi du 1er juillet 2011 relative à ou aux articles 7, § 3, alinéa 1er, § 5, et 42, § 1er, de la loi pour la sécurité publique;

5° la coopération avec les autorités publiques disposant de missions spécifiques en matière de cybersécurité, au sens de l’article 2, 1), du Règlement sur la cybersécurité,

conformément à l’article 58, § 7, a), c) et h), du même règlement. § 2. L’autorité visée à l’article 5, § 1er, et l’autorité missions visées aux chapitres 5 et 6 sont chacune responsables des traitements qu’elles effectuent pour la réalisation des finalités visées au paragraphe 1er. § 3. Les catégories de données à caractère personnel traitées par les responsables de traitement visés au paragraphe 2 sont les suivantes:

1° pour la finalité visée au paragraphe 1er, 1°, les données d’identification de toute personne physique intervenant directement dans une demande de délivrance d’un certificat de cybersécurité européen ou dans une réclamation y relative par l’autorité visée à l’article 5, § 1er, c’est-à-dire le nom, prénom, adresse, numéro de téléphone et l’adresse e-mail;

2° pour la finalité visée au paragraphe 1er, 2°, toute donnée à caractère personnel nécessaire à l’exercice des missions de contrôle et de sanction visées aux chapitre 5 et 6. Les données à caractère personnel des clients des titulaires de certificats de cybersécurité européens l’Union européenne et les données à caractère personnel traitées par ces clients, ne peuvent être traitées que si elles se révèlent indispensables aux missions de contrôle visées au chapitre 5.

Chaque fois que possible, les données visées à l’alinéa précédent sont pseudonymisées ou agrégées de façon à diminuer le risque d’une utilisation de données personnelles incompatible avec le Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ou les lois et règlements qui le complètent ou le précisent.

3° pour la finalité visée au paragraphe 1er, 3°, les données d’identification des personnes physiques ayant vocation à participer au GECC, c’est-à-dire leur nom, prénom, adresse, numéro de téléphone et adresse e-mail.

4° pour la finalité visée au paragraphe 1er, 4°, les données d’identification, c’est-à-dire le nom, prénom, adresse, numéro de téléphone et adresse e-mail ou de

communications électroniques au sens de l’article 2, 89°, de la loi du 13 juin 2005 relative aux communications électroniques directement liées au prestataire ou fournisseur du produit TIC, service TIC ou processus TIC concerné, au sens de l’article 2, 12° à 14°, du Règlement sur la cybersécurité et collectées par le service d’inspection dans le cadre de ses missions de contrôle et de sanction visées aux chapitres 5 et 6, sans que ces données puissent porter sur les personnes physiques, clientes du titulaire de certificats de cybersécurité européens ou de l’émetteur de déclarations de conformité de l’Union européenne concerné, ou sur les données à 5° pour la finalité visée au paragraphe 1er, 5°, les § 4.

Sans préjudice du paragraphe 3, 2°, les échanges d’informations entre autorités publiques prévus par la présente loi ne peuvent porter, ni sur les données à caractère personnel des clients des titulaires de certificats de cybersécurité européens ou des émetteurs de déclarations de conformité de l’Union européenne, ni sur les données à caractère personnel traitées par ces clients. § 5. Les catégories de personnes dont les données à caractère personnel sont susceptibles de faire l’objet de traitements sont les suivantes:

1° toute personne physique intervenant pour les organismes d’évaluation de la conformité, les titulaires de certificats de cybersécurité européens, les émetteurs ou une autorité publique;

2° toute personne physique participant à un contrôle ou à une audition dans le cadre des missions de contrôle prévues au chapitre 5;

3° toute personne physique introduisant une réclamation;

4° toute personne physique participant au GECC;

5° toute personne physique dont les données à caractère personnel sont présentes au sein des produits, services ou processus TIC, au sens de l’article 2, 12 à 14°, § 1er. En application de l’article 23, § 1er, c), e) et h), du Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), certaines obligations et droits prévus par ledit règlement sont limités ou exclus, conformément aux dispositions du présent article.

Ces limitations ou exclusions ne peuvent porter préjudice à l’essence des libertés et droits fondamentaux et doivent être appliquées dans la stricte mesure nécessaire au but poursuivi. § 2. Les articles 12 à 16, 18 et 19 dudit règlement ne sont pas applicables aux traitements de données à caractère personnel, effectués par l’autorité visée à l’article 5, § 1er, ou l’autorité publique désignée par chapitres 5 et 6, agissant en tant que responsable de traitement des données, pour la finalité visée à l’article 36, § 1er, 2°, dans la mesure où l’exercice des droits consacrés par ces articles nuirait aux besoins du contrôle ou des actes préparatoires à celui-ci. § 3.

L’exemption vaut, sous réserve du principe de proportionnalité et le cas échéant de minimisation des données, pour toutes les catégories de données à caractère personnel, dans la mesure où le traitement de ces données n’est pas étranger aux finalités précitées. Cette exemption vaut également pour les actes préparatoires ou pour les procédures visant à l’application éventuelle § 4. L’exemption ne s’applique que pendant la période au cours de laquelle la personne concernée fait l’objet d’un contrôle ou d’actes préparatoires à celui-ci, dans la mesure où l’exercice des droits faisant l’objet de la dérogation prévue au présent article nuirait aux besoins du contrôle ou des actes préparatoires à celui-ci et, en

tous les cas, ne s’applique que jusqu’à un an après réception de la demande d’exercice du droit faisant l’objet de la dérogation prévue au présent article. La durée des actes préparatoires, visés à l’alinéa précédent, pendant laquelle les articles visés au paragraphe 2 ne sont pas applicables, ne peut excéder un an à partir de la réception d’une demande relative à l’application d’un des droits consacrés par ces articles. § 5.

Dès réception d’une demande concernant l’exercice d’un des droits consacrés par les articles visés au paragraphe 2, le délégué à la protection des données du responsable du traitement en accuse réception. Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d’un mois à compter de la réception de la demande, de tout refus ou de toute limitation aux droits consacrés par les articles visés au paragraphe 2, ainsi que des motifs du refus ou de la limitation.

Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre la finalité énoncée au paragraphe 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. sable du traitement informe la personne concernée des possibilités d’introduire une réclamation auprès de l’Autorité de protection des données et de former un recours juridictionnel. sable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision.

Ces informations sont mises à la disposition de l’Autorité de protection des données. Lorsque le service d’inspection a fait usage de l’exemption telle que déterminée au paragraphe 2, cette dernière est immédiatement levée après la clôture du contrôle. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.

Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, visé à l’article 89 du Règlement UE 2016/679, les données à caractère personnel traitées par l’autorité visée à l’article 5, § 1er ou l’autorité missions visées aux chapitres 5 et 6 en vue de réaliser les finalités visées à l’article 36, § 1er, sont conservées, sans préjudice de recours éventuels, par le responsable du traitement 10 ans suivant la fin du traitement effectué.

Section 1re. Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges L’article 14, § 1er, de la loi du 17 janvier 2003 relative télécommunications belges, est complété par un 7° “7° L’Institut exerce les missions de contrôle et de sanctions qui lui sont confiées par l’arrêté royal visant à exécuter l’article 5, § 2, de la loi du [date] [relative à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité].” Dans l’article 14, § 2, 3°, g), de la même loi, inséré par la loi du 10 juillet 2012 portant des dispositions diverses en matière de communications électroniques (cité comme: loi Télécom), les mots “en ce compris la sécurité des réseaux et des systèmes d’information,“ sont insérés entre les mots ”sécurité publique,“ et ”ou de sécurité et protection civile”.

Modifications de la loi du 2 août 2002 relative à la L’article 45 de la loi du 2 août 2002 relative à la surest complété par un paragraphe 6, rédigé comme suit: du schéma de certification de cybersécurité concerné, le Roi peut, à condition qu’elle dispose de l’expertise requise à ces fins, confier à la FSMA, par arrêté délibéré en Conseil des ministres, en tout ou en partie, les missions visées aux chapitres 5 et 6, à l’exception des articles 21 et 22, de la loi du [date] [relatif à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité].

Dans cette hypothèse, le Roi sollicite l’avis et se concerte au préalable avec l’autorité visée à l’article 5, § 1er, de la loi précitée et la FSMA. La FSMA exerce ces missions de contrôle uniquement vis-à-vis des entités sur lesquelles elle exerce le contrôle en vertu du paragraphe 1er, 2°, du présent article et des lois particulières qui régissent le contrôle des établissements financiers.” L’article 75, § 1er, de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers, est complété par un 27°, rédigé comme suit: “27° à l’autorité visée à l’article 5, § 1er, de la loi du […] relative à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité ou aux autorités désignées par le Roi en vertu de l’article 5, § 2, de la même loi.” Dans l’article 36/14, § 1er, de la loi du 22 fé-

Nationale de Belgique, modifié en dernier lieu par la loi du 11 juillet 2021, il est inséré un 20°/2 rédigé comme suit: “20°/2 dans les limites du droit de l’Union européenne, à l’autorité visée à l’article 5, § 1er, de la loi du […] relative à la certification de cybersécurité des technologies de d’une autorité nationale de certification de cybersécurité, ou aux autorités désignées par le Roi en vertu de l’article 5, § 2, de la même loi;” Dans le Chapitre IV/4 de la loi du 22 février 1998 fixant inséré par la loi du 7 avril 2019 et modifié en dernier lieu par la loi du 11 juillet 2021, il est inséré un article 36/48/1 rédigé comme suit: “Art. 36/48/1.

À la demande de la Banque et en fonction de l’objet du schéma de certification de cybersécurité concerné, le Roi peut, à condition qu’elle dispose de l’expertise requise à ces fins, confier à la Banque, par arrêté délibéré en Conseil des ministres, en tout ou en partie, les missions visées aux chapitres 5 et 6, à l’exception des articles 21 et 22, de la loi du [date] [relatif à la certification de cybersécurité des technolocybersécurité].

Dans cette hypothèse, le Roi sollicite à l’article 5, § 1er, de la loi précitée et la Banque. La Banque exerce ces missions de contrôle uniquement vis-à-vis des entités sur lesquelles elle exerce le contrôle en vertu des articles 8 et 12bis et des lois particulières qui régissent le contrôle des établissements financiers.” L’article I.20 du Code de droit économique, inséré par la loi du 17 juillet 2013 et modifié par les lois du 1er décembre 2016 et du 15 avril 2018, est complété par un 10° “10° Règlement sur la cybersécurité: Règlement

n° 526/2013.” Dans le livre XV, titre Ier, chapitre 2, du même Code, inséré par la loi du 18 avril 2017, il est inséré une section 10 intitulée “Section 10. Certification de cybersécurité”. Dans la section 10, insérée par l’article 46, il est inséré une sous-section 1re intitulée “Sous-section 1re. Certification de cybersécurité volontaire”. Dans la sous-section 1re, insérée par l’article 47, il est inséré un article XV.30/3, rédigé comme suit: “Art.

XV.30/3. En matière de certification de cybersécurité volontaire, le Roi peut, par arrêté délibéré en Conseil des ministres, confier certaines missions visées aux chapitres 5 et 6, à l’exception des articles 21 et 22, de la loi du [date] [relative à la certification de la cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité], à certains agents du SPF Économie, à condition que le SPF Économie dispose de l’expertise requise à ces fins.

Dans cette hypothèse, le Roi sollicite l’avis et se concerte au préalable avec l’autorité visée à l’article 5, § 1er, de la loi précitée. Le SPF Économie exerce ces missions de contrôle uniquement sur les produits ou entités réglementés par le présent Code, ses arrêtés d’exécution ou les règlements de l’Union européenne relatifs aux matières qui, conformément aux livres

VI,

VII, IX et XII du présent Code,

relèvent du pouvoir réglementaire du Roi.” Dans la section 10, insérée par l’article 46, il est inséré une sous-section 2 intitulée “Sous-section 2. Certification de cybersécurité obligatoire”.

Dans la sous-section 2, insérée par l’article 49, il est inséré un article XV.30/4, rédigé comme suit: “Art. XV.30/4. § 1er. En matière de certification européenne de cybersécurité rendue obligatoire en vertu du droit de l’Union ou du droit national, après avis de l’autorité nationale de certification de cybersécurité, le Roi peut, par arrêté délibéré en Conseil des ministres, confier certaines missions en matière de contrôle relatives au règlement sur la cybersécurité ou relatives à la loi du [date] relative à la certification de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité, à certains agents du SPF Économie, à condition que ce dernier dispose de l’expertise requise à ces fins. § 2.

Les missions en matière de contrôle visées au paragraphe 1er, y compris la recherche, la constatation, la poursuite et la sanction des infractions, s’effectuent conformément aux dispositions du présent livre.” Dans le livre XV, titre 3, chapitre 2, section 11/3, du même Code, insérée par la loi du 18 avril 2017, sont insérés les articles XV.125/5 et XV.125/6, rédigés comme suit: “Art. XV.125/5. Dans le cadre de la surveillance visée à l’article [XV.30/4], sont punis d’une sanction de niveau 2:

1° le titulaire d’un certificat de cybersécurité rendu obligatoire en vertu du droit de l’Union ou du droit national attestant du niveau d’assurance dit “élémentaire” qui ne se conforme pas aux obligations émanant du schéma de certification de cybersécurité correspondant;

2° quiconque ne coopère pas lors d’un contrôle en refusant de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle ou ne coopère pas lors d’un contrôle de toute autre manière. Art. XV.125/6. Dans le cadre de la surveillance visée à l’article [XV.30/4], sont punis d’une sanction de niveau 3: attestant du niveau d’assurance dit “substantiel” ou “élevé”

qui ne se conforme pas aux obligations émanant du schéma de certification de cybersécurité correspondant; l’exécution du Règlement sur la cybersécurité.”. CHAPITRE 10. La présente loi entre en vigueur le jour de sa publication au Moniteur belge. Donné à Bruxelles, le 20 mai 2022

PHILIPPE

Par le Roi:

Indépendant - Onafhankelijk

Art. 58, § 6 ;

Art. 62, § 2 et § 3

Art. 58, § 3

Art. 56, § 4 ;

Art. 56, § 5

Art. 56, § 6 ;

Art. 56, § 6, b)

Art. 63, § 1er

Art. 58, § 4, §7 et § 8

Art. 58, § 9

Art. 58, § 3, §7 et § 8

Art. 58, § 7, a), c) et h)

Art. 53, § 3 ; 58, § 8, a)

Art. 58, § 7, a), b), d) ;

Art. 58, § 8, c), f)

N/A

Art. 58, § 8, e)

Art. 58, § 7, e)

Art. 58, § 8, f) ;

Art. 65

Art. 65

Art. 64

Art. 58 § 7, f) ;

Art. 63, § 1

Art. 58, § 7, a) ; h)

TABLEAU DE CORRESPONDAN

Projet de loi relatif à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de

CHAPITRE 1er. - Définitions et dispositions générales Section 1re. - Objet et champ d'application Sous-section 1re. – Objet

Art. 1

Art. 2

Sous-section 2. - Champ d'application

Art. 3

Section 2. – Définitions

Art. 4

CHAPITRE 2. - Autorités compétentes et Section 1re. Autorités compétentes

Art. 5

Section 2. - Coopération au niveau national

Art. 6

Art. 7

CHAPITRE 3. - Autorité nationale de certification

Section 1re. - Représentation au Groupe européen de certification de cybersécurité

Art. 8

Section 2. – Indépendance

Art. 9

CHAPITRE 4. - Délivrance des certificats européens

Section 1re. - Certificats de cybersécurité européens attestant d'un niveau d'assurance « élémentaire » ou « substantiel »

Art.10

Section 2. - Certificats de cybersécurité « élevé »

Art. 11

Section 3. - Réclamation en cas de refus de délivrance

Art. 12

CHAPITRE 5. - Contrôle

Art. 13

Art. 14

Art. 15

Art. 16

Art. 17

Art. 18

CHAPITRE 6. – Sanctions

Section 1re. - Procédure

Art. 19

Art. 20

Section 2. - Retrait d'un certificat

Art. 21

Section 3. - Limitation, suspension ou retrait d'une autorisation ou d’une délégation

Art. 22

Section 4. - Amendes administratives

Art. 23

Art. 24

Art. 25

Art. 26

Art. 27

Art. 28

CHAPITRE 7. – Réclamations

Section 1re. - Saisine de l’autorité nationale de

Art. 29

Art. 30

Art. 31

Art. 32

Art. 33

Art. 34

Section 2. Recours

Art. 35

CHAPITRE 8. - Traitement des données à caractère personnel

Section 1. - Principes relatifs au traitement, base légale et finalités

Art. 36

Art. 37

Section 2. - Durée de conservation

Art. 38

CHAPITRE 9. - Dispositions modificatives

Section 1re. - Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges

Art. 39

Art. 40

Section 2. - Modifications de la loi du 2 août 2002 relative à la surveillance du secteur financier et

Art. 41

Art. 42

Section 3. - Modifications de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique

Art. 43

Art. 44

Section 4. – Modifications du Code de droit économique

Art. 45

Art. 46

Art. 47

Art. 48

Art. 49

Art. 50

Art. 51

CHAPITRE 10. - Entrée en vigueur

Art. 52

Afdeling 2. - Onafhankelijkheid

HOOFDSTUK

- Afgifte van Europese certificaten

Afdeling cyberbeveiligingscertificaten voor zekerheidsniveau "basis" of "substantieel"

zekerheidsniveau "hoog"

Afdeling 3. - Klacht ingeval de afgifte geweigerd wordt

HOOFDSTUK 5. - Toezicht

HOOFDSTUK 6. - Sancties

Afdeling 1. - Procedure

Afdeling 2. - Intrekking van een certificaat

Afdeling 4. - Administratieve geldboetes

HOOFDSTUK 7. - Klachten

Afdeling 1. - Aanhangigmaking bij de nationale cyberbeveiligingscertificeringsautoriteit

Afdeling 2. Beroepen

8. – Verwerking persoonsgegevens

Afdeling 1. – Beginselen inzake verwerking, wettelijke basis en doeleinden

Afdeling 2. - Bewaartermijn

HOOFDSTUK 9. – Wijzigingsbepalingen

HOOFDSTUK 10. – Inwerkingtreding

d) les articles 14, § 2, 2°, et 21, §§ 5 à 7, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs postes et télécommunications belges;

e) les articles 4 et 4/1 de la loi du 17 janvier 2003 concernant les recours et le traitement des litiges à l'occasion de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges;

f) la loi du 5 mai 2017 relative aux services de médias audiovisuels en région bilingue de Bruxelles-Capitale;

g) la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, pour ce qui concerne les secteurs des communications électroniques infrastructures numériques;

h) la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, en ce qui concerne le secteur des

i) le Règlement (UE) 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la Directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications

j) tout acte juridique contraignant en droit de l'Union européenne, qui attribue des missions à l'autorité réglementaire nationale dans le secteur des postes ou des communications

k) toute décision contraignante adoptée par:

i) l'Institut;

ii) les ministres sur base de l'article 105, § 6, alinéa 1er, de la loi du 13 juin 2005 relative aux communications électroniques;

iii) la Commission européenne dans le secteur des communications électroniques ou dans le secteur postal.

Pour l'application de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, l'Institut est désigné comme autorité sectorielle service d'inspection pour le secteur des infrastructures numériques. Le Roi peut fixer les modalités pratiques des inspections pour ce secteur, après avis de l'Institut.

4° en cas de litige entre des fournisseurs de réseaux, de services ou d'équipements de communications électroniques ou en cas de litige entre des prestataires de services postaux, (ou en cas de litige entre les fournisseurs de services ou de réseaux de communications électroniques ou de fournisseurs de services de médias audiovisuels visés par la loi du 5 mai 2017 relative aux services de médias audiovisuels en région bilingue de Bruxelles-Capitale,) la formulation de propositions tendant à concilier les parties dans le délai d'un mois.

Le Roi fixe, sur avis de l'Institut, les modalités de cette procédure;

4° /1 en cas de litige entre fournisseurs de ou en cas de litige entre les fournisseurs de région bilingue de Bruxelles-Capitale, la prise de décision administrative sur base de l'article 4 ou 4/1 de la loi du 17 janvier 2003 concernant les recours et le traitement des litiges à l'occasion de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des

5° poser tous les actes utiles qui ont pour objet la préparation de l'application des directives européennes entrées en vigueur dans le secteur des postes et des télécommunications.

6° L'Institut est chargé de contrôler l'exécution de toutes les missions de service public qui sont attribuées par l'Etat dans le secteur postal et dans le secteur électroniques, sous réserve des missions de service publics attribué dans le cadre d'article 141, § 1erbis, de la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques. L'Institut informe tant le Ministre en charge du Secteur postal que le Ministre en charge des Entreprises publiques de l'exécution du contrat de gestion.

§ 2. Dans le cadre de ses compétences, l'Institut:

1° peut organiser manière non discriminatoire toute forme d'enquêtes et de consultations publiques; il doit organiser de telles consultations publiques afin qu'il tienne compte des points de vue des utilisateurs finals, des consommateurs (y compris notamment, des consommateurs handicapés), des fabricants et des entreprises qui fournissent des réseaux et/ou services électroniques sur toute question relative à tous les droits des utilisateurs finals et des consommateurs en ce qui concerne les services de communications électroniques accessibles au public, en particulier lorsqu'ils ont une incidence importante sur le marché; ces consultations garantissent que, lorsque l'Institut statue sur des questions relatives aux droits des utilisateurs finals et des consommateurs en ce qui concerne les services de communications électroniques accessibles au public, les intérêts consommateurs en matière de communications électroniques sont dûment pris en compte;

2° peut exiger, par demande motivée, de toute personne concernée toute information utile. L'Institut fixe le délai de communication des informations demandées;

3° coopère avec et communique de l'information à:

a) la Commission européenne, l'ENISA, l'Office et à l'ORECE;

b) les autorités de régulation étrangères en matière postaux télécommunications;

c) les autorités de régulation des autres secteurs économiques;

d) les services publics fédéraux en charge de la protection des consommateurs;

e) les autorités belges en charge de la concurrence;

Après consultation de ces autorités et de l'Institut et sur proposition conjointe du ministre de l'Economie et du ministre, le Roi peut fixer les modalités de la coopération, de la consultation et de l'échange d'informations entre ces instances et l'Institut;

f) les autorités régulatrices des Communautés et des Régions, selon les modalités convenues dans les accords de coopération avec ces niveaux de pouvoir;

g) les services publics qui ont une compétence en matière de sécurité publique, ou de sécurité et protection civile, ou de défense civile, ou de planification de crise, ou de sécurité ou de protection du potentiel scientifique du pays;

h) l'Autorité de protection des données;

i) le Service public fédéral chargé des statistiques et de l'information économique;

j) les ministres visés à l'article 105, § 1er, alinéa 3, 1°, de la loi du 13 juin 2005 relative aux communications électroniques et leur cabinet, pour la mise en œuvre de cet article;

4° apporte sa collaboration aux activités de la Commission mixte des télécommunications, créée par l'arrêté royal du 10 décembre 1957, modifié par l'arrêté royal du 24 septembre 1993;

5° l'Institut peut uniquement prendre des décisions relatives aux réseaux communications électroniques pour lesquels les Communautés sont également compétentes, après l'entrée en vigueur d'un accord de coopération avec les Communautés portant sur l'exercice des compétences en matière de réseaux de communications électroniques.

6° peut procéder, en respectant les motifs de l'annulation et sans modifier l'étendue de son champ d'application, à la réfection d'une décision annulée par une juridictionnelle lorsque, du fait de cette annulation, un ou plusieurs des objectifs visés à l'article 6 de la loi du 13 juin 2005 relative aux communications électroniques ou à l'article 35 de la loi du 5 mai 2017 relative aux services de Bruxelles-Capitale ne sont plus réalisés.

L'Institut peut procéder à une même réfection lorsque la décision annulée concerne le secteur postal et qu'un ou plusieurs des objectifs suivants ne sont plus réalisés:

  • veiller à la qualité et à la pérennité du service
  • veiller aux intérêts des utilisateurs des services
  • contribuer au développement d'un marché
  • promouvoir la concurrence dans le secteur

7° peut, en sa qualité de service d'inspection, exiger à tout moment la communication du plan de sécurité de l'exploitant, en dérogation à l'article 25, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.

§ 3. Dans le cadre de la coopération avec les autorités énumérées au point 3 du paragraphe précédent, les membres du Conseil et les membres du personnel de l'Institut peuvent communiquer à ces autorités des informations confidentielles dont ils ont connaissance dans l'exercice de leur fonction, dans la mesure où cette communication est nécessaire pour l'accomplissement des missions de ces autorités.

(…)

Loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers

Art. 45. § 1er. La FSMA a pour mission,

conformément à la présente loi et aux lois particulières qui lui sont applicables:

1° de veiller au respect des règles visant la protection des intérêts des investisseurs lors des transactions effectuées sur des instruments financiers et d'autres instruments de placement, ainsi qu'au respect des règles visant à garantir le bon fonctionnement, l'intégrité transparence marchés d'instruments financiers et d'autres instruments de placement et, en particulier, des règles visées au chapitre II, des dispositions de la loi du 21 novembre 2017 relative infrastructures financiers et portant transposition de la directive 2014/65/UE, ainsi que des arrêtés et règlements pris pour l'exécution de tout ce qui précède;

2° d'assurer le contrôle:

a. des sociétés de gestion de portefeuille et de conseil en investissement visées par la loi du 25 octobre 2016, sociétés gestion d'organismes de placement collectif, des gestionnaires d'OPCA visés par la loi du 19 avril 2014 relative aux organismes de placement collectif alternatifs et à leurs gestionnaires, et des bureaux de change visés par la loi du 25 octobre 2016 et ses arrêtés d'exécution;

b. des organismes de placement collectif visés par la loi du 3 août 2012 relative aux organismes

de placement collectif qui répondent aux conditions de la directive 2009/65/CE et aux organismes de placement en créances et par la loi du 19 avril 2014 relative aux organismes de placement collectif alternatifs et à leurs gestionnaires;

c. [...];

d. des entreprises et des opérations visées par la loi du 12 juin 1991 relative au crédit à la consommation;

[...]

e. des intermédiaires d'assurances et de réassurances visés par la loi du 4 avril 2014 relative aux assurances;

f. des intermédiaires en services bancaires et en services d'investissement visés par la loi du 22 mars 2006 relative à l'intermédiation en services bancaires et en services d'investissement et à la distribution d'instruments financiers;

g. [...]

h. des sociétés immobilières réglementées visées par la loi du 12 mai 2014 relative aux sociétés immobilières réglementées;

i. des planificateurs financiers indépendants visés par la loi du 25 avril 2014 relative au statut et au contrôle des planificateurs financiers indépendants et à la fourniture de consultations en planification financière par des entreprises réglementées;

j. des prêteurs et des intermédiaires de crédit visés au livre VII, titre 4,

chapitre 4

du Code de droit économique.

k. des prestataires de services de financement participatif visés règlement (UE) 2020/1503 du Parlement européen et du Conseil du 7 octobre 2020 relatif aux prestataires financement participatif pour les entrepreneurs, et modifiant le règlement (UE) 2017/1129 et la directive (UE) 2019/1937;

l. les prestataires de services de communication de données visés par la loi du 21 novembre 2017 et portant la transposition de la Directive 2014/65/EU;

m. des administrateurs d'indices de référence visés par le Règlement (UE) 2016/1011;

n. des prestataires de services d'échange entre monnaies virtuelles et monnaies légales et des prestataires de services de portefeuilles de conservation visés à l'article 5, § 1er, alinéa 1er, 14° /1 et 14° /2, de la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces et à l'arrêté pris en exécution de l'article 5, § 1er, alinéa 2 de la même loi.

3° de veiller au respect par les établissements de crédit, entreprises d'assurances, entreprises de réassurance, les sociétés de bourse, contreparties centrales, référentiels centraux, les dépositaires centraux de titres, les organismes de support des dépositaires centraux de titres et les banques dépositaires, et pour autant qu'elles leur soient applicables, des dispositions suivantes et des arrêtés et règlements pris pour leur exécution:

a. les règles visées au chapitre II;

b. la loi du 25 juin 1992 sur le contrat d'assurance terrestre;

c. la loi du 4 avril 2014 relative aux assurances;

d. la loi du 22 mars 2006 relative à l'intermédiation en services bancaires et en services d'investissement et à la distribution d'instruments financiers;

e. [...];

f. l'article 42 de la loi du 13 mars 2016 relative au statut et au contrôle des entreprises d'assurance ou de réassurance, les articles 21, 41 à 42/2, 64, 65, § 3, 65/2 et 65/3, ainsi que l'article 66 en ce qui concerne fourniture d'investissement l'exercice d'activités d'investissement, de la loi du 25 avril 2014, les

articles 502, 510, 510/1, 510/2, 527, 528, 529/1, ainsi que l'article 530 en ce qui concerne la fourniture de services d'investissement et l'exercice d'activités d'investissement, de la même loi, dans la mesure où les articles 502 et 528, alinéa 1er, de cette loi rendent les articles 21 et 65, § 3, précités applicables aux sociétés de bourse, sous l'angle du respect des règles destinées à assurer un traitement honnête, équitable professionnel parties intéressées;

g. les articles 65, §§ 1er et 2, et 528, alinéa 1er de la loi du 25 avril 2014, dans la mesure où ce dernier article rend l'article 65, §§ 1er et 2, précité applicable aux sociétés de bourse;

h) les dispositions visées à l'article 16, § 7, de la loi novembre à l'indemnisation des dommages corporels et moraux découlant d'un accident technologique;

i. la loi du 25 avril 2014 relative au statut et au planificateurs

j. L'article 383 de la loi du 25 avril 2014;

k. Titre II de la loi du 18 décembre 2016 organisant la reconnaissance et l'encadrement du crowdfunding et portant des dispositions diverses en matière de finances;

4° de veiller au respect des dispositions suivantes et des arrêtés et règlements pris pour leur exécution:

a. le titre II, chapitre 1er, section 4, de la loiprogramme (I) du 24 décembre 2002, relatif à la pension complémentaire pour indépendants;

b. la loi du 28 avril 2003 relative aux pensions complémentaires et au régime fiscal de celles-ci et de certains avantages complémentaires en matière de sécurité sociale;

c. le titre 4 de la loi du 15 mai 2014 portant des dispositions diverses, relatif à la pension complémentaire pour dirigeants d'entreprise;

d. le titre II de la loi du 18 février 2018 portant des dispositions diverses en matière de pensions complémentaires et instaurant une pension complémentaire pour travailleurs indépendants personnes physiques, pour les conjoints aidants indépendants;

e. le titre 2 de la loi du 6 décembre 2018 instaurant une pension libre complémentaire pour les travailleurs salariés et portant des dispositions diverses en matière de pensions complémentaires;

e. l'article 12 de la loi du 10 mai 2007 tendant à lutter contre certaines formes de discrimination, dans la mesure où l'article 32 de cette loi prévoit la compétence de la FSMA, et l'article 12 de la loi du 10 mai 2007 tendant à lutter contre la discrimination entre les femmes et les hommes, dans la mesure où l'article 38 de cette loi prévoit la compétence de la FSMA;

4° /1 de veiller au respect des dispositions

a. les dispositions visées à l'article 15, alinéa 1er, de la loi du 21 décembre 2013 relative à diverses dispositions concernant le financement des petites et moyennes entreprises;

b. les dispositions visées à l'article 17, § 1er, de la loi du 26 décembre 2013 portant diverses dispositions concernant prêts-citoyen thématiques;

5° de contribuer au respect des règles visant à protéger les utilisateurs de produits ou services financiers et les emprunteurs contre l'offre ou la fourniture illicite de produits ou services contre l'usage illégal dénominations réservées à des entreprises agréées, inscrites ou enregistrées auprès de la FSMA ou de la Banque;

6° de contribuer à l'éducation financière;

7° de contribuer au respect des dispositions du livre VI du Code de droit économique et des

arrêtés et règlements pris pour leur exécution, qui ont trait aux services financiers tels que visés au livre Ier du même Code, par les entreprises soumises à son contrôle ou dont les opérations ou produits sont soumis à son contrôle.

Sur avis de la Banque et de la FSMA, le Roi, afin de tenir compte, notamment, de l'état de la réglementation européenne en la matière, peut, pour l'exécution des dispositions visées à l'alinéa 1er, 3°, et pour le contrôle par la FSMA du respect de celles-ci par les institutions ou personnes visées à l'alinéa 1er, 2° ou 3°, opérer une distinction entre les parties intéressées professionnelles et les parties intéressées de détail ou entre certaines catégories de parties intéressées professionnelles.

Par dérogation à l'alinéa 1er, le contrôle du respect des règles visées à l'alinéa 1er, 3°, et au § 2, par les sociétés mutualistes visées aux articles 43bis, § 5, et 70, §§ 6, 7 et 8, de la loi du 6 août 1990 relative aux mutualités et aux unions nationales mutualités relève compétences de l'Office de contrôle des mutualités et des unions nationales de mutualités.

La FSMA a également pour mission, dans la mesure définie par la loi du 18 septembre 2017 limitation de l'utilisation des espèces, de contrôler le respect, par les entités assujetties visées à l'article 85, § 1er, 4°, de la même loi, des dispositions légales et réglementaires ou de droit européen qui ont pour objet la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme, ainsi que du financement de la prolifération des armes de destruction massive.

§ 2. Afin de promouvoir le traitement honnête, intéressées, le Roi peut, sur avis de la FSMA et de la Banque, compléter à l'égard des institutions ou personnes visées au § 1er, alinéa 1er, 2° et 3°, les règles visées au § 1er, alinéa 1er, 3°, par des dispositions concernant:

  • les obligations d'information à l'égard des
  • les obligations et les conditions contractuelles;
  • l'obligation de servir au mieux les intérêts des
  • les régimes relatifs aux avantages liés aux
  • la fourniture de services via Internet;
  • les règles de publicité;
  • le traitement des plaintes;
  • la transparence, par la mention obligatoire d'un
  • l'accessibilité aux services fournis.

Il peut, en particulier, prévoir des règles différentes selon qu'il s'agit intéressées professionnelles ou de parties intéressées de détail, ou des règles différentes entre certaines catégories de parties intéressées professionnelles.

§ 3. Pour l'application du présent article, il y a lieu d'entendre par " parties intéressées " les clients et les clients potentiels des entreprises concernées, ainsi que les preneurs d'assurance, les assurés et les bénéficiaires des contrats d'assurance souscrits auprès des entreprises d'assurances.

§ 4. Les dispositions des articles 36 et 37 sont applicables en cas de non-respect des règles visées au § 1er, alinéa 1er, 3°, f et g, ou de manquement aux obligations prévues en vertu du paragraphe 2.

§ 5. Dans l'exercice de ses fonctions, la FSMA, en sa qualité d'autorité prudentielle compétente, tient compte de la convergence, en matière d'outils de surveillance et de pratiques de surveillance, de l'application des obligations législatives, réglementaires et administratives

imposées conformément directives européennes applicables.

Elle doit, à cet effet:

a) participer aux activités de l'Autorité bancaire européenne;

b) se conformer aux lignes directrices, aux recommandations, aux normes et aux autres mesures convenues par l'Autorité bancaire européenne et, si elle ne le fait pas, en donner les raisons.

Dans l'exercice de ses missions générales, la FSMA, en sa qualité d'autorité prudentielle compétente, tient dûment compte de l'impact potentiel de ses décisions sur la stabilité du système financier dans tous les autres Etats membres concernés et, en particulier, dans les situations d'urgence, en se fondant sur les informations disponibles au moment considéré.

Art. 75. § 1er. Par dérogation à l'article 74, alinéa

1er, et dans les limites du droit de l'Union européenne la FSMA peut communiquer des informations confidentielles:

1° à la Banque centrale européenne, à la Banque et aux autres banques centrales et organismes à vocation similaire en leur qualité d'autorités monétaires lorsque ces informations sont pertinentes pour l'exercice de leurs missions légales respectives, notamment la conduite de la politique monétaire et la fourniture de liquidité y afférente, la surveillance des systèmes de paiement, de compensation et de règlement, ainsi que la sauvegarde de la stabilité du système financier, de même qu'à d'autres autorités publiques chargées de la surveillance des systèmes de paiement.

Lorsque survient une situation d'urgence, notamment une évolution défavorable des marchés financiers, susceptible de menacer la liquidité du marché et la stabilité du système financier dans un des Etats membres dans lequel des entités d'un groupe comprenant des entreprises d'investissement ont été agréées ou dans lequel sont établies des succursales d'importance significative au sens de l'article 59, §§ 6 et 7, de la loi du 25 octobre 2016, la FSMA peut transmettre des informations aux banques centrales du Système européen de banques centrales lorsque ces informations sont légales, notamment la conduite de la politique monétaire et la fourniture de liquidité y afférente, la surveillance des systèmes de financier.

En cas de situation d'urgence telle que visée cidessus, la FSMA peut divulguer, dans tous les Etats membres concernés, des informations qui présentent un intérêt pour les départements d'administrations centrales responsables de la législation relative à la surveillance des établissements de crédit, des établissements financiers, des services d'investissement et des entreprises d'assurances;

1° bis à la Banque;, à la Banque centrale européenne en ce qui concerne les missions qui lui sont confiées par le Règlement (UE) n° 1024/2013 du Conseil du 15 octobre 2013 confiant à la Banque centrale européenne des missions spécifiques ayant trait aux politiques en

surveillance prudentielle établissements de crédit et aux autres membres du SEBC;

2° à l'Agence Fédérale de la Dette;

3° aux autorités compétentes d'autres Etats membres de l'Espace économique européen qui exercent ou plusieurs compétences comparables à celles visées à l'article 45;

4° aux autorités compétentes d'Etats tiers qui comparables à celles visées à l'article 45 et avec lesquels la FSMA a conclu un accord de coopération prévoyant un échange d'informations;

5° et aux autorités de régulation nationales visées à l'article 2, point 10, du règlement 1227/2011 et, pour ce qui est du règlement 596/2014, à la Commission européenne et aux autres autorités visées à l'article 25 de ce règlement;

6° aux organismes belges ou d'un autre Etat membre de l'Espace économique européen gérant un système de protection des dépôts, des investisseurs ou des assurances sur la vie;

7° dépositaires centraux de titres qui sont autorisés à assurer des services de compensation ou de règlement de transactions sur instruments financiers effectuées sur un marché organisé belge, dans la mesure où la FSMA estime que la communication des informations en question est nécessaire en vue garantir fonctionnement régulier de ces organismes par rapport à des manquements, même potentiels, d'intervenants sur le marché concerné;

8° aux opérateurs de marché pour le bon fonctionnement, le contrôle et la surveillance des marchés qu'ils organisent;

9° cours procédures civiles commerciales, aux autorités et mandataires de justice impliqués dans des procédures de faillite réorganisation judiciaire ou procédures collectives analogues concernant

des entreprises soumises au contrôle de la FSMA ou dont les opérations sont soumises à son contrôle, l'exception confidentielles concernant la participation de tiers à des tentatives de sauvetage antérieures à ces procédures;

10° aux commissaires et réviseurs d'entreprises et aux autres contrôleurs légaux des comptes des entreprises soumises au contrôle de la FSMA, d'autres établissements financiers belges ou d'entreprises similaires étrangères;

11° aux séquestres, pour l'exercice de leur mission visée dans les lois régissant les missions confiées à la FSMA;

12° au Collège de supervision des réviseurs d'entreprises et aux autorités d'Etats membres ou de pays tiers investies de la surveillance des personnes chargées du contrôle légal des comptes annuels des entreprises soumises au contrôle de la FSMA;

13° au Service public fédéral Economie, PME, Classes moyennes et Energie pour le contrôle relatif au crédit à la consommation, et pour le contrôle relatif au crédit hypothécaire aux pratiques du marché et aux services de paiement, aux autorités compétentes d'autres Etats membres l'Espace européen compétence comparable, ainsi qu'aux autorités compétentes d'Etats tiers qui exercent une compétence comparable et avec lesquelles la FSMA a conclu un accord de coopération prévoyant un échange

14° à l'Autorité belge de la concurrence;

15° les autorités visées à l'article 7 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique pour les besoins de l'exécution des dispositions de cette loi et de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques;

16° à l'Administration générale de la Trésorerie du Service fédéral Finances lorsqu'une telle

communication est prévue par le droit de l'Union européenne ou par une disposition légale ou réglementaire financières (notamment contraignantes embargos financiers telles que définies à l'article 4, 6° de la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces) ou lorsque l'Administration générale de la Trésorerie agit en qualité d'autorité de contrôle assurant le respect du règlement (CE) 2271/96 du Conseil du 22 novembre 1996 portant protection contre les effets de l'application extraterritoriale d'une législation adoptée par un pays tiers, ainsi que des actions fondées sur elle ou en découlant;

17° aux actuaires indépendants des entreprises exerçant, en vertu de la loi, une tâche de contrôle sur ces entreprises ainsi qu'aux organes chargés de la surveillance de ces actuaires;

18° à Fedris;

19° à l'Office de contrôle des mutualités et des unions nationales de mutualités, en sa qualité d'autorité de contrôle des sociétés mutualistes visées aux articles 43bis, § 5, et 70, §§ 6, 7 et 8, de la loi du 6 août 1990 relative aux mutualités et aux unions nationales de mutualités, ainsi que de leurs opérations.

20° [...]

21° à l'ESMA, l'EIOPA et l'EBA et au Comité européen du risque systémique.

22° aux autorités investies de la surveillance des personnes exerçant des activités sur les marchés des quotas d'émission;

23° aux autorités investies de la surveillance des dérivés de matières premières agricoles;

24° à l'Autorité belge de protection des données;

24° à la Cellule de traitement des informations financières, visée à l'article 76 de la loi du 18 septembre 2017 relative à la prévention du

terrorisme et à la limitation de l'utilisation des espèces;

25° au cours de procédures de liquidation d'une institution de retraite professionnelle ou d'un régime de retraite au sens de la loi du 27 octobre 2006 relative au contrôle des institutions de retraite professionnelle, aux autorités et personnes impliquées dans ces procédures, ainsi qu'aux autorités chargées de la surveillance de ces autorités ou personnes;

26° personnes ayant introduit réclamation auprès de la FSMA, en application de l'article 38 du règlement 2020/1503 du Parlement européen et du Conseil du 7 octobre 2020 relatif aux prestataires européens de services de financement participatif pour les entrepreneurs, et modifiant le règlement (UE) 2017/1129 et la directive (UE) 2019/1937, ainsi qu'aux prestataires de services de financement participatif, dans la mesure nécessaire pour le traitement de ladite réclamation.

Loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique

Art. 36/14. § 1er. Par dérogation à l'article 35, la

Banque peut également communiquer des confidentielles reçues l'exercice de ses missions visées à l'article 36/2, § 1er:

1° à la Banque centrale européenne et aux autres banques centrales et organismes à

établissements de crédit ou des entreprises d'investissement ont été agréées ou dans lequel sont établies des succursales d'importance significative au sens de l'article 3, 65° de la loi du 25 avril 2014 relative au statut et au contrôle des établissements de crédit et des sociétés de bourse la Banque transmettre informations aux banques centrales du Système européen de banques centrales lorsque ces informations sont pertinentes pour l'exercice de leurs missions légales, notamment la conduite de la politique monétaire et la fourniture de liquidité y afférente, la surveillance des systèmes de paiement, de compensation et de règlement,

dessus, la Banque peut divulguer, dans tous les

2° dans les limites du droit de l'Union européenne, aux autorités compétentes de l'Union européenne et d'autres Etats membres de l'Espace économique européen qui exercent une ou plusieurs compétences comparables à celles visées aux articles 36/2 et 36/3 , y compris la Banque centrale européenne en ce qui concerne les missions qui lui sont confiées par le Règlement MSU;

2° /1 dans les limites du droit de l'Union européenne, autorités compétentes d'autres Etats membres de l'Espace économique européen qui exercent une ou plusieurs compétences de contrôle à l'égard des entités assujetties énumérées à l'article 2, paragraphe 1er, points 1) et 2) de la directive (UE) 2015/849, aux fins du respect de ladite directive et ce, pour l'exercice de la mission que cette directive leur confère;

3° dans le respect du droit de l'Union européenne, aux autorités compétentes d'Etats tiers qui exercent une ou plusieurs compétences comparables à celles visées aux articles 36/2 et 36/3 , en ce compris les autorités ayant des compétences de même nature que celles des autorités visées au 2° /1, et avec lesquelles la Banque a conclu un accord de coopération prévoyant un échange d'informations;

4° à la FSMA;

5° aux organismes belges ou d'un autre Etat investisseurs ou des assurances sur la vie et à l'organe chargé des dispositifs de financement pour la résolution;

6° aux contreparties centrales, aux organismes de liquidation d'instruments financiers ou aux liquidation de transactions sur instruments financiers effectuées sur un marché réglementé belge, dans la mesure où la Banque estime que la communication des informations en question fonctionnement régulier de ces contreparties organismes liquidation dépositaires centraux de titres par rapport à des manquements, même potentiels, d'intervenants sur le marché concerné;

7° dans les limites du droit de l'Union européenne, aux entreprises de marché pour le que celles-ci organisent;

8° judiciaire des établissements soumis au contrôle de la Banque,

9° aux commissaires et réviseurs d'entreprises et aux autres contrôleurs légaux des comptes des établissements soumis au contrôle de la Banque, d'autres établissements financiers belges ou d'établissements étrangers similaires;

10° aux séquestres, pour l'exercice de leur mission visée par les lois régissant les missions confiées à la Banque;

11° au Collège de supervision des réviseurs comptes annuels des établissements soumis au contrôle de la Banque;

12° dans les limites du droit de l'Union l'Autorité belge

13° [...]

14° à l'Administration générale de la Trésorerie du Service public fédéral Finances lorsqu'une telle communication est prévue par le droit de l'Union européenne ou par une disposition légale ou réglementaire en matière de sanctions financiers telles que définies à l'article 4, 6°, de la loi du 18 septembre 2017) ou lorsque l'Administration générale de la Trésorerie agit en qualité d'autorité de contrôle assurant le respect du règlement (CE) 2271/96 du Conseil du 22 novembre 1996 portant protection contre les effets de l'application extraterritoriale d'une législation adoptée par un pays tiers, ainsi que des actions fondées sur elle ou en découlant;

15° dans les limites du droit de l'Union européenne, aux actuaires indépendants des établissements exerçant, en vertu de la loi, une tâche de contrôle sur ces établissements ainsi qu'aux organes chargés de la surveillance de ces actuaires;

16° à Fedris;

17° dans les limites du droit de l'Union Public Fédéral économie, en sa qualité d'autorité compétente pour assurer le contrôle des dispositions visées au livre VII, titres 1er à 3, titre 5, chapitre 1er, et titres 6 et 7 du Code de droit économique ainsi qu'aux agents commissionnés par le ministre qui dans le cadre de leur mission visée à l'article XV.2 du Code de droit économique sont compétents pour rechercher et constater les infractions aux dispositions de l'article XV.89 dudit Code;

18° aux autorités relevant du droit d'États membres de l'Union européenne compétentes domaine macroprudentielle ainsi qu'au Comité européen du risque systémique institué par le Règlement (UE) n° 1092/2010 du Parlement européen et du Conseil du 24 novembre 2010;

19° dans les limites des règlements et directives européens, à l'Autorité européenne des marchés financiers, européenne assurances et des pensions professionnelles et à l'Autorité bancaire européenne;

20° dans les limites du droit de l'Union européenne, au Centre gouvernemental de Coordination et de Crise du SPF Intérieur, à l'Organe de coordination pour l'analyse de la menace, institué par la loi du 10 juillet 2006 relative à l'analyse de la menace, à l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019 et aux services de police visés par la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, dans la mesure où l'application de l'article 19 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques le requiert;

20° /1 dans les limites du droit de l'Union européenne, aux services de police et à l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019 [établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique - loi NIS pour les besoins de l'exécution de l'article 53, § 2, de la loi du 11 mars 2018 relative au statut et au contrôle des établissements de paiement et des établissements de monnaie électronique, à l'accès à l'activité de prestataire de services de paiement et à l'activité d'émission de monnaie électronique, et à l'accès aux systèmes de paiement;

21° à l'Office de contrôle des mutualités et des unions nationales de mutualités, pour l'exercice de ses missions légales visées à l'article 303, § 3, de la loi du 13 mars 2016 relative au statut et au contrôle des entreprises d'assurance ou de réassurance, en ce qui concerne les sociétés mutualistes visées à l'article 43bis, § 5, ou à l'article 70, §§ 6, 7 et 8, de la loi du 6 août 1990 relative aux mutualités et aux unions nationales de mutualités et leurs opérations;

22° dans les limites du droit de l'Union européenne, aux autorités de résolution visées à l'article 3 de la Directive 2014/59/UE du Parlement européen et du Conseil du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d'investissement, aux autorités d'Etats tiers chargées de missions équivalentes à celles visées à l'article 12ter, § 1er avec lesquelles la Banque a conclu un accord de d'information, ainsi qu'aux ministères compétents des Etats membres de l'Espace économique européen lorsque cela s'avère nécessaire à la planification ou à la réalisation d'une action de résolution;

23° à toute personne exerçant une tâche, prévue par ou en vertu de la loi, qui participe ou contribue à l'exercice de la mission de contrôle de la Banque lorsque cette personne a été désignée par ou avec l'accord de la Banque et aux fins de cette tâche, telle notamment:

a) le surveillant de portefeuille visé à l'article 16 de l'Annexe III à la loi du 25 avril 2014 relative au statut et au contrôle des établissements de crédit et des sociétés de bourse;

b) le gestionnaire de portefeuille visé à l'article 8 crédit et des sociétés de bourse; et

c) le commissaire spécial visé à l'article 236, § 1er, 1°, de la loi précitée, à l'article 517, § 1er, 1°, réassurance, l'article 35, § 1er, alinéa 2, 1°, de la loi du 21 décembre 2009 relative au statut des établissements paiement paiement, à l'activité d'émission de monnaie électronique et à l'accès aux systèmes de paiement, l'article 87, § 1er, alinéa 2, 1°, de la loi précitée, l'article 48, alinéa 1er, 1°, de l'arrêté royal du 30 avril 1999 réglementant le statut et le contrôle des sociétés de cautionnement mutuel et l'article 36/30, § 1er, alinéa 2, 3°, de la

24° dans les limites du droit de l'Union européenne, aux autorités visées à l'article 7 de la loi du 7 avril 2019 pour les besoins de l'exécution des dispositions de la loi du 7 avril 2019 et de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures

25° au Service Public Fédéral Economie, P.M.E., Classes moyennes et Energie dans l'exercice de sa mission visée à l'article 85, § 1er 5°, de la loi du 18 septembre 2017 à l'égard des entités visées à l'article 5, § 1er, 21°, de la même loi;

26° dans les limites du droit de l'Union européenne, aux cellules de renseignement financier visées à l'article 4, 15° de la loi du 18 espèces.

CHAPITRE IV/4. - Missions spécifiques de la Banque concernant la prévention et la gestion de crises et de risques dans le secteur financier.

Art. 36/48. La Banque exerce les missions qui lui

sont dévolues en tant qu'autorité sectorielle pour le secteur des finances en vertu de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.

Art. 36/49. La Banque est désignée comme

autorité administrative dans le sens de l'article 22quinquies de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. La Banque est compétente pour les entités du secteur des

finances qu'elle identifie comme infrastructures critiques en vertu de la loi du 1er juillet 2011

Code de droit économique

Art. I.20. Les définitions suivantes sont applicables au livre XV:

1° données à caractère personnel: informations concernant une personne physique identifiée ou identifiable, conformément à la définition prévue à l'article 1er, § 1er, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

2° responsable traitement: personne physique ou morale, association de fait ou administration publique qui, seule conjointement avec d'autres, détermine les finalités et les moyens du traitement de données

3° traitement: toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de

4° coordinateur fédéral: la personne physique désignée au sein du Service public fédéral Economie, pour être, dans le cadre de la coopération administrative prévue aux articles XV.35 à XV.48, le point de contact entre la Commission européenne et les autorités belges compétentes;

5° coordinateur d'alerte: la personne ou les personnes physiques désignées au niveau

fédéral qui sont chargées d'assurer l'information des Etats membres et de la Commission européenne de circonstances ou de faits graves et précis en rapport avec une activité de service susceptibles de causer un préjudice grave à la santé ou à la sécurité des personnes ou à l'environnement;

6° Banque: la Banque nationale de Belgique;

7° entreprise: toute personne physique ou personne morale poursuivant de manière durable un but économique, y compris ses associations;

8° entreprise soumise à inscription: toute entité tenue de s'inscrire en vertu de l'article III.49;

9° plaignant de la chaîne d'approvisionnement agricole et alimentaire: tout fournisseur de produits agricoles alimentaires, toute organisation de producteurs, toute organisation de fournisseurs, toute organisation dont un producteur ou un fournisseur est membre, toute association d'organisations dont un fournisseur est membre et toute autre organisation ayant un intérêt légitime à représenter les fournisseurs pour autant qu'il s'agisse d'une personne morale indépendante sans but lucratif, qui est confronté à un acheteur de produits agricoles et alimentaires soupçonné de commettre une infraction aux dispositions visées à l'article XV.83, 15° /1.

Livre XV. - Application de la loi

TITRE 1er. - L'exercice de la surveillance et la recherche et la constatation des infractions

CHAPITRE 2. - Compétences particulières

Section 9. Autres particulières

Art. XV.30/2. Les agents désignés par le ministre sont compétents pour prêter l'assistance nécessaire aux contrôleurs de la Commission européenne, conformément à l'article 9 du règlement (Euratom, CE) n° 2185/96 du Conseil du 11 novembre 1996 relatif aux contrôles et vérifications sur place effectués Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités.

Les agents visés à l'alinéa 1er disposent pour cela des compétences prévues au titre 1er, chapitre 1er

TITRE

3. - L'application pénale du présent Code et de ses arrêtés d'exécution

CHAPITRE 2. - Les infractions sanctionnées pénalement

Section 11/3. - Les peines relatives aux infractions aux règlements de l'Union

Art. XV.125/3. Sont punis d'une sanction de niveau 2 ceux qui commettent une infraction à l'article 14 du règlement (UE) n° 524/2013 du

Parlement européen et du Conseil du 21 mai 2013 relatif au règlement en ligne des litiges de consommation et modifiant le règlement (CE) n° 2006/2004 et la directive 2009/22/CE.

Art.XV.125/4. Sont punis d'une sanction de niveau 2, ceux qui enfreignent les dispositions du règlement (UE) n° 2018/302 du Parlement européen et du Conseil du 28 février 2018 visant à contrer le blocage géographique injustifié et d'autres formes de discrimination fondée sur la nationalité, le lieu de résidence ou le lieu d'établissement des clients dans le marché intérieur, et modifiant les règlements (CE) n° 2006/2004 et (UE) 2017/2394 et la directive 2009/22/CE.

COÖRDINATIE VA Basistekst

2° het nemen van administratieve beslissingen;

k) k) elk bindend besluit aangenomen door:

i) het Instituut;

iii) de Europese Commissie in de sector van de elektronische communicatie of in de postsector;

waarbinnen de inlichtingen moeten worden meegedeeld;

b) de buitenlandse regulerende instanties voor postdiensten en telecommunicatie;

c) de regulerende instanties in de overige economische sectoren;

h) de Gegevensbeschermingsautoriteit;

i) de federale overheidsdienst die belast is met statistiek en economische informatie;

  • het bevorderen van de concurrentie in de

2° het toezicht te verzekeren op:

m. benchmarkbeheerders bedoeld in Verordening (EU) 2016/1011;

a. de regels bedoeld in hoofdstuk II;

b. de wet van 25 juni 1992 op de landverzekeringsovereenkomst;

4° toe te zien op de naleving van de volgende bepalingen en de ter uitvoering ervan genomen besluiten en reglementen:

4° /1 toe te zien op de naleving van de volgende

bepalingen inzake thematische volksleningen;

6° bij te dragen tot de financiële vorming;

informatieverplichtingen aan belanghebbende partijen;

contractuele verplichtingen voorwaarden;

  • de verplichting de belangen van de cliënten
  • regelingen inzake de voordelen die verband
  • het verstrekken van diensten via internet;
  • de publiciteitsregels;
  • de klachtenbehandeling;
  • toegankelijkheid van de verstrekte diensten.

Hij kan inzonderheid verschillende regels bepalen naargelang het gaat om professionele of niet-professionele belanghebbende partijen of

tussen sommige categorieën van professionele belanghebbende partijen onderling.

Daartoe dient zij:

a) deel te nemen aan de werkzaamheden van de Europese Bankautoriteit;

14° aan de Belgische Mededingingsautoriteit;

en daarop gebaseerde of daaruit voortvloeiende handelingen;

18° aan Fedris;

24° Belgische Gegevensbeschermingsautoriteit.

4° aan de FSMA;

16° aan Fedris;

Wetboek van economisch recht

Art. I.20. Voor de toepassing van boek XV gelden de volgende definities:

6° Bank: de Nationale Bank van België;

nschrijvingsplichtige onderneming: elke entiteit die zich dient in te schrijven krachtens artikel III.49;

Boek XV. - Rechtshandhaving

TITEL 1. - De uitoefening van toezicht en de opsporing en vaststelling van inbreuken

HOOFDSTUK 2. - Bijzondere bevoegdheden

9. Andere bijzondere bevoegdheden

strafrechtelijk gesanctioneerde inbreuken

Afdeling 11/3. - De straffen voor inbreuken op verordeningen van de Europese Unie

ORGANE DE CO

Votre référence / Notre référence DA210031

Objet : Avis relatif à l'avant-projet d technologies de l'information et de autorité nationale de certification de cy

L'Organe de contrôle de l'information policiè Vu la loi du 30 juillet 2018 relative à la prot de données à caractère personnel (M.B. du 59 §1er, 2e alinéa, l'article 71 et le Titre

VII, Vu la loi du 3 décembre 2017 portant créa LAPD'). Vu la loi du 5 août 1992 sur la fonction de p Vu la Law Enforcement Directive 2016/680 Vu la loi du 25 décembre 2016 relative au t Vu la demande adressée par le premier min Attendu que l'Autorité de protection des don date du 7 décembre 2021.

Vu le rapport de Monsieur Koen Gorissen, m Émet, le 19 janvier 2022, l'avis suivant.

I. Remarque préalable concerna

1. À la lumière respectivement de l'application Directive 2016/6802, le législateur a remanié contrôle. L'article 4 §2, quatrième alinéa de la sens de l'article 2, 2°, de la loi du 7 décembre à deux niveaux, les compétences, missions e Règlement 2016/679 sont exercés par l'Organ contrôle est compétent également lorsque de personnel qui ne relèvent pas des missions de cadre de finalités socioéconomiques ou de trait L'Organe de contrôle doit être consulté lors réglementaire ayant trait au traitement de donn de la police intégrée (voir les articles 59 §1er, l'article 28.2 de la directive Police-Justice ou mission d'examiner si l'activité de traitement dispositions du Titre 1er (pour les traitements opérationnels) de la LPD4• De plus, le COC est prévu à l'article 236 §2 de la LPD, et est inves générale d'information à l'égard du grand pu traitement et des sous-traitants dans le domaine de la vie privée.

2. En ce qui concerne en particulier les activi administrative et/ou judiciaire, l'Organe de con demande du Gouvernement ou de la Chamb judiciaire ou d'un service de police, concerna policière telle que régie par la Section 12 du C

3. Par ailleurs, l'Organe de contrôle est éga l'inspection générale de la police fédérale et d la loi du 15 mai 2007 sur l'Inspection générale

1 Règlement (UE) 2016/679 du Parlement européen et du C à l'égard du traitement des données à caractère person 95/46/CE (règlement général sur la protection des don 2 Directive (UE) 2016/680 du Parlement européen et du C à l'égard du traitement des données à caractère personnel des infractions pénales, d'enquêtes et de poursuites en la de ces données, et abrogeant la décision-cadre 2008/97 Law Enforcement Directive (LEO)). 3 Article 4 §2, 4• alinéa de la LAPD. 4 Article 71 §1•', 3• alinéa de la LPD. 5 Articles 59 §1er, 2• alinéa et 236 §2 de la LPD.

dénommée en abrégé 'BELPIU') visée au C de l'application du Titre 2 de la LPD et/ou d aux articles 44/1 à 44/11/13 de la loi sur la confiée en vertu ou par d'autres lois6•

4. Enfin, l'Organe de contrôle est compé générale des Douanes et Accises en ce q BELPIU dans des matières fiscales, et ce e et accises du 18 juillet 1977, telle que modif relatives au traitement des données des pass

II. Obiet de la demande S. Le premier ministre a adressé en date d une demande d'avis concernant un avanttechnologies de l'information et des comm de certification de cybersécurité (ci-après 'l

6. En application de l'article 54/1 de la L demande en date du 7 décembre 2021 à dernier émette un avis sur l'avant-projet.

7. L'Organe de contrôle souligne que les au et d'informations qui relèvent exclusiveme qu'il limite par conséquent ses avis aux traite effectués par les services de police.

8. Toutefois, les avis du COC ne se limiten dans la demande d'avis. Le COC tient en qui relèvent de sa compétence en vertu de

En l'occurrence, cela signifie que les articl présent avis.

III. Anal yse de la demande

1. À titre principal

6 Article 71 §1•', troisième alinéa juncto article 236

9. L'avant-projet met en œuvre le Règlement ( 17 avril 2019 relatif à la certification de cybers communication (le règlement sur la cybersécur les sanctions, les procédures de plainte et de re délégations, les règles générales en matiè l'échange d'informations entre l'autorité de cer informations sont des données à caractère p

chapitre 8

de l'avant-projet7.

10. L'autorité de certification de cybersécurité d'autres autorités8 (dont aussi des services de obligations légales découlant du règlement su l'accomplissement d'une mission d'intérêt gén visées par l'avant-projet.

Les données à caractère personnel pouvant particulièrement des données d'identification o électroniques des catégories suivantes de per toute personne intervenant pour : o des organismes d'évaluation d des titulaires de certificats de des émetteurs de déclarations une autorité publique ; toute personne participant à un contrô contrôle de l'autorité de certification de toute personne qui introduit une réclam

L'avant-projet prévoit donc des transferts de cybersécurité (à savoir l'autorité fédérale) et le 11. Certaines conditions légales doivent être re services de police. Pour en examiner la co transmissions de données dans le cadre de l'a Conformément à l'avant-projet, des informatio vers une autorité fédérale étant donné que l'éc

7 Article 6 §3 de l'avant-projet. 8 Les autorités énumérées à l'artide 36 §1°' de l'avant-

Cette transmission de données doit avoir les services de police, cette base légale es (LFP'). Il peut aussi s'agir de l'autorisation 12. L'article 44/11/9 de la LFP réglement d'informations par les services de police. Son par les directives des ministres de /1ntérieu elles11 peuvent également être communiqu publics ou d'intérêt public chargés par la l légales desécurité publique lorsque ceux-c L'article 44/11/9 §2 de la LFP fait référence organes et tous les organismes auxquels le caractère personnel et des informations.

C par les ministres de 11ntérieur et de la Just ICT qui aura recueilli au préalable l'avis de l avis, l'Organe de contrôle n'a pas reçu susmentionné, et cette liste n'existe pas. De plus, les dispositions de la LFP exigent ou volumineuse de données à caractère pe En conséquence, ce transfert et son conten aux dispositions de l'article 44/11/9 de la L 13. En ce qui concerne la communication a nationale de certification de cybersécurit données à caractère personnel peut être entre l'autorité fédérale et les services de p Conformément à l'article 44/11/9 §4 de la précisées dans un protocole d'accord appro

9 Article 29 §1er de la LPD. 10 Article 21bisdu Code d1nstruction criminelle et artic 11 Les données à caractère personnel et les informatio 12 Article 44/11/9 §§2-3 de la LFP. 13 Voir aussi l'avis du COC relatif à l'avant-projet de dé environnementale et divers autres décrets (DA210008 r%C3%A9qlementatjon. 14 Article 36 §1••, 1° de l'avant-projet.

2. À titre subsidiaire : discussion par

1) L'article 15 de l'avant-projet 14. Le paragraphe 3, 5° de l'article 15 de l'ava à tout moment requérir l'assistance des service mission de contrôle. Le COC n'est pas en mesure de déterminer s de police réguliers des services de police au s services de police. Cette disposition aura un im d'informations et de données à caractère per concernés de la GPI, de sorte qu'il est recom autorité de tutelle à ce sujet.

Cette assistance n'est d'ailleurs nulle part détai il ? Une assistance dans le cadre des const d'information? Le fait de prêter main forte a supposera-t-elle certains actes policiers ayant L'auteur de l'avant-projet est prié de faire la c une assistance telle que visée à l'article 44 de de justice), il est indiqué de le préciser express

2) L'article 36 de l'avant-projet 15. L'article 36 de l'avant-projet définit les pr données à caractère personnel. Le paragraph l'échanqe d'informations entre l'autorité [de l'autorité publique désignée par le Roi pour ac les autorités judiciaires, les autorités sectoriel l'article 7, §3 et §5 de la loi du 7 avril 2019 éta systèmes d'information d'intérêt général pour marché, l'autorité nationale d'accréditation, le les services de renseignement et l'autorité vis cadre pour la sécurité des réseaux et des sy publique15 ; Cette phrase peut prêter à confusion et crée conclure de cette formulation que l'échange m autorités autres que l'autorité de certification d

15 Soulignement et ajout entre crochets du COC.

articles que l'avant-projet vise uniquement cybersécurité elle-même et une autre a clairement dans le texte de la loi. C'est le « l'échange d'informations entre l'auto (énumération des autorités publiques) d'au §3 de l'avant-projet.

3) L'article 38 de l'avant-projet 16. L'article 38 de l'avant-projet, enfin, prév pour le transfert de données à caractère remplies. Le paragraphe 1er de cet article commence ;uillet 2018 relative à la protection des pers caractère personne les (énumération des a protocole, ... »16• Cette formulation fait par c la protection des données. Dans l'hypothè policières à l'autorité de certification de cybe en l'occurrence. Il ne s'agit donc pas unique

Le Titre 2 de la loi sur la protection des donn à d'autres fins que celles prévues au Titre L'article 44/11/9 de la LFP permet le transfe l'obligation de conclure un protocole d'acco de données à caractère personnel ou info inclus. Contrairement à l'article 20 de la LP obligation par le biais d'une loi.

PAR CES MOTIFS,

l'Organe de contrôle de l'information p

prie le demandeur de donner suite aux

Avis approuvé par l'Organe de contrôle d l'in

16 Soulignement du COC. 1 7 Article 29 §2 de la LPD

CONTROLEORG

Uwkenmerk

Ons kenmerk

Het Controleorgaan op de politionele inform

Gelet op de wet van 5 augustus 1992 op

Gelet op de Law Enforcement Directive 20

Voorafgaande opmerking nop

3. Het Controleorgaan is, ten aanzien van de politie en lokale politie (afgekort 'AIG') zoals

Voorwerp van de aanvraag

Anal yse van de aanvraag

2. In ondergeschikte orde: artikelsge

OM DEZE REDENEN,

Het Controleorgaan op de politionele i

verzoekt de aanvrager gevolg te geven

Objet : Avant-projet de loi relatif à la c l’information et des communications et

certification de cybersécurité (CO-A-202 Le Centre de Connaissances de l’Autorité d Présent.e.s. :Messieurs Yves-Alexandre de Mo Vu la loi du 3 décembre 2017 portant création les articles 23 et 26 (ci-après « LCA ») ; Vu le règlement (UE) 2016/679 du Parlemen protection des personnes physiques à l'égard libre circulation de ces données, et abrogea Vu la loi du 30 juillet 2018 relative à la protect de données à caractère personnel (ci-après Vu la demande d'avis du Premier Ministre, Ale Vu les informations complémentaires reçues e Émet, le 21 janvier 2022, l'avis suivant :

Objet et contexte de la dema 1. En date du 30 novembre dernier, le Prem de loi relatif à la certification de cyb communications et portant désignation d (ci-après « l’avant-projet de loi »). 2. Cet avant-projet de loi vise à exécuter le l’Union européenne pour la cybersécurité de l’information et des communications (T 3. Ce Règlement cybersécurité vise à renfo un cadre européen de certification de c développement de schémas de certifica produits1, services2 et processus3 TIC.

L certification qui seront ensuite adopté d'exécution. Un schéma européen de Cybersécurité, « un ensemble complet procédures qui sont établies à l’échelon l’évaluation de la conformité de produits T schéma de certification spécifiera, entre a processus TIC couverts, l’objet, les no cybersécurité européen, délivrés par les les organismes nationaux d’accréditation, TIC a été évalué en qui concerne sa conf un schéma européen de certification d niveaux d’assurance, qui sont corrélés à suivants : élémentaire, substantiel et élev 4.

Sauf disposition contraire du droit de l’Un une certification ou une déclaration de évaluera à des intervalles planifiés la néce cybersécurité prévoit la possibilité de se f 1 Définis par le Règlement cybersécurité comme étant un « schéma d’information ». 2 Définis par le Règlement cybersécurité comme étant un stocker, récupérer ou traiter des informations au moy 3 Définis par le Règlement cybersécurité comme étant un un produit TIC ou service TIC ou en assurer la mainte

conformité. Un certificat est délivré par u et accrédité. Une déclaration de conform fournisseur TIC au moyen d’une autoéva déclaration de conformité est permise ou p « élémentaire ». 5. Les Etats membres doivent en exécution de certification de cybersécurité, qui d supervision et le contrôle de la bonne app fournisseurs et prestataires de produits e déclaration de conformité et organisme membres doivent définir des règles spéc application de ce Règlement, par exemp C’est l’objet de l’avant-projet de loi soum Examen Observations générales – Communic contrôle du respect du Règlemen certification de cybersécurité et pro prestataires de services ICT contrôl clientèle dont les données sont repri 6.

Le présent avis de l’Autorité ne vaut que des personnes physiques soient visés par de données qui devront être réalisés d cybersécurité pourront porter sur des don fabricants ou fournisseurs de produits TI titulaires ou demandeurs d’un certificat personnes physiques mais également lors par les prestataires desdits services TIC c personnel telles que les données de leur physiques de leurs clients. Si l’on prend, à les clients d’un prestataire de service clou 4 Cf EUCS, candidate cybersecurity certification scheme l’adresse suivante https://www.enisa.europa.eu/public prévu que « The EUCS scheme may cover any type of capabilities offered via cloud computing invoked using a d the assurance level corresponding to one of the three lev the EUCS scheme.

caractère personnel ; lesquels peuvent po du RGPD en fonction du domaine d’activi encore une autorité publique en charge pénales). 7. Comme cela a été relevé par le Contrôleu avis récent sur la stratégie européenne e « l’article 5, paragraphe 1, point f), du RG relatifs au traitement des données à c précisément l’obligation – applicable tant de garantir un niveau de sécurité approp sécurité est essentielle au respect de la données.

C’est pourquoi (…) l’amélioratio droits fondamentaux. y compris du droit a à caractère personnel (…). Dans le même peut donner lieu au déploiement de mes protection des données et au respect de ce que toute limitation potentielle du d caractère personnel réponde aux exigen fondamentaux de l’Union européenne, e d’une mesure législative, qu’elle soit à la contenu essentiel du droit » 8. Au regard de ces considérations, l’avantde données qu’il prévoit en des termes certification de cybersécurité et les autre missions de contrôle prévues par le R suivantes: les autorités judiciaires, les a respectivement à l’article 7, § 3 et § 5 de de surveillance de marché, l’autorité nat les services de police, les services de rens avril 2019 établissant un cadre pour la séc général pour la sécurité publique.

5 Avis du CEPD 05/2021 sur la stratégie en matière de c l’adresse suivante https://edps.europa.eu/data-protectio and-nis-20_en

9. Ces échanges posent question au vu de l’avant-projet de loi. A plusieurs reprises, l’exercice des missions de services pub cybersécurité et des schémas de certifica conformité réalisées en exécution dudit autre disposition légale (sans préciser de de vérifier si elle présente un lien clair a disproportionné, non conforme au cham œuvre le règlement cybersécurité, selon 10. De plus, ce défaut d’encadrement minim confiance dans les produits et service cybersécurité étant donné que les don prestataires services TIC contrôlés par l’a le libellé de l’avant-projet de loi, être collec pas de mission spécifique liée à la cybersé services de renseignement et ce, pour l n’importe quelles infractions pénales, d quelles mission de la Sûreté de l’Etat et Cette situation risque de constituer un fr conformément au Règlement cybersécu sécurité de l’information dans ces domain 11.

L’auteur de l’avant-projet de loi doit nécessaire et raisonnable au regard du cybersécurité. L’article 58.7.a du Règleme en coopération avec les « autres autorit autorités nationales de certification de cyb prévues dans les schémas européens de autorité publique. L’article 58.7.h de ce R de certification de cybersécurité « coopère cybersécurité ou d’autres autorités publ l’éventuel non-respect par des produits présent règlement ou des exigences de sc considérant 102 de ce Règlement précis partage d’informations grâce à la mis l’information électronique, par exemple, surveillance des marchés (ICSMS) et le

dangereux (RAPEX) déjà utilisés par les au (CE) n°765/2008. » Cet exemple de sign d’un service non conforme à un schéma certification de cybersécurité tel que déc échanges doivent, aux yeux de l’Autorité, permettre l’application de n’importe quelle respect, par des produits TIC, services Cybersécurité ou de certains schémas eu nécessite pas, selon l’Autorité, de devoir clients mettent à dispositions desdits pres 12.

Interrogé quant à ce qui justifie la mise autorités visées à l’article 6, §3 en projet, a. En ce qui concerne les autorités judiciaires puissent solliciter ou êt (fraudes liées à la délivrance, a certifications de cybersécurité législations sectorielles - dont la la lecture de l’avant-projet de schémas européens de certificat de droit économique et que c communications de données que ses missions. Ensuite, l’article 29 « toute autorité constituée, tout de ses fonctions acquerra la con avis sur-le-champ au procureur d ce délit aura été commis ou dans à ce magistrat tous les renseigne n’est pas nécessaire, voir cont caractère personnel, de répéter s l’avant-projet de loi ; d’autant plu formalités à ce sujet.

L’Autorité échange de l’avant-projet de loi. b. En ce qui concerne les autorités s dans le cadre de leurs missions 6 Ainsi qu’il ressort des informations complémentaires, il

systèmes d’informations (P.S.I., ou non d’un certificat européen schéma de certification correspo A ce sujet, l’Autorité comprend spécifiques en matière de sécu organisations dont elles contrôlen 2019 (dite loi NIS) utilisent des s schéma de certification a été mis une autorité désignée en exécut l’Autorité se demande si les mes être soumises à des mesures de Si cela ne devait pas être le cas vu la caractère lié à la cybersécu vertu de la loi NIS, l’Autorité cons « Les autorités sectorielles visées à l’article 3, § 3 de l’av avril 2019 établissant un cadre pour la sécurité des rése publique (ci-après, « loi NIS »).

Il s’agit concrètement des autorités suivantes : • Désignées par la loi NIS : La BNB (art. 95. de la loi NIS qui a organique de la Banque Nationale La FSMA (art. 90 et 91 de la loi NIS aux infrastructures des marchés d L’IBPT (art. 88. de la loi NIS qui a m au statut du régulateur des secte Désignées par l’annexe 1 de l’arrêté royal du un cadre pour la sécurité des réseaux et des sy que de la loi du 1er juillet 2011 relative à la s pour le secteur de l'énergie : le Mini celui-ci, un membre dirigeant du pe un délégué différent par sous-sec pour le secteur des transports :  En ce qui concerne le sect aux navires maritimes : l celui-ci, un membre dirig peut désigner un délégu En ce qui concerne le tra fédéral compétent pour la du personnel de son ad différent par sous-secte pour le secteur de la santé : le Mi délégation de celui-ci, un membre d peut désigner un délégué différen pour le secteur des fournisseurs d attributions ou, par délégation de ce échéant, le Ministre peut désigner Désignée par l’arrêté royal du 31 juillet 2020 fourniture et la distribution d'eau potable : le Comité national de sécurité pour

qu’il convient, en plus de définir l projet de loi (référence explicite l’avant-projet de loi7 les circonsta par l’autorité nationale de certif exécution de l’article 5, §2 en p avec ces informations par lesdite de prévoir la limitation des échan sécurité de l’information dont ce trouvant sous la surveillance desd c. En ce qui concerne les autorités d de savoir, dans le cadre de leurs m appliquées par les entités sur lesq titulaire ou non d’un certificat eu avec le schéma de certification Si ces autorités de surveillance de de cybersécurité, ce qu’il appartie telles communications quant à la ailleurs, les communications visé renvoyé aux remarques précéden adéquat (désignation des seules limitation des échanges relatifs a l’information dont ces autorités seules entités se trouvant sous communication sera supprimée d d.

En ce qui concerne les services utiliseraient des équipements ou d de cybersécurité ou dans le cas missions de sécurité publique, à cybersécurité, elles doivent pouv 5 et 6 de toute non-conformité p être prévenues, lorsque cela me 7 pour autant que ces précisions ne figurent pas déjà dan vérifier.

Interrogé quant aux autorités visé le délégué du Ministre a précisé q Bruxelles Prévention et Sécur Administrations publiques locale Outre l’absence de définition dans publique (qu’il convient de pallier dans la plupart des hypothèses, à le défaut d’encadrement minima ressort des informations complém lesquelles une certification obliga de sécurité publique et de prévoir d’une entité (soumise à cette cer à l’autorité désignée dans la n uniquement si des mesures de respect du schéma de certificatio l’exposé des motifs. e.

En ce qui concerne les services d d'analyser et de traiter le renseig l’Etat. Lorsque cela s’avérerait né entité titulaire d’un certificat euro d’espionnage ou liées à une org devraient pouvoir avoir accès (e novembre 1998 sur les services service d’inspection de l’autorité de contrôle, au regard de l’impor où ces autorités utiliseraient de certification européenne de cybe leurs missions de sécurité publiqu de cybersécurité, elles doivent chapitres 5 et 6 de toute non constatées ou être prévenues, lo Faut encore qu’elles disposent d A ce sujet, en plus des considéra retrait et suspension des certifica les autorités judiciaires, l’Autorité

en terme de protection des donné de données au profit des services loi organique. De plus, cela sor conséquent, cet échange sera ég f. En ce qui concerne les services de les services de sécurité publique L’Autorité renvoie à ses remarque 13. Par conséquent, il convient de revoir le li échanges (art. 6 §1 et 3, 7, 16 §2, 17 §1 aux considérations qui précèdent en les Règlement cybersécurité ou de missions cybersécurité telles que celles poursuivi (autorités sectorielles).

L’auteur de l’ communications de données à caractère p légales. 14. De plus, afin de préserver les droits et lib contrôlés, potentiellement impactées pa projet de loi une disposition prévoyant qu à caractère personnel des clients personn derniers) des prestataires de services I représente pour ces personnes concerné avancées par le délégué du Ministre q nécessaires. 15. Enfin, au vu des objectifs du Règlement loi impose de manière explicite à l’Autorit charge du retrait des certificats une obl intervenus.

A cette fin, il convient d’impo d'un service d'information (push) qui certification. Cela ne nécessite pas de co cadre avec un des objectifs du Règlem confiance dans les produits, services et p cette publicité pourrait être envisagée po

nécessitent de disposer d’une habilitation à la publicité des informations sur la ré explicitement par l’avant-projet de loi et ê Champ d’application de l’avant-proje 16. L’article 3 de l’avant-projet de loi déterm projet s’appliquera à la certification eur services TIC et processus TIC visée par le 4 et 7 et les articles 21 et 22 de cette loi 17. Ainsi qu’il ressort des informations comp liées aux certifications rendues obligatoire législations sectorielles applicables ».

Int des traitements de données à caractère été exclu des certifications européennes précisé qu’il s’agissait d’un oubli et que ce Il en est pris acte. Désignation des autorités de contrôl 18. En exécution de l’article 58 du Règlement au Roi le soin de désigner l’autorité natio des missions de contrôle et de supervis paragraphe de cette disposition prévoit, schéma de certification et à la demande de contrôle et de sanction (à l’exception d autorité publique.

Interrogé à ce sujet, le envisagé d’utiliser éventuellement ce méc économique. Les dispositions modificativ ces autorités car ces dernières considéra pour que le Roi puisse éventuellement, d en est pris acte. 8 Au vu des désignation déjà effectuées par le biais des ces article 5, §2 en projet. Il est recommandé à l’auteur Dans la suite du projet d’avis, il sera référé à ces autori en exécution de l’article 5, §2 de l’avant-projet de loi ».

Coopération au niveau national (art. 19. L’article 6 de l’avant-projet de loi traite national que l’autorité nationale de certi seront désignées en exécution de l’article chapitres 5 et 6 de l’avant- projet de loi) l’application du Règlement cybersécurité 20. A ce sujet, il est renvoyé aux commenta avis. 21. Si des collectes structurelles de données à autorités sectorielles pour l’exercice des cybersécurité, elles doivent également ê mêmes critères de prévisibilité ; ce qui n’ 22.

Quant à l’article 6 § 2 en projet qui soum et les émetteurs de déclaration de confo en charge du contrôle du respect du règ européen, de toute information dont el disposition en projet apparait redondan encadrent les pouvoirs d’inspection des se supprimée de cette partie de l’avant-proje Echanges de données protégées p confidentialité (art. 6, §4) 23. L’article 6, §4 en projet traite de la ques qui se posera dans le cadre des échange cybersécurité et les autorités visées à l’art « § 4.

Les personnes dépositaires, par état o qu'on leur confie sont autorisées à faire conna visée à l’article 5, § 1er, ainsi qu’éventuelleme l’application du Règlement sur la cybersécurité Il s’agit notamment des informations nécess sanction et de réclamation. Lorsque ces info

chapitre 8

est d’application. Les modalités informations concernées. »

24. Tout d’abord, l’Autorité ne perçoit pas en collecter des informations couvertes par le Selon l’exposé des motifs, seule la mission le secret professionnel et aucune justific certificats de sécurité sur le secret profe obtenues du délégué du Ministre. Par co dans l’exposé des motifs, les termes « dé 25. Ensuite, l’Autorité relève qu’il y a, en m professionnel ou par un devoir de confide a. tout d’abord, la situation dans la confidentialité qui se voit empêch devoir de confidentialité alors qu nécessaires (cf. supra) ; b. ensuite, la collecte, par les servic respect du Règlement cybersécu secret professionnel (par exemple 26.

Ces deux situations doivent être appréhe seule la première doit être abordée dans national »). 27. La disposition légale appréhendant le prem telle que la levée de confidentialité ne pe échanges de données sont légitimes9, p devoirs d’inspection des autorités visées « notamment » à l’alinéa 2 du §4 de l’art correctement l’objet desdits échanges. 28. Quant au second cas de figure d’échange le chapitre traitant des pouvoirs d’inspect pour les droits et libertés des personne professionnel doivent impérativement êt et seulement si l’accès à de telles donnée 9 En faisant référence à la disposition de l’avant-projet de observations de l’Autorité (cf. supra).

d’investigation du service d’inspection (a de l’Ordre professionnel auquel appartien pour la réalisation des contrôles préci interdiction de conservation de documen précitées,…cf. à ce sujet les articles 56bis il sera alors explicitement prévu que tou sens de l’article 458 du Code pénal ne pe

Chapitre 5

– Contrôle (art. 13 à 18) 29. Les articles 13 à 18 de l’avant-projet d nationale de certification de cybersécurité 30. L’article 13, §2 de l’avant-projet forma pourront réaliser dans le cadre de leur m « Au moment de formuler une demande d'info finalité de la demande et précise le délai dans 31. Afin que la personne contrôlée soit à mê des données (le cas échéant à caractèr convient que cette disposition prévoie e dispositions légales ou la ou les parties d suspectée.

Pouvoirs de contrôle du service d’ins cybersécurité – Mise en place de gar personnel reprises dans les système 32. Les larges pouvoirs de contrôle du servic cybersécurité sont décrits à l’article 15 de 33. A l’instar de ce qui est prévu pour le recommande d’ajouter dans l’avant-pro particulièrement intrusifs et qui permettr caractère personnel des clients (ou de la TIC ou fournisseurs de produits TIC qui s préservation des droits et libertés des pe explicitement au service d’inspection de c

de la clientèle de ces derniers) des presta que le contrôle du respect du règlement l’Autorité considère qu’il convient de prév précitée du 7 avril 2019 (loi NIS), que, d celles concernant le titulaire du certificat accédées pour la réalisation des contrôle possible, préalablement pseudonymisées 34. L’Autorité recommande également que le des pouvoirs d’investigation soit explicitem est fait pour d’autres pouvoirs d’inspecti social).

Ainsi, il sera explicitement prévu l'exécution de leurs pouvoirs de contrôle à ce que les moyens qu'ils utilisent soient cybersécurité ou des dispositions du sché collectes de données à caractère person contrôle doivent se limiter aux seules règlement cybersécurité ou le non-respec dans ce cadre pas d’autres pouvoirs que 35. Enfin, l’Autorité rappelle que l'opportunité des inspecteurs, in concreto, au regard d pouvoir d'appréciation dans ce cadre.

Le données nécessaires avec discernement e personnel que si, à la lumière des faits, ils que les données à caractère personne prévention et la détection des infract certification dont le respect est contrôlé. Communication par le service d’insp contrôle à des tiers 36. L’article 16, §2 de l’avant-projet de lo cybersécurité ou l’autorité désignée par 10 Cf à ce sujet ENISA : https://www.enisa.europa.eu/pu et https://www.enisa.europa.eu/news/enisa-news/enisa-

communique une copie de son rapport d’i l’autorité nationale d’accréditation, aux s services de renseignement et à l’autorité un cadre pour la sécurité des réseaux e sécurité publique, à leur demande et pou missions légales». 37. Pour les motifs évoqués sous les observa en quoi une telle communication sur sim renseignement, de sécurité publique et Règlement cybersécurité. Interrogé à c transmission d’une copie d’un rapport d’i certificat de cybersécurité par l’une des a des missions légales de ces autorités ou d l'autorité publique » et a cité des disposi comme le Centre de crise nationale ou l’ l’Autorité relève tout d’abord que l’auteur des termes flous, des flux de donnée qui plus, il ne rentre dans les objectifs de d’encadrer les pouvoirs d’inspection d’aut contrôle du respect du règlement europé dudit règlement.

Ensuite, afin d’assurer convient de déterminer clairement dans l’a et pertinentes pour l’exécution du Règl rapports peuvent être communiqués aux public spécifique en matière de cybersécu sur simple demande sans autre précisi permettant à des autorités publiques d’a reprises. 38. De plus, à l’instar de ce qui a déjà été re peuvent contenir des données à caractère derniers) des prestataires de services ICT ces personnes concernées.

Pour le surp reprises ci-dessus. Le libellé de l’article 16 39. L’article 16, §3 en projet détermine les d être systématiquement transmis en cas de

d’un opérateurs de service essentiel ou d général pour la sécurité publique ou d infrastructures critiques dans le sous-se 40. Ce faisant, l’avant-projet de loi instaure un personnel (dans l’hypothèse où ces rappo porteront sur un prestataire/fournisseur au sens de l’article 6.1.c du RGPD. Etant 16, §3 en projet poursuivent un objectif s pas d’objection aux communications des r visées à l’article 5 de l’avant-projet de produits ICT visés par les législations men et de prévisibilité et par souci de conform définir adéquatement la notion « d’autorit déterminer, à l’article 16, §3, la finalité p autorités destinataires (à savoir, l’exerc lesdites réglementations spécifiques) et uniquement à l’autorité sectorielle compét ICT concerné par le rapport.

41. L’article 17 §1 à 4 de l’avant-projet déter de données et procès-verbaux de contrô certification. 42. Le « besoin d’en connaître en raison de d’autres dispositions légales » prévu à pour encadrer la communication de do d’inspection à d’autres autorités d’autan service d’inspection au secret professionn 43. Quant à l’article 17, §3 en projet qui prév PV ou information complémentaire aux di émises en observations générales dans le 16, §2 en projet qui s’appliquent mutatis aux remarques émises sur l’article 16, §3

Dérogation au principe de confident du service d’inspection de l’autorité 44. L’article 17, §5 en projet prévoit, en ces t communications effectuées au moyen d électroniques accessibles au public11 au certification de cybersécurité: « §. 5. Dans l’exercice de leurs fonctions, le 1° prendre intentionnellement connaissance voie de communication électronique et qui n 2° identifier intentionnellement les personnes 3° prendre connaissance intentionnellement relatives à une autre personne. » 45.

C’est dans les limites prévues à l’article 15 être prévues. L’article 15.1 de la Directiv adopter des mesures législatives visant à articles 5 et 6, […] et à l'article 9 de la pré mesure nécessaire, appropriée et prop sauvegarder la sécurité nationale — c'e publique, ou assurer la prévention, la rec ou d'utilisations non autorisées du systèm l'article 13, paragraphe 1, de la directive autres, adopter des mesures législatives p limitée lorsque cela est justifié par un des mesures visées dans le présent paragrap droit communautaire, y compris ceux vis européenne »12.

Avec l’entrée en vigueu ePrivacy comme faisant référence à l’ar notamment comme motif de limitation a mission de contrôle, d’inspection ou de rég de l’autorité publique, dans les cas visés la sécurité et la défense nationale, la sécu 11 consacré par l’article 5.1 de la Directive 2002/58/CE d traitement des données à caractère personnel et la protec (dite « Directive ePrivacy) implémenté en droit belge à 12 L’article 6 §§ 1 et 2 du traité sur l’Union européenne s principes énoncés dans la Charte des droits fondamenta décembre 2007 à Strasbourg, laquelle a la même valeur que tous les causes de justification prévues à l’article 23 à ce principe de confidentialité des communications élect

pénale, d’autres objectifs importants d’int ou financier important et la prévention profession réglementée. 46. Il appartient tout d’abord à l’auteur de l’av quoi la dérogation envisagée au profit du s de cybersécurité cadre avec un ou plusieu 47. Ensuite, au vu des motifs sur base desqu être prévue par les Etats membres, l’Aut limiter ces dérogations aux contrôles qu conformité ainsi que sur les titulaires de domaines d’intérêt public important que imposer de tels certificats.

Il est indiqué q le choix qu’il posera pour le champ d’ap 48. Interrogé quant aux besoins du service dérogation au principe de confidentialité d a précisé que « ne sont pas visées les éco e-mails émanant et reçus des organism déclaration de conformité, des titulaires d lorsque les données en question sont susc grave à un schéma de certification dont 49. Par conséquent, afin de garantir le caractè de l’avant-projet de loi de préciser, à communications électroniques émanant e (des émetteurs de déclaration de conf cybersécurité européen que les inspecteu ces informations sont susceptibles de c schéma de certification (obligatoire) cont de sécurité juridique et de prévisibilité, il s à l’article 124 de la loi précitée du 13 juin 13 En fonction du choix qui devra être opéré au regard de 14 Ibidem

50. Enfin, interrogé quant à l’opportunité de que leur accord préalable pour la consult l’accord du juge d’instruction, le délé consentement expresse de l’entité contrô l’autorité nationale de certification de cyb informations (ceux-ci n’ayant pas la qual prévoir à l’article 17, §3 en projet que consultations visées auront lieu.

Chapitre 8

– Traitement de données 51. L’auteur de l’avant-projet de loi a opté p projet visant à déterminer différents élém encadrés par l’avant-projet de loi. Catégories de traitement de donn traitements 52. L’article 36, §1er et 3 décrit les catégories d dans le cadre de l’exécution de la loi en p « Art. 36. § 1er. Les traitements de donnée la présente loi sont les suivants :

1° l’échange d’informations entre l’autorité v pour accomplir certaines missions visées aux c ou les services d’inspection visés respectivem un cadre pour la sécurité des réseaux et de publique, les autorités de surveillance de marc publique, les services de police, les services d avril 2019 établissant un cadre pour la sécurit 2° l'échange d'informations entre les organism cybersécurité européens et les émetteurs de d et l’autorité visée à l’article 5, § 1er ou l’aut missions visées aux chapitres 5 et 6, d'autre 3° le traitement de données par l’autorité v conformité, pour accomplir les tâches en m (…) ;

4° le traitement de données par l’autorité visé pour accomplir certaines missions visées aux et de sanction. § 3. Les finalités pour lesquelles les traitemen 1° la délivrance de certificats de cybersécur 2° la supervision des titulaires de certificats d conformité de l’Union européenne ou des or 3° le traitement des réclamations introduite ;

4° la coopération, en ce compris l’échange 5° l’imposition des sanctions prévues au ch 53. Tout d’abord, l’Autorité relève que la noti effectués dans le cadre de l’exécution de Au vu du champ d’application de l’avan traitements de données à caractère pers de cybersécurité ainsi que le cas échéant l’avant-projet de loi (pour autant que ces lois organiques de ces autorités) en e Règlement européen cybersécurité et qu doit pas encadrer des traitements de don par ailleurs déjà encadrés par les lois org de l’avant-projet de loi de vérifier.

54. Une description exhaustive des catégorie loi en projet, tel que tente de le faire l’artic des missions de service public de l’au interviendrait un oubli. Une détermination autorité (en plus de la détermination de l prévisibilité requise à ces traitements de la suppression de l’article 36, §1 en proje 55. Quant à la détermination des finalités des de viser les finalités pour lesquelles l’au seront désignés en exécution de l’article caractère personnel dans le cadre des m

l’avant-projet de loi et le Règlement euro à ce sujet : a. Les finalités visées à l’article 36, § certificats de cybersécurité europ b. Les finalités visées à l’article 36, référence aux dispositions pertine titulaires de certificat de cybers conformité de l’Union européenn échéant imposition de sanction co c. Quant à la « coopération, en ce international », il ne s’agit pas d traitement de données en soi qui sanction précitées voir, si néces finalité de « délivrance des certif et le cas échéant, si les dispositio de manière prévisible lesdits flux, concrète pour laquelle une com nationale de certification et les au aux seules autorités sectorielles et 17 de l’avant-projet de loi (ada l’Autorité).

De plus, si l’auteur d nationale de certification de cy l’amélioration de la qualité des matière et qu’une telle coopér personnel entre les autorités nati mentionner une telle finalité de m Qualification du responsable du trait 56. Afin d’éviter toute ambiguïté quant à responsable du traitement et afin de faci tels que prévus aux articles 12 à 22 du R identifier plus explicitement que ce qu’il n de traitement.

15 L’article 36 en projet vise actuellement l’encadrement d les traitements de données réalisés pour la finalité de « dé titre, par couverts par l’avant-projet de loi. Le libellé de l

57. A cet effet, la précision selon laquelle l responsable des traitements qu’elles réali §3 suffit. Il en sera fait de même pour le qui concerne les traitements réalisés pour 5 et 6 de l’avant-projet de loi. Base de licéité 58. L’article 36, §2 en projet la base de licéité « § 2. Les traitements visés au paragraphe découlant du Règlement sur la Cybersécurité dont est investi l’une des autorités publiques 59.

L’Autorité relève que la majorité des traite en projet seront des traitement réalisés (et les autorités visées à l’article 5, §2 en dont la base de licéité, au sens du R communications obligatoires systématiqu aux articles 16, §3 et 17§4 de l’avant-pr RGPD). 60. L’article 36, §2 en projet n’apporte aucu de données visés. Pour assurer la licéité et 6.1.e. du RGPD, une norme juridique déterminer de manière suffisamment clair le responsable du traitement (ce qui est le cybersécurité), mais il n’est pas requis q Règlement européen précise que les tra «exécution d’une mission d’intérêt pub conséquence, cet article 36, §2 en projet Catégories de données à caractère p 61.

L’article 36, §4 détermine, en ces term traitées : « § 4. Les données personnelles traitées so données de communications électroniques.

Le Roi peut, après avis de l’autorité visée à l’ar accomplir certaines missions visées aux chap à caractère personnel. » 62. Outre le fait que l’avant-projet de loi ne sont traitées, cette détermination ne pré traitements de données visés. De plus, e qu’il ne peut en l’espèce être délégué au R à caractère personnel qui devront être cybersécurité et les autorités désignées pour la réalisation des missions de serv actuelle étant manifestement lacunaire (q du personnel du prestataire certifié ou e au regard des critères communs (common justifié et motivé dans l’exposé des motifs 63.

En ce qui concerne les catégories de do l’avant-projet de loi (contrôle et sanction déterminer autrement que de manière nécessaires à l’exercice des missions de l’avant-projet.. 64. Par conséquent, l’article 36, §4 de l’avant Catégories de personnes physiques à 65. L’article 36 §5 détermine, en ces termes données sont traitées pour la réalisation d « § 5. Les catégories de personnes don faire l’objet des traitements visés au pa 1° toute personne intervenant pour les or certificats de cybersécurité européens, l européenne ou une autorité publique ; 16 Les Critères communs d'évaluation de la sécurité des t une norme internationale (ISO/IEC 15408) pour la certifi

2° toute personne participant à un con contrôle prévues au

chapitre 5

;

3° toute personne introduisant une réc 66. Tout d’abord, il convient de viser les pers 67. Ensuite, l’Autorité s’interroge quant au ca au vu de ses observations générales repri et, au titre de garantie pour la préservatio ces derniers) des prestataires des servic considérations générales de l’Autorité rep §2 en projet, ne peuvent traiter des donn clientèle de ces dernières) des prestataire des finalités autres que le contrôle du r européen cybersécurité et des schémas e 68.

L’article 39 détermine la durée de conse projet de loi en ces termes : « Sans préjudice de la conservation nécessa public, à des fins de recherche scientifique o Règlement UE 2016/679, les données à carac sans préjudice de recours éventuels, par le r effectué afin d’atteindre une des finalités vis 69. Comme déjà explicité ci-dessus, c’est la d collectées par l’autorité nationale de ce désignées en exécution de l’article 5, §2 e 36, §3 qu’il convient de déterminer.

La for en ce sens. 70. En ce qui concerne la durée de conservat Dérogation aux droits des personnes 71. L’article 37 de l’avant-projet de loi dérog concernées en vertu du RGPD.

72. Toute limitation aux droits dont disposen seulement, poursuivre un des objectifs répondre aux formes prescrites par l’artic personnes concernées se doit égaleme d’ampleur que de durée17. 73. Tout d’abord, il convient de viser explicite dérogations, à savoir, ainsi qu’il ressort d certification de cybersécurité et les autor en projet. 74. Selon l’article 37 en projet, les traitement envisagée sont ceux qui seront effectués gestion des réclamations relatives à l’o délivrance d’un tel certificat.

75. Bien que l’Autorité comprenne la nécessi par le RGPD pour les traitements de co contrôle), l’Autorité s’interroge quant à gestion des réclamations relative à l’octr traitements, l’Autorité peut, par contre, co loi la possibilité pour un plaignant de so que son anonymat soit préservé (pour au outre cette hypothèse qui peut être prévu au vu des informations complémentaires articles 12 à 22 du RGPD pour assurer justification pertinente à ce sujet dans l’ex sera réduit en conséquence.

17 Avis n° 34/2018 du 11 avril 2018 concernant un avant-pr diverses lois concernant la mise en œuvre du Règlement relatif à la protection des personnes physiques à l'égard d de ces données, et abrogeant la directive 95/46/CE et mai 2018 concernant un avant-projet de loi portant de 2018 sur le projet d'arrêté du Gouvernement flamand po (UE).

76. Ensuite, concernant la dérogation au pro d’inspection aux fins d’exercice de leurs m de loi, l’Autorité relève que, en applicatio projet de loi de préciser, à l’article 37 en p en terme de droits auxquels il est dérogé et ce, en lieu et place de prévoir que « traitements sont nécessaires pour les fin l'application des droits prévus par le règ enquête ou d’une réclamation » ; ce qui 77.

A ce sujet, sans viser à l’exhaustivité, l’Au droits des personnes concernées ne sont la personne concernée fait l'objet d'u préparatoires de maximum 1 an après ré la période nécessaire en vue d'exercer l'exercice des droits nuirait aux besoins d 78. Quant au choix des articles du RGPD aux pour l’exercice de la mission d’inspection, a. L’article 12 du RGPD explicite l modalités de l’exercice des droits droit des personnes concernées. b.

La nécessité de déroger au droit n’apparait pas. Interrogé à ce suj les données à caractère personne par le responsable du traiteme d’atteindre une des finalités visée de s’assurer de conserver plus lon liées à un faux ou usage de faux d’inspection doit également pou dans un délai de trois ans (qu administrative en vertu de l’arti l’effacement, la personne conce données. Il apparaît donc nécess le droit à l’effacement ne permet 18 Afin d’assurer une limitation dans le temps raisonnable

ses données de manière prématu 17 s’applique, ce qui n’apparait contrôle du service d’inspection l’inspection sociale et de l’inspect ce droit alors que les motivat concernées du RPGD sont les m supprimée de l’article 37 en proje c. Dans le même ordre d’idées que également ôtée de l’article 37 en prévoit que lorsqu’une personne est fait pour l’exercice d’une miss traite plus les données à caractè motifs légitimes et impérieux pou et libertés de la personne concer en justice » ; ce que l’autorit l’hypothèse où un tel droit est ex fort improbable étant donné qu lorsqu’elle a connaissance d’un c donné qu’il est dérogé aux droits d.

Quant à la dérogation à l’article 2 Ministre a fait valoir à cet égard q sur l’utilisation d’algorithmes) en à ce stade mais leur utilisation Conformément à l’article 22.2 d l’avant-projet de loi puissent a traitement automatisé produisan l’affectant de manière significat disposition législative spécifique prévoir des mesures appropriées concernées ; ce qui n’est pas conséquent, la dérogation à l’a également être omise. e.

Il convient également d’ôter l’art dérogé étant donné qu’il n’est de confirmé par le délégué du Minist

79. De plus, pour rendre l’article 37 en proje prévoir des garanties similaires à ce qui dérogations et les garanties pour les dro approuvées par l’autorité de protection d données autorités visées à l’article 5 en p sur lesquels se fonde la décision de refus disposition desdits motifs à l’Autorité de personnes concernées du refus d’accéde compromettre la finalité de contrôle, i exercer leurs droits de la levée de la d personnes concernées des recours dont e 80.

L’Autorité ne perçoit pas la pertinence de sécurité juridique requise en matière de recommandée. 81. L’article 37, §5 sera également supprimé dispositions de l’avant-projet de loi et san Dérogation à l’article 20 de la LTD 82. L’article 38 prévoit une dérogation à l’oblig de données à caractère personnel tant dan à l’autorité de certification de cybersécurit de loi que dans le chef de ces dernières. 83.

L’Autorité rappelle que l’obligation de for LTD ne s’applique pas à un échange d’application de l’article 29 du CiCr (autor 19 Ibidem 20 Recommandation 02/2020 du 31 janvier 2020 de l’Auto de formaliser les communications de données à caractèr

84. Pour pourvoir déroger à cet article 20 d données à caractère personnel visé et nécessité et de proportionnalité ; ce qui né se voit transmettre quoi (catégories des d modalités de la communication) »21 proportionnalité ; ce qui doit être fait a encadrent ces communications de do cybersécurité. Il est à ce sujet renvoyé articles 16 et 17 de l’avant-projet de loi données. 85. Quant aux collectes structurelles de don certification de cybersécurité et les aut autorités sectorielles (cf. supra) pour l’e Règlement cybersécurité, elles doivent ré autorités sectorielles soient dispensées d de la LTD.

A défaut d’être prévues par les appartient à l’auteur de l’avant-projet communications doivent être prévues p portent sur des données à caractère pers L’Autorité Considère que l’avant-projet de loi soum 1. Révision des articles 6 §1 et 3, 7, 16 les échanges de données afin de proportionné au regard des objectifs publics connexes touchant directeme générales de l’avis et aux considérat (cons. 6 à 14 et 19, 20, 37, 40, 43 , 5 2.

Imposition d’une obligation d’inform conformément au considérant 15 ; 21 Ibidem, p.15

3. Suppression de la mission de délivran au devoir de confidentialité et au sec 4. Encadrement des dérogations au de missions d’inspection l’autorité natio §2, conformément au considérant 26 5. Mise en place de garanties adéquate à l’exercice de ces missions d’inspect au considérant 27 ; 6. Précision de l’article 13, §2 relatif à la conformément au considérant 31 ; 7. Ajout de garanties pour la préservatio des prestataires ICT contrôlés (ou les des collectes et communications légit 8.

Imposition du respect du principe de p (cons. 34) ; 9. Motivation du caractère nécessaire communications électroniques et encadrement de cette dérogation con 10. Suppression de la description des caté (cons. 53 et 54) ; 11. Rectification de la description des fina de certification de cybersécurité et de au considérant 55; 12. Précision de la qualification du respon et 57. 13. Suppression des articles 36, §2 en pr 14.

Précision exhaustive des catégories cybersécurité et les autorités désig l’exercice des missions que l’avant-pro et s. ; 15. Adaptation des catégories de personn à l’article 5 traiteront des données co

16. Précision de l’article 39 en projet relat au considérant 69 ; 17. Limitation des droits des personnes c aux seuls droits dont l’exercice met e de ces dérogations à ces droits et à l’article 20 de la LTD conformément a

Betreft: Voorontwerp van wet inzake de communicatietechnologie

de procureur des Konings bij de wanbedrijf is gepleegd of de v magistraat alle desbetreffende toekomen." Het is niet nodig persoonsgegevens zelfs contrap voorontwerp van wet te herhale daar in artikel 29 Sv. de inachtn opgelegd. De Autoriteit beveelt b wet te schrappen. b. Met betrekking tot de sectorale a 6 Zoals uit de aanvullende informatie blijkt, gaat het om d "Les autorités sectorielles visées à l’article 3, § 3 de l’av publique (ci-après, "loi NIS").