L’arrêté royal du 18 juillet 2021 fixe les mesures de sécurité et les normes techniques minimales des systèmes informatiques policiers pour le cachet électronique avancé. Il reprend également les mentions qui doivent figurer dans ce cachet et dans la signature électronique qualifiée utilisés dans certains procès-verbaux.
Trois catégories de procès-verbaux
La technologie du cachet électronique avancé utilisée pour signer les procès-verbaux permet de signer en une seule fois une quantité importante de procès-verbaux.
L'utilisation du cachet électronique avancé concerne uniquement trois catégories de procès-verbaux :
• | les procès-verbaux où le verbalisateur n'est légalement pas tenu de s'identifier nominativement ; |
• | les procès-verbaux qui doivent être signés en grand volume relatifs aux constatations effectuées dans le cadre des articles 62 et 65, § 1er, de la loi du 16 mars 1968 relative à la police de la circulation routière ; |
• | les procès-verbaux déterminés par le Collège des procureurs généraux relatifs à des infractions déterminées qui, en fonction de la nature des faits et des circonstances de l'affaire, ne font pas ou pas encore l'objet de poursuites de la part du ministère public. |
Préserver un haut degré de sécurité
L’arrêté royal du 18 juillet 2021 :
• | énonce les dispositions relatives aux éléments de sécurité standards des systèmes informatiques utilisés lors de la production du cachet électronique avancé ; |
• | décrit la fonction de hash utilisée ; |
• | détermine le processus d'utilisation des certificats et des clés de chiffrement, les modalités de stockage des certificats, le mécanisme d'horodatage, l'identification et l'authentification des membres du personnel ; |
• | rend obligatoires les journalisations et un contrôle humain lors de l'apposition du cachet ; |
• | prévoit un audit régulier des mesures et du système de management de la sécurité de l'information ; |
• | détermine les exigences en cas de sous-traitance qui devront être mises en place pour mettre en œuvre le service de signature de la police ou en anglais le Police Signing Service (PSS) qui permet de produire le cachet électronique avancé. |
Ces mesures doivent ainsi garantir un haut degré de sécurité du cachet électronique avancé.
Normes techniques minimales
L’arrêté royale prévoit les normes techniques minimales qui se basent, d'une part, sur les standards généraux de sécurité des systèmes de la police intégrée et, d'autre part, sur les standards spécifiques d'application en matière de cachet électronique avancé dont, bien entendu, ceux découlant du Règlement européen eIDAS.
Ainsi, le cachet avancé doit :
• | permettre d'identifier le créateur du cachet ; |
• | être lié au créateur du cachet de manière univoque : cette condition est rencontrée par le fait que la clé privée fait l'objet de mesures de sécurité idoines et ne peut donc pas être contrefaite par un tiers ; |
• | avoir été créé à l'aide de données de création du cachet électronique que le créateur du cachet peut, avec un niveau de confiance élevé, utiliser sous son contrôle. Il s'agit pour la police : - | de créer directement le cachet électronique avancé ; | - | d'appliquer des procédures de sécurité spécifiques en matière de gestion et d'administration ; | - | d'utiliser des systèmes et des produits de confiance afin de garantir que l'environnement de création de signatures électroniques est fiable et qu'il est utilisé sous son contrôle exclusif. |
|
• | être lié aux données auxquelles il est associé de telle sorte qu'une possibilité de modification indétectable de données soit exclue. |
Mentions visibles
L’arrêté énumère les mentions qui doivent figurer dans le cachet électronique avancé et dans la signature électronique qualifiée.
Ces 2 mentions doivent être visualisées dans un environnement matérialisé :
• | « signé électroniquement », dans la langue de rédaction du procès-verbal ; |
• | les données d'identification du ou des signataire(s) en cas de signature électronique qualifiée et les coordonnées de la personne morale qui signe en cas de signature par cachet électronique avancé. |
Ces 3 mentions doivent être visualisées dans un environnement dématérialisé :
• | les données d'identification du ou des signataire(s) en cas de signature électronique qualifiée et les coordonnées de la personne morale qui signe en cas de signature par cachet électronique avancé ; |
• | les mentions relatives à la validité du certificat de cachet électronique avancé ou de signature électronique qualifiée ; |
• | la date de la signature électronique du procès-verbal. |
Entrée en vigueur
L’arrêté royal entre en vigueur le 23 août 2021. Le Ministre de l'Intérieur et le Ministre de la Justice sont chargés, chacun en ce qui le concerne, de l'exécution de cet arrêté