Déclaration de confidentialité Mes clés numériques 1.1     7 juin 2023 

La Direction générale Transformation digitale du Service public fédéral Stratégie et Appui (« DG Transformation digitale ») veille à vos données à caractère personnel et, dans ce cadre, agit toujours conformément aux dispositions du Règlement général sur la protection des données (UE) 2016/679 (RGPD). Lisez la présente déclaration de confidentialité pour en savoir plus sur la façon dont les données à caractère personnel sont collectées et traitées dans le cadre du Service fédéral d'authentification (« FAS ») au sein de CSAM, offert par la DG Transformation digitale. 

1. Traitement de données à caractère personnel 

Le FAS veille à ce que les citoyens puissent s’authentifier à l’aide de clés numériques. Les autorités savent ainsi quelles personnes demandent d’accéder à leurs applications et peuvent leur octroyer l’accès. 
 
Le traitement de vos données par la DG Transformation digitale pendant votre enregistrement et pendant l’utilisation de vos clés numériques est justifié sur la base de l’article 9 de la loi du 18 juillet 2017 relative à l’identification électronique, qui charge la DG Transformation digitale d’offrir des clés numériques pour des applications des autorités au sein du FAS. Il s’agit aussi de la base pour le traitement du numéro de Registre national par la DG Transformation digitale au sein du FAS. 
 
Les autorisations pour les traitements précités ont été octroyées par l’ancien comité sectoriel du Registre national : 

• Délibération RN 26/2005 du 6 juillet 2005  
• Délibération RN 16/2012 du 15 février 2012 
• Délibération RN 21/2015 du 25 mars 2015 
• Délibération 83/2016 du 19 octobre 2016 

 
Vos données sont traitées en vue de votre identification et authentification correctes afin que vous puissiez accéder à toute une série d’applications des autorités. Après une identification correcte, vous pouvez utiliser des clés numériques afin de pouvoir vous authentifier lorsque vous souhaitez accéder à une application des autorités. Les gestionnaires des applications s'assurent ainsi de votre identité et peuvent, sur cette base, déterminer si vous pouvez bénéficier de l’accès, et si oui, à quoi. Cette méthode vous permet aussi de vous assurer que personne d’autre n’accèdera à vos données. 
 
Pour votre enregistrement initial en vue de la création de vos clés numériques, le FAS utilise votre carte d’identité électronique, et plus précisément son certificat d’authentification, vos nom et prénom tels que mentionnés sur la carte, ainsi que votre numéro de Registre national. L’objectif est de vous identifier correctement. Vous devrez saisir votre code PIN en cas d'utilisation du certificat d’authentification.  
Une autre façon de vous enregistrer initialement est de passer par un bureau d'enregistrement. Vous devez être présent physiquement et prouver votre identité. 
 
Pour l’activation de certaines clés, vous devez aussi introduire votre adresse e-mail et votre numéro de GSM. 
Pour la création de certaines clés, les sources authentiques du Registre national ou des registres de la Banque Carrefour de la BCSS (Registre Bis) sont consultées. 
 
Si vous vous authentifiez par le biais du FAS, votre numéro de Registre national est transmis à l’application à laquelle vous demandez d’accéder. Les organisations qui gèrent l’application doivent être autorisées à utiliser le numéro de Registre national. Si elles ne sont pas autorisées à utiliser le numéro de Registre national, un autre numéro d'identification peut être utilisé pour vous identifier de manière unique.  
 
Pour l’authentification via eIDAS (à travers les frontières des États membres européens) basée sur le règlement eIDAS, la DG Transformation digitale récupère vos données dans le Registre national pour les fournir à l’État membre dans lequel vous vous connectez avec une clé numérique notifiée en Belgique. Il s'agit du lieu et de la date de naissance, du sexe, des nom et prénom, ainsi que d'un numéro d'identification destiné à l’authentification transfrontalière. La base légale à cette fin est l’article 5 de la loi du 18 juillet 2017 relative à l’identification électronique et l’Arrêté royal du 1er février 2018 désignant des instances conformément à la loi du 18 juillet 2017 relative à l'identification électronique. 
 
Avec votre accord, nous traitons aussi votre adresse e-mail et/ou votre numéro de GSM pour vous contacter au sujet des services. Vos données sont alors utilisées pour vous envoyer des notifications de services liées aux services fournis.  
 
Les authentifications et tentatives d'authentification (date, heure, numéro d'identification et identification du message afin qu'il puisse être relié à l'application, votre adresse IP, votre navigateur et votre système d'exploitation) sont enregistrées et stockées dans une piste d'audit afin qu'en cas d'enquête, à l'initiative d'une instance compétente ou d'un organe de contrôle ou à la suite d’une plainte, il soit possible de reconstituer complètement quelle personne physique s'est enregistrée auprès de quel service et quand). Ces informations sont conservées pendant 10 ans.  
Ces informations sont également traitées de manière anonymisée à des fins statistiques et afin de continuer à améliorer ce service. Les données ainsi collectées ne sont en aucun cas liées aux données à caractère personnel vous concernant qui ont été collectées pendant la procédure d’enregistrement.  
 
Les traitements (à l’exception de la conservation dans la piste d'audit) s’arrêteront lorsque vous cesserez explicitement d’utiliser vos clés numériques au sein du FAS ou lorsque vous décéderez. Les données seront ensuite détruites. 
Les données dans la piste d'audit seront supprimées après 10 ans. 
 
Le FAS offre également des clés numériques de prestataires de services agréés. 
Les prestataires de services agréés (comme le fournisseur d’Itsme) traitent aussi vos données conformément à la réglementation en vigueur. Après avoir été agréés conformément à l’Arrêté royal du 22 octobre 2017 fixant les conditions, la procédure et les conséquences de l'agrément de services d'identification électronique pour applications publiques numériques, ils sont autorisés à utiliser votre numéro de Registre national si vous choisissez leurs services (en tant que sous-traitants de l'autorité d'agrément au sens de l’article 5, alinéa premier, 3°, de la loi du 8 août 1983 organisant un Registre national des personnes physiques). 
La DG Transformation digitale fait appel à un sous-traitant qui agit en tant que sous-traitant des données et qui, en cette qualité, doit respecter la législation. La DG Transformation digitale prévoit dans le contrat avec le sous-traitant les dispositions nécessaires afin de protéger les données à caractère personnel. 
La DG Transformation digitale est responsable du traitement des données à caractère personnel précitées et dispose d'un délégué à la protection des données qui veille à la confidentialité et à la sécurité des données, ainsi qu’au respect des exigences de la législation.  
Comme prévu par le RGPD, vous pouvez obtenir davantage d'informations sur les modalités de traitement en contactant la DG Transformation digitale, dont les coordonnées sont indiquées ci-dessous. 

 
2.    Sécurité 

La DG Transformation digitale s’engage à prendre toutes les mesures techniques et organisationnelles appropriées afin de protéger vos données à caractère personnel contre la destruction, la perte, la modification involontaire, la détérioration ou la divulgation. 
Afin de garantir cette sécurité, la DG Transformation digitale utilise notamment le cryptage de la communication entre le serveur et votre ordinateur, le hachage des données enregistrées ainsi que des copies de sécurité périodiques. 
L'accès à vos données est limité aux personnes travaillant sous la surveillance de la DG Transformation digitale qui ont signé les déclarations de confidentialité nécessaires. Les accès aux données sont enregistrés. 

3.    Cookies 

Lorsque vous utilisez nos applications, des « cookies » sont placés. Il s’agit de petites parties d’information qui sont enregistrées sur votre ordinateur par votre navigateur. 
Pour le FAS, la DG Transformation digitale utilise des cookies afin d’améliorer les performances du site web, des cookies fonctionnels pour la convivialité d'utilisation et des cookies de session temporaire nécessaires à l'authentification pendant la session.  
Cookies nécessaires 
Ces cookies sont indispensables pour contrôler votre identité de manière sûre et, sur cette base, vous donner accès aux applications auxquelles vous souhaitez accéder. 
Cookies fonctionnels 
Les cookies fonctionnels permettent d'améliorer le fonctionnement des sites web et la convivialité d'utilisation. La DG Transformation digitale utilise des cookies pour retenir votre langue de prédilection. 
Cookies pour performances du site web 
La DG Transformation digitale utilise des « load balancing cookies ». Ils sont utilisés sur des sites web qui sont beaucoup visités et servent à partager les charges des demandes entre plusieurs réseaux et serveurs distincts. 
Il est possible de refuser des cookies par le biais des paramètres de votre navigateur. Le site web suivant vous explique comment supprimer des cookies sur les navigateurs les plus courants : http://www.aboutcookies.org/. Vous pouvez à tout moment supprimer les cookies de votre ordinateur. 
Les cookies sont valables 1 an.  

4. Droit d’accès, d’adaptation et de rectification – effacement de données et limitation du traitement 

Comme prévu par le RGPD, vous pouvez toujours consulter vos données à caractère personnel traitées par la DG Transformation digitale ou obtenir des informations sur les modalités de traitement, et vous pouvez faire corriger gratuitement vos données à caractère personnel en contactant la DG Transformation digitale (voir coordonnées ci-dessous) ou les corriger vous-même par le biais du site web. Vous avez aussi le droit d’effacer ou de faire effacer vos données à caractère personnel, ou de mettre fin à certains traitements. Dans certains cas, vous ne pourrez alors plus utiliser le FAS. 
Chaque personne a le droit d'introduire une plainte auprès de l’Autorité de protection des données, qui peut être contactée par :  
Téléphone : +32 (0)2 274 48 00 
Fax : +32 (0)2 274 48 35 
E-mail : contact@apd-gba.be 

5.    Modifications 

La DG Transformation digitale se réserve le droit de modifier en tout temps la présente déclaration de confidentialité. Les modifications à la déclaration de confidentialité seront publiées par le biais du site web.  La présente déclaration de confidentialité a été modifiée et révisée pour la dernière fois le 30 novembre 2020. 
 

6.    Coordonnées 

La DG Transformation digitale est responsable du traitement des données à caractère personnel et dispose d'un délégué à la protection des données qui veille à la confidentialité et à la sécurité des données, ainsi qu’au respect des exigences du RGPD. Vous pouvez contacter ce délégué par e-mail à privacy@bosa.fgov.be pour toutes vos questions relatives à la protection de la vie privée. Vous pouvez communiquer vos incidents et envoyer vos plaintes à privacyincident@bosa.fgov.be. 
Vous pouvez contacter la DG Transformation digitale à l’adresse suivante : SPF BOSA, DG Transformation digitale, Boulevard Simon Bolivar 30, 1000 Bruxelles, ou par e-mail à servicedesk.dto@bosa.fgov.be, ou par téléphone au numéro 02/740.80.27.