Conditions générales

Version 15/05/2025

  1. Les présentes conditions générales s'appliquent aux services et aux applications disponibles sur ou via la plateforme DPA (ci-après collectivement dénommées les "Applications"). Ces services sont proposés par : 

    1. DPA sc, rue royale 146, 1000 Bruxelles (RPM BE 057 674 145)(“DPA”) ;
    2. Orde van Vlaamse Balies, Staatsbladstraat 8, 1000 Brussel, RPR: 0267.393.267 ("OVB");
    3. L'Ordre des Barreaux Francophones et Germanophones, Hoogstraat 139 bte 20, 1000 Brussel, RPR: 0850.260.032 ("OBFG" ou "AVOCATS.BE");
    4. Orde van advocaten bij het Hof van Cassatie van België (“A(D)VOCASS”), 1000 Brussel, RPR: 0240.714.012


    ci-après dénommées collectivement ou individuellement comme le « Prestataire ». 

    DPA est le fournisseur technique des différents services décrits dans les présentes conditions générales pour le compte de l’OVB, OBFG et A(D)VOCASS. Ces derniers agissent en qualité de prestataires de ces services. 

Accès à la plateforme via le site web et des tiers agréés

  1. Les Applications disponibles via cette plateforme peuvent être intégrées ou hébergées sur un site Web (le "Site Web") dont les conditions générales peuvent être distinctes.
     
  2. L'accès à ces Applications peut également être fourni via un fournisseur de logiciels agréé par le Prestataire ou par des tiers qui ont, avec l’accord du Prestataire, intégrés des logiciels ou des services du Prestataire (les « Tiers-Intégrateurs »). Cet accès est accordé en principe après activation grâce au code unique généré dans le profil de l'utilisateur sur la plateforme. L'utilisateur s'engage à préserver la confidentialité de ce code (clé d'activation) et à l'utiliser uniquement pour l'intégration de la plateforme dans un logiciel agréé par le Prestataire.

    Les fournisseur de logiciels agréé par le Prestataire et les Tiers-Intégrateurs peuvent imposer des conditions supplémentaires. Sauf accord contraire explicite et écrit du Prestataire, les présentes conditions générales restent pleinement applicables entre le Prestataire et l'utilisateur.

Accès aux services et aux sources d'information et priorité des conditions spécifiques

  1. Via la plateforme DPA, le Prestataire peut donner accès à d'autres services ou sources d'information qui peuvent ou non être sous le contrôle du Prestataire et sur lesquels s'appliquent des conditions distinctes ou qui sont soumises à des dispositions légales spécifiques.
     
  2. D'éventuelles conditions spécifiques d'une application qui diffèrent des présentes conditions générales de la plateforme DPA priment sur les présentes conditions générales. Il est nécessaire de lire attentivement ces conditions générales et les conditions spécifiques applicables avant d'utiliser les Applications et le Site Web.

Acceptation des conditions et utilisateurs autorisés

  1. Après acceptation des conditions applicables et sous réserve du respect des dispositions légales, les Applications peuvent être utilisées par des utilisateurs autorisés. Les utilisateurs autorisés sont:
    1. tous les avocats membres d'un Ordre faisant partie de l'Orde van Vlaamse Balies (OVB), de l’Ordre des Barreaux Francophones et Germanophone (Avocats.be), ou l’Ordre des avocats à la Cour de cassation (A(D)VOCASS);
    2. les collaborateurs administratifs des avocats susmentionnés qui ont été autorisés par ces avocats à utiliser les Applications en leur nom et pour leur compte, et ce uniquement dans le cadre de leur mandat pour ces utilisateurs (ci-après dénommés le(s) “Mandant(s)”);
    3. d’autres utilisateurs qui sont désignés comme étant des utilisateurs autorisés dans les conditions spécifiques des Applications.

Les avocats, leurs collaborateurs personnels ou d’autres utilisateurs autorisés sont désignés dans les présentes conditions générales par le terme "Utilisateur(s)". 

  1. Les Utilisateurs doivent s'assurer que leur(s) Mandant(s) est/sont soumis à des règles de confidentialité appropriées, (permettant lorsqu’il s’agit d’avocats de garantir entre autres le secret professionnel leur incombant, et) par lesquelles sont respectées les dispositions légales relatives à la protection de la vie privée et la protection des données à caractère personnel des personnes dont les données sont traitées via les demandes. Les actions exécutées par les Mandants sont toujours au nom et pour le compte des avocats en question, qui sont entièrement responsables en cas de violation. 

    Un aperçu des conditions générales et spécifiques que l'Utilisateur a accepté est disponible sur la plateforme DPA. La plateforme DPA reprend également un aperçu des autorisations accordées par un Utilisateur.
     
  2. En utilisant les Applications, les Utilisateurs confirment qu'ils ont lu et compris les présentes conditions générales et acceptent que ces conditions générales leur soient applicables. Les Utilisateurs ne permettront pas à des tiers d'utiliser les Applications si ces tiers ne remplissent pas les conditions, tels que décrites dans les présentes conditions générales et dans les conditions spécifiques applicables. Les Utilisateurs sont en toutes circonstances tenus d'informer les tiers du contenu des présentes conditions générales.
     

Services payants, facturation et paiement

  1. L'utilisation de la plateforme DPA, la Signature Électronique d’Avocat, et les services qui sont rendus accessibles via les Applications peuvent avoir un coût. Si tel est le cas, ce coût sera clairement communiqué via l'Application à l'Utilisateur, qui devra l'accepter préalablement. Les coûts communiqués à un autre endroit sont simplement indicatifs.

    Les Utilisateurs confirment leur acceptation des coûts lors de l'utilisation du service payant. Un résumé écrit de la commande d'un service payant est conservé sous forme électronique sur la plateforme DPA. Ce résumé reste accessible aux Utilisateurs pendant une période de 90 jours. En fonction des services commandés, les factures sont payables soit à l’avance, soit dans un délai de 30 jours.

    Le coût ne sera facturé que si la prestation commandée a été livrée avec succès, à moins que l'échec de la prestation ne soit dû en tout ou en partie à la saisie de données erronées ou incomplètes par l'Utilisateur, ou que les parties essentielles de la prestation puissent encore être exécutées avec succès.

    En principe, les factures seront émises par DPA. L’Utilisateur accepte de recevoir les factures sous forme électronique à l’adresse e-mail liée à son compte sur la plateforme DPA et, à partir du 1er janvier 2026, par le réseau européen Peppol. 

    L'Utilisateur peut se voir refuser l'accès à un ou plusieurs services qui sont mis à disposition via les Applications si l'Utilisateur n'a pas payé intégralement les factures précédentes du Prestataire conformément aux conditions de paiement indiquées sur ces factures. 

    L'Utilisateur, qui est avocat ou mandant d’un avocat, reconnaît que le paiement ponctuel des factures est une obligation qui fait partie de l'exercice confraternel de la profession d’avocat et qu'en cas de non-paiement persistant de factures incontestées, le Prestataire prendra des mesures d’exécution et informera le bâtonnier de l'avocat concerné pour d’éventuelles mesures disciplinaires.

Identification et authentification aux services ou des sources d’information appartenant à des tiers

  1. Afin de pouvoir utiliser les services et/ou les sources d’information appartenant à des tiers, accessibles par les Applications, les Utilisateurs doivent s’identifier et s’authentifier. A cette fin, l'Utilisateur autorise le Prestataire à vérifier son identité, sa capacité (en tant qu’avocat, Mandant, ou autre) et ses autorisations et l’Utilisateur transmettra toutes les données utiles exigées par le Prestataire. A cette fin, le Prestataire traitera les données comme décrit dans la Déclaration Vie Privée DPA Access.  

    L’Utilisateur accepte que le Prestataire identifie l’Utilisateur (a) pour les utilisateurs non-avocats (comme les collaborateurs administratifs), par la lecture de leur document d'identité (carte d’identité électronique, ITSME ou autre moyen d’authentification proposé par le Federal Authentication Service du SPF BOSA) et (b) pour les utilisateurs-avocats, directement à partir des annuaires électroniques tels que stipulés dans l'article 434/1 du Code judiciaire qui constituent la source authentique des données relatives aux avocats, complété par la lecture d’un document d’identité tel que prévu dans la Déclaration Vie Privée DPA Access. 

    Après identification et authentification, les Utilisateurs obtiendront l’accès aux services ou aux sources d'information s'ils respectent les conditions prévues à cet effet de ces services ou sources d’informations.  Cela suppose qu’ils acceptent et respectent les conditions d'accès (spécifiques ou supplémentaires) applicables.
     
  2. Les services et/ou les sources d’information peuvent donner accès à des registres électroniques pour lesquels le législateur, le gouvernement ou des tiers ont désigné un gestionnaire, tel que l’Orde van Vlaamse Balies (‘OVB’) ou l’Ordre des Barreaux Francophones et Germanophone (‘AVOCATS.BE’), (ci-après, le ‘Gestionnaire’). L’Utilisateur s’interdit d’utiliser ou de consulter les services et/ou les sources d’information à des fins autres que celles autorisées par la loi, les conditions spécifiques et, s’il est Utilisateur-avocat, les règles déontologiques auxquelles il/elle est soumis(e).

     

Création et utilisation de la signature électronique d’avocat (DPA-Sign)

  1. Le Prestataire offre à l'Utilisateur-avocat la possibilité d'activer une signature électronique confirmant sa qualité d'avocat (la « Signature Électronique d'Avocat »). Cette signature peut être activée avec ITSME et le certificat de signature électronique qualifié de l'Utilisateur. La Signature Électronique d'Avocat associe le certificat de signature électronique qualifié de l'Utilisateur aux données suivantes issues des listes électroniques définies à l'article 434/1 du Code judiciaire, considérées comme une source authentique de données d'avocat : 

    • le nom et prénom
    • l’identifiant unique de l’Utilisateur-avocat (UU-ID)
       

    sans afficher le numéro de registre national ou le numéro BIS de l’Utilisateur. La Signature Électronique de l’Avocat contiendra et affichera les données suivantes : 

    • le nom et le prénom de l’avocat tels qu’ils apparaissent dans le profil utilisateur de l’Utilisateur-avocat,
    • la capacité d’avocat, et
    • l’UU-ID de l’Utilisateur-avocat. 
       
  2. La Signature Électronique d'Avocat n'est pas obligatoire. Chaque avocat choisit de l'activer ou non. Le traitement de données personnelles nécessaire à cet égard se retrouve dans la Déclaration Vie Privée DPA Access. Celles-ci sont disponibles ici : https://dp-a.be/fr/declaration-vie-privee. Pour activer et utiliser la Signature Électronique d'Avocat, l’Utilisateur-avocat doit disposer d'un smartphone récent, d'un compte ITSME actif et d’un compte lié aux services externes de la plateforme de signature agréée par le Prestataire (« Platforme de Signature »). 

    L’Utilisateur-avocat qui active et utilise la Signature Électronique d'Avocat s'engage à utiliser exclusivement son ITSME et son smartphone personnels. L’Utilisateur-avocat déclare avoir accepté et respecter les conditions d'utilisation d'ITSME et de la Plateforme de Signature. Celles-ci sont disponibles ici : https://www.itsme-id.com/fr-BE/legal/terms-of-use
     
  3. La Signature Électronique d'Avocat ne peut être placée que sur des Plateformes de Signature après contrôle d'accès via la plateforme DPA. Les Plateformes de Signature peuvent imposer des conditions d'utilisation spécifiques, que l'Utilisateur doit accepter avant de pouvoir utiliser la Signature Électronique d'Avocat.

    DPA ne peut être tenue responsable des dysfonctionnements, pannes ou erreurs d'ITSME et/ou de la Plateforme de Signature.
     
  4. L'Utilisateur-avocat peut désactiver le service Signature Électronique d’Avocat de DPA à tout moment. DPA désactivera automatiquement le service Signature Électronique d’Avocat si l'avocat cesse d'exercer ses fonctions (par exemple, en cas d'omission ou de décès). Ceci n’a aucun impact sur la validité des signatures placées. L’Utilisateur doit valider une telle signature au moment de la placer.
     

Saisie d’information correcte et complète

  1. Lors de l'utilisation des Applications et des services rendus accessibles via les Applications, les Utilisateurs garantissent que toutes les données qu'ils saisissent eux-mêmes sont correctes, complètes et véridiques. Si les données qu'ils saisissent eux-mêmes ne sont pas correctes, complètes et véridiques, le bon fonctionnement des Applications et des services rendus accessibles via les Applications ne peut être garanti. Dans de telles situations, le Prestataire ne donne aucune garantie de quelque nature que ce soit quant à l'utilisation des Applications et des services qui sont accessibles via les Applications. 

    Le Prestataire ne peut en aucun cas être tenu responsable du contenu des documents partagés, des correspondances ou des pièces communiquées par l'Utilisateur via les Applications.

Exonération de responsabilité

  1. Sans préjudice de l'exclusion de garantie ci-dessus, la responsabilité du Prestataire pour le non-fonctionnement ou le mauvais fonctionnement des Applications et pour tout dommage en résultant sera en tout état de cause limitée à un montant maximum de 2 500 € par incident, quelle que soit la cause de l'incident ou la nature du dommage, sauf en cas de dol, de dommage physique ou de décès, ou lorsque la loi interdit une telle limitation de la responsabilité. Les dommages indirects ou consécutifs ne peuvent en aucun cas donner lieu à une quelconque indemnisation.
     
  2. Le Prestataire ne peut en aucun cas être tenu responsable de tout dommage imputable en tout ou en partie à des tiers, y compris mais sans s'y limiter, toute défaillance technique ou toute interruption technique des services, sources d'information ou infrastructures qui ne sont pas sous le contrôle exclusif du Prestataire. Cela comprend, sans toutefois s'y limiter, les incidents où la communication électronique avec les cours ou tribunaux est empêchée ou retardée en raison d'une défaillance technique ou d'une perturbation technique des systèmes informatiques de la justice auxquels les Applications sont reliées.
     

Utilisation autorisée

  1. Une utilisation des Applications autre que celle décrite dans les présentes conditions générales et les conditions spécifiques applicables n'est pas autorisée. L'Utilisateur s'engage à s'abstenir de toute conduite contraire aux présentes conditions générales, aux conditions spécifiques applicables, aux lois applicables et aux règles déontologiques en vigueur. En outre, l'Utilisateur s'abstiendra de toute action (ou tout acte d'omission) qui perturberait ou interromprait le fonctionnement des Applications, d'autres applications ou services avec lesquels les Applications coopèrent, les données collectées ou transmises via Applications, ou qui porterait atteinte aux intérêts du Prestataire ou ceux des autres Utilisateurs des Applications. La violation de ces règles peut entraîner une responsabilité civile ou pénale et une exclusion temporaire ou permanente de l’accès aux Applications.
     

Vérification par le Prestataire

  1. Le Prestataire a le droit de vérifier à tout moment si les informations saisies par les Utilisateurs dans les Applications ou les services rendus accessibles via les Applications sont correctes, complètes et véridiques. Si des erreurs sont constatées, le Prestataire sera en droit d'en réclamer le paiement des frais non facturés et des dommages et intérêts. Dans ce cas, et/ou lorsque la poursuite de la prestation des services présente un risque pour la sécurité, le Prestataire est en droit de prendre des mesures conservatoires, y compris la suspension de services jusqu’au paiement des frais et dommages impayés et jusqu’à ce que la poursuite de la prestation des services présente un risque pour la sécurité ou une violation raisonnablement incontestable ou incontestée de la législation applicable (y compris le Règlement général sur la protection des données (RGPD)). En cas d'indications d'erreurs intentionnelles, y compris, sans y être limité, une demande injustifiée de tarifs pro deo, une enquête sur le respect de l'éthique et de la déontologie peut également être menée, ce qui peut entraîner, pour les personnes concernées qui sont soumises à des règles déontologiques (comme des avocats), des enquêtes et sanctions disciplinaires.
     

Mesures de sécurité

  1. L'utilisation des Applications nécessite la possession et l'utilisation de moyens d'identification et de signature. Les Utilisateurs des Applications confirment et garantissent (i) qu'eux seuls ont accès (a) aux moyens servant à s'identifier et/ou à apposer une signature électronique, et (b) à tout code d'Utilisateur ou code PIN associé ; (ii) qu'ils ont correctement installé les logiciels nécessaires sur leur système. Le Prestataire de services n'offre aucune garantie et n'acceptera aucune responsabilité en cas de non-respect de cette obligation par l'Utilisateur.
     
  2. Les Utilisateurs des Applications confirment qu'ils prendront soin de la sécurité de leur propre système informatique comme une personne prudente et raisonnable, qu'ils acceptent les exigences techniques et organisationnelles minimales à cet égard (voir ci-dessous) et qu'ils respecteront ces mesures à tout moment, dans la mesure où elles s'appliquent à eux.

Disponibilité des services

  1. Les Applications sont conçues, gérées et mises à disposition avec tout le soin raisonnable, et le Prestataire s'efforce d'en assurer la disponibilité et l'utilisabilité permanente 24 heures sur 24, tous les jours ouvrés (définis comme tout jour à l'exclusion des samedis, dimanches et jours fériés belges). L'Utilisateur reconnaît et accepte que le Prestataire ne garantit la disponibilité et l'utilisabilité des Applications qu'à 99% pendant les jours ouvrés de 8h00 à 22h00 (la Période Opérationnelle, mesurée quotidiennement pendant ces heures). Si l'Utilisateur souhaite utiliser les Applications à un autre moment que pendant la Période Opérationnelle, il le fera entièrement à ses propres risques et sans aucune garantie de disponibilité ou d'utilisation.
     
  2. La disponibilité et l'exploitation des Applications peuvent être suspendues ou terminées par le Prestataire en dehors de la Période Opérationnelle pour des raisons d'entretien, de mises à jour ou pour des interventions. L'Utilisateur comprend et accepte que les Applications ou le Site Web peuvent évoluer et que cela peut avoir un impact sur leur disponibilité et leur fonctionnalité. En conséquence, toute utilisation des Applications est soumise aux conditions générales et spécifiques applicables au moment de l'utilisation. Les présentes conditions générales peuvent être modifiées par le Prestataire en cas de besoin et ne sont pas contestables.

Traitement de données à caractère personnel

  1. L'utilisation des Applications nécessite le traitement de certaines données à caractère personnel. Les données à caractère personnel traitées par le biais des Applications seront traitées conformément aux dispositions légales relatives à la protection des données à caractère personnel et la/les déclaration(s) vie privée du Prestataire (“Déclaration(s) Vie Privée”), les présentes conditions générales et les conditions spécifiques de chaque Application. Ces documents sont disponibles sur le Site Web. L'utilisation des services du Prestataire implique également l'acceptation de la/les Déclaration(s) Vie Privée. L'Utilisateur confirme par ce biais qu'il a lu et compris la/les Déclaration(s) Vie Privée et qu'il accepte que ces Déclarations Vie Privée s'appliquent à lui.
     
  2. Les termes « Personne concernée », « Sous-traitant », « Responsable du traitement », « Traitement », « Violation de données personnelles » et « Données personnelles » ont la même signification que celle définie dans le RGPD et les autres dispositions légales de droit impératif actuelles et futures relatives au traitement des données personnelles (« Législation sur la protection des données »).
     
  3. Un Utilisateur ne peut accéder aux Applications DPA que s'il remplit toutes les conditions requises. L'accès à ces applications n'est accordé qu'après acceptation des présentes conditions et accord d’utiliser les informations uniquement aux fins légales, dont les modalités sont décrites plus en détail, le cas échéant, dans les conditions spécifiques de chaque Application et/ou dans la/les Déclaration(s) Vie Privée.

    L'Utilisateur est considéré comme le responsable indépendant du traitement et son accès doit toujours être suffisamment motivé et expressément limité au traitement légal effectué aux fins énoncées dans les conditions spécifiques. Le Prestataire de services et les Gestionnaires sont en droit de vérifier périodiquement ces informations et de demander des informations complémentaires à l'Utilisateur si nécessaire.
     
  4. L'Utilisateur garantit qu’il/elle (i) respecte ses obligations en vertu de la Législation sur la protection des données ; (ii) est responsable indépendant de la collecte et du traitement (ultérieur) des Données personnelles conformément aux exigences de la Législation sur la protection des données, y compris en fournissant toutes les notifications requises et en obtenant tous les consentements requis. L'Utilisateur garantit en outre que ces traitements de Données personnelles par le Prestataire sont licites et, outre la Législation sur la protection des données, également conformes à la législation applicable, à la déontologie et aux conditions générales et particulières applicables à ces services ; (iii) prend toutes les précautions raisonnables pour ne pas traiter ou divulguer les Données personnelles autrement que dans les limites autorisées par la Législation sur la protection des données applicable ; et (iv) ne fait rien qui puisse entraîner une violation de la Législation sur la protection des données par lui-même, le Prestataire ou les Gestionnaires.
     
  5. L'Utilisateur s'engage à fournir toute assistance raisonnable au Prestataire de services et aux Gestionnaires, à leur demande, dans le cadre de leurs propres obligations en vertu de la Législation sur la protection des données. Inversement, le Prestataire de services s'engage à fournir toute assistance raisonnable à l'Utilisateur, à sa demande, dans le cadre de ses propres obligations en vertu de la Législation sur la protection des données, pour l'utilisation des Applications DPA.
     
  6. Le Prestataire de services agit dans certains cas en tant que responsable indépendant du traitement, dans d'autres cas en tant que sous-traitant de l'OVB et de l'OBFG et/ou du Gestionnaire concerné, et exceptionnellement en tant que sous-traitant de l'Utilisateur. Cette qualification dépend de l'Application. De plus amples informations à ce sujet sont disponibles dans la/les Politique(s) Vie Privée, ainsi que dans les conditions spécifiques de l'Application concernée. 
     
  7. Sans être exhaustif, le respect de la Législation sur la Protection des Données implique ce qui suit pour les parties:
  • ne pas collecter plus de Données personnelles que ce qui est strictement nécessaire à la finalité poursuivie et ne les traiter qu'à des fins légitimes ;
  • tenir par écrit (en ce compris sous forme électronique) un registre des activités de traitement effectuées pour leur compte propre ou en qualité de sous-traitant, comprenant au moins les données prévues à l'article 30 du RGPD ;
  • lorsqu'un Traitement, compte tenu de sa nature, de sa portée, de son contexte et de ses finalités, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, procéder à une analyse d'impact relative à la protection des données (AIPD);
  • mettre également en œuvre contractuellement les obligations découlant de la Législation sur la protection des données à l'égard des parties (y compris les sous-traitants) qui traitent des Données personnelles sur instruction ou sous autorité ;
  • se conformer aux obligations de transparence, y compris, le cas échéant, en publiant une déclaration de vie privée ;
  • prendre les mesures techniques et organisationnelles appropriées concernant les Données personnelles traitées et tester, évaluer et mettre à jour l'efficacité de ces mesures ;
  • répondre dans les meilleurs délais aux demandes d'une personne concernée qui invoque un ou plusieurs droits énumérés ci-dessous : le droit d'accès, y compris celui d'obtenir une copie des Données personnelles traitées ; le droit de rectification des Données personnelles ; le droit à l'effacement (« droit à l'oubli ») ; le droit à la limitation du traitement ; le droit à la portabilité des données personnelles ; le droit d'opposition ; le droit de ne pas faire l'objet d'une décision individuelle automatisée, y compris le profilage. Si une personne concernée contacte directement une partie pour invoquer l'un des droits susmentionnés, cette partie doit orienter la personne concernée vers l'autre Partie pour le traitement dont cette dernière est responsable ;
  • informer dans les meilleurs délais l'autre partie dès qu'elle a connaissance d'une violation de la sécurité des Données personnelles entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données personnelles transmises, conservées ou traitées d'une autre manière, de manière accidentelle ou illicite ;
  • communiquer, le cas échéant, les informations suivantes à l'autre partie afin de notifier la violation à l'autorité de contrôle compétente et à la personne concernée : la nature de la violation, en précisant, si possible, les catégories de personnes concernées et les dossiers de Données personnelles concernés, ainsi que, approximativement, le nombre de personnes concernées et de dossiers de données personnelles concernés ; les conséquences probables de la violation sur les Données personnelles ; les mesures prises ou susceptibles d'être prises pour remédier à la violation des Données personnelles, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.

Droits intellectuels

  1. Les droits d'auteur et autres droits de propriété intellectuelle sur les Applications, y compris les images, éléments graphiques, textes ou autres œuvres protégées par le droit d'auteur, les dessins, modèles, noms commerciaux ou marques sont soit la propriété du Prestataire, soit sont utilisés avec la permission du propriétaire des droits de propriété intellectuelle. Aucune partie du Site Web ou des Applications, y compris, mais sans s'y limiter, les textes, les images, la conception protégée, les dessins, modèles, noms commerciaux ou marques, ne peut être utilisée de quelque manière ou à quelque fin que ce soit sans l'autorisation écrite expresse du Prestataire, sauf pour les fins décrites dans les présentes conditions générales, dans les conditions spécifiques applicables ou dans la/les Déclaration(s) Vie Privée.
     
  2. Toute utilisation non autorisée des droits de propriété intellectuelle du Prestataire ou de ses partenaires, ou de toute partie ou aspect de ces droits, peut vous exposer à des pénalités ou des amendes, y compris, mais sans s'y limiter, des pénalités fondées sur des violations de marques, de droits d'auteur, de brevets, de droits à la vie privée et de pratiques honnêtes du marché. L'utilisation des Applications n'affectera pas les droits de propriété intellectuelle que les Utilisateurs peuvent détenir sur les informations qu'ils envoient ou traitent via les Applications. Les Utilisateurs s'assurent que l'envoi ou tout autre traitement de ces informations est légal, et indemnisent le Prestataire en cas de réclamations de tiers à cet égard.

Aperçu des sanctions

  1. La violation des présentes conditions générales (y compris la/les Déclaration(s) Vie Privée et les mesures techniques et organisationnelles minimales) et/ou des conditions spécifiques d'une Application peut entraîner une responsabilité civile ou pénale et une exclusion temporaire ou définitive de l'accès aux Applications.

    Le Prestataire se réserve le droit de suspendre les services sans mise en demeure préalable s'il est établi que l'Utilisateur ne respecte pas les présentes conditions générales (y compris la/les Déclaration(s) Vie Privée et les mesures techniques et organisationnelles minimales) et/ou les conditions spécifiques d'une Application.

    Le Prestataire procédera à la suspension temporaire ou à l'exclusion définitive de l'accès si elle reçoit des instructions en ce sens de l'OVB, de l'OBFG, d'un Gestionnaire ou du bâtonnier concerné.

    Sans préjudice du droit de DPA à indemnisation, DPA peut, de sa propre initiative, procéder à une exclusion définitive de l'accès si DPA constate une violation répétée ou continue des présentes conditions générales (y compris la/les Déclaration(s) Vie Privée et les mesures techniques et organisationnelles minimales) et/ou des conditions spécifiques d'une Application et que l'Utilisateur demeure en défaut après avoir été sommé par DPA de mettre fin à cette violation.

    La loi du 2 août 2002 relative à la lutte contre le retard de paiement dans les transactions commerciales s'applique intégralement aux services de DPA. À compter de l'expiration du délai de paiement, des intérêts seront dus de plein droit et sans mise en demeure préalable au taux d'intérêt légal, majorés d'une indemnité forfaitaire de 40 € et d'une indemnité raisonnable pour les frais de recouvrement engagés en raison du retard de paiement.
     
  2. Toute violation des présentes conditions générales (y compris la/les Déclaration(s) Vie Privée et les mesures techniques et organisationnelles minimales) et/ou des conditions spécifiques peut constituer une violation des lois, des règles déontologiques et des règles disciplinaires. Si DPA constate d'éventuelles violations, elle peut en informer les autorités compétentes (notamment le bâtonnier compétent, l'OVB, l'OBFG et le Gestionnaire) et leur demander de mener une enquête sur le respect par l'Utilisateur des règles qui lui sont applicables (telles que les règles éthiques et déontologiques). Pour les personnes concernées soumises à des règles déontologiques (comme les avocats), cela peut donner lieu à une enquête disciplinaire et à des sanctions disciplinaires.

Modifications

  1. Les présentes conditions générales (y compris la/les Déclaration(s) Vie Privée) peuvent être complétées, revues ou adaptées. Les Utilisateurs acceptent que l'utilisation du service d'identification et d’authentification et les Applications est toujours soumis à la version des conditions générales qui a été publié et est applicable au moment de cette utilisation.

Droit applicable et résolution des conflits

  1. Les présentes conditions générales et l'utilisation des Applications sont soumises au droit belge, et tout litige relatif aux Applications ou aux conditions générales est soumis à la compétence exclusive du tribunal de l'entreprise de Bruxelles, Belgique.

 

MESURES TECHNIQUES ET ORGANISATIONNELLES MINIMALES

1. EN GÉNÉRAL

DPA cv (DPA) est un prestaire de services, qui identifie et authentifie les Utilisateurs afin de les fournir accès à diverses sources d'information et applications Web, DPA étant parfois le fournisseur technique désigné par l'OVB et l'OBFG ou par le Gestionnaire pour les tâches qui leur sont légalement confiées.

Ce document décrit les mesures, les rôles et les responsabilités concernant les mesures techniques et organisationnelles minimales pour les utilisateurs des applications DPA.

Ces mesures s'appliquent à tout système informatique utilisé pour produire, traiter, collecter, consulter, échanger ou sauvegarder des informations. Tout utilisateur autorisé à utiliser, développer et intégrer les ressources informatiques des applications DPA doit se conformer aux mesures et règles énoncées dans ce document.

La sécurité de l'information, telle que décrite dans ce document, doit être envisagée au sens large et pas seulement en termes de technologies de l'information. L'expérience pratique du monde des affaires montre qu'environ 35 % des incidents de sécurité résultent d'une erreur humaine et non d'attaques délibérées.

Plus de la moitié des 65 % d'incidents de sécurité restants, résultant d'une attaque délibérée, auraient pu être évités si les employés avaient traité les informations de manière plus sécurisée.

Cela indique clairement que la sécurité de l'information doit être considérée comme une combinaison de personnes, de processus et de technologies. Il est donc important de comprendre que la sécurité de l'information est une préoccupation pour l'ensemble de l'organisation et pas seulement une question informatique. La mise en œuvre des mesures de sécurité doit pénétrer tous les niveaux de l’organisation.

La sécurité de l'information est l'ensemble des mesures de gestion garantissant la confidentialité, l'intégrité et la disponibilité de toutes les formes d'information :

  • Confidentialité : l'accès aux données ou aux fonctionnalités est limité aux personnes autorisées. On parle parfois d'« exclusivité », car l'accès est limité à un groupe de personnes autorisées pouvant accéder à ces données spécifiques. Toutes les données et tous les programmes doivent être protégés contre toute publication non autorisée (interne ou externe).
  • Intégrité : l'intégrité des données ou des fonctionnalités est garantie. Il s'agit de la protection contre toute modification non autorisée des données des logiciels et du matériel. L'intégrité des données se rapporte à leur authenticité, leur exactitude et leur exhaustivité.
  • Disponibilité : l'accès aux données ou aux fonctionnalités est garanti aux utilisateurs au moment opportun. La disponibilité garantit que les systèmes informatiques sont disponibles au moment opportun pour exécuter les tâches et que les mesures de sécurité fonctionnent correctement. Le terme « disponibilité » fait référence à la nécessité d'assurer la continuité des services.

L'objectif est d'assurer la continuité de l'information et de la fourniture de l'information et de limiter les conséquences possibles des incidents de sécurité de l'information à un niveau acceptable et prédéterminé.

Afin d'assurer une sécurité optimale de la plateforme DPA, y compris de toutes les bases de données consultables et/ou mises à jour (telles que la CBB, le Registre national, etc.), il est primordial que tous les Utilisateurs de ces systèmes soient conscients de l'importance d'appliquer strictement une politique de sécurité de l'information adéquate.

Ce document contient un certain nombre de mesures, de règles et de recommandations qui font partie intégrante de cette politique. Cette politique doit être approuvée et appliquée par tous les Utilisateurs impliqués de quelque manière que ce soit dans l'utilisation et/ou le support technique des systèmes locaux des Utilisateurs auxquels ils appartiennent. C'est également la raison pour laquelle tous les Utilisateurs sont invités, via les applications DPA, à confirmer leur connaissance et leur acceptation du contenu de ce document.

Ce document est strictement confidentiel et ne peut être communiqué à des tiers sans le consentement préalable du Prestataire de Services. Il contient des informations à usage interne uniquement. Par la simple réception de ce document, le destinataire accepte que toutes les informations qu'il contient soient considérées comme strictement confidentielles et ne peuvent donc être communiquées à des tiers sans le consentement écrit exprès du Prestataire de Services. Ce document sera traité avec le même soin que les informations confidentielles du destinataire.

Toute dérogation à cette politique de sécurité doit être expressément acceptée par écrit par le Prestataire.

2. POLITIQUE DE SECURITE LIEE AUX UTILISATEURS

L'objectif de cette politique est d'optimiser l'utilisation des connaissances et de l'expérience des Utilisateurs et de les maintenir au niveau requis afin de promouvoir la sécurité et de réduire les risques d'actions humaines intentionnelles ou non.

L'accès initial aux Applications DPA ne peut être demandé que par des avocats. Chaque avocat-utilisateur ne peut demander l'accès initial aux Applications DPA que par le service d'identification et d'authentification via le « Federal Authentication Service » (FAS) du SPF BOSA moyennant ses propres certificats électroniques liés à l'application ITSME ou sa carte d’identité électronique (procédure de connexion normale). Après un accès initial selon la procédure de connexion normale, l'Utilisateur peut lier le contrôle d'accès à une procédure de connexion alternative autorisée par le Prestataire de Services, telle que l'utilisation d'ITSME ou d'une carte d'identité électronique par un employé administratif. Cette procédure de connexion alternative sera toujours soumise à des conditions d'utilisation et à des mesures de sécurité spécifiques. Il est du devoir de l'Utilisateur de veiller au strict respect de ces règles générales et spécifiques, tant pour la procédure de connexion normale que pour la procédure de connexion alternative. Les Utilisateurs acceptent que le Prestataire de Services puisse imposer des règles plus strictes à tout moment afin de garantir la sécurité de la procédure de connexion.

Les Utilisateurs doivent être conscients des risques liés à la sécurité de l'information et de son importance, et doivent disposer des ressources, des connaissances et des compétences appropriées à cet effet.

La politique du personnel des Utilisateurs y contribue, par exemple en intégrant les aspects de sécurité dans les descriptions de poste, par des déclarations de confidentialité, en intégrant la responsabilité de l'employé en matière de sécurité de l'information dans le règlement intérieur ou le contrat de travail, ou en décrivant des codes de conduite.

Chaque utilisateur a le devoir de signaler les risques et les incidents de sécurité.

Les utilisateurs sont sensibilisés à leur responsabilité de maintenir une sécurité d'accès efficace, notamment en ce qui concerne l'utilisation des mots de passe et la sécurité des équipements.

Les Utilisateurs sont sensibilisés aux risques de sécurité associés aux systèmes de bureautique électronique (par exemple, ordinateurs, ordinateurs portables, téléphones, téléphones mobiles, e-mail, courrier, messagerie vocale, services postaux, fax, etc.) : ces systèmes présentent un risque pour la confidentialité des données de l'entreprise.

Les Utilisateurs sont rappelés à leurs responsabilités lors de l'utilisation d’e-mails:

  • Responsabilité de ne pas compromettre l'organisation par l'envoi de messages inappropriés
  • Vigilance lors de l'ouverture des e-mails et des pièces jointes.

Sur les équipements directement connectés à l'infrastructure de l'utilisateur (par exemple, les PC), l'installation des logiciels et la configuration ne peuvent être effectuées que par les services autorisés désignés par l'organisation.

En cas de cessation du service ou de modification du contenu d'une fonction, les droits d'accès et les autorisations sont révoqués dans les meilleurs délais et le matériel physique est récupéré.

Toute violation de la politique et des procédures de sécurité de l'organisation est traitée par une procédure formelle.

3. RESPECT DES LIGNES DIRECTRICES DE L’APD ET DU CEPD

Les Utilisateurs s'engagent à garantir le respect, au sein de leur organisation, de toutes les lignes directrices et mesures de référence pertinentes recommandées par l'Autorité de protection des données (APD) et le Comité européen de la protection des données (« CEPD »), tant au niveau des systèmes, de l'organisation que des personnes. 

Les lignes directrices de l'APD et du CEPD doivent, d'une part, fournir une interprétation claire et harmonisée de toutes les dispositions du RGPD et, d'autre part, fournir des recommandations fondées sur les pratiques en vigueur dans les États membres de l'UE. Ces lignes directrices sont donc le fruit d'une coopération étroite avec diverses parties prenantes.

L'Autorité de protection des données (APD) a également publié une brochure d'information sur la « cybersurveillance » concernant le suivi des échanges de courriers électroniques des employés sur le lieu de travail ; ce document est également disponible sur le site web de l’APD (https://www.autoriteprotectiondonnees.be).

4. ANTIVIRUS ET MALWARE

L'Utilisateur s'engage à installer un logiciel antivirus approprié sur tous les ordinateurs (serveurs et PC, ainsi que les ordinateurs portables et tablettes, etc.) connectés aux Applications DPA. Le terme « VIRUS » désigne tout logiciel malveillant dissimulé dans un autre logiciel exécutable et susceptible d'endommager l'équipement sur lequel il est installé, que ce soit au niveau du logiciel, des données ou du matériel lui-même, en se propageant par reproduction ou distribution, quel que soit le support utilisé pour cette diffusion. 

L'Utilisateur doit s'informer suffisamment afin de pouvoir choisir une offre de qualité. De plus, il est absolument essentiel que ces offres soient régulièrement mises à jour (la mise à jour automatique doit être activée). 

L'Utilisateur s'engage également à informer immédiatement DPA, le cas échéant, dès qu'il a connaissance de l'introduction d'un virus dans son équipement.

5. NAVIGATEURS INTERNET

Il est fortement recommandé d'utiliser uniquement des navigateurs web approuvés par le Prestataire de Services, conformes aux normes de sécurité Internet en vigueur. Il est fortement déconseillé d'utiliser des versions obsolètes. Il est conseillé de toujours utiliser un navigateur activement pris en charge et doté de mises à jour de sécurité.

Il est essentiel de toujours installer la dernière version du ou des navigateurs utilisés. Les éditeurs de ces navigateurs mettent constamment à jour leurs logiciels afin de combler les failles de sécurité. Il peut arriver qu'une version spécifique d'un navigateur soit particulièrement vulnérable pendant un certain temps, jusqu'à ce qu'une solution soit proposée pour résoudre ce problème de sécurité, ce qui peut prendre du temps. Dans ce cas, le Prestataire de Services demandera à tous les avocats de cesser temporairement d'utiliser ce navigateur et d'en utiliser un autre.

L'utilisation de certains modules complémentaires (‘add-ons’) dans les navigateurs est déconseillée, car ils représentent une réelle menace pour la sécurité. Si des modules complémentaires sont nécessaires pour certaines tâches, ils doivent être installés sur un ordinateur distinct, non connecté au réseau local.

6. SECURITE DE RESEAU

L'Utilisateur s'engage à sécuriser adéquatement le(s) réseau(x) utilisé(s) pour se connecter aux Applications DPA. Le firewall installé doit répondre aux exigences requises pour le traitement de données personnelles confidentielles. Il est également recommandé d'équiper le firewall d'un antivirus/antimalware fiable.

L'utilisation de Wi-Fi n'est autorisée que si le routeur Wi-Fi est correctement sécurisé par un cryptage suffisamment sécurisé. De plus, le micrologiciel (firmware) des composants responsables de l'accès à Internet doit toujours être mis à jour avec la dernière version disponible.

L'utilisation des Applications DPA via les réseaux Wi-Fi publics (ordinateur portable, tablette ou smartphone) est strictement interdite sans mesure de sécurité complémentaire (par exemple, un VPN sécurisé).

Si des appareils mobiles (ordinateur portable, tablette, etc.) sont utilisés pour accéder aux Applications DPA, ils doivent également être équipés du logiciel de sécurité nécessaire, tout comme les postes de travail fixes.

L'accès aux Applications DPA ne peut se faire depuis un ordinateur personnel où des personnes extérieures ou des enfants travaillent ou jouent. Les enfants ont généralement une connaissance insuffisante des dangers d'Internet. Ils visitent des sites web potentiellement dangereux qui peuvent, par exemple, installer un virus ou un logiciel malveillant sur l'ordinateur/portable de l'avocat/employé (par exemple, un ordinateur portable mis à disposition par le cabinet). En se connectant ensuite au réseau du cabinet, cet utilisateur peut infecter ce réseau.

7. SYSTÈMES OPERATEURS ET LOGICIELS ASSOCIÉS

L'Utilisateur s'engage à utiliser uniquement des systèmes opérateur suffisamment sécurisés. Les systèmes opérateur doivent toujours être fournis avec les dernières mises à jour du fabricant ; les mises à jour automatiques doivent donc être activées et appliquées. Il en va de même pour tous les logiciels associés, tels qu'Adobe PDF Reader.

8. AUTHENTIFICATION

L'accès aux Applications de l'APD est uniquement possible via une authentification forte (ITSME, eID ou équivalent fourni par DPA).

Si l'ordinateur ou l'ordinateur portable de l'Utilisateur est sécurisé par un mot de passe, celui-ci doit être suffisamment adéquat. Les recommandations suivantes s'appliquent à cet égard :

Chaque mot de passe doit contenir au moins 10 caractères, dont au moins :

  • une lettre minuscule
  • une lettre majuscule
  • un chiffre
  • un caractère spécial tel que *, $, !, (, ), %, ?, etc.

De plus :

  • Un mot de passe ne doit pas être identique à ceux déjà utilisés.
  • La longueur maximale du mot de passe ne doit pas dépasser 50 caractères. Cela permet à l’utilisateur d’utiliser une phrase comme mot de passe, qui doit également contenir les caractères mentionnés ci-dessus.

Lors de la création d’un nouveau mot de passe, les règles suivantes doivent être respectées :

  • Un mot de passe doit être facile à mémoriser afin d’éviter de devoir l’écrire sur un document.
  • Il ne doit pas non plus être facile à deviner par une personne connaissant bien l’employé ou par des informations disponibles sur les réseaux sociaux (ingénierie sociale).
  • En cas de suspicion de compromission ou de divulgation d’un mot de passe, celui-ci doit être modifié immédiatement.
  • L’utilisateur ne doit jamais enregistrer ses mots de passe dans les navigateurs qu’il utilise.
  • Un mot de passe est strictement personnel ; il ne peut jamais être partagé par plusieurs utilisateurs. Il ne doit pas non plus être communiqué à d’autres personnes.
  • Un mot de passe ne doit jamais être écrit sur un post-it collé sur un écran ou ailleurs.
  • Un mot de passe ne doit jamais être composé:
    • D’un mot du dictionnaire, même s'il s'agit d'un dictionnaire de langues étrangères ;
    • Du même mot de passe que celui utilisé pour se connecter à l'ordinateur ;
    • De toute information concernant l'utilisateur, comme son prénom, son nom, son surnom, sa date de naissance, etc.

Un moyen simple de créer un bon mot de passe consiste à prendre le premier caractère de chaque mot d'une phrase, puis à complexifier le résultat obtenu en ajoutant des préfixes ou des suffixes, en convertissant certaines lettres en minuscules et en majuscules, ainsi qu'en ajoutant des chiffres et des caractères spéciaux.

Il est également recommandé de renouveler les mots de passe au moins tous les 6 mois dans les endroits où l'authentification est faible.

9. SENSIBILISATION DES UTILISATEURS

L'Utilisateur s'engage à sensibiliser tous les employés de son organisation aux risques liés à l'utilisation d'Internet et du courrier électronique. Il doit notamment les sensibiliser aux dangers des pratiques telles que le phishing, le malware, le spam et, plus particulièrement, le ransomware.

Le PHISHING est une forme de fraude sur Internet où la victime reçoit un e-mail lui demandant de vérifier et de confirmer un compte auprès d'une banque ou d'un prestataire de services. Le contact est parfois également établi par téléphone. Les auteurs de phishing sont généralement difficiles à identifier ; il est donc important d'être vigilant et de ne jamais répondre à une demande de virement ou de données personnelles/financières par e-mail.

Le terme « MALWARE » est la contraction des mots « malicious » et « software » et désigne collectivement les logiciels indésirables tels que les virus, les vers et les logiciels espions. L'utilisation d'antivirus et d'un pare-feu est une mesure courante pour s'en protéger. L'activité humaine reste l'une des principales causes d'épidémies virales. Une infection virale survient souvent lorsqu'un utilisateur ouvre une pièce jointe à un e-mail contenant non seulement le document promis, mais aussi un virus. Il est donc déconseillé d'ouvrir des e-mails suspects ou provenant d'un expéditeur inconnu, ni d'ouvrir les pièces jointes.

Le SPAM est un terme générique désignant les messages indésirables. Ce terme désigne généralement les courriers indésirables, mais les messages publicitaires indésirables sur les sites web en font également partie. Il est conseillé de ne jamais répondre ni transférer les spams, et d'être prudent lors de la diffusion d'adresses e-mail (en utilisant la fonction bcc).

Le RANSOMWARE est une méthode de chantage sur Internet utilisant des logiciels malveillants (malware), qui bloque complètement l'ordinateur jusqu'à ce qu'une certaine somme soit versée à l'auteur du chantage. Il est également extrêmement utile de se préparer à cette éventualité.

10. AUTRES RECOMMANDATIONS

Tous les postes de travail doivent être configurés pour verrouiller l'accès après une période d'inactivité de plus de 5 minutes.

Avant de quitter le poste de travail pour une période prolongée, l'accès doit être verrouillé, soit en se déconnectant, soit en passant en mode sécurisé.

Il est strictement interdit de copier des données confidentielles sur des supports de données tels que des clés USB et de les emporter hors du bureau, sauf s'ils sont chiffrés.

Il en va de même pour les ordinateurs portables : toutes les données confidentielles stockées sur le disque dur doivent être chiffrées avant d'emporter l'ordinateur portable hors du bureau.

TOUS les logiciels non indispensables à l'utilisation des applications utilisées régulièrement doivent être retirés des postes de travail (PC fixes, ordinateurs portables, iPad et autres ordinateurs utilisés d'une manière ou d'une autre pour accéder aux applications).

11. RECOMMANDATIONS RELATIVES AU BYOD

De plus en plus d'utilisateurs souhaitent utiliser leur propre smartphone, tablette ou ordinateur portable au bureau. Le BYOD (Bring Your Own Device) est une véritable tendance. Mais attention, cela peut aussi se transformer en catastrophe. C'est pourquoi il est important de savoir à l'avance ce dont vous devez tenir compte si vous envisagez d'autoriser le BYOD dans votre organisation, surtout si de nombreuses données personnelles sont traitées.

Le BYOD ne se limite pas à l’informatique, mais est bien plus large : il s'agit aussi d'une question d'attitude, de comportement et de volonté des employés d'organiser leur espace de travail selon leurs souhaits. Il s'agit donc d'une politique d'entreprise au sens large.

Le BYOD relève toujours de la seule responsabilité des Utilisateurs.

Le Prestataire recommande explicitement de n'autoriser cette pratique que si les questions suivantes sont au moins répondues :

  • Les utilisateurs sont-ils autorisés à apporter tous leurs appareils personnels et quelles sont les conditions préalables ?
  • Les utilisateurs sont-ils autorisés à stocker leurs données sur des solutions de cloud public ou l'organisation propose-t-elle une solution de cloud privé ? Ou un modèle hybride est-il envisageable ? Est-il toujours conforme au RGPD ?
  • Qu'en est-il de la sécurité des informations ? Qu'en est-il des virus sur les tablettes ? Comment gérez-vous la gestion des données confidentielles, la sauvegarde et la restauration, la perte et le vol ?
  • Qui est précisément responsable financièrement en cas de dommage, de perte ou de vol ?
  • Comment organisez-vous la gestion des différents appareils, des applications internes et des applications de l'entreprise ?
  • Comment gérez-vous les appareils dotés de différents systèmes d'exploitation au sein d'une même organisation ?
  • Quels sont les aspects juridiques concernés ? (p. ex., licences) ?
  • Une vision du BYOD doit être intégrée à la prestation de services, car elle détermine le cadre de travail et l'approche client. o Il est également essentiel d'avoir une vision claire de l'impact du BYOD sur l'organisation et ses opérations, afin de clarifier les objectifs fixés, les modalités de travail, la possibilité ou l'intérêt de la flexibilité et son mode de gestion.
  • Une politique RH claire doit également être mise en place afin que les utilisateurs sachent gérer la flexibilité en travaillant indépendamment du temps et du lieu. Des contrats d'utilisation des appareils mobiles doivent être établis, des règles générales de conduite doivent être définies pour l'utilisation des logiciels et la confidentialité des données et documents personnels, les obligations des employés en matière de BYOD doivent être définies, ainsi que le contrôle de la séparation des tâches privées et professionnelles.
  • Il est également essentiel de clarifier la gestion et la sécurité des appareils mobiles, ainsi que les possibilités techniques.

Les politiques BYOD peuvent varier considérablement d'une organisation à l'autre, en fonction de leurs priorités et de leurs points d'attention. Elles sont de préférence élaborées en étroite collaboration avec les RH, les informaticiens, les finances et la direction. Une initiative BYOD réussie allie simplicité pour les utilisateurs et fonctionnalités efficaces de sécurité, de contrôle et de gestion pour le service informatique. Pour protéger au mieux une organisation contre les menaces, les pertes de données et les utilisations non conformes, le service informatique de l'utilisateur doit d'abord réfléchir à la manière de lui fournir un accès sécurisé aux données et aux applications, y compris aux sources authentiques DPA.

S'ensuivent la gestion, la configuration et la sécurité des appareils personnels et approuvés, en fonction des rôles.

12. GESTION DES INCIDENTS ET DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL

La gestion des incidents est le processus de gestion et de protection des systèmes d'information et des informations qu'ils contiennent. L'Utilisateur doit être pleinement conscient de ses responsabilités en matière de protection des informations, au bénéfice des personnes concernées et du prestataire de services. La gestion des incidents est un ensemble d'activités définissant et mettant en œuvre un processus que l'organisation peut utiliser pour promouvoir son propre bien-être et la sécurité de tous les acteurs impliqués.

La gestion des incidents est, avec la gestion des risques et la gestion de la continuité, l'un des sous-domaines les plus importants de la sécurité de l'information. Elle est importante car la sécurité et la confidentialité absolues de l'information n'existent pas et les incidents ne peuvent être évités. La question n'est pas de savoir si quelque chose va se produire, mais quand. L'Utilisateur doit anticiper les incidents les plus importants et prévoir une procédure de réponse et d'escalade appropriée.

La gestion des incidents oriente la manière dont l'organisation de l'Utilisateur souhaite gérer tous les incidents et quasi-incidents dans le domaine de la sécurité et de la confidentialité de l'information. L'Utilisateur reconnaît l'importance d'une gestion adéquate des incidents et de la réponse à ceux-ci afin de minimiser les conséquences sur le fonctionnement de l'organisation. Les incidents doivent être traités de manière structurée et des procédures doivent être établies pour garantir une réponse efficace et ordonnée. L'Utilisateur et ses employés sont tenus de tirer les leçons des incidents ; par conséquent, ces derniers doivent être évalués et documentés.

Certains incidents peuvent également constituer une « violation de données ». Le responsable du traitement doit évaluer si la violation de données personnelles est susceptible de porter atteinte aux droits et libertés de la personne concernée en réalisant une analyse d'impact pour cette dernière.

Si un risque pour la ou les personnes concernées est probable, le responsable du traitement doit signaler la violation de données personnelles à l'Autorité de protection des données (l'« APD ») sans délai et au plus tard 72 heures après l'événement, sous la supervision du DPO et de l'équipe de gestion de crise.

Si une violation de données survient et que vous ou nous en prenons connaissance, nous devons communiquer sans délai et, par conséquent, coordonner nos efforts.

Toute violation de données doit être signalée à l'Autorité de contrôle des données (GBA) par le responsable du traitement, au moyen d'un formulaire électronique qui, une fois rempli, doit être soumis via un portail internet (https://www.autoriteprotectiondonnees.be/professionnel/actions/fuites-de-donnees-personnelles). Les formulaires envoyés par courriel ne seront pas traités.

Si la notification de la violation de données à l'autorité de contrôle n'est pas effectuée dans les 72 heures, le responsable du traitement doit, après consultation du DPO, la soumettre par écrit, par voie électronique, en justifiant les raisons du retard. S'il n'est pas possible de fournir toutes les informations nécessaires simultanément, celles-ci doivent être fournies sans retard injustifié.

Les informations suivantes doivent ensuite être fournies à l'autorité de contrôle :

  • Une description de la nature de la violation ;
  • Les catégories de données à caractère personnel attribuées ;
  • Le nombre estimé de personnes concernées ;
  • Le nombre estimé d'enregistrements de données à caractère personnel ;
  • Le nom et les coordonnées du responsable du traitement.
  • Conséquences de la violation.
  • Toutes les mesures prises pour remédier à la violation.
  • Toutes les informations relatives à la violation en relation avec les données.

13. GESTION DE LA CONTINUITÉ (BCM)

L'objectif principal de la gestion de la continuité est de protéger les processus métier critiques des conséquences d'incidents ou de catastrophes graves et de garantir que tous les éléments nécessaires sont en place pour que l'organisation puisse réagir de manière appropriée et assurer une reprise rapide.

Dans tous les cas, la gestion de la continuité dépasse l’ICT: l'absence d'employés (maladie, licenciement, décès) ou la disparition d'un fournisseur essentiel peuvent constituer une menace réelle. Lors de la mise en place de la gestion de la continuité, tous les aspects pertinents susceptibles de compromettre la continuité doivent être pris en compte.

Pour tous les processus métier critiques et les systèmes d'information essentiels, un plan de continuité (BCP) doit être mis en place, décrivant les activités, les mesures et les données importantes de tous les processus critiques, afin de limiter la durée d'interruption à un niveau acceptable.

La sécurité et la confidentialité des informations font partie intégrante de la gestion de la continuité de l'utilisateur.

14. GESTION DES RISQUES

Les systèmes d'information et les informations qu'ils contiennent sont constamment exposés à diverses menaces. De ce fait, l'Utilisateur qui a besoin de ces systèmes et informations s'expose à des risques. Il est évident que l'Utilisateur limite ces risques en prenant des mesures de sécurité adéquates.

Pour gérer les risques de manière équilibrée, il est nécessaire de connaître les risques encourus et leur ampleur. Sur cette base, des mesures de sécurité peuvent être prises pour les réduire à des proportions acceptables (processus de gestion des risques). Ce processus comprend l'identification des risques, l'évaluation du profil de risque et la mise en œuvre d'une stratégie de gestion des risques.

Dans le cadre d'une application intégrale de la gestion des risques, le processus est appliqué à l'ensemble de l'organisation. Pour une mise en œuvre cohérente, il est essentiel que toutes les personnes impliquées dans le traitement des données au sein de l'organisation utilisent un cadre uniforme.

Le point de départ de la mise en œuvre concrète du processus de gestion des risques est l'inventaire et l'évaluation des risques potentiels. La consolidation et le regroupement des risques constituent la deuxième étape du processus de gestion des risques. La troisième étape consiste à déterminer comment la direction souhaite gérer les risques identifiés. Cette étape est étroitement liée à l'attitude de la direction face au risque.

Les risques stratégiques sont souvent liés à des facteurs externes susceptibles de menacer la réalisation des objectifs stratégiques. L'influence de ces facteurs externes découle généralement du modèle économique de l'entreprise et des bases de données associées. Il est conseillé aux entreprises utilisatrices d'analyser les facteurs susceptibles d'influencer l'infrastructure informatique.

Les risques liés aux processus sont souvent liés aux transactions opérationnelles et peuvent concerner les objectifs opérationnels, de reporting et de supervision. Concernant l'infrastructure informatique, les risques opérationnels peuvent concerner, entre autres, les aspects suivants :

  • Sécurité des données personnelles/sécurité de l'information ;
  • Informations à fournir et accès aux données personnelles ;
  • Procédure de reprise après sinistre ;
  • Politique de mots de passe ;
  • Surveillance de l'infrastructure matérielle et logicielle ;
  • Mesures de contrôle organisationnelles et techniques appropriées ;
  • Gestion des accès et des utilisateurs ;
  • Procédure de continuité des activités ;
  • Procédure de réponse aux incidents ;