Politique en matière de protection des données personnelles
1. Quel est l’objectif de cette politique ?
Cette politique a pour objectif de vous informer (en votre qualité de personne physique concernée) sur la façon dont le Centre pour la Cybersécurité Belgique (ci-après, « le CCB » ) traite vos données à caractère personnel (ci-après « les données personnelles »), les raisons pour lesquelles nous les utilisons et partageons, la durée de leur conservation et les modalités d’exercice de vos droits relatifs à ces données.
Cette information vous est fournie conformément aux dispositions légales relatives à la protection des données et de la vie privée en vigueur, y compris le Règlement général relatif à la protection des données (UE) 2016/679 « RGPD ».
Dans le cadre de projets ou d’applications spécifiques, il convient, le cas échéant, de se référer à la politique en matière de protection des données personnelles particulière à ce projet ou cette application (voir également l'Annexe II: Politique de gestion des cookies).
2. Qui est le responsable du traitement ?
Le responsable du traitement de vos données est le Centre pour la Cybersécurité Belgique (CCB), ayant ses bureaux Rue de la Loi, 18 à 1000 Bruxelles.
Le CCB détermine les finalités pour lesquelles vos données sont traitées, les moyens mis en œuvre et l'ensemble des caractéristiques du traitement, expliqués dans la présente politique.
3. Pour quelles finalités traitons-nous vos données personnelles?
Les finalités de traitement de vos données personnelles découlent notamment des différentes missions légales confiées au CCB (voir Annexe I : tableau des finalités).
L’arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique reprend certaines des finalités légales pour lesquelles le CCB peut être amené à traiter vos données personnelles :
- superviser, coordonner et veiller à la mise en œuvre de la stratégie belge en matière de cybersécurité ;
- gérer par une approche intégrée et centralisée les différents projets relatifs à la cybersécurité ;
- assurer la coordination entre les services et autorités concernés mais aussi entre autorités publiques et le secteur privé ou le monde scientifique ;
- formuler des propositions pour l'adaptation du cadre légal et réglementaire en matière de cybersécurité ;
- assurer la gestion de crise en cas de cyberincidents ;
- élaborer, diffuser et veiller à la mise en œuvre des standards, directives et normes de sécurité pour les différents types de système informatique des administrations et organismes publics ;
- coordonner la représentation belge aux forums internationaux sur la cybersécurité, le suivi des obligations internationales et la présentation du point de vue national en la matière ;
- coordonner l'évaluation et la certification de la sécurité des systèmes d'information et de communication ;
- informer et sensibiliser les utilisateurs des systèmes d'information et de communication ;
- assurer le rôle de centre de coordination national au sens de l'article 6 du règlement européen (UE) 2021/887 du Parlement européen et du Conseil du 20 mai 2021 établissant le Centre de compétences européen pour l'industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination.
En vertu de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (loi « NIS »), le CCB est également chargé, en sa qualité de centre national de réponse aux incidents de sécurité informatique (« CSIRT national »), des tâches légales suivantes :
- le suivi des incidents au niveau national et international, en ce compris le traitement de données à caractère personnel lié au suivi de ces incidents ;
- l'activation du mécanisme d'alerte précoce, la diffusion de messages d'alerte, les annonces et la diffusion d'informations sur les risques et incidents auprès des parties intéressées ;
- l'intervention en cas d'incident ;
- l'analyse dynamique des risques et incidents et conscience situationnelle ;
- la détection, l'observation et l'analyse des problèmes de sécurité informatique ;
- la promotion de l'adoption et de l'utilisation de pratiques communes ou normalisées pour les procédures de gestion des risques et incidents, ainsi que des systèmes de classification des incidents, risques et informations ;
- l'établissement de relations de coopération avec le secteur privé, d'autres services administratifs ou autorités publiques ;
- la participation au réseau des CSIRT ;
- le signalement de vulnérabilités de réseaux et systèmes d’information.
Conformément au règlement UE n° 2021/887, le CCB a été mandaté comme Centre de coordination de la cybersécurité pour la Belgique (ci-après "NCC-BE"). Le NCC-BE est chargé, parmi d´autres, de :
- S'engager et interagir avec l'industrie, le secteur public et la communauté de la recherche pour construire une communauté locale ;
- Servir de point de contact au niveau national pour soutenir le Centre européen de compétences en cybersécurité ;
- Apporter son expertise et sa contribution aux activités de planification stratégique du Centre européen de compétences en cybersécurité ;
- Faciliter la participation de l'industrie, des instituts de recherche et d'autres acteurs à des projets transfrontaliers ;
- Établir des synergies avec les activités pertinentes menées au niveau national dans le cadre des politiques nationales, comme indiqué dans les stratégies nationales en matière de cybersécurité ;
- Promouvoir et diffuser les résultats des travaux du réseau, de la communauté de compétences en cybersécurité et du centre de compétences au niveau national, en particulier en ce qui concerne le cadre de certification de la cybersécurité ;
- Evaluer les demandes des entités qui souhaitent faire partie de la communauté de compétence en matière de cybersécurité de l'UE ;
- Défendre et promouvoir la participation des entités aux activités du ECCC, du Réseau et de la Communauté ;
- consulter les autorités nationales sur les contributions possibles à la promotion et à la diffusion de programmes d'éducation à la cybersécurité ;
- fournir une assistance technique aux parties prenantes en les soutenant au stade de la candidature pour les projets gérés par le centre d'excellence en rapport avec sa mission et ses objectifs ;
- mettre en œuvre des actions spécifiques pour lesquelles des subventions ont été accordées.
En vertu de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité (« loi CSA »), le CCB assume le rôle d’autorité nationale de certification de cybersécurité dotée des tâches légales suivantes :
- la délivrance des certificats de cybersécurité européens et la gestion des réclamations ;
- le contrôle des titulaires de certificats de cybersécurité européens, des émetteurs de déclarations de conformité de l'Union européenne et des organismes d'évaluation de la conformité et, le cas échéant, l'imposition de sanctions ;
- la participation au Groupe européen de certification de cybersécurité (GECC) ;
- la coopération avec d’autres autorités publiques.
En vertu du règlement (UE) 2021/887 du Parlement européen et du Conseil du 20 mai 2021 établissant le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination, le CCB assume le rôle de centre national de coordination, doté des tâches légales suivantes :
- faire office de point de contact au niveau national dans le cadre du règlement précité;
- fournir une expertise et contribuer activement aux tâches stratégiques énoncées par le règlement précité ;
- promouvoir, encourager et favoriser la participation de la société civile, de l’industrie, en particulier des start-up et des PME, des milieux académiques et de la recherche ainsi que d’autres parties prenantes au niveau national à des projets transfrontières et à des actions en matière de cybersécurité financés par des programmes de l’Union pertinents ;
- fournir une assistance technique aux parties prenantes en les aidant dans leur phase de candidature pour les projets gérés par le Centre de compétences en rapport avec sa mission et ses objectifs ;
- s’efforcer de créer des synergies avec les activités pertinentes au niveau national, régional et local, telles que les politiques nationales en matière de recherche, de développement et d’innovation dans le domaine de la cybersécurité, en particulier les politiques énoncées dans les stratégies nationales de cybersécurité ;
- mettre en œuvre des actions spécifiques pour lesquelles des subventions ont été accordées par le Centre de compétences ;
- nouer un dialogue avec les autorités nationales en ce qui concerne d’éventuelles contributions à la promotion et à la diffusion de programmes éducatifs en matière de cybersécurité ;
- promouvoir et diffuser les résultats pertinents des travaux du Réseau, de la communauté et du Centre de compétences au niveau national, régional ou local ;
- évaluer les demandes présentées par des entités établies en Belgique en vue de faire partie de la communauté ;
- prôner et faciliter la participation des entités concernées aux activités résultant du Centre de compétences, du Réseau et de la communauté, et assurer un suivi, le cas échéant, du niveau de participation à la recherche, au développement et au déploiement en matière de cybersécurité et du montant du soutien financier public qui y est accordé.
En sa qualité d’administration publique fédérale et pour autant qu’il ne dispose pas d’une base légale dans les dispositions reprises ci-avant, le CCB peut également traiter vos données notamment :
- pour l’utilisation de ses sites internet ;
- pour l’utilisation de ses applications ou outils ;
- pour l’accueil de ses visiteurs ;
- pour la participation à l’un de ses événements (physiques ou en ligne) ;
- pour répondre à vos questions, vous assister ou vous contacter ;
- pour l'administration de son personnel ;
- pour la gestion de ses marchés publics, contrats, etc.
4. Sur base de quels fondements juridiques utilisons-nous vos données personnelles?
Nous recueillons et utilisons vos données personnelles lorsque cela s’avère nécessaire :
- pour respecter une obligation légale ou exécuter l’une de nos missions légales ;
- dans le cadre de l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont nous sommes investis ;
- dans le cadre d’une relation contractuelle ou précontractuelle ;
- sur base de votre consentement concernant les traitements qui vous sont proposés au-delà de nos missions légales.
5. Quelles données personnelles traitons-nous ?
Parmi les informations que nous traitons peuvent figurent notamment :
- Vos données d’identification (nom, prénom, photo, carte d’identité, numéro de registre national, nom de votre organisation, numéro BCE, etc.) ;
- Vos données de contact (adresse postale et électronique, numéro de téléphone, adresse de votre organisation, etc.) ;
- Votre situation familiale (état civil, nombre d’enfants, etc.) ;
- Vos informations relatives à la formation et à l’emploi (fonction, CV, etc.) ;
- Vos données relatives aux interactions que vous avez avec nous au travers de nos sites internet, de nos applications, des entretiens téléphoniques, des courriers électroniques, des interviews (adresse IP, plages IP, noms de domaines, langue, cookies, métadonnées, etc.) ;
- Vos données relatives à la vidéosurveillance de lieux fermés non accessibles au public (pour des raisons de sécurité lorsque vous vous rendez dans nos bureaux);
- Vos données relatives aux sanctions administratives.
Les données que nous traitons peuvent avoir été collectées soit directement auprès de vous, soit auprès d’autres sources dans le but de vérifier ou d’enrichir nos bases de données.
6. Avec qui partageons-nous éventuellement vos données personnelles ?
Les données que nous traitons à votre sujet sont traitées de manière confidentielle et sécurisée, afin de protéger vos données personnelles.
Nous faisons parfois appel à des prestataires de services qui agissent pour notre compte en tant que sous-traitants et qui, en cette qualité, doivent également respecter le RGPD et nos dispositions contractuelles. Ces prestataires de services ne peuvent traiter vos données à d’autres fins que celles prévues par le CCB.
Vos données peuvent éventuellement faire l’objet d’un partage avec d’autres autorités et organismes publics lorsque cela s’avère nécessaire à l’exercice de leurs missions d’intérêt général.
7. Comment protégeons-nous vos données ?
Le CCB et ses sous-traitants mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité de vos données personnelles adapté au risque.
Vos données sont protégées notamment contre l’accès non autorisé, l'utilisation illégitime, la perte et les modifications non autorisées.
8. Pendant combien de temps conservons-nous vos données personnelles ?
Nous ne conserverons pas vos données personnelles au-delà du temps nécessaire à la réalisation des finalités pour lesquelles les données sont traitées, à moins que leur conservation ne soit nécessaire pour d'autres objectifs fondamentaux, y compris mais non exclusivement le respect de nos obligations légales, le traitement de plaintes ou le règlement des différends.
En principe, la durée de conservation maximale :
- de votre adresse IP est de 24 heures, excepté lorsque votre adresse IP est traitée par le CCB dans le cadre d'une tentative d'hameçonnage (phishing) afin d'identifier le site malveillant et de prendre les mesures nécessaires à la condamnation du site internet. Dans cette hypothèse, votre adresse IP peut être conservée pour une période d'une (1) semaine à un (1) mois selon les évènements (ex: difficulté d'identification du site internet, nombre important de tentatives d'hameçonnage pour un même site internet et pour différents utilisateurs, etc.) ;
- des cookies est détaillée au sein de l’Annexe II : politique de gestion des cookies ;
- des échanges via le formulaire de contact et l’e-mail est de 12 mois à partir du dernier échange ;
- des logs est de 13 mois à partir de leur création.
Dans le cadre de l’usage de la plateforme Safeonweb@Work, la durée de conservation maximale :
- de vos données d’identification (nom, prénom, adresse e-mail, adresse, numéro de téléphone, fonction, nom d’organisation, numéro BCE de l’organisation, adresse postale de l’organisation) dure tout le long de votre utilisation de la plateforme ;
- de votre numéro de registre national est de 5 ans à partir de votre dernière utilisation de la plateforme ;
- de votre adresse IP et des plages IP est de 5 ans à partir de votre dernière utilisation de la plateforme ;
- de votre nom de domaine est de 5 ans à partir de votre dernière utilisation de la plateforme ;
- des cookies est de 13 mois à partir de la création du cookie ;
- des logs est de 13 mois à partir de leur création.
Lorsque la conservation de vos données personnelles est nécessaire pour des objectifs fondamentaux, y compris mais non exclusivement le respect de nos obligations légales, le règlement des différends et le traitement des plaintes, vos données personnelles peuvent être conservées plus longtemps que les périodes spécifiées ci-avant.
En tant qu’autorité fédérale, nous sommes également soumis à la loi relative aux archives du 24 juin 1955 et nous ne pouvons donc pas détruire librement tous les documents en notre possession. En outre, quand les documents d’une administration publique n’ont plus d’utilité administrative et/ou juridique, ils peuvent toutefois avoir un intérêt historique, scientifique ou statistique. Ils sont alors transférés aux Archives de l’État. Dans cette optique, les documents administratifs en notre possession sont conservés pendant une durée déterminée en collaboration avec les Archives du Royaume.
9. Quels sont vos droits et de quelle manière pouvez-vous les exercer ?
Conformément à la réglementation applicable et sauf dérogations légales, vous disposez de différents droits, à savoir :
- Droit d’accès: vous pouvez obtenir des informations concernant le traitement de vos données personnelles ainsi qu’une copie de ces données.
- Droit de rectification: si les données personnelles que nous possédons à votre égard sont inexactes ou incomplètes, vous pouvez obtenir que ces données soient modifiées en conséquence.
- Droit à l’effacement: vous pouvez demander l’effacement de vos données personnelles. Toutefois, il ne sera pas fait droit à votre demande si le traitement de vos données nous est nécessaire dans le cadre de nos missions légales, de l'exécution de l’une de nos missions d'intérêt public ou relevant de l'exercice de l'autorité publique dont nous sommes investis, de l'exécution d'un contrat ou de mesures précontractuelles.
- Droit à la limitation du traitement: vous pouvez demander la limitation du traitement de vos données personnelles lorsque vous exercez votre droit d’opposition, lorsque vous contestez l’exactitude des données, lorsque leur traitement vous semble illicite, ou lorsque vous en avez besoin pour la constatation, l’exercice ou la défense de vos droits en justice. Cela signifie que, sauf exceptions, le traitement de vos données sera alors suspendu le temps de traiter votre demande.
- Droit d’opposition: vous pouvez éventuellement vous opposer au traitement de vos données personnelles, pour des motifs liés à votre situation particulière.
- Droit de retirer votre consentement: si le traitement de vos données personnelles repose sur votre seul consentement, vous avez le droit de retirer ce consentement à tout moment.
Pour exercer les droits sur les données vous concernant, veuillez joindre une copie (scan ou photo) de votre carte d'identité, passeport ou document similaire, comportant votre signature mais sur lequel vous pouvez masquer les données qui ne sont pas pertinentes pour contrôler votre identité en tant que personne concernée. Vous pouvez également mentionner sur cette copie le nom de l'organisation, la date et l’objet de votre demande afin que celle-ci ne puisse pas être utilisée ultérieurement à d'autres fins. Si toutefois votre demande à une portée générale, il n’est pas nécessaire de nous fournir cette preuve.
Vous pouvez adresser un e-mail ou un courrier à notre délégué à la protection des données à l'adresse suivante :
CENTRE POUR LA CYBERSÉCURITÉ BELGIQUE
À l’attention du délégué à la protection des données (DPD)
Rue de la Loi, 18
1000 Bruxelles
E-mail : privacy@ccb.belgium.be
Vous trouverez plus d'informations sur la protection des données à caractère personnel sur le site Internet de l'Autorité de protection des données : https://www.autoriteprotectiondonnees.be .
10. Quels sont les exceptions à l’exercice de vos droits ?
L’exercice de certains de vos droits (voir point précédent) peut, de manière motivée, être limité ou vous être refusé par le CCB, notamment lorsque le traitement de vos données s’avère nécessaire à l’application de certaines dispositions légales et rend incompatible l’exercice de ces droits.
11. Réclamations
Si vous estimez, après avoir pris contact avec notre délégué à la protection des données, que le Centre pour la Cybersécurité Belgique n'aurait pas traité vos données personnelles conformément aux réglementations en vigueur, vous avez le droit d’introduire une réclamation auprès de l'Autorité de protection des données :
Autorité de la protection des données (APD)
Rue de la Presse 35
1000 Bruxelles
Tel. +32 2 274 48 00
Fax +32 2 274 48 35
email: contact@apd-gba.be
site internet: https://www.autoriteprotectiondonnees.be
12. Qui contacter à propos de vos données personnelles ?
Pour toute demande d’information concernant notre politique de protection des données, contactez notre délégué à la protection des données : privacy@ccb.belgium.be.
13. Cette politique peut-elle être modifiée ?
Nous réexaminons régulièrement notre politique et nous nous réservons le droit d’y apporter des changements à tout moment pour prendre en compte des changements dans nos activités ou de nouvelles exigences légales.
Pour vous informer de ces changements, nous publierons les mises à jour de notre politique sur nos différents sites internet : « www.ccb.belgium.be », « www.cert.be »,« www.safeonweb.be » , « atwork.safeonweb.be » ou « https://community.ncc.belgium.be/ ».
Vous pouvez vérifier la date de « dernière mise à jour » en haut de cette politique pour savoir quand elle a été révisée pour la dernière fois.
Annexe II : politique de gestion des cookies
Nous utilisons des cookies sur nos sites internet (« www.ccb.belgium.be », « www.cert.be », « www.safeonweb.be », « atwork.safeonweb.be » ou « https://community.ncc.belgium.be/ ») ou sur nos applications afin de fournir un service optimal. Un cookie est un petit fichier stocké sur votre ordinateur ou téléphone. Le cookie peut être récupéré lorsque vous visitez le même site à un moment ultérieur.
Ces cookies ne sont pas conservés au-delà du temps nécessaire à l'accomplissement de la finalité poursuivie (voir les détails repris ci-après).
Les sites et les applications du CCB utilisent les cookies suivants :
1. Cookies essentiels et fonctionnels
Un cookie est qualifié d’ « essentiel » ou de « fonctionnel » dès lors qu’il est indispensable pour réaliser l'envoi d'une communication via un réseau de communications électroniques ou pour fournir un service expressément demandé par l’utilisateur (par exemple le cookie qui retient la langue de l'utilisateur pour la durée d'une session).
Pour l’utilisation de ces cookies, le consentement de l’utilisateur n’est pas requis.
Nom
Finalité
Durée de conservation
language
Permet de retenir le choix de la langue du visiteur de nos sites internet.
Cookie de session
cookie_compliance
Permet de savoir si vous souhaitez accepter les cookies ou pas
13 mois
TS0 ou TSa (caractères après TS… variable)
Assigne à un serveur le traitement des requêtes d’un même utilisateur
Cookie de session
access_token_cookie
Accès au portail de la communauté NCC-BE
geldig 1 dag vanaf het moment van aanmelden
refresh_token_cookie
Accès au portail de la communauté NCC-BE
valable 365 jours à compter de la date d'ouverture de la session
klaro
Gestion de la bannière des cookies
30 jours
2. Cookies statistiques
Un cookie est qualifié de « statistique » lorsque celui-ci mesure l’audience d’un site internet ou d’une application. Vous pouvez refuser les cookies ci-dessous si vous désirez naviguer sur notre site Internet.
Nom
Finalité
Durée de conservation
_pk_id
Analyse des visites
13 mois
_pk_ref
Analyse des visites
6 mois
_pk_ses, _pk_cvar, _pk_hsr
Analyse des visites
30 minutes
_hj*
Analyse des visites
13 mois
3. Liens externes
Nos sites Internet ou applications mentionnent parfois des liens externes pour documenter certaines informations. L'activation de ces liens relève de la responsabilité de l'utilisateur. Nous conseillons cependant de consulter la déclaration de confidentialité ainsi que la politique en matière des cookies du site concerné.
4. Comment voir quels cookies sont installés sur mon appareil et comment les supprimer ?
Si vous voulez savoir quels cookies sont installés sur votre appareil ou si vous souhaitez les supprimer, vous pouvez utiliser un paramètre de votre navigateur. Vous trouverez davantage d'explications sur la manière de procéder via les liens ci-dessous.
Firefox
Chrome
Safari
Internet Explorer
Firefox (mobile)
Chrome (mobile)
Safari (mobile)
Microsoft Edge
Vous utilisez un autre navigateur ? Vérifiez si la procédure pour votre navigateur est reprise sur le site Internet www.allaboutcookies.org/manage-cookies. Ce site est uniquement disponible en anglais.