Politique en matière de protection des données personnelles

Cette politique a pour objectif de vous informer (en votre qualité de personne physique concernée) sur la façon dont le Centre pour la Cybersécurité Belgique (ci-après, « le CCB») traite vos données à caractère personnel (ci-après « les données personnelles »), les raisons pour lesquelles nous les utilisons et partageons, la durée de leur conservation et les modalités d’exercice de vos droits relatifs à ces données.

Cette information vous est fournie conformément aux dispositions légales relatives à la protection des données et de la vie privée en vigueur, y compris le Règlement général relatif à la protection des données (UE) 2016/679 « RGPD ».

Dans le cadre de projets ou d’applications spécifiques, il convient, le cas échéant, de se référer à la politique en matière de protection des données personnelles particulière à ce projet ou cette application (voir également Annexe II : politique de gestion des cookies).

2. Qui est le responsable du traitement?

Le responsable du traitement de vos données est le Centre pour la Cybersécurité Belgique (CCB), ayant ses bureaux Rue de la Loi, 18 à 1000 Bruxelles.

Le CCB détermine les finalités pour lesquelles vos données sont traitées, les moyens mis en œuvre et l'ensemble des caractéristiques du traitement, expliqués dans la présente politique.

3. Pour quelles finalités traitons-nous vos données personnelles?

Les finalités de traitement de vos données personnelles découlent notamment des différentes missions légales confiées au CCB (voir Annexe I : tableau des finalités).

En vertu de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (loi « NIS2 ») et de l’arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique, le CCB est chargé, comme autorité nationale de cybersécurité, des tâches suivantes :

• assurer la coordination entre les différents services et autorités concernés par la cybersécurité en Belgique;
• superviser, coordonner et veiller à la mise en œuvre de la stratégie nationale en matière de cybersécurité;
• superviser la mise en œuvre de la loi NIS2 (en ce compris l’enregistrement des entités);
• assurer la coordination entre les autorités publiques et le secteur privé ou le monde scientifique;
• élaborer, diffuser et veiller à la mise en œuvre des standards, directives et normes pour la cybersécurité des différents types de systèmes d'information;
• coordonner la représentation belge aux forums internationaux sur la cybersécurité, le suivi des obligations internationales et la présentation du point de vue national en la matière;
• coordonner l'évaluation et la certification de la sécurité des systèmes d'information et de communication;
• informer et sensibiliser les utilisateurs des systèmes d'information et de communication;
• accorder des subventions pour des projets et activités relatifs à la cybersécurité;
• faciliter et encourager l'organisation de formations en matière de cybersécurité pour les membres du personnel des entités NIS2.

Comme centre national de réponse aux incidents de sécurité informatique (« CSIRT national »), le CCB est chargé de :

• surveiller et analyser les cybermenaces, les vulnérabilités et les incidents au niveau national et, sur demande, apporter une assistance aux entités essentielles et importantes concernées pour surveiller en temps réel ou quasi réel leurs réseaux et systèmes d'information;
• activer le mécanisme d'alerte précoce, la diffusion de messages d'alerte, les annonces et la diffusion d'informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités NIS2 ainsi qu'auprès des autorités compétentes et des autres parties prenantes concernées, si possible en temps quasi réel;
• réagir aux incidents et apporter une assistance aux entités NIS2;
• rassembler et analyser des données forensiques, et assurer une analyse dynamique des risques et incidents et une appréciation de la situation en matière de cybersécurité;
• réaliser, à la demande d'une entité essentielle ou importante, un scan proactif des réseaux et des systèmes d'information de l'entité concernée afin de détecter les vulnérabilités susceptibles d'avoir un impact important;
• participer au réseau des CSIRT, coopérer de manière effective, efficace et sécurisée au sein de ce réseau et apporter une assistance mutuelle en fonction de ses capacités et de ses compétences aux autres membres du réseau des CSIRT à leur demande;
• agir en qualité de coordinateur aux fins du processus de divulgation coordonnée des vulnérabilités;
• contribuer au déploiement d'outils sécurisés de partage d'informations;
• procéder à un scan proactif et non intrusif des réseaux et systèmes d'information accessibles au public lorsque ce scan est effectué dans le but de détecter les réseaux et systèmes d'information vulnérables ou configurés de façon peu sûre et d'informer les entités concernées et qu'il n'a pas d'effet négatif sur le fonctionnement des services des entités;
• détecter, observer et analyser des problèmes de sécurité informatique;
• établir et faciliter des relations de coopération avec les acteurs concernés
• participer aux évaluations par les pairs organisées dans le cadre de la directive NIS2.

Dans le cadre de l’exécution de ces missions en lien avec la loi NIS2, le CCB poursuit par ailleurs comme finalités :

• l'amélioration de la cybersécurité à travers la recherche d'un niveau accru de protection des réseaux et systèmes d'information, le renforcement des politiques de prévention et de sécurité, la prévention des incidents de sécurité et la défense contre les cybermenaces;
• assurer la gestion de crise en cas de cyberincidents, en coopération avec le Centre de coordination et de crise du gouvernement;
• la coopération, notamment l'échange d'informations entre le CCB et d’autres autorités, notamment les autorités sectorielles, le NCCN et les autorités compétentes dans le cadre de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, dans le cadre de l'exécution de la loi NIS2 et la loi du 1er juillet 2011 précitée;
• la coopération entre les entités essentielles et importantes et les autorités compétentes dans le cadre de la loi NIS2;
• le partage d'informations entre les autorités visées par la loi NIS2;
• assurer la continuité des services prestés par les entités importantes ou essentielles;
• la notification d'incidents et d'incidents évités;
• le contrôle et la supervision des entités essentielles et importantes, ainsi que la préparation, l'organisation, la gestion et le suivi de mesures et d'amendes administratives;
• sans finalité à caractère pénal, la prévention, la recherche et la détection des infractions commises en ligne ou par le biais d'un réseau ou service de communications électroniques, en ce compris des faits qui relèvent de la criminalité grave;
• la prévention de menaces graves contre la sécurité publique;
• l'examen de défaillances de la sécurité des réseaux ou de services de communications électroniques ou des systèmes d'information;
• la dissémination d’informations relatives à un incident significatif à d’autres Etats Membres et, le cas échéant, au public en général.

En vertu de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité (« loi CSA »), le CCB assume le rôle d’autorité nationale de certification de cybersécurité chargée des tâches légales suivantes :

• la délivrance des certificats de cybersécurité européens et la gestion des réclamations;
• le contrôle des titulaires de certificats de cybersécurité européens, des émetteurs de déclarations de conformité de l'Union européenne et des organismes d'évaluation de la conformité et, le cas échéant, l'imposition de sanctions;
• la participation au Groupe européen de certification de cybersécurité (GECC);
• la coopération avec d’autres autorités publiques.

En vertu du règlement (UE) 2021/887 du Parlement européen et du Conseil du 20 mai 2021 établissant le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination, le CCB assume le rôle de centre national de coordination (« NCC-BE »), chargé des tâches légales suivantes :

• s'engager et interagir avec l'industrie, le secteur public et la communauté de la recherche pour construire une communauté locale ;
• faire office de point de contact au niveau national dans le cadre du règlement précité;
• fournir une expertise et contribuer activement aux tâches stratégiques énoncées par le règlement précité ;
• promouvoir, encourager et favoriser la participation de la société civile, de l’industrie, en particulier des start-up et des PME, des milieux académiques et de la recherche ainsi que d’autres parties prenantes au niveau national à des projets transfrontières et à des actions en matière de cybersécurité financés par des programmes de l’Union pertinents ;
• fournir une assistance technique aux parties prenantes en les aidant dans leur phase de candidature pour les projets gérés par le Centre de compétences en rapport avec sa mission et ses objectifs ;
• s’efforcer de créer des synergies avec les activités pertinentes au niveau national, régional et local, telles que les politiques nationales en matière de recherche, de développement et d’innovation dans le domaine de la cybersécurité, en particulier les politiques énoncées dans les stratégies nationales de cybersécurité ;
• mettre en œuvre des actions spécifiques pour lesquelles des subventions ont été accordées par le Centre de compétences;
• nouer un dialogue avec les autorités nationales en ce qui concerne d’éventuelles contributions à la promotion et à la diffusion de programmes éducatifs en matière de cybersécurité ;
• promouvoir et diffuser les résultats pertinents des travaux du Réseau, de la communauté et du Centre de compétences au niveau national, régional ou local ;
• évaluer les demandes présentées par des entités établies en Belgique en vue de faire partie de la communauté ;
• prôner et faciliter la participation des entités concernées aux activités résultant du Centre de compétences, du Réseau et de la communauté, et assurer un suivi, le cas échéant, du niveau de participation à la recherche, au développement et au déploiement en matière de cybersécurité et du montant du soutien financier public qui y est accordé.

En sa qualité d’administration publique fédérale et pour autant qu’il ne dispose pas d’une base légale dans les dispositions reprises ci-avant, le CCB peut également traiter vos données notamment :

• pour l’utilisation de ses sites internet ;
• pour l’utilisation de ses applications ou outils ;
• pour l’accueil de ses visiteurs;
• pour la participation à l’un de ses événements (physiques ou en ligne);
• pour répondre à vos questions, vous assister ou vous contacter;
• pour l'administration de son personnel;
• pour la gestion de ses marchés publics, contrats, etc.

Le CCB traite les données issues de la vidéo-surveillance afin d’assurer la sécurité de ses bâtiments, de ses biens, de son personnel et de ses visiteurs. L’utilisation de caméras par le CCB est régie par loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance. Seuls les membres de notre personnel habilités ont accès aux séquences enregistrées, de même que le personnel habilité auprès du gestionnaire du bâtiment lorsque tel est le cas, ainsi que bien sûr les services de police ou les autorités judiciaires si nécessaire et conformément aux prescriptions de la loi du 21 mars 2007 précitée.

Le visionnage des images en direct provenant d’une ou plusieurs caméras de surveillance fixes dans un lieu ouvert n’est réalisé, le cas échéant, que sous le contrôle des services de police. Les pictogrammes réglementaires placés à l’entrée des lieux concernés vous informent d’une éventuelle surveillance par caméras.

4. Sur base de quels fondements juridiques utilisons-nous vos données personnelles?

Nous recueillons et utilisons vos données personnelles lorsque cela s’avère nécessaire :

• pour respecter une obligation légale ou exécuter l’une de nos missions légales ;
• dans le cadre de l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont nous sommes investis ;
• dans le cadre d’une relation contractuelle ou précontractuelle ;
• sur base de votre consentement concernant les traitements qui vous sont proposés au-delà de nos missions légales.

5. Quelles données personnelles traitons-nous?

Parmi les informations que nous traitons peuvent figurent notamment :

• vos données d’identification (nom, prénom, photo, carte d’identité, numéro de registre national, nom de votre organisation, numéro BCE, etc.);
• vos données de contact (adresse postale et électronique, numéro de téléphone, adresse de votre organisation, etc.);
• votre situation familiale (état civil, nombre d’enfants, etc.);
• vos informations relatives à la formation et à l’emploi (fonction, CV, etc.);
• vos données relatives aux interactions que vous avez avec nous au travers de nos sites internet, de nos applications, des entretiens téléphoniques, des courriers électroniques, des interviews (adresse IP, plages IP, noms de domaines, langue, cookies, métadonnées, etc.);
• vos données relatives à la vidéosurveillance de lieux fermés non accessibles au public (pour des raisons de sécurité lorsque vous vous rendez dans nos bureaux);
• vos données relatives aux sanctions administratives.

Les données que nous traitons peuvent avoir été collectées soit directement auprès de vous, soit auprès d’autres sources dans le but de vérifier ou d’enrichir nos bases de données.

6. Avec qui partageons-nous éventuellement vos données personnelles?

Les données que nous traitons à votre sujet sont traitées de manière confidentielle et sécurisée, afin de protéger vos données personnelles.

Nous faisons parfois appel à des prestataires de services qui agissent pour notre compte en tant que sous-traitants et qui, en cette qualité, doivent également respecter le RGPD et nos dispositions contractuelles. Ces prestataires de services ne peuvent traiter vos données à d’autres fins que celles prévues par le CCB.

Vos données peuvent éventuellement faire l’objet d’un partage avec d’autres autorités et organismes publics lorsque cela s’avère nécessaire à l’exercice de leurs missions d’intérêt général.

7. Comment protégeons-nous vos données?

Le CCB et ses sous-traitants mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité de vos données personnelles adapté au risque.

Vos données sont protégées notamment contre l’accès non autorisé, l'utilisation illégitime, la perte et les modifications non autorisées.

8. Pendant combien de temps conservons-nous vos données personnelles?

Nous ne conserverons pas vos données personnelles au-delà du temps nécessaire à la réalisation des finalités pour lesquelles les données sont traitées, à moins que leur conservation ne soit nécessaire pour d'autres objectifs fondamentaux, y compris mais non exclusivement le respect de nos obligations légales, le traitement de plaintes ou le règlement des différends.

En principe, la durée de conservation maximale:

• de votre adresse IP est de 24 heures, excepté lorsque votre adresse IP est traitée par le CCB dans le cadre d'une tentative d'hameçonnage (phishing) afin d'identifier le site malveillant et de prendre les mesures nécessaires à la condamnation du site internet. Dans cette hypothèse, votre adresse IP peut être conservée pour une période d'une (1) semaine à un (1) mois selon les évènements (ex: difficulté d'identification du site internet, nombre important de tentatives d'hameçonnage pour un même site internet et pour différents utilisateurs, etc.);
• des cookies est détaillée au sein de l’Annexe II : politique de gestion des cookies;
• des échanges via le formulaire de contact et les e-mail est de 12 mois à partir du dernier échange;
• des logs est de 13 mois à partir de leur création ;
• des données de vidéosurveillance est d’un mois, en l’absence d’incident de sécurité.

Dans le cadre de l’usage de la plateforme Safeonweb@Work, la durée de conservation maximale:

• de vos données d’identification (nom, prénom, adresse e-mail, adresse, numéro de téléphone, fonction, nom d’organisation, numéro BCE de l’organisation, adresse postale de l’organisation) dure tout le long de votre utilisation de la plateforme;
• de votre numéro de registre national est de 5 ans à partir de votre dernière utilisation de la plateforme;
• de votre adresse IP et des plages IP est de 5 ans à partir de votre dernière utilisation de la plateforme;
• de votre nom de domaine est de 5 ans à partir de votre dernière utilisation de la plateforme;
• des cookies est détaillée au sein de l’Annexe II : politique de gestion des cookies;
• des logs est de 13 mois à partir de leur création.

Lorsque la conservation de vos données personnelles est nécessaire pour des objectifs fondamentaux, y compris mais non exclusivement le respect de nos obligations légales, le règlement des différends et le traitement des plaintes, vos données personnelles peuvent être conservées plus longtemps que les périodes spécifiées ci-avant.

En tant qu’autorité fédérale, nous sommes également soumis à la loi relative aux archives du 24 juin 1955 et nous ne pouvons donc pas détruire librement tous les documents en notre possession. En outre, quand les documents d’une administration publique n’ont plus d’utilité administrative et/ou juridique, ils peuvent toutefois avoir un intérêt historique, scientifique ou statistique. Ils sont alors transférés aux Archives de l’État. Dans cette optique, les documents administratifs en notre possession sont conservés pendant une durée déterminée en collaboration avec les Archives du Royaume.

9. Quels sont vos droits et de quelle manière pouvez-vous les exercer?

Conformément à la réglementation applicable et sauf dérogations légales, vous disposez de différents droits, à savoir:

• Droit d’accès:vous pouvez obtenir des informations concernant le traitement de vos données personnelles ainsi qu’une copie de ces données.
• Droit de rectification:si les données personnelles que nous possédons à votre égard sont inexactes ou incomplètes, vous pouvez obtenir que ces données soient modifiées en conséquence.
• Droit à l’effacement:vous pouvez demander l’effacement de vos données personnelles. Toutefois, il ne sera pas fait droit à votre demande si le traitement de vos données nous est nécessaire dans le cadre de nos missions légales, de l'exécution de l’une de nos missions d'intérêt public ou relevant de l'exercice de l'autorité publique dont nous sommes investis, de l'exécution d'un contrat ou de mesures précontractuelles.
• Droit à la limitation du traitement:vous pouvez demander la limitation du traitement de vos données personnelles lorsque vous exercez votre droit d’opposition, lorsque vous contestez l’exactitude des données, lorsque leur traitement vous semble illicite, ou lorsque vous en avez besoin pour la constatation, l’exercice ou la défense de vos droits en justice. Cela signifie que, sauf exceptions, le traitement de vos données sera alors suspendu le temps de traiter votre demande.
• Droit d’opposition:vous pouvez éventuellement vous opposer au traitement de vos données personnelles, pour des motifs liés à votre situation particulière.
• Droit de retirer votre consentement:si le traitement de vos données personnelles repose sur votre seul consentement, vous avez le droit de retirer ce consentement à tout moment.

Pour exercer les droits sur les données vous concernant, veuillez joindre une copie (scan ou photo) de votre carte d'identité, passeport ou document similaire, comportant votre signature mais sur lequel vous pouvez masquer les données qui ne sont pas pertinentes pour contrôler votre identité en tant que personne concernée. Vous pouvez également mentionner sur cette copie le nom de l'organisation, la date et l’objet de votre demande afin que celle-ci ne puisse pas être utilisée ultérieurement à d'autres fins. Si toutefois votre demande à une portée générale, il n’est pas nécessaire de nous fournir cette preuve.

Vous pouvez adresser un e-mail ou un courrier à notre délégué à la protection des données à l'adresse suivante:

CENTRE POUR LA CYBERSÉCURITÉ Belgique

À l’attention du délégué à la protection des données (DPD)

Rue de la Loi, 18

1000 Bruxelles

E-mail : privacy@ccb.belgium.be

Vous trouverez plus d'informations sur la protection des données à caractère personnel sur le site Internet de l'Autorité de protection des données : https://www.autoriteprotectiondonnees.be .

10. Quels sont les exceptions à l’exercice de vos droits?

L’exercice de certains de vos droits (voir point précédent) peut, de manière motivée, être limité ou vous être refusé par le CCB, notamment lorsque le traitement de vos données s’avère nécessaire à l’application de certaines dispositions légales et rend incompatible l’exercice de ces droits.

11. Réclamations

Si vous estimez, après avoir pris contact avec notre délégué à la protection des données, que le Centre pour la Cybersécurité Belgique n'aurait pas traité vos données personnelles conformément aux réglementations en vigueur, vous avez le droit d’introduire une réclamation auprès de l'Autorité de protection des données :

Autorité de la protection des données (APD)

Rue de la Presse 35

1000 Bruxelles

Tel. +32 2 274 48 00

Fax +32 2 274 48 35

email: contact@apd-gba.be

site internet: https://www.autoriteprotectiondonnees.be

12. Qui contacter à propos de vos données personnelles?

Pour toute demande d’information concernant notre politique de protection des données, en ce compris toues demandes d’informations relative à la vidéosurveillance, contactez notre délégué à la protection des données : privacy@ccb.belgium.be.

Si vous constatez que des données gérées par le CCB seraient perdues, détruites ou rendues publiques sans autorisation (vous trouvez par exemple un dossier, un laptop ou un smartphone clairement identifié comme appartenant à un membre de notre personnel, vous constatez que des données ou mots de passe liés au CCB circulent sur internet...), vous pouvez nous le signaler via l’adresse e-mail : privacy@ccb.belgium.be.

13. Cette politique peut-elle être modifiée?

Nous réexaminons régulièrement notre politique et nous nous réservons le droit d’y apporter des changements à tout moment pour prendre en compte des changements dans nos activités ou de nouvelles exigences légales.

Pour vous informer de ces changements, nous publierons les mises à jour de notre politique sur nos différents sites internet : « www.ccb.belgium.be », « www.safeonweb.be », « atwork.safeonweb.be », « community.ncc.belgium.be » ou « notif.safeonweb.be ».

Vous pouvez vérifier la date de « dernière mise à jour » en haut de cette politique pour savoir quand elle a été révisée pour la dernière fois.

Nous utilisons des cookies sur nos sites internet (« www.ccb.belgium.be », « www.safeonweb.be » ou « atwork.safeonweb.be », « community.ncc.belgium.be » ou « notif.safeonweb.be ») ou sur nos applications afin de fournir un service optimal.

Un cookie est un petit fichier stocké sur votre ordinateur ou téléphone. Le cookie peut être récupéré lorsque vous visitez le même site à un moment ultérieur.

Ces cookies ne sont pas conservés au-delà du temps nécessaire à l'accomplissement de la finalité poursuivie (voir les détails repris ci-après).

Les sites et les applications du CCB utilisent les cookies suivants :
 

1. Cookies techniques (toujours requis):

Ces cookies sont nécessaires pour des raisons purement techniques pour une visite normale du site Internet. Vu la nécessité technique, seule une obligation d'information s'applique, et ces cookies sont placés dès que vous accédez au site Internet.

2. Cookies fonctionnels (toujours requis):

Ces cookies sont strictement nécessaires pour pouvoir fournir le service que vous avez (explicitement) demandé. On ne peut pas refuser ces cookies si on désire naviguer de manière optimale sur ce site Internet, mais ils ne sont placés après qu'un choix aura été effectué concernant le placement de cookies.

 3. Cookies statistiques (optionnels):

Un cookie est qualifié de « statistique » lorsque celui-ci mesure l’audience d’un site internet ou d’une application. Vous pouvez refuser les cookies ci-dessous si vous désirez naviguer sur notre site Internet.

4. Liens externes

Nos sites Internet ou applications mentionnent parfois des liens externes pour documenter certaines informations. L'activation de ces liens relève de la responsabilité de l'utilisateur. Nous conseillons cependant de consulter la déclaration de confidentialité ainsi que la politique en matière des cookies du site concerné.

5. Comment voir quels cookies sont installés sur mon appareil et comment les supprimer?

Si vous voulez savoir quels cookies sont installés sur votre appareil ou si vous souhaitez les supprimer, vous pouvez utiliser un paramètre de votre navigateur. Vous trouverez davantage d'explications sur la manière de procéder via les liens ci-dessous.

Vous utilisez un autre navigateur ? Vérifiez si la procédure pour votre navigateur est reprise sur le site Internet www.allaboutcookies.org/manage-cookies. Ce site est uniquement disponible en anglais.