L'eID sur le lieu de travail

Tout belge possède une carte d'identité (électronique). Auparavant, la carte d'identité était exclusivement utilisée dans le cadre d'obligations administratives vis-à-vis de la commune et de la police, mais avec la carte d'identité électronique (l'eID), il est également possible de signer des documents officiels de façon électronique et d'accéder à toutes sortes d'applications en ligne.

 

 

 

Carte d'identité, s'il vous plaît !
Se connecter et signer des documents via l'eID

Sauf dans les cas où la loi prescrit que la carte d'identité doit être utilisée, l'identité peut être prouvée par tous les moyens possibles. La carte d’identité constitue cependant le moyen le plus commode pour s'identifier, c'est la raison pour laquelle cette carte sera généralement demandée.
L'eID comporte une série de données administratives concernant le titulaire. Ces données sont à la fois imprimées sur la carte et enregistrées sur la puce, dans un fichier électronique. Il s'agit entre autres du nom, des prénoms, de la nationalité, de la date et du lieu de naissance, du sexe, de la photo, du numéro de registre national. L'adresse figure uniquement sur la puce.

Dans la vie quotidienne, il arrive aussi de plus en plus souvent que des commerçants, des banques, des bibliothèques et aussi des employeurs veuillent lire l'eID et dans de nombreux cas, ils en prennent également une copie papier ou électronique. Nous ne prêtons pas toujours attention au fait que cela pourrait s'avérer problématique pour la protection de nos données à caractère personnel . La l'Autorité a dès lors pris l'initiative de formuler un certain nombre de règles pratiques  afin que la carte d'identité soit utilisée dans le respect de la vie privée.

Un employeur peut demander l'eID  d'un (candidat) travailleur s'il a une bonne raison de le faire. Pendant la procédure de recrutement, ce sera par exemple lorsque l'employeur invite des candidats travailleurs sur la base des résultats obtenus à un test d'admission. Dans ce cas, l'employeur peut demander au candidat travailleur de prouver son identité afin qu'il n'y ait par la suite aucun doute sur les résultats qu'il a obtenus. L'employeur est parfois obligé de vérifier si le travailleur dispose de certaines qualifications ou de certains permis de travail. Il doit alors connaître l'identité du candidat travailleur et pouvoir la comparer avec celle qui est mentionnée sur les qualifications ou sur les permis de travail en question. Un troisième exemple est celui des obligations en matière de sécurité sociale que l'employeur doit remplir une fois qu'un contrat de travail est conclu. Pour pouvoir s'acquitter correctement de ces obligations, l'employeur doit connaître l'identité du travailleur. En ce qui concerne ces obligations en matière de sécurité sociale, il faut aussi souligner qu'à cette fin, l'employeur doit connaître le numéro de Registre national de ses travailleurs. Il ne peut toutefois utiliser ce numéro que pour l'application de la réglementation relative à la sécurité sociale.

Les bureaux d'intérim peuvent également demander l'eID des demandeurs d'emploi. À l'instar de tout autre employeur, un bureau d'intérim doit remplir toutes sortes d'obligations de sécurité sociale suite à la conclusion d'un contrat de travail. Dans le cadre du travail intérimaire, il s'écoule souvent très peu de temps entre la sélection d'un candidat à un emploi intérimaire et son entrée en service. Le bureau d'intérim peut dès lors demander et lire l'eID (y compris le numéro de Registre national) du travailleur intérimaire dès son inscription.

Si le bureau d'intérim donne la possibilité aux intéressés de s'enregistrer via son site Internet, il peut déjà à ce moment-là demander les données à caractère personnel nécessaires – à l'exception du numéro de Registre national. À ce stade, il n'est en effet pas encore du tout question d'une quelconque entrée en service.

L'eID a été conçue afin d'offrir aux citoyens un moyen de s'authentifier de façon fiable et de signer des documents sous forme numérique.

Les autorités ont opté pour un système répondant à des normes légales très strictes, afin que la valeur probante d'une signature numérique créée à l'aide d'une eID soit élevée.

Il est dès lors compréhensible que les employeurs souhaitent utiliser cette possibilité. La puce dont est munie l'eID comporte deux clés distinctes permettant au titulaire de la carte :

  • de prouver son identité à des tiers (clé d'authentification) ;
  • de prouver son identité et de signer le contenu d'un document (clé de signature numérique).

Pour utiliser les deux certificats, le titulaire de l'eID doit introduire son code PIN.

Il est important de savoir que chaque clé s'accompagne d'un certificat. Ce certificat est un fichier contenant entre autres le nom, les prénoms, le numéro de Registre national de la personne concernée ainsi que plusieurs données techniques relatives à la clé.

Le certificat de signature numérique est envoyé avec chaque document signé de façon numérique. Ceci permet au destinataire d'un tel document de vérifier deux choses :

  • qui a signé le document ?
  • la signature numérique est-elle valable ?

Le certificat accompagnant la clé d'authentification permet à une application de contrôler qui tente d'avoir accès. Le SPF Finances utilise ce certificat par exemple pour accorder un accès à l'application Tax On Web.

L'employeur peut utiliser l'eID pour permettre aux travailleurs d'accéder aux systèmes informatiques de l'entreprise. Cette pratique est soumise à la condition que l'employeur ait une bonne raison d'utiliser l'eID comme clé d'identification pour les systèmes informatiques de l'entreprise. En outre, il doit aussi toujours informer le travailleur au préalable concernant l'utilisation de l'eID par l'employeur.

Les employeurs du secteur privé peuvent donc également utiliser l'eID comme moyen d'authentification pour leurs systèmes informatiques. Il est cependant à noter que dans les processus sous-jacents, ils ne peuvent pas se baser sur le numéro de Registre national du travailleur concerné, par exemple pour y associer des droits d'utilisateur et des droits d'accès. Pour cela, les employeurs du secteur privé peuvent par contre utiliser les autres numéros de série figurant sur l'eID (par exemple le numéro de carte d'identité).

La consigne de signer des documents à l'aide de l'eID ne peut être donnée que pour des documents relevant des tâches du travailleur concerné. Par ailleurs, rien ne sert de demander la signature numérique à l'aide de l'eID de documents qui ne doivent pas être signés. Il en va de même pour des documents pour lesquels une signature électronique plus simple (par exemple la mention du nom au bas d'un e-mail, le scan d'une signature manuscrite) ou un horodatage électronique par l'entreprise ou par l'instance suffit.
En résumé, l'employeur doit vérifier si une signature numérique à haute valeur probante est bien nécessaire.

Étant donné que l'employeur est le responsable du traitement pour les données à caractère personnel qui sont traitées lors de l'apposition d'une signature électronique à l'aide de l'eID, il doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel de ses travailleurs qui utilisent leur eID afin de signer des documents professionnels. Concrètement, l'employeur doit mettre en œuvre des moyens suffisants pour protéger ses systèmes informatiques contre des logiciels malveillants (malware) visant à piéger des personnes en leur faisant signer des documents à leur insu ou dont le contenu n'est pas celui qu'ils pensent.