Faq
0.1 GÉNÉRALITÉS : Le Federal Service Bus (FSB), c'est quoi ?
Le SPF BOSA offre le Federal Service Bus (FSB), une plate-forme sécurisée pour l'échange uniforme de messages électroniques entre services publics. Cette plate-forme propose des services web qui donnent accès à des sources de données authentiques ou non. Ces services web se présentent sous 3 grandes variantes :
- Services d'intercommunication (« passthrough ») : le service web est offert dans une forme totalement identique à celle développée par le propriétaire de la source de données (authentique). Chaque fois que le propriétaire de la source adapte le service, l'organisation consommatrice devra aussi apporter les adaptations dans sa propre application.
- Services plus complexes : le service web sur le FSB prévoit les traitements souhaités des données originales afin que la présentation des données corresponde mieux aux besoins opérationnels des organisations utilisatrices. Cela peut prendre la forme du filtrage (jusqu'à une simple réponse OUI/NON), d'une combinaison de données de différentes sources, ou d'autres transformations.
- Orchestrations : par l'échange de données entre plusieurs partenaires, c'est tout un processus qui est suivi, d'ordinaire en combinant différents services web. Par exemple pour la création d'une entreprise par la voie électronique ou la déclaration de naissance d'un enfant.
Comme illustré ci-dessous, la chaîne comprend par défaut 3 partenaires :
- Le propriétaire de la source de données (authentique) est responsable de la collecte, de la disponibilité et de la qualité des données offertes, éventuellement en collaboration avec une ou plusieurs autres organisations chargées de compléter ou de mettre à jour les données.
- L'intégrateur de services (ou les intégrateurs de services) se charge(nt) de l'échange sécurisé et uniforme des données électroniques et est l'interlocuteur unique (sont les interlocuteurs uniques) tant sur le plan technique (connexion/standards/sécurisation) que sur le plan de la gouvernance (accords/communication/niveau de qualité).
- L'organisation consommatrice intègre dans sa propre application le(s) service(s) web offert(s), ce qui permet à l'utilisateur final d'accéder, dans l'environnement familier de sa (ses) propre(s) application(s), aux données issues des sources de données sous-jacentes.
0.2 GÉNÉRALITÉS : Quels services web le SPF BOSA offre-t-il sur le FSB ?
Le SPF BOSA propose pas moins de 160 services web, qui sont groupés logiquement en une dizaine de familles de services web. Les familles de services web les plus utilisées sont :
- les PersonServices qui donnent accès aux données à caractère personnel du Registre national et des registres de la Banque Carrefour de la Sécurité Sociale (BCSS) ;
- les EnterpriseServices qui donnent accès aux données d'entreprises de la Banque Carrefour des Entreprises (BCE).
Vous trouverez ici une liste complète décrivant et documentant les services web déjà disponibles.
Si vous n'y trouviez pas les données que vous recherchez, n'hésitez pas à nous contacter. Nous examinerons alors ensemble si ces données sont déjà disponibles dans un service public ou si nous pouvons les mettre à disposition à l'avenir par le biais du FSB.
0.3 GÉNÉRALITÉS : Quelle est la différence entre un service web et une application web ?
Une application web est un programme qui tourne sur un serveur web et qui peut être utilisé via un navigateur web par l'utilisateur final (ou les utilisateurs finaux) pour procéder à diverses opérations.
Un service web se charge de l'appel sous-jacent et automatisé des services par le client (application web ou composant) à un serveur. Dans ce cadre, on utilise des protocoles web standard, et la communication se déroule via XML (SOAP).
Sur sa plate-forme FSB, le SPF BOSA offre des services web. Ces composants ne peuvent donc pas être utilisés directement par un utilisateur final mais peuvent être intégrés par l'organisation utilisatrice dans sa (ses) propre(s) application(s) web ou guichets virtuels.
0.4 GÉNÉRALITÉS : Qui peut utiliser les services web sur le FSB ?
Les services du SPF BOSA sont à la disposition de l'ensemble des services et institutions publics, ainsi que de toutes les organisations remplissant une mission d’intérêt général, mais uniquement pour leurs missions d'intérêt général.
En tant qu'intégrateur de services fédéral, le SPF BOSA concentre ses services sur toutes les instances publiques fédérales (hormis la Sécurité sociale).
Actuellement, 6 intégrateurs de services publics sont actifs en Belgique :
- La Banque Carrefour d'Échange de Données (BCED) est l'intégrateur de services régional pour la Wallonie.
- eHealth est l'intégrateur de services pour toutes les organisations et institutions du réseau de l'e-santé.
- Informatie Vlaanderen est l'intégrateur de services régional pour la Flandre.
- Le SPF BOSA est l'intégrateur de services fédéral (sauf pour la Sécurité sociale).
- Fidus est l'intégrateur de services régional pour la Région de Bruxelles-Capitale.
- La Banque Carrefour de la Sécurité Sociale (BCSS) est l'intégrateur de services pour toutes les institutions de Sécurité sociale.
Comme illustré dans le schéma ci-dessous, le but est que l'ensemble des services publics et organisations d'intérêt public, qu'ils soient uniquement fournisseurs de services (« service providers »/sources authentiques) ou consommateurs des services (« service consumers ») ou les deux, ne doivent plus interagir qu'avec un seul intégrateur de services. Vu que les intégrateurs de services collaborent étroitement et s'offrent mutuellement des services, tout fournisseur ou consommateur de services peut, via ce modèle d'interaction, demander sans souci des données ou les échanger avec un autre service public, même si celui-ci se trouve dans le réseau d'un autre intégrateur de services.
0.5 GÉNÉRALITÉS : Comment mon organisation accède-t-elle aux services web et à quelles conditions ?
Si votre organisation fait partie du public cible du SPF BOSA et si vous avez trouvé dans notre portefeuille de services un service web adapté, vous pouvez soumettre une demande concrète par le biais de notre formulaire de contact pour utiliser le service web en question.
Les étapes concrètes qui devront être suivies sont décrites ici [LIEN vers le volet Demande].
Pour la majorité des services, il existe des étapes techniques (certificat, connexion, tests) et administratives (autorisation, convention d'utilisation, capacité), qui peuvent cependant souvent se dérouler en parallèle. En fonction de la source de données impliquée, une autorisation devra être demandée au préalable par votre organisation pour toute finalité (objectif) pour laquelle vous souhaitez utiliser l'accès.
0.6 GÉNÉRALITÉS : Des coûts sont-ils liés à l’utilisation des services web ?
Les services du SPF BOSA sont en principe gratuits pour les services publics fédéraux pour autant qu'il s'agisse de services réutilisables. Si votre organisation souhaite des développements spécifiques, il est possible de recourir à un contrat-cadre du SPF BOSA en concertation avec ce dernier.
Dans des cas exceptionnels, un coût peut être imputé par le propriétaire d'une source de données pour des consultations, comme c'est actuellement le cas pour le Registre national (vous trouverez plus d'informationss à ce sujet dans cette FAQ).
Une organisation consommatrice doit donc généralement tenir compte des coûts de développement sur sa propre infrastructure pour intégrer le(s) service(s) web dans son (ses) application(s) web. Ensuite aussi pour les adaptations nécessaires, lorsque le service du fournisseur de la source de données sera mis à jour sur le plan technique et/ou fonctionnel. Le SPF BOSA essaie de limiter le nombre de modifications pour ses clients en offrant parallèlement, quand c'est possible, plusieurs versions d'un même service. Cela permet à une organisation utilisatrice qui n'aurait pas besoin de la dernière adaptation fonctionnelle de passer une version et de ne migrer qu'à la version suivante.
0.7 GÉNÉRALITÉS : Qu’est-ce qu'un « Privacy Audit Trail » et quelle est la part de responsabilité de mon organisation en la matière ?
Les données confidentielles, comme les données à caractère personnel, ne peuvent être traitées que si ce traitement a un fondement légal. C'est pourquoi une autorisation préalable doit toujours être obtenue pour accéder à ces données. Cette autorisation détermine et valide la finalité et la proportionnalité liées à l'utilisation de ces données.
La finalité est un but bien déterminé, expressément défini et autorisé.
La proportionnalité signifie que les données sont adéquates et pertinentes et ne peuvent pas être excessives au regard de la finalité pour laquelle elles sont obtenues et pour laquelle elles seront traitées ultérieurement. Les données ne peuvent pas non plus être conservées plus longtemps que la période strictement nécessaire à la finalité autorisée.
C'est pourquoi tout partenaire impliqué (organisation consommatrice-intégrateur(s) de services-propriétaire d'une source de données) doit tenir à jour pendant 10 ans des « audit logs » afin de pouvoir vérifier qui a consulté ou modifié quelles données à quel moment. Pour éviter que chaque partenaire tienne à jour toutes les données et travaille donc individuellement de manière disproportionnée et menace la vie privée tant de l'utilisateur final que de la personne dont les données sont consultées, un « Privacy Audit Trail » doit être convenu entre les partenaires concernés de la chaîne.
Le schéma ci-dessous montre un exemple de « Privacy Audit Trail ». En principe, l'organisation consommatrice doit uniquement tenir à jour qui a introduit une demande et quand et pour quelle finalité. Dans ce cas, le propriétaire de la source de données doit uniquement tenir à jour quelles données ont été consultées et quand. Ensuite, l'intégrateur de services pourra, à l'aide de la finalité et du « message ID » unique des partenaires, établir le lien entre les deux. Le « Privacy Audit Trail » peut ainsi toujours être retracé quand les « audit logs » de tous les partenaires sont réunis. Ceci doit donc correctement être convenu et testé.
0.8 GÉNÉRALITÉS : Dans quelle mesure un service public fédéral est-il obligé de participer à un projet d'intégration avec un autre service public via le SPF BOSA ?
Le législateur a décidé de renforcer l'e-gouvernement au niveau fédéral et de donner un incitant supplémentaire par le biais d'une part de la « Loi Fedict », qui reconnaît le SPF BOSA (avant: Fedict) comme l'intégrateur de services fédéral (excepté pour la Sécurité sociale), et d'autre part de la « Loi Only Once », qui oblige les services publics à s'échanger davantage de données pour éviter que les citoyens et entreprises ne doivent sans cesse communiquer les mêmes données à l'Administration.
Ces lois prévoient les dispositions suivantes :
- Quand un service public fédéral (excepté de la Sécurité sociale) demande au SPF BOSA d'accéder à une certaine source de données via le Federal Service Bus (FSB), et que cette source de données est déjà disponible dans un autre service public, le SPF BOSA est obligé de donner accès à cette source de données via le FSB. Même quand la source n'existe pas encore, le SPF BOSA peut jouer un rôle en recherchant quel service public pourrait être le propriétaire le plus naturel de la source, afin d'examiner ensuite avec ce partenaire si et dans quel délai cette source de données peut être mise en place et ensuite mise à disposition via le FSB.
- Quand le SPF BOSA demande à un propriétaire d'une source de données fédérale de pouvoir donner accès à sa source via le FSB, ce propriétaire est obligé de mettre cette source de données à disposition via le FSB. Le propriétaire de la source de données reste évidemment responsable de sa source et de la qualité des données. Le destinataire des données doit respecter les règles d'accès de la source et présenter éventuellement les autorisations nécessaires de la Commission Vie privée.
- Quand le SPF BOSA a donné accès à une source de données via le FSB, chaque service public fédéral est alors obligé de réutiliser cette source via le FSB. Si, pour des raisons historiques, il existe déjà une connexion directe entre un consommateur fédéral de données et un propriétaire d'une source de données, un trajet de transition en la matière sera éventuellement convenu avec le SPF BOSA afin d'adapter la connexion dans un délai convenu de sorte que cette connexion puisse passer ensuite également par le FSB.
Ci-dessous, vous trouverez les articles des lois qui expliquent plus précisément ces points :
D'une part la « Loi Fedict » du 15/08/12 (intitulé complet : « Loi relative à la création et à l’organisation d’un intégrateur de services fédéral ») qui définit le rôle du SPF BOSA en tant qu'intégrateur de services fédéral :
Art. 4. L'intégrateur de services fédéral a pour mission, avec l'accord des services publics participants et des autres intégrateurs de services, d'intégrer les processus de traitement des données et, dans ce cadre, de donner accès de manière intégrée aux données. Á cet effet, l'intégrateur de services fédéral, s'agissant du réseau :
1. reçoit et donne suite aux demandes de consultation et de communication des données enregistrées dans une ou plusieurs banques de données ou procède à la communication intégrée de ces données ;
2. élabore les modes de contrôle technique et organisationnel par l'intégrateur de services fédéral des droits d'accès aux banques de données ;
3. promeut et veille à l'homogénéité des droits d'accès aux banques de données ;
4. élabore les modalités techniques visant à développer les canaux d'accès de la manière la plus efficace et la plus sûre possible ;
5. élabore les modalités techniques relatives à la communication entre les banques de données ou les sources authentiques et le réseau ;
6. promeut une politique de sécurité coordonnée pour le réseau ;
7. promeut et encadre le remodelage de banques de données en sources authentiques ;
8. peut développer à leur demande conjointe pour plusieurs services publics participants des applications utiles à l'intégration de données conservées dans les banques de données.
Art. 8. § 1er. Les services publics participants et les intégrateurs de services communiquent par voie électronique à l'intégrateur de services fédéral toute donnée électronique disponible dont celui-ci a besoin pour l'exécution de sa mission d'intégration de services.
§ 2. L'intégrateur de services fédéral communique par voie électronique aux services publics fédéraux participants et aux autres intégrateurs de services toute donnée électronique disponible dont ils ont besoin pour l'exécution de leurs missions, pour autant qu'ils disposent à cette fin des autorisations nécessaires.
§ 3. Les services publics participants collectent, après qu'ils ont obtenu à cette fin les autorisations nécessaires, les données électroniques disponibles qui sont offertes par l'intégrateur de services fédéral auprès de ce dernier.
Les services publics participants ne recueillent plus les données dont ils disposent en exécution de l'alinéa 1er auprès de l'intéressé, ni auprès de son mandataire ou de son représentant légal.
Les services publics participants qui disposent d'un accès direct auprès d'une source authentique réutilisent les données disponibles dans cette source et ne peuvent plus les demander à l'intéressé, ni à son mandataire ou à son représentant légal.
Art. 12. Les données communiquées par le biais de l'intégrateur de services fédéral bénéficient de la force probante jusqu'à preuve du contraire, indépendamment du support sur lequel la communication s'opère.
D'autre part la « Loi Only Once » du 5/05/14 (intitulé complet : « Loi garantissant le principe de la collecte unique des données dans le fonctionnement des services et instances qui relèvent de ou exécutent certaines missions pour l'autorité et portant simplification et harmonisation des formulaires électroniques et papier »).
N'hésitez pas à nous contacter si vous avez encore des questions spécifiques sur ces lois.
1.1 DONNÉES À CARACTÈRE PERSONNEL : Commet calcule-t-on le prix des consultations dans le Registre national ?
Le Registre national impute un coût par consultation réussie, et donc pas pour les messages d'erreur. Le nombre de messages détermine la tranche dans laquelle vous vous situez (le prix diminue à mesure que le nombre de messages augmente). Cependant, les coûts sont calculés cumulativement par tranche. Les tarifs les plus actuels se trouvent sur le site web du Registre national.
Au point I.2 : « Utilisateurs dont l'accès est limité à la consultation des informations », vous pouvez retrouver les différentes tranches.
1.2 DONNÉES À CARACTÈRE PERSONNEL : Comment demander une autorisation d'accès au Registre national et aux registres de la Banque Carrefour de la Sécurité Sociale (BCSS) ?
Ce sont les propriétaires des sources authentiques qui décident qui accède à quelles données de leurs sources et à quelles conditions. En la matière, le SPF BOSA ne peut jouer qu'un rôle d'accompagnateur, pour vous aider à vous y retrouver et à vous guider dans la procédure de la source de données.
- Registre national
Afin de pouvoir accéder au Registre national, votre organisation doit répondre à certaines exigences . Vous pouvez aussi introduire une demande d'autorisation auprès du Comité sectoriel du Registre national, à la Commission de la protection de la vie privée (CPVP).
- Registres de la Banque Carrefour de la Sécurité Sociale (BCSS)
Pour accéder aux registres de la Banque Carrefour, vous pouvez introduire une demande d'autorisation au Comité sectoriel de la Sécurité sociale et de la Santé, à la Commission de la protection de la vie privée (CPVP).
2.1 DONNÉES D'ENTREPRISE : Comment demander une autorisation d'accès à la Banque Carrefour des Entreprises (BCE) ?
Pour accéder aux services web de la Banque Carrefour des Entreprises (BCE), vous devez compléter le formulaire de demande et l'envoyer au service de gestion de la BCE. Vous trouverez le formulaire ainsi que toutes les informations à ce sujet sur le site web de la BCE.