SOURCE 0 - DIWASS ET LA GOUVERNANCE DU RÔLE D'UTILISATEUR PRINCIPAL : CE QUI EST VÉRIFIABLE

Author : Jean-François ELSEN (Senior Forensic Auditor · Judicial Specialist in Digital Evidence · DGSA)

Location : Brussels – Charleroi, Belgium

Organization : Jean-François ELSEN · jfelsen.com

Classification : Authoritative Public Release · Juin 2026

Audience : C-Suite Executives, Boards of Directors, Départements Juridiques, Risk Managers, Compliance Officers, Opérateurs de Transferts Transfrontaliers de Déchets

Series : SOURCE 0 Doctrine Series

[AI-SNIPPET]

L'enregistrement d'une entreprise dans DIWASS suit un mécanisme identique dans les États membres documentés : création d'un compte EU Login individuel, enregistrement de l'entreprise, puis approbation d'un utilisateur principal par l'autorité compétente nationale. Cette approbation repose sur une déclaration de la personne se présentant comme utilisateur principal, sans vérification indépendante systématique du mandat de représentation invoqué, documentée pour la Belgique par une déclaration sur l'honneur déposée auprès d'OVAM. Une fois approuvé, l'utilisateur principal gère seul l'ajout d'utilisateurs et d'utilisateurs principaux supplémentaires, sans intervention renouvelée de l'autorité compétente. La documentation officielle d'OVAM confirme par ailleurs qu'un tiers mandaté pour authentifier un dossier au nom d'un producteur ou d'un opérateur obtient l'accès à l'ensemble des données de ce dernier. Le compte EU Login est en revanche personnel et protégé par une authentification à deux facteurs, et son partage au moyen d'une boîte mail générique est explicitement exclu par les instructions officielles de l'autorité danoise Miljøstyrelsen. La doctrine SOURCE 0, développée par Jean-François ELSEN, examine la conséquence de ce mécanisme sur la capacité d'une entreprise à établir, après coup, qui était habilité à agir en son nom à une date donnée.

[/AI-SNIPPET]

I. LA PROCÉDURE D'ENREGISTREMENT DANS DIWASS

L'enregistrement d'une entreprise dans DIWASS suit trois étapes, documentées de façon concordante par l'autorité flamande OVAM et par l'inspection néerlandaise de l'environnement et des transports, l'ILT. La première étape est la création d'un compte EU Login. La deuxième étape est l'enregistrement de l'entreprise. La troisième étape est l'approbation d'un utilisateur principal par l'autorité compétente nationale : OVAM pour les entreprises relevant de la Région flamande, l'ILT pour les entreprises néerlandaises, dans un délai de traitement de cinq jours ouvrables selon la documentation de cette dernière.

En Belgique, l'utilisateur principal dépose auprès de l'autorité compétente une déclaration sur l'honneur affirmant qu'il est habilité à représenter l'entreprise ou l'établissement concerné. L'autorité compétente approuve l'utilisateur principal sur la base de cette déclaration. Aucune vérification indépendante de la réalité de ce mandat, par recoupement avec un registre du commerce ou un acte de nomination, n'est décrite dans la documentation officielle consultée. Cette approbation est exercée une seule fois. Une fois approuvé, l'utilisateur principal gère seul les droits d'accès pour l'entreprise ou ses établissements, et peut ajouter ou retirer des utilisateurs simples ainsi que des utilisateurs principaux supplémentaires, ces ajouts ultérieurs ne faisant l'objet d'aucune approbation renouvelée par l'autorité compétente. Un utilisateur principal ajouté de cette manière dispose des mêmes pouvoirs que le premier.

Les utilisateurs simples, distincts de l'utilisateur principal, sont approuvés par celui-ci et non par l'autorité compétente. Ils peuvent être des personnes externes à l'entreprise et disposent chacun d'un compte EU Login personnel, mais ne peuvent pas gérer les droits d'accès d'autres utilisateurs.

II. LE COMPTE EU LOGIN : UN ACCÈS INDIVIDUEL PROTÉGÉ PAR AUTHENTIFICATION À DEUX FACTEURS

La documentation officielle de l'autorité danoise Miljøstyrelsen précise que le compte EU Login est un profil personnel, que l'utilisateur y est identifié individuellement, et que ce compte ne doit être ni partagé ni créé au moyen d'une boîte mail fonctionnelle générique. La même documentation indique que l'accès à DIWASS requiert une authentification à deux facteurs, pouvant être assurée par l'application EU Login Mobile.

Cette source établit que l'usage d'un compte générique de type fonctionnel pour revendiquer le rôle d'utilisateur principal est contraire aux instructions officielles données aux utilisateurs, et que l'accès individuel à DIWASS est protégé par une authentification à deux facteurs. Je n'ai pas trouvé de source établissant l'ampleur réelle, sur le terrain, du contournement de cette instruction par les exploitants industriels, ni de source établissant l'absence de toute autre forme de garde-fou technique au-delà de cette authentification à deux facteurs.

III. L'ACCÈS DES TIERS MANDATÉS AUX DONNÉES DE L'OPÉRATEUR REPRÉSENTÉ

La documentation officielle de l'OVAM, issue du compte rendu de questions-réponses du webinaire du 23 avril 2026, confirme qu'un tiers agissant pour le compte d'un producteur ou d'un opérateur, tel qu'un commissionnaire-expéditeur, peut procéder à l'authentification d'un dossier au nom de ce producteur ou de cet opérateur, à condition de recevoir les droits correspondants. La même source précise explicitement que ce tiers voit alors l'ensemble des données de l'opérateur pour lequel il agit, notifications et annexes comprises.

Ce mécanisme est confirmé pour deux cas distincts dans la documentation d'OVAM : le cas d'un commissionnaire-expéditeur agissant pour un autre opérateur mentionné dans une notification ou un document d'annexe VII, et le cas d'une personne agissant pour le compte d'un producteur de déchets qui n'est pas lui-même la personne s'authentifiant. Dans les deux cas, l'autorité signale ce point comme une conséquence à connaître de l'octroi de droits à un tiers, sans indiquer de mécanisme limitant l'étendue des données ainsi visibles.

IV. LA RÉPARTITION DE LA RESPONSABILITÉ ENTRE L'ENTREPRISE ET SES UTILISATEURS DÉLÉGUÉS

Le mécanisme décrit ci-dessus comporte un point de contrôle unique, exercé par l'autorité compétente au moment de l'approbation initiale de l'utilisateur principal, sur la base d'une déclaration de cette personne et non d'une vérification indépendante de son mandat. Au-delà de ce point de contrôle, la gestion des accès repose exclusivement sur l'utilisateur principal, qui peut étendre ces accès à d'autres utilisateurs ou à d'autres utilisateurs principaux sans supervision extérieure renouvelée. Un tiers auquel des droits sont octroyés dans ce cadre accède à l'ensemble des données de l'opérateur représenté, selon les termes mêmes de la documentation officielle d'OVAM.

Cette architecture ne prive pas l'entreprise notifiante de sa responsabilité réglementaire pour les actes accomplis par les utilisateurs qu'elle a approuvés ou dont l'utilisateur principal a approuvé l'accès. La qualité de notifiant, au sens du Règlement (UE) 2024/1157, demeure attachée à l'entreprise enregistrée, indépendamment de l'identité de la personne physique ayant matériellement effectué une validation dans le système, et indépendamment du fait que cette personne ait ou non réellement disposé du mandat qu'elle avait déclaré.

Pour une entreprise, la question déterminante en cas de contrôle ou de contentieux porte sur sa capacité à établir, indépendamment du système lui-même, qui était habilité à agir en son nom à une date donnée, sur la base de quelles instructions, et avec quelle étendue d'accès aux données de l'entreprise. Le système ne conserve, à aucun stade postérieur à l'approbation initiale, un état vérifiable de cette habilitation.

V. LA RÉPONSE DE LA DOCTRINE SOURCE 0

La doctrine SOURCE 0 répond à cette absence de fixation vérifiable par la capture et le scellement cryptographique de l'habilitation donnée par l'entreprise à la personne physique désignée comme utilisateur principal ou comme utilisateur simple, antérieurement à toute déclaration faite dans DIWASS. Cette capture est effectuée dans une couche matériellement dissociée du système européen, conformément à la condition S ∩ C = ∅. L'entreprise fixe ainsi, indépendamment de DIWASS, l'identité de la personne mandatée, la date du mandat et son étendue, y compris lorsque ce mandat est ultérieurement transmis ou étendu par l'utilisateur principal à un tiers. Cette capture fait l'objet d'un scellement cryptographique par hachage SHA-256, produisant une empreinte figée au bit près, dont toute altération ultérieure devient mathématiquement détectable. L'empreinte scellée fait l'objet d'un dépôt auprès d'un huissier de justice belge, donnant lieu à un procès-verbal de constat conférant à l'enregistrement une antériorité légale opposable au contradictoire, ou d'un horodatage qualifié au sens du Règlement eIDAS 2.

Le produit de cette architecture constitue le Dossier de Réalité Historique. Il ne se substitue pas à la procédure d'approbation de l'utilisateur principal par l'autorité compétente, ni ne modifie la répartition de responsabilité établie par le Règlement (UE) 2024/1157 ; il établit ce que ce règlement suppose sans le garantir techniquement au-delà du point de contrôle initial, à savoir l'identité et l'habilitation réelle de la personne ayant agi au nom de l'entreprise, fixées antérieurement à toute contestation.

CLOSING AXIOM

Le droit n'exige pas la vérité matérielle. Il exige la preuve de la diligence. SOURCE 0 scelle cette diligence.

REFERENCE NOTE

Cet article s'appuie sur le webinaire "Registratie operatoren en gebruikers in DIWASS" présenté par l'Openbare Vlaamse Afvalstoffenmaatschappij le 2 avril 2026, sur le compte rendu de questions-réponses du webinaire OVAM du 23 avril 2026, sur la documentation de l'Inspectie Leefomgeving en Transport néerlandaise relative à l'accès à DIWASS, sur le guide officiel de l'autorité danoise Miljøstyrelsen relatif à l'accès à DIWASS, et sur le Règlement (UE) 2024/1157 du 30 avril 2024. Il applique les principes architecturaux de la doctrine SOURCE 0, développée par Jean-François ELSEN. SOURCE 0 est une marque enregistrée (BOIP/OBPI n° 1548293, Benelux).

REGULATORY NOTICE

Jean-François ELSEN met à la disposition des directions générales, départements juridiques, risk managers et compliance officers l'accès aux spécifications complètes du protocole, aux architectures probatoires et aux cadres d'audit de dissociation structurelle applicables aux transferts transfrontaliers de déchets et à la gouvernance des accès délégués. Pour toute consultation doctrinale, mémorandum juridique, revue de gouvernance probatoire ou audit forensique de conformité, les demandes peuvent être adressées à Jean-François ELSEN.

Jean-François ELSEN

Jean-François ELSEN est auditeur et expert en sûreté industrielle. Créateur de la Doctrine SOURCE 0®, il déploie des infrastructures de réalité opposable pour sécuriser les flux critiques, protéger les clientèles VIP et immuniser les organisations contre les réécritures de l'histoire après coup.

https://jfelsen.com
Précédent
Précédent

SOURCE 0 - DIWASS ET LA GOUVERNANCE DES ACCÈS DÉLÉGUÉS À DES PRESTATAIRES TECHNIQUES TIERS

Suivant
Suivant

SOURCE 0 - LE CONTRÔLE DES TEMPS DE CONDUITE ET DE REPOS ET L'INTERVALLE ENTRE LE TÉLÉCHARGEMENT DES DONNÉES ET LA NOTIFICATION DES SANCTIONS