L'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale a été pris en exécution des articles 17, alinéa 2, et 25 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale et est entré en vigueur le 1er novembre 1993.
1. Généralités
En vertu de l'article 2, il est imposé aux caisses d'allocations familiales en tant qu'institutions coopérantes de sécurité sociale d'instituer un service chargé de la sécurité de l'information, c'est-à-dire chargé de la prévention et, si nécessaire, de la réparation des dommages aussi bien matériels pouvant survenir aux banques de données que ceux représentant une atteinte à la vie privée des personnes (article 1er, 9°).
Cependant, les institutions peuvent être autorisées à confier ces tâches à un service de sécurité spécialisé, agréé par le Ministre.
2. La sécurité de l'information - organisation
2.1. Le service chargé de la sécurité propre à l'institution
2.1.1. Structure - direction
Le service chargé de la sécurité de l'information propre à l'institution est dirigé par un conseiller en sécurité. Il peut se faire assister d'un ou de plusieurs adjoints (article 4, al. 1). Ce service est placé sous l'autorité fonctionnelle directe du responsable de la gestion journalière de l'institution (article 5).
2.1.2. Missions (article 3)
Le service chargé de la sécurité de l'information a pour missions:
- de donner des avis au responsable de la gestion journalière au sujet de tous les aspects de la sécurité de l'information. Sauf si les risques ne sont pas suffisamment importants, les avis s'expriment par écrit et sont motivés ;
- de documenter en rassemblant toute information pouvant être utile :
- à la promotion des règles de sécurité imposées par des dispositions légales ou réglementaires,
- à l'adoption par les personnes employées par l'institution d'un comportement favorisant la sécurité ;
- de veiller au respect dans l'institution des règles de sécurité imposées par une disposition légale ou réglementaire ou en vertu d'une telle disposition.
Toutes les infractions seront communiquées par écrit au responsable de la gestion journalière de l'institution avec les avis nécessaires pour éviter qu'elles ne se reproduisent ;
- de rédiger à l'attention du responsable de la gestion journalière :
- un projet de plan de la sécurité pour une durée de trois ans.Ce projet est à revoir au moins annuellement (article 7) ;
- un rapport annuel devant reprendre les éléments repris à l'article 8 de l'arrêté royal.
La mission du service chargé de la sécurité de l'information décrite ci-dessus (voir chapitre II de l'arrêté royal) se rapporte également aux données sociales à caractère personnel conservées, traitées ou échangées par l'intermédiaire de tiers pour le compte de l'institution concernée tels les secrétariats sociaux ou les sous-traitants, par exemple (article 10).
2.1.3. Qualification professionnelle (article 6)
Le service chargé de la sécurité de l'information doit disposer d'une connaissance suffisante
- de la structure informatique de l'institution,
- de la sécurité de l'information.
Il doit en permanence tenir cette connaissance à jour.
2.1.4. Désignation du conseiller en sécurité et communication de son identité
2.1.4.1. Organismes gérant un réseau secondaire
Le conseiller en sécurité de l'organisme gérant un réseau secondaire (pour le régime des allocations familiales pour travailleurs salariés, l'O.N.A.F.T.S.) ne peut être désigné qu'après avis du Comité de surveillance (article 4, al. 2) et de la Banque-carrefour de la sécurité sociale.
2.1.4.2. Organismes participant au réseau secondaire
L'identité des conseillers en sécurité des institutions participant au réseau secondaire (les caisses d'allocations familiales) doit être simplement communiquée au Comité de surveillance, par l'intermédiaire de l'organisme gérant le réseau secondaire (article 4, al. 4).
2.2. Le service de sécurité spécialisé agréé (articles 11 et 12)
2.2.1. Mission
Le service de sécurité spécialisé agréé assure la sécurité de l'information des institutions qui, n'ayant pas constitué de service propre, ont obtenu l'autorisation du Comité de surveillance de lui confier cette mission.
Au sein des institutions, les délégués du service en sécurité spécialisé fonctionnent à l'égal du service de sécurité propre.
2.2.2. Autorité
Le Comité de surveillance veille au caractère indépendant et au bon fonctionnement des services de sécurité spécialisés agréés.
2.3. Le groupe de travail sur la sécurité de l'information (article 14)
2.3.1. Mission
Ce groupe de travail est créé au sein du Comité général de coordination de la Banque-carrefour. Il a une mission de coordination et de communication entre les services chargés de la sécurité de l'information des institutions qui y sont représentées. Il est également investi d'une mission normative et de contrôle et donne des avis au Comité de surveillance.
2.3.2. Composition du groupe de travail
Le groupe de travail comprend sous la présidence du conseiller en sécurité de la Banque-carrefour, les conseillers en sécurité des institutions gérant un réseau secondaire et un conseiller en sécurité choisi au sein de chaque sous-groupe de travail (voir ci-après).
2.4. Le sous-groupe de travail sur la sécurité de l'information.(article 14, al. 2)
2.4.1. Mission
Puisque ce sous-groupe de travail est créé au sein de chaque institution gérant un réseau secondaire, le secteur des allocations familiales pour travailleurs salariés est doté d'un sous-groupe de travail créé au sein de l'Office.
Le sous-groupe de travail a une mission de coordination et de communication entre les services chargés de la sécurité de l'information des institutions participant au réseau.
Il est également investi d'une mission normative, donne des avis au Comité de surveillance et effectue du contrôle.
2.4.2. Composition du sous-groupe de travail
Le sous-groupe de travail rassemble les conseillers en sécurité de toutes les caisses d'allocations familiales ainsi qu'un membre du service chargé de la sécurité de l'information de la Banque-carrefour.
Le sous-groupe de travail est présidé par le conseiller en sécurité de l'institution gérant le réseau secondaire, en l'occurrence le conseiller en sécurité de l'Office.
3. Mesures pratiques
3.1. Désignation du conseiller en sécurité
3.1.1. Principes
Chaque caisse d'allocations familiales devra désigner un conseiller en sécurité. En vue d'une saine gestion et pour des raisons d'efficience, rien ne s'oppose à ce que différentes caisses recourent aux services d'une même personne.
Les caisses d'allocations familiales peuvent également procéder, avec l'autorisation du Comité de surveillance, à cette désignation par recours à l'assistance externe d'un service de sécurité agréé (article 2, al. 2), lequel interviendra alors pour tous les aspects de la sécurité de l'information (article 13).
3.1.2. Le service de sécurité de l'information propre à l'institution
3.1.2.1. Désignation du conseiller en sécurité
En vertu de l'article 24 de la loi du 15 janvier 1990 précitée, le conseiller en sécurité peut être désigné au sein ou non du personnel dans un contexte statutaire ou dans le cadre d'un contrat de travail.
La désignation du conseiller en sécurité, qui doit organiser le service de sécurité dans la caisse, n'est pas soumise à l'avis préalable du Comité de surveillance mais les critères d'appréciation mentionnés pour les conseillers en sécurité des institutions gérant un réseau secondaire seront utilement pris en considération par l'autorité responsable.
3.1.2.2. Composition du service de sécurité de l'information
Il ne nous paraît pas opportun, vu la structure du régime et l'importance de la mission, de procéder à la désignation d'adjoints au conseiller en sécurité dans les caisses d'allocations familiales, si ce n'est en cas de réelle nécessité justifiée de manière explicite par la caisse.
3.1.2.3. Profil du personnel du service de sécurité de l'information
Les personnes appelées au service de sécurité de l'information doivent de façon générale, avoir une formation et une connaissance suffisante de la structure informatique de l'institution et de la sécurité de l'information.
Cette connaissance doit être tenue à jour en permanence.
Ces personnes doivent disposer du temps et des moyens nécessaires pour mener à bien leur mission ; de plus, elles ne doivent pas exercer d'activités incompatibles avec leur mission.
3.1.2.4. Procédure
Les caisses d'allocations familiales sont tenues de renvoyer à l'Office le formulaire repris en annexe II, dûment complété et signé, dans les meilleurs délais.
Ce modèle correspond aux exigences du Comité de surveillance à l'égard des conseillers en sécurité des organismes gérant un réseau secondaire, en ce qui concerne le curriculum vitae du candidat.
A défaut de remarque de l'Office dans les 2 mois suivant la réception, chaque caisse d'allocations familiales pourra considérer cette désignation comme valable, dans les conditions qui ont été précisées.
L'identité des conseillers en sécurité sera alors communiquée par l'Office au Comité de surveillance de la Banque-carrefour de la sécurité sociale.
3.1.3. Le service de sécurité spécialisé agréé
3.1.3.1. Désignation d'un conseiller en sécurité
Les caisses d'allocations familiales qui sont autorisées à faire appel à un service spécialisé agréé ne doivent pas procéder à la désignation d'un conseiller en sécurité puisque ce conseiller fait partie du service de sécurité, qu'il peut d'ailleurs constituer à lui seul, et que le service agréé prend en charge les missions de ce service.
3.1.3.2. Procédure
Les caisses d'allocations familiales qui ne désirent pas créer leur propre service de sécurité de l'information peuvent faire appel à un service spécialisé agréé. Elles doivent toutefois y être autorisées par le Comité de surveillance de la Banque-carrefour de la sécurité sociale. Comme les caisses d'allocations familiales ont une mission identique au sein de la sécurité sociale, l'Office a présenté une demande collective et motivée en leur nom audit Comité. Dès que l'autorisation en question aura été accordée, les caisses en seront informées et recevront la liste des services agréés. Dans ce cas, il n'est pas utile de compléter intégralement la formule reprise en annexe II. Cependant, les caisses d'allocations familiales compléteront la rubrique 2.1.(en mentionnant la dénomination et l'adresse du service agréé auquel elles s'affilient), ainsi que la rubrique 4, relative à la rémunération.
3.2. Organisation du groupe de travail sur la sécurité de l'information
Dès que les désignations des conseillers en sécurité seront intervenues, le président du sous-groupe de travail pour le régime des allocations familiales pour travailleurs salariés, en l'occurrence, le conseiller en sécurité de l'ONAFTS, prendra contact avec chacun des membres en vue de la constitution de ce sous-groupe.
A ce moment sera également désigné le représentant des conseillers en sécurité des caisses d'allocations familiales, qui sera membre du groupe de travail créé au sein du Comité général de coordination de la Banque-carrefour de la sécurité sociale.
3.3. Contrôle exercé par l'Office sur le fonctionnement des services de sécurité de l'information
La coordination entre les différentes caisses d'allocations familiales est assurée au sein du sous-groupe de travail dont question au point ci-dessus. Cependant, dans le cadre de sa mission de contrôle sur les caisses d'allocations familiales, l'Office s'assurera que le service chargé de la sécurité de l'information dresse chaque année un rapport destiné au responsable de la gestion journalière de la caisse d'allocations familiales.
