Sécurité de l’information & Vie privée

L'arrêté royal du 17/03/2013 définit la « sécurité de l'information » comme des stratégies, règles, procédures et moyens de protection de tout type d’information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l’intégrité, la fiabilité, l’authenticité et l’irréfutabilité de l’information.

Il s'agit, en grandes lignes, de la protection de toutes les formes d'informations de l’organisation contre tout accès ou toute modification illicites. A cet effet, sont prises des mesures visant à garantir les caractéristiques suivantes de l'information:

• la confidentialité : les données sont uniquement disponibles pour les personnes ou entités compétentes et pour des processus déterminés ;
• La disponibilité : avoir accès aux données et pouvoir en disposer au moment souhaité ;
• l'intégrité : l'exactitude et l'exhaustivité des données ;
• l'authenticité: le degré de fiabilité de l'originalité et de l'origine des données ;
• l'irréfutabilité : pouvoir prouver qu'une action ou un événement a réellement eu lieu ;
• de plus, la notion d'auditabilité est également importante, c’est-à-dire l'auditabilité c'est pouvoir tracer des actions et des activités exécutées par les personnes compétentes (ou non compétentes).

La sécurité de l'information cadre les questions suivantes: Qui peut accéder à quelles informations et quand ? Les activités de consultation d'informations sont-elles traçables (et donc auditables) ? Comment protéger l'enregistrement et l'échange d'informations sensibles entre plusieurs parties ? Quels sont les risques de sécurité et quelles mesures sont envisageables pour réduire les risques et respecter la législation ? Comment démontrer que notre organisation maîtrise la protection de l'information ? Comment réaliser une protection de l'information de manière efficace et effective (avec un rapport coût/efficacité satisfaisant) ? Quelles sont les responsabilités de chacun ? Etc.

L'échange électronique de données à caractère personnel entre les divers acteurs du secteur de la santé et l'importance de la qualité des données sont devenus incontournables, tout comme les risques liés aux évolutions technologiques et à la numérisation de l'information. Bien que cette évolution ait entraîné une amélioration considérable de la qualité de la prestation de services, le besoin de garanties supplémentaires afin de disposer d'informations fiables et du niveau de service souhaité se fait de plus en plus ressentir.

De nouveaux risques susceptibles de compromettre la protection des données à caractère privée (en ce compris les données médicales du patient) apparaissent suite à l’augmentation continue du nombre de banques de données, mais également suite à l'augmentation considérable du nombre d'échanges de ces données. C'est pourquoi il convient d'élaborer une vision en matière de sécurité de l'information et de protection de la vie privée.

L'arrêté royal du 23 octobre 1964 prévoit la création d'un service de sécurité de l'information dans tout établissement hospitalier. Ce service de sécurité de l'information est placé sous la direction d'un conseiller en sécurité, éventuellement assisté par un ou plusieurs adjoints. Le conseiller en sécurité est désigné après avis du Comité sectoriel de la sécurité sociale et de la santé.

Avant de rendre son avis, le Comité sectoriel de la sécurité sociale et de la santé vérifie si le candidat dispose des compétences requises, s'il dispose du temps nécessaire pour accomplir ses missions et s'il n'exerce pas d'activités incompatibles avec la fonction de conseiller en sécurité.

Il convient de remplir le formulaire suivant et de le renvoyer :

1. soit par mail à security@ehealth.fgov.be
2. soit par la poste au président du Comité sectoriel de la sécurité sociale et de la santé, Quai de Willebroeck 38 à 1000 Bruxelles.

Le Comité sectoriel examinera la candidature et si le candidat répond aux exigences de la fonction, il rendra un avis positif pour la désignation du conseiller en sécurité de l’information (adjoint).

Le Comité sectoriel peut également recommander que le candidat doive suivre une formation complémentaire dans un domaine déterminé.

Tout changement de conseiller en sécurité de l’information doit immédiatement être signalé au Comité sectoriel de la sécurité sociale et de la santé. Au besoin, une nouvelle candidature devra être introduite au moyen du formulaire de référence précité.

Le conseiller en sécurité de l’information est également garant de la sécurité de l'information et la protection de la vie privée au sein des hôpitaux. Son rôle n'est pas toujours simple. De même, la réglementation et les règles qui lui sont applicables doivent parfois être précisés.

Un conseiller en sécurité de l’information a :

• Un rôle de conseil, de stimulation, de documentation, de contrôle¹ et de rapportage en matière de sécurité de l'information et de protection de la vie privée. Les personnes dirigeantes au sein de l'instance concernée (p.ex. un hôpital) conservent toutefois le pouvoir de décision et la responsabilité finale en ce qui concerne le traitement de données à caractère personnel.
• Le conseiller en sécurité de l'information promeut le respect des règles de sécurité imposées par ou en vertu d'une loi ou d'un règlement et incite les personnes employées par l'hôpital à adopter une culture de sécurité.
• Le conseiller en sécurité de l’information est en contact direct avec le responsable de la gestion journalière. Il fournit des avis à l'administration, à la demande de celle-ci ou de sa propre initiative, sur tous les aspects de la sécurité de l'information.
• Sauf si les risques ne sont pas suffisamment importants, les avis s'expriment par écrit et sont motivés. Si le responsable de la gestion journalière déroge à un avis exprimé par écrit, il doit en informer le service de sécurité de l'information par écrit et de façon motivée. Ceci permet au service de sécurité de l'information d'assurer le suivi nécessaire des mesures prises en matière de sécurité.
• Le conseiller en sécurité de l’information travaille en étroite collaboration avec les services au sein desquels son intervention est ou peut être requise. En fonction de la taille de l'organisation, il s'agit en particulier (mais pas exclusivement) du médecin principal, du service informatique, du service de prévention, du service audit interne / contrôle interne et du service communication.
• Le conseiller en sécurité de l'information doit avoir de bonnes connaissances de l'environnement informatique de l'organisation et des domaines de la sécurité de l'information. Il doit maintenir à jour ses connaissances.
• Le service sécurité de l'information rédige, pour le responsable de la gestion journalière, un plan de sécurité de l’information valable pendant un délai déterminé et il y indique les moyens qui sont nécessaires sur base annuelle pour pouvoir exécuter le plan.

Le terme “contrôle” est utilisé comme synonyme de “mesure” et/ou “surveillance”.

Le contenu de la fonction de conseiller en sécurité de l’information ne dépend pas uniquement de la loi et des réglementations, mais également des attentes de l'organe compétent au sein de l'institution, des risques opérationnels qui ont été identifiés et de l'expertise du conseiller en sécurité de l’information. Toutefois, il est important que la portée de la fonction soit déterminée en concertation avec le responsable de la gestion journalière et soit compatible avec la mission réglementaire (voir le point 3). Ci-après figure un aperçu non exhaustif des activités possibles:

• Interpréter la règlementation en matière de sécurité de l'information en fonction de l'organisation;
• Poursuivre le développement de la politique en matière de sécurité;
• Proposer une stratégie de sécurité;
• Prendre des initiatives en matière de sécurité de l'information;
• Coordonner des activités en matière de sécurité de l'information;
• Gérer le "Information Security Management System" (ISMS);
• Gérer le plan de sécurité de l'information;
• Fournir des avis en matière de sécurité de l'information;
• Réaliser le suivi de la conformité avec la législation et la réglementation;
• Promouvoir la collaboration entre les organisations internes et externes;
• Organiser des sessions de sensibilisation à la sécurité de l'information à tous les niveaux de l'organisation;
• Animer la plateforme de concertation en matière de sécurité de l'information;
• Evaluer le budget annuel en matière de sécurité de l'information en concertation avec les parties concernées;
• Identifier les risques de sécurité et en faire rapport;
• Préparer et accompagner les audits internes et externes en matière de sécurité de l'information et suivre les recommandations;
• Détecter les éventuelles infractions à la sécurité de l'information (à la demande de la direction, d'un tribunal) en matière de confidentialité, d'intégrité, d'autorisation, etc.
• Evaluer les incidents de sécurité majeurs;
• Suivre les évolutions en matière de menaces, contre-mesures, technologie, ...
• Soutenir le management dans le cadre de la procédure de sécurisation;
• Elaborer des objectifs, des stratégies et des directives en matière de sécurité de l'information;
• Evaluer les rapports de sécurité et examiner dans quelle mesure des informations importantes sont fournies et quel est leur impact au niveau des activés;
• Suivre l'état d'avancement des diverses initiatives en matière de sécurité;
• Approuver les modifications de la politique en matière de sécurité IT;
• Etc.

a. Législation

• Arrêté royal du 23/10/1964: arrêté royal portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre.
• Arrêté royal du 8/08/1983: loi organisant un registre national des personnes physiques.
• Loi du 15/01/1990 : loi relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale.
• Loi du 8/12/1992 : loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
• Arrêté royal du 13/01/2001: arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
• Protocole CARENET du 19/04/2001 : fixe le rôle du conseiller en sécurité dans les échanges avec les organismes assureurs.
• Arrêté royal du 15/06/2001 : arrêté royal déterminant les critères d'agréation des offices de tarification.
• Loi du 12/02/2008: loi déterminant les règles suivant lesquelles le gestionnaire des hôpitaux doit communiquer au Ministre qui a la Santé publique dans ses attributions, l'identité des personnes chargées de la communication des données se rapportant à l'établissement.
• Loi du 21/08/2008: loi relative à l'institution et à l'organisation de la plate-forme eHealth.
• Arrêté royal du 17/03/2013: Arrêté royal relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral

b. Circulaires

• 09/11/ 2011: circulaire du SPF Santé publique (DG1/ST/LN/ du 09/09/2011) adressée aux hôpitaux.
• 09/01/2002 : circulaire relative aux informations enregistrées dans le registre national des personnes physiques. Mesures de protection des données.
• 24/09/2007 : circulaire relative aux obligations pour les responsables du traitement de données.
• 12/03/2008 : circulaire relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Accès aux informations du registre national.  Mesures de sécurité visant à garantir la confidentialité et l'intégrité des données, l'authentification des utilisateurs et la trace des activités réalisées sur le système d'information.
• 10/07/2008 : circulaire relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Respect des finalités pour lesquelles l'autorisation d'accéder aux informations du registre national ou d'en obtenir la communication a été accordée.
• 5/07/2011 : le Comité sectoriel de la sécurité sociale et de la santé a décidé, le 5 juillet 2011, que les hôpitaux qui ne disposent pas d'un conseiller en sécurité n'auront plus accès aux données à caractère personnel du registre national.

c. Divers

• Vie privée
• Site web de la BCSS
• Normes minimales de sécurité BCSS (2015)
• Réforme de la législation en matière de protection des données
• Code de bonne conduite
• AR du 12/08/1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale.
• Loi du 11/12/1998 relative à la classification et aux habilitations de sécurité.
• Loi du 28/11/2000 relative à la criminalité informatique.
• Loi du 09/07/2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification.
• CCT 81 : 12/06/2002. Arrêté royal rendant obligatoire la convention collective de travail n° 81 du 26 avril 2002, conclue au sein du Conseil national du travail, relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau.
• Loi télécom : La loi du 13/06/2005 relative aux communications électroniques ([dernière modification: le 10/07/2012 - loi portant des dispositions diverses en matière de communications électroniques; il s'agit de la transposition en législation belge de la directive européenne "Communication électronique" 2009/136/CE]).
• Loi du 21/03/2007 réglant l'installation et l'utilisation de caméras de surveillance.
• Loi du 04/02/2010  relative aux méthodes de recueil des données par les services de renseignement et de sécurité
• Loi du 01/07/2011 relative à la sécurité et la protection des infrastructures critiques (transposition partielle de la directive européenne 2008/114/CE du 8 décembre 2008).

Le conseiller en sécurité de l’information a un rôle de conseil. Toutefois, c'est l'organe compétent au sein de l'institution qui est responsable du bon fonctionnement de l'institution et donc également de la sécurité de l'information.

Les avis du conseiller en sécurité de l’information s'expriment par écrit et sont motivés, sauf en cas de risque de moindre importance. Si le responsable de la gestion journalière déroge à un avis exprimé par écrit, il doit en informer le service de sécurité de l'information par écrit et de façon motivée. Ceci permet au service de sécurité de l'information d'assurer le suivi nécessaire des mesures prises en matière de sécurité.

Il convient de souligner que les mesures prises afin de garantir la sécurité de l'information ne pourront être effectives que si elles font partie intégrante de la culture d'entreprise. Autrement dit, tous les collaborateurs de l'institution, ainsi que les fournisseurs ou autres partenaires externes, doivent prendre leurs responsabilités lorsqu'ils traitent des données significatives et sensibles.

L'informatisation du secteur de la santé étant en plein développement, le conseiller en sécurité de l’information doit avoir de solides connaissances de l'organisation de la sécurité de l'information, des risques liés au traitement et à la communication de données, des processus et mesures de gestion y afférents et des divers domaines (techniques) de la TIC (technologies de l'information et de la communication). Compte tenu de l'évolution rapide de la TIC, le conseiller en sécurité de l’information doit entretenir ces connaissances. Le conseiller en sécurité de l’information ne doit pas nécessairement être un informaticien, mais il doit avoir de bonnes connaissances en informatique et en sécurité de l'information qu’il acquiert notamment grâce à des formations ou sur la base de son expérience professionnelle.

Le conseiller en sécurité de l’information doit également connaître le fonctionnement de l'organisation. Il doit savoir qui traite quelles données à caractère personnel et comment ces données sont traitées, ainsi que les risques qui y sont liés. La plupart de ces informations sont évidemment traitées par les systèmes TIC. C'est pourquoi il doit également posséder de solides connaissances à ce niveau.

Cela ne signifie pas que le conseiller en sécurité de l’information doit être un expert dans tous les domaines de la TIC, comme p.ex. dans le domaine de la cryptographie. Il est même recommandé qu'il fasse appel à des experts au besoin. Toutefois, il doit avoir une vue générale et doit être en mesure d'identifier les risques propres à la gestion de données (à caractère personnel) et de proposer les mesures adéquates pour y faire face, éventuellement avec la collaboration de tiers.

La politique de sécurité de l'information précise la vision et les objectifs généraux de l'institution qui se concrétisent par une série de mesures visant à résoudre, à limiter ou à prévenir certains problèmes. Cette politique explique pourquoi l'institution attache de l'importance à la sécurité de l'information.

La politique offre un cadre général au management pour la gestion et le soutien de la sécurité de l'information et ce en conformité avec les exigences au niveau des activités et la réglementation pertinente. Elle attribue des rôles et des responsabilités au sein de l'organisation et fixe les priorités respectives. La portée (scope) est définie en termes d'organisation, de localisation et de ressources y afférentes.

Le rôle du conseiller en sécurité de l'information se limite à un rôle de conseil. C'est le management qui prend l'initiative pour la sécurité, qui assure le support et qui assume à cet égard toute la responsabilité. Il est fondamental que tous les collaborateurs de l'institution participent à l'exécution de la politique de sécurité de l'information. A cet égard, la contribution des fournisseurs, clients ou autres partenaires externes se révèle également importante.

Ces politiques doivent évidemment être correctement implémentées. Elles doivent donc être traduites en une série de mesures de sécurité techniques et organisationnelles, compte tenu du contexte spécifique et des moyens de fonctionnement.  Un niveau de sécurité adéquat implique un équilibre entre, d'une part, la nature des données et les risques potentiels et, d'autre part, l'état de la technique et le coût des mesures envisagées. Il convient également de vérifier régulièrement si les mesures existantes sont toujours adéquates et si elles sont respectées.

• La politique de sécurité de l'information
• L'organisation et la protection de l'information
• La gestion des risques
• La protection physique et la protection de l'environnement
• La protection de l'accès logique
• La protection de l'architecture ICT, des applications, du réseau et des systèmes
• Le développement et la maintenance de systèmes
• La gestion des incidents de sécurité
• La gestion opérationnelle de la sécurité
• Le Business Continuity Management & IT Disaster Recovery
• La mise en œuvre de mesures de gestion internes et leur respect effectif
• La sensibilisation à la sécurité
• Etc.

Le plan de sécurité contient notamment les mesures concrètes et le budget y afférent nécessaires pour réaliser la politique de sécurité de l'information. Pour la mise en œuvre correcte des mesures politiques, il est nécessaire que celles-ci soient traduites en mesures de sécurité concrètes au niveau organisationnel, technique et au niveau des processus. A cet égard, il convient de tenir compte des objectifs spécifiques de l'organisation, des risques identifiés et de la valeur et de la sensibilité des données à protéger.

Le plan de sécurité de l’information requiert donc qu’une évaluation soit faite entre, d'une part, la nature des données et les risques potentiels et, d'autre part, la mise en œuvre, les priorités et les coûts des mesures de gestion correspondantes. Il s'agit donc d’un ensemble de mesures et de décisions relatives à la protection (confidentialité, intégrité et disponibilité) de systèmes et d'informations.

Un plan de sécurité de l'information contient notamment des mesures de gestion concrètes, à savoir qui est responsable de quoi et quels sont les budgets disponibles pour réaliser la politique de sécurité de l'information élaborée. Ce plan est généralement établi pour 3 (à 5) ans. Chaque année, il y a lieu de réexaminer la situation et, au besoin, d'adapter le plan en fonction des besoins, des risques identifiés et des priorités de l'organisation.

Il s'agit, en outre, d'un inventaire de la situation actuelle en matière de sécurité de l'information au sein de l'organisation. A cet égard, certains éléments importants ou situations problématiques peuvent être évoqués afin de formuler les avis nécessaires susceptibles de résoudre certains problèmes. Sur base de l'inventaire des risques identifiés, il est établi un plan d'action visant à résorber les points faibles dans un délai raisonnable.

Parmi les éléments importants d'un plan de sécurité de l'information, citons:

• la description de la portée (scope) du plan de sécurité;
• la description des tâches, des responsabilités et des compétences au sein de l'organisation;
• la structuration des mesures de gestion à prendre;
• la formalisation de l'objectif des mesures de gestion à prendre;
• la liste des responsabilités pour l'exécution concrète;
• la mention du délai dans lequel les actions doivent être réalisées;
• les moyens de fonctionnement concrets (budget, ressources) à prévoir (sur base annuelle);
• l'état de la situation ("as is") et/ou les actions à prendre ("to be")
• la validation par l'organe compétent au sein de l'institution (ou par les personnes chargées de la gestion journalière).

En cas de sous-traitance, il est important que le contrat fixe les responsabilités et les compétences et qu'il mentionne les exigences en matière de protection de l'information.

Si le "responsable du traitement" (la personne ou l'institution qui détermine l'objectif et les moyens du traitement) confie le traitement de données à un "sous-traitant", il y a lieu de respecter également les articles applicables de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Dans le cas de données à caractère personnel relatives à la santé, tant le responsable du traitement que le sous-traitant doivent toujours traiter ces données sous la surveillance d'un professionnel des soins de santé, de préférence d'un médecin.

En vertu de l'article 16 de la loi précitée du 8 décembre 1992, le responsable du traitement doit offrir des garanties suffisantes pour assurer un niveau de protection adéquat sur le plan de la protection de la vie privée et prendre les mesures techniques, organisationnelles et de sécurité par rapport au traitement à effectuer.

Le responsable du traitement doit notamment déterminer qui peut avoir accès aux données, à quel moment et à quelles conditions (confidentialité des données). Il doit aussi préciser la façon dont les données seront recueillies et qui est autorisé à les traiter ou à les modifier.

Le responsable du traitement fixe également le délai durant lequel les données sont accessibles et précise comment elles peuvent être obtenues (disponibilité des données). Finalement, il doit déterminer les preuves qui devront être créées (qui a eu accès à quelles données et à quel moment).

Un aperçu complet des obligations découlant de cette législation figure à l'article 16 de la loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (loi du 08/12/1992).

Parmi les normes appliquées par la Plate-forme eHealth, citons :

ISO27799 : Cette norme décrit les points prioritaires pour le secteur médical en ce qui concerne l'implémentation des normes ISO27001et ISO27002.

La Banque Carrefour de la sécurité sociale a, quant à elle, établi une série de normes minimales basées sur les normes ISO 27000. La plate-forme eHealth s'inspire de ces normes pour mettre en place ses principes en matières de sécurité de l'information.

NEN 7510: s'adresse aux établissements de soins et autres organisations concernées par la mise à disposition / protection de l'information dans les soins de santé.

COBIT: Best Practices pour la mise en œuvre de mesures ICT.