Arrêté royal du 12 août 1993 organisant la sécurité de l'information dans les institutions de sécurité sociale texte complet coordonné

CHAPITRE I. DES DEFINITIONS

Article 1er.

Pour l’application du présent arrêté, on entend par:

1° "loi" : la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale;

2° "Banque-carrefour" : la Banque-carrefour de la sécurité sociale;

3° "Comité de surveillance" : le Comité de surveillance visé à l’article 37 de la loi, modifié par la loi du 6 août 1990;

4° "institution" : les institutions de sécurité sociale visées à l’article 2, alinéa 1er, 2° de la loi, la Banque-Carrefour, ainsi que les autres institutions gérant un réseau secondaire;

5° "institution gérant un réseau secondaire" : une institution qui tient un répertoire particulier des personnes, visé à l’article 6, alinéa 2, 2°, de la loi;

6° "Ministre" : le Ministre qui a la prévoyance sociale dans ses attributions;

7° "responsable de la gestion journalière" : le responsable de la gestion journalière d’une institution, ou, lorsqu’il s’agit d’un Ministre chargé de l’application de la sécurité sociale, le secrétaire général ou le directeur général désigné par celui-ci;

8° "conseiller en sécurité" : les personnes visées à l’article 25 de la loi;

9° "sécurité de l’information" : la prévention et la réparation rapide et efficiente des dommages aux données sociales et des violations illégitimes de la vie privée des intéressés.

CHAPITRE II. DES SERVICES DE SECURITE DE l'INFORMATION DES INSTITUTIONS

Art. 2.

Toutes les institutions sont tenues d’instituer un service chargé de la sécurité de l’information.

Par dérogation à l’alinéa 1er, le Comité de surveillance peut autoriser des institutions, à leur demande ou à son initiative, à confier, aux conditions déterminées par celui-ci, les tâches du service chargé de la sécurité de l’information à un service de sécurité spécialisé agréé visé à l’article 11.

Art. 3.

Le service chargé de la sécurité de l’information a une mission d’avis, de stimulation, de documentation et de contrôle.

Le service chargé de la sécurité de l’information conseille le responsable de la gestion journalière de son institution, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l’information. Sauf si les risques ne sont pas suffisamment importants, les avis s’expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais avec un maximum de trois mois, le responsable de la gestion journalière décide de suivre ou non les avis et informe le service chargé de la sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée.

Le service chargé de la sécurité de l’information promeut le respect des règles de sécurité imposées par une disposition ou règlementaire ou en vertu d’une telle disposition, ainsi que l’adoption, par les personnes employées dans l’institution, d’un comportement favorisant la sécurité.

Le service chargé de la sécurité de l’information rassemble la documentation utile à ce sujet.

Le service chargé de la sécurité de l’information veille au respect, dans l’institution, des règles de sécurité imposées par une disposition légale ou règlementaire ou en vertu d’une telle disposition. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de l’institution, accompagnées des avis nécessaires en vue d’éviter de telles infractions à l’avenir.

Art. 4.

Le service chargé de la sécurité de l’information est placé sous la direction du conseiller en sécurité. Le conseiller en sécurité peut se faire assister par un ou plusieurs adjoints.

Le conseiller en sécurité et ses adjoints éventuels dans les institutions gérant un réseau secondaire et dans les institutions n’appartenant pas à un réseau secondaire ne sont désignés qu’après avis du Comité de surveillance.

Avant d’émettre son avis, le Comité de surveillance vérifie notamment si les intéressés disposent d’une connaissance suffisante et du temps nécessaire pour pouvoir mener cette mission à bien et s’ils n’exercent pas d’activités qui pourraient être incompatibless avec cette mission. Après leur désignation, l’identité du conseiller en sécurité et de ses adjoints éventuels est communiquée sans délai au Comité de surveillance.

Après leur désignation, l’identitié du conseiller en sécurité et de ses adjoints éventuels dans les autres institutions que celles visées à l’alinéa 2 est communiquée à l’institution gérant le réseau secondaire concerné, qui la communique à son tour sans délai au Comité de surveillance.

Les conseillers en sécurité et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions qu’ils émettent ou des actes qu’ils accomplissent dans le cadre de l’exercice correct de leur fonction.

Art. 5.

Le service chargé de la sécurité de l’information est placé sous l’autorité fonctionnelle directe du responsable de la gestion journalière de l’institution. Il travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son interventon, en particulier avec le service informatique et le service de sécurité d’hygiène et d’embellissement des lieux de travail de l’institution.

Art. 6.

Le service chargé de la sécurité de l’information doit disposer d’une connaissance suffisante de la structure informatique de l’institution ainsi que de la sécurité de l’information. Il doit en permanence tenir cette connaissance à jour.

Art. 7.

Le service chargé de la sécurité de l’information rédige un projet de plan de sécurité pour une durée de trois ans, à l’attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis, au sens de l’article 3, alinéa 2.

Art. 8.

Le service chargé de la sécurité de l’information rédige un rapport annuel à l’attention du responsable de la gestion journalière de l’institution. Ce rapport comprend au moins :

1° un aperçu général de la situation en matière de sécurité, de l’évolution au cours de l’année écoulée et des objectifs qui doivent encore être atteints;

2° un résumé des avis écrits, transmis au responsable de la gestion journalière et la suite qui y a été réservée;

3° un aperçu des travaux exécutés par le service chargé de la sécurité de l’information;

4° un relevé des résultats des contrôles effectués par le service chargé de la sécurité de l’information, reprenant tous les incidents qui ont été constatés et qui étaient de nature à compromettre la sécurité de l’information de l’institution ou du réseau;

5° les avis transmis à l’institution par le service de sécurité spécialisé agréé visé à l’article 11, auquel l’institution est affiliée, et la suite qui y a été réservée;

6° les avis du groupe de travail visé à l’article 14 ainsi que la suite qui y a été réservée;

7° un relevé des campagnes menées en vue de favoriser la sécurité;

8° un aperçu de toutes les formations suivies et prévues.

Art. 9.

Sans préjudice des dispositions de l’article 3, le service de sécurité de l’information de la Banque-carrefour a en outre une mission d’avis en matière de sécurité de l’échange des données dans le réseau.

Art. 10.

Les missions du service chargé de la sécurité de l’information telles que définies dans le présent chapître se rapportent également aux données sociales à caractère personnel conservées, traitées ou échangées par l’intermédiaire de tiers pour le compte de l’institution concernée.

CHAPITRE III. DU SERVICE DE SECURITE SPECIALISE DE L’INFORMATION

Art. 11.

Il sera créé au moins un service de sécurité spécialisé qui sera agréé par le Ministre; ce service assistera les institutions dans l’exercice de leurs tâches relatives à la sécurité de l’information.

Pour pouvoir être agréé, un service de sécurité spécialisé doit satisfaire aux conditions suivantes :

1° être créé au sein ou sous forme d’une association sans but lucratif telle que définie par la loi du 27 juin 1921, n’ayant comme membres effectifs que des institutions;

2° être exclusivement chargé de missions relatives à la sécurité de l’information dans le cadre de la sécurité sociale;

3° satisfaire aux règles de tarification, dans la mesure où elles sont fixées par le Ministre.

Le Comité de surveillance veille au caractère indépendant et au bon fonctionnement des services de sécurité spécialisés agréés.

Art. 12.

Le service de sécurité spécialisé agréé exerce, entre autres, les missions suivantes :

1° mettre à la disposition des institutions des spécialistes en matière de sécurité de l’information;

2° donner des avis autorisés aux institutions ou au Comité de surveillance, à la demande de ceux-ci;

3° organiser une formation en matière de sécurité de l’information à l’attention des institutions;

4° encourager et suivre les campagnes de promotion en matière de sécurité de l’information;

5° exécuter les tâches décrites au Chapître II au bénéfice des institutions, qui en application de l’article 2, alinéa 2, n’ont pas créé de service chargé de la sécurité de l’information;

6° effectuer des contrôles externes et des enquêtes détaillées concernant la situation en matière de sécurité des institutions à la demande de l’institution intéressée ou deu Comité de surveillance.

Art. 13.

Chaque institution ne peut, pour tous les aspects de la sécurité de l’information, faire appel qu’à l’intervention d’un seul service de sécurité spécialisé agréé.

[Art. 13 bis.

Si une association créée en application de l’article 17bis de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale est agréée en tant que service spécialisé de sécurité en exécution de l’article 11, toutes les institutions peuvent participer à une telle association pour faire appel aux services confiés en vertu de cet arrêté royal à un service de sécurité spécialisé agréé. – inséré par l’article 1er de l’arrêté royal du 8 octobre 1998 (Moniteur belge du 24 décembre 1998)]

CHAPITRE IV. DU GROUPE DE TRAVAIL SUR LA SECURITE DE L’INFORMATION

Art. 14.

Au sein du Comité général de coordination de la Banque-carrefour est créé un groupe de travail sur la sécurité de l’information. Ce groupe de travail sera présidé par le conseiller en sécurité de la Banque-carrefour et il sera composé en outre des conseillers en sécurité des institutions gérant un réseau secondaire et des institutions n’appartenant pas à un réseau secondaire, ainsi que d’un seul conseiller en sécurité choisi au sein de chaque sous-groupe de travail visé à l’alinéa 2.

En outre, il sera créé un sous-groupe de travail en matière de sécurité de l’information, au sein de chaque institution gérant un réseau secondaire. Ce sous-groupe de travail sera présidé par le conseiller en sécurité de cette institution et sera en outre composé des conseillers en sécurité des institutions appartenant au réseau secondaire géré par cette institution, ainsi que d’un membre du service chargé de la sécurité de l’information de la Banque-carrefour.

Le groupe de travail et les sous-groupes de travail sont convoqués par leur président aussi souvent que cela s’avère nécessaire.

Le groupe de travail et les sous-groupes de travail sont chargés de la coordination et de la communication entre les services chargés de la sécurité de l’information des institutions qui y sont représentées.

Le groupe de travail sur la sécurité de l’information est plus particulièrement chargé de :

1° la préparation des normes minimales concernant la sécurité physique et logique de l’information;

2° la préparation d’une liste de contrôle permettant l’évaluation du respect des normes minimales concernant la sécurité physique et logique de l’information;

3° la formulation d’avis au Comité de Surveillance concernant la sécurité de l’information.

CHAPITRE V. DES DISPOSITIONS TRANSITOIRES ET FINALES

Art. 15.

Le premier rapport annuel visé à l’article 8 sera transmis dans les 12 mois de l’entrée en vigueur du présent arrêté.

Art. 16.

Le présent arrêté entre en vigueur le premier jour du troisième mois qui sut celui au cours duquel il aura été publié au Moniteur belge.

Par dérogation à l’alinéa premier, la date d’entrée en vigueur du présent arrêté sera fixée ultérieurment en ce qui concerne les institutions publiques qui ne relèvent pas exclusivement de l’autorité fédérale.

Art. 17.

Notre Ministre des Pensions, Notre Ministre de l’Emploi et du Travail. Notre Ministre des Petites et Moyennes Entreprises et Notre Ministre des Affaires sociales sont chargés, chacun en ce qui le concerne, de l’exécution du présent arrêté.