Protection vie privée

Roadmap Data Protection Regulation

Le document contient les 6 points d'action décidés pour le secteur social et celui de la santé.
BCSS_roadmap_privacyverordening 

Traitement de données à caractère personnel

Comme tout autre responsable d’un traitement, les institutions de sécurité sociale sont obligées de respecter plusieurs conditions générales de licéité. Elles doivent tout d’abord s’assurer qu’elles traitent les données à caractère personnel uniquement d’une manière loyale et licite. Les données à caractère personnel doivent ensuite être collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des attentes raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Par ailleurs, les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement, elles doivent être exactes (et, si nécessaire, mises à jour) et elles peuvent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités précitées. Les institutions de sécurité sociale doivent donc veiller à ce qu'elles ne traitent ni trop, ni trop peu de données à caractère personnel, elles doivent veiller à la qualité de ces données à caractère personnel et elles doivent les supprimer lorsqu'elles deviennent inutiles. Lors de l’octroi de son autorisation, le Comité sectoriel de la sécurité sociale et de la santé vérifiera si la communication en question satisfait bien aux principes de finalité et de proportionnalité.

L’intervention de la BCSS lors de l’échange de données à caractère personnel

En vertu du principe de la collecte unique des données à caractère personnel, les institutions de sécurité sociale – et par extension toutes les instances appartenant au réseau de la sécurité sociale – ne peuvent plus demander, sans restriction, des données à caractère personnel à l'assuré social. Elles doivent au contraire d’abord rechercher les données à caractère personnel nécessaires au sein du réseau de la sécurité sociale. La réduction considérable des formalités administratives dans le chef de l'assuré social qui découle du principe de la collecte unique de données à caractère personnel ne porte cependant pas préjudice à sa vie privée. Le législateur a en effet prévu qu’à quelques exceptions près, toute communication de données à caractère personnel par ou à une instance appartenant au réseau de la sécurité sociale doit s’effectuer à l’intervention de la BCSS.

Dans le cadre de la protection de la vie privée des assurés sociaux, un rôle important est attribué aux divers répertoires des références qui sont tenus à jour au sein du réseau de la sécurité sociale. La BCSS gère un répertoire des références dans lequel il est mentionné pour tout assuré social quel type de données à caractère personnel est présent dans le réseau de la sécurité sociale et à qui ces données peuvent être communiquées. Ce répertoire des références fait office de filtre. Celui-ci doit veiller à ce que seules les données à caractère personnel autorisées soient communiquées et à ce que ces données parviennent uniquement au(x) bon(s) destinataire(s). Si lors d’une communication concrète de données sur la base du répertoire des références des irrégularités voient le jour, la BCSS arrêtera la communication et en avertira l'émetteur.

Les instances qui font partie du réseau de la sécurité sociale sont obligées, avant qu’elles ne puissent procéder à un quelconque échange de données à caractère personnel, de communiquer à la BCSS concernant quels assurés sociaux elles gèrent un dossier. Lors de l’échange électronique de données à caractère personnel, la BCSS vérifiera si tant l’émetteur que le destinataire du message électronique gèrent effectivement un dossier concernant l’intéressé. Si tel n’est pas le cas, la BCSS ne transmettra pas le message électronique et en avertira l’émetteur. Ceci permet d’éviter que des données à caractère personnel soient transmises à un destinataire qui n’en a en réalité pas besoin pour l’accomplissement de ses missions, ce qui constituerait une violation du principe de proportionnalité. La BCSS examinera également si le destinataire est bien autorisé (par le Comité sectoriel de la sécurité sociale et de la santé) à obtenir les données à caractère personnel en question et bloquera, si nécessaire, la transmission ultérieure du message électronique.

Si un message électronique est destiné à une institution coopérante de sécurité sociale, la BCSS ne le communiquera pas directement à cette institution. En effet, en ce qui concerne les branches de la sécurité sociale dans lesquelles des institutions coopérantes de sécurité sociale sont actives, la BCSS ne dispose que d’une référence jusqu’au niveau de la branche même. Seule l’institution de gestion du réseau secondaire concerné connaît, par assuré social, l’institution de sécurité sociale coopérante compétente. Cette institution de gestion assumera au sein de ce réseau secondaire un rôle similaire à celui exercé par la BCSS. De manière concrète, cela signifie que la BCSS enverra les messages électroniques qu’elle a contrôlés à l'institution de gestion du réseau secondaire, qui est ensuite chargée – à l’aide de son répertoire des références propre - de leur distribution correcte à l’institution coopérante de sécurité sociale qui gère le dossier de l’assuré social en question. Cette façon de procéder a pour avantage que l’affiliation auprès de l'institution coopérante de sécurité sociale n'est connue qu'au sein de la propre branche de sécurité sociale. La BCSS sait par conséquent qu’un assuré social possède un dossier auprès d’une ou plusieurs institutions de sécurité sociale mais elle ne connaît pas leur identité. Ceci a surtout son importance pour l'affiliation à un syndicat (celui-ci intervient la plupart du temps aussi comme organisme de paiement des allocations de chômage) ou à une mutualité, que l'assuré social peut considérer comme une donnée sensible.

Le Comité sectoriel de la sécurité sociale et de la santé

RGPD - Quels changements pour le Comité sectoriel de la sécurité sociale et de la santé ?

Suite à l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, le Comité sectoriel de la sécurité sociale et de la santé est aboli et est transformé en Comité de sécurité de l’information. Toutefois, le Comité sectoriel reste fonctionnel jusqu’à ce que la loi instituant le comité de sécurité de l’information ait été votée et que ses membres soient nommés.

Après le 24 mai, le Comité sectoriel, et ensuite le Comité de sécurité de l’information, maintient les compétences qui n’ont pas été transférées à l’Autorité de protection des données. Il s’agit notamment des délibérations relatives aux communications de données à caractère personnel. Ce sera l’Autorité de protection des données qui se chargera de traiter les plaintes et de rendre des avis.

Comité sectoriel de la sécurité sociale fonctionnel

Conformément à la loi du 15 janvier 1990, la section sécurité sociale du Comité sectoriel de la sécurité sociale et de la santé accordera, en principe, une autorisation préalable pour toute communication de données à caractère personnel par une institution de sécurité sociale. Lors de l’évaluation d’une demande d’autorisation, le Comité sectoriel de la sécurité sociale et de la santé accordera une attention particulière au respect des principes de finalité et de légitimité. Il devra examiner si la communication à propos de laquelle il doit se prononcer répond à des finalités légitimes et si les données à caractère personnel à communiquer sont pertinentes et nécessaires compte tenu de ces finalités. Dans le cas d'une décision favorable du Comité sectoriel de la sécurité sociale et de la santé concernant une communication de données à caractère personnel déterminée, la BCSS adaptera son répertoire des références pour que la communication puisse effectivement avoir lieu.

Les missions du Comité sectoriel de la sécurité sociale et de la santé sont cependant plus larges que le simple octroi d'autorisations pour la communication de données à caractère personnel. Il s’agit en premier lieu d’un organe de surveillance qui doit vérifier si la réglementation relative au réseau de la sécurité sociale est respectée (avant la modification de ses statuts par la loi du 26 février 2003, sa dénomination « Comité de surveillance » était par ailleurs beaucoup plus explicite). C’est en cette qualité qu’il fournit des avis pratiques. Il doit également fournir un avis concernant la désignation de certains conseillers en sécurité de l’information au sein du réseau de la sécurité sociale.

La sécurité de l'information au sein du réseau de la sécurité sociale

Les instances appartenant au réseau de la sécurité sociale sont tenues de développer une culture de la sécurité et en particulier d’accorder une attention particulière à la protection des données à caractère personnel qu'elles traitent ou échangent. Une tâche importante est à cet effet réservée aux conseillers en sécurité de l'information et aux services de sécurité de l’information.

Les conseillers en sécurité de l'information sont chargés de la sécurité des données à caractère personnel qui sont traitées ou échangées par leur institution et de la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait.

Les services de sécurité de l’information sont dirigés par les conseillers en sécurité de l'information. Ceux-ci ont une large mission de conseil, de stimulation, de documentation et de contrôle. Ce n’est que moyennant l’accord du Comité sectoriel de la sécurité sociale et de la santé et à des conditions strictes qu'une instance du réseau de la sécurité sociale peut déroger à cette obligation et faire appel au service de sécurité de l’information agréé.

Toute institution de sécurité sociale est tenue de remplir annuellement, de façon minutieuse, un questionnaire relatif au respect des normes minimales obligatoires en matière de sécurité physique et logique et de transmettre ce questionnaire à la BCSS. Les résultats de l’interrogation des institutions de sécurité sociale concernées sont ensuite transmis au Comité sectoriel de la sécurité sociale et de la santé qui accorde une attention particulière au respect des normes minimales et qui suit de près les évolutions au sein de chaque institution de sécurité sociale.

Autres mesures spécifiques

La loi du 15 janvier 1990 contient par ailleurs encore quelques autres mesures spécifiques, dont la plupart ont ultérieurement aussi - si ce n'est en d'autres termes et avec une portée différente - été reprises dans la loi du 8 décembre 1992.

L’obligation de motivation des actes administratifs constitue en fait un principe général de bonne administration. En vertu de ce principe, les instances du réseau de la sécurité sociale sont en effet obligées d'être franches vis-à-vis des assurés sociaux. Bien que la formulation d’une motivation solide constitue souvent un exercice d’équilibre, cette obligation contribue au fait que l’assuré social reçoit une meilleure vue sur les données à caractère personnel le concernant qui sont traitées dans le réseau de la sécurité sociale et est ainsi en mesure d'exercer ses droits relatifs à ces données à caractère personnel.

La loi du 8 décembre 1992 impose aux responsables d’un traitement de données à caractère personnel l'obligation d'informer l'intéressé, même en cas de rectification ou de suppression des données à caractère personnel, ainsi que, dans la mesure du possible, toutes les personnes auxquelles ces données à caractère personnel ont dans l’intervalle été communiquées. Vu la tâche spécifique de la BCSS, la loi du 15 janvier 1990 prévoit que les instances du réseau de la sécurité sociale doivent uniquement communiquer à l’intéressé même et à la BCSS les rectifications ou suppressions qu’elles ont réalisées. Cette dernière veillera ensuite, au moyen de son répertoire des références, à ce que les rectifications et suppressions soient aussi communiquées à l'ensemble des instances du réseau de la sécurité sociale qui ont besoin des données à caractère personnel pour l'accomplissement de leurs missions et qui ont été autorisées à les recevoir.

A l’instar de la loi du 8 décembre 1992, la loi du 15 janvier 1990 prévoit une réglementation spécifique pour le traitement de données à caractère personnel relatives à la santé. Un ensemble de mesures vise à éviter que des personnes incompétentes aient accès aux données à caractère personnel relatives à la santé.

La BCSS et les autres instances faisant partie du réseau de la sécurité sociale doivent prendre toutes les mesures afin de garantir une conservation parfaite des données à caractère personnel. Elles sont tenues de prendre les mesures techniques et organisationnelles appropriées. Il peut être observé à ce propos que le principe de l'enregistrement décentralisé des données à caractère personnel au sein du réseau de la sécurité sociale garantit déjà en partie leur qualité: étant donné que chaque institution de sécurité sociale a été désignée comme gestionnaire de certaines données à caractère personnel, elle peut continuer à actualiser et corriger celles-ci à la source.

Au sein du réseau de la sécurité sociale, il y a lieu de respecter les principes de finalité et de proportionnalité. Les instances concernées (et leur personnel) peuvent uniquement traiter des données à caractère personnel pour autant et aussi longtemps qu'ils en ont besoin pour l’application de la sécurité sociale (pour les institutions de sécurité sociale) ou pour des finalités y assimilées (pour les instances qui ont adhéré au réseau) et doivent protéger le caractère confidentiel de ces données à caractère personnel.

Toute personne concernée par la collecte, le traitement ou la communication de données à caractère personnel ou ayant connaissance de ce type de données est tenue au secret professionnel.

Enfin, la loi du 15 janvier 1990 contient quelques dispositions relatives au contrôle de son respect et quelques dispositions pénales.

Droits de l’assuré social

Les institutions de sécurité sociale ont un devoir d’information vis-à-vis des assurés sociaux. Si elles collectent elles-mêmes des données à caractère personnel auprès des assurés sociaux, elles doivent leur fournir certains renseignements relatifs au traitement de données à caractère personnel (cette liste de renseignements est par ailleurs étendue si des données à caractère personnel relatives à la santé sont aussi communiquées). Dans la mesure où les institutions de sécurité sociale doivent encore elles-mêmes demander des données à caractère personnel auprès des assurés sociaux, elles le feront généralement à l’aide de formulaires standard sur lesquels les mentions obligatoires seront indiquées. Si les données à caractère personnel n’ont pas été obtenues auprès de l’assuré social même (ce qui est devenu le principe au sein du réseau de la sécurité sociale), il y a en principe également une obligation d'information, sauf dans un certain nombre de cas, notamment "lorsque l'enregistrement ou la communication des données à caractère personnel est effectué en vue de l'application d'une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance” (sur base de cette disposition d’exception, les différentes institutions de sécurité sociale qui reçoivent des données à caractère personnel à l’intervention du réseau de la sécurité dans le cadre de l'accomplissement de leurs missions, sont dispensées de l'obligation d'informer les assurés sociaux concernés sur le traitement).

Outre l’obligation d’information dans le chef des institutions de sécurité sociale, la loi du 8 décembre 1992 contient un droit à l’information dans le chef des assurés sociaux. Ils ont notamment le droit de s’adresser à toute institution de sécurité sociale et de demander si ce dernier traite des données à caractère personnel les concernant. Les institutions de sécurité sociale sont ensuite tenues de transmettre, dans les quarante-cinq jours à compter de la réception de la requête datée et signée, plusieurs informations (notamment, sous une forme compréhensible, les données à caractère personnel mêmes). En ce qui concerne les données à caractère personnel relatives à la santé, celles-ci sont soumises à une règle spécifique: l’assuré social peut directement prend connaissance des données à caractère personnel relatives à la santé le concernant qui sont traitées. Toutefois, tant lui-même que les institutions de sécurité sociale peuvent de décider de confier la communication à un professionnel des soins de santé, qui est choisi par l’intéressé même. En outre, la loi du 8 décembre 1992 accorde aux assurés sociaux le droit de faire rectifier des données à caractère personnel incorrectes ou de demander dans certains cas la suppression ou l’interdiction d’utilisation de données à caractère personnel.