L’e-gouvernment etla protection de la vie privée:

défis et propositions

Frank RobbenAdministrateur général Banque Carrefour de la sécurité socialeConseiller stratégique Service Public Fédéral TICChaussée Saint-Pierre 375B-1040 BruxellesE-mail: Frank.Robben@ksz.fgov.beWebsite: http://www.law.kuleuven.ac.be/icri/frobben

Banque Carrefour de la sécurité socialeService Public Fédéral TIC (FEDICT)

2 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Qu’est-ce que l’e-gouvernement ?

l’e-gouvernement est une optimisation continue de la prestation de services et de la gestion par la transformation des relations internes et externes au moyen de la technologie, de l’internet et des nouveaux moyens de communication

relations externes- services publics <-> citoyens

- services publics <-> entreprises relations internes

- services publics <-> services publics

- services publics <-> collaborateurs toutes les relations

- sont à double sens

- se situent à l’intérieur d’un pays ou sont transfrontalières

3 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

E-gouvernement et protection vie privée

le défi est- de profiter des opportunités offertes par l’e-gouvernement

pour• améliorer le service aux citoyens et aux entreprises• améliorer le fonctionnement de l’administration• améliorer l’effectivité de la politique• réduire les coûts et charges administratives

- tout en évitant au mieux des risques négatifs, notamment en matière de protection de l’information et de la vie privée

4 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Opportunités de l’e-gouvernement

gain d’efficacité- en termes de coûts: mêmes services à un moindre coût, p. ex.

• collecte unique d’information au moyen de notions et d’instructions administratives coordonnées

• moins de travail de ré-introduction des données par l’échange électronique d’information

• moins de contacts• répartition fonctionnelle des tâches en matière de gestion de l’information, de

validation de l’information et de développement d’applications (systèmes d’information distribués)

- en termes de quantité: plus de services à un coût total identique, p. ex.

• tous les services sont disponibles à tout moment, partout et à partir de n’importe quel dispositif

• services intégrés

- en termes de rapidité: à un coût total identique en moins de temps• réduction du temps d’attente et du temps de déplacement• interaction directe avec le service public compétent• feed-back en temps réel pour l’utilisateur

5 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Opportunités de l’e-gouvernement

gain d’effectivité- en termes de qualité: mêmes services à un coût identique et dans le

même délai, mais standards de qualité plus élevés, p.ex.• prestation de services plus correcte• prestation de services personnalisée et participative• prestation de services plus transparente et plus étendue• prestation de services plus sûre• possibilité pour le client d’un contrôle de qualité du processus de prestation de

services

- en termes de types de services: de nouveaux types de services, p. ex.

• afin d’éviter la fracture numérique,– système ‘push’: attribution automatique des droits et communication

automatique d’informations concernant les services– recherche active des exclusions à l’aide de techniques de datawarehousing

• gestion contrôlée des données personnelles• environnements de simulation personnalisés• datawarehousing pour un meilleur appui de la politique

6 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Vers des services intégrés

InternetInternet

Extranetrégion ou

communauté

Extranetrégion ou

communauté

Extranetsécuritésociale

Extranetsécuritésociale

Répertoireservices

ISS

ISS

ISS

SPF

SPF

Répertoireservices

FedMAN

SPF

SPR/C

SPR/C

Répertoireservices

Publilink ?Publilink ?

Commune Province

Ville

Répertoireservices

Intégrateurde services

(BCSS)

Intégrateurde services(FEDICT)

Intégrateurde services

7 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Vers des services intégrés

fonctions utiles des intégrateurs de services (BCSS, FEDICT, …)- organisation et orchestration de l’échange d’informations

électronique sécurisé- organisation des work flows- répertoire des utilisateurs et des applications autorisées

• liste des utilisateurs et applications

• définition des moyens et règles d’authentification

• définition des profils d’autorisation

– quel service est accessible à quel type d’utilisateur/application concernant quelles personnes/entreprises en quelle qualité, dans quelle situation et pour quelle période

- répertoire des personnes • quelles personnes/entreprises en quelle qualité ont des dossiers dans quelles

institutions et pour quelles périodes

- table de souscription• quels utilisateurs/applications souhaitent recevoir automatiquement quels services

dans quelles situations pour quelles personnes en quelles qualités

8 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Protection de l’information et de la vie privée

protection de l’information- éviter le dommage à l’information, aux systèmes d’informations et à

toutes les personnes concernées (personnes enregistrées, utilisateurs, …)

- aspects multiples• exactitude et intégrité• disponibilité• confidentialité• non-répudiation• authenticité• autorisation• traçabilité

protection de la vie privée- éviter des intrusions illégitimes dans la vie privée des personnes- respecter le droit minimal de toute personne à l’autodétermination

informationnelle en partie se recouvrant, en partie complémentaire – approche

intégrée est souhaitable

9 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Protection de l’information et de la vie privée

la sécurité absolue n’est pas un objectif, car elle risque de freiner toute innovation et amélioration => politique de protection basée sur l’analyse des risques

la protection de l’information et de la vie privée se fait de façon intégrée (le maillon le plus faible détermine le degré de protection globale !), sur base d’un nombre de principes de base communs

10 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Principes de base communs

la protection de l’information et de la vie privée est assurée par un ensemble intégré de mesures institutionnelles, organisationnelles, techniques, physiques, de screening du personnel et juridiques, décrites dans des textes réglementaires et des polices approuvées

les données à caractère personnel sont uniquement traitées à des fins compatibles avec les fins pour lesquelles elles ont été recueillies

les données à caractère personnel sont uniquement accessibles aux institutions et utilisateurs mandatés à cette fin en fonction des besoins du service, de la réglementation ou de l’application de la politique

11 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Principes de base communs

la communication de données à caractère personnel par des services publics à des tiers doit être autorisée par une instance indépendante (in casu un comité sectoriel de la Commission pour la Protection de la Vie Privée), après qu’il ait été constaté que les conditions d’autorisation de la communication sont remplies

les autorisations de communication sont publiques toute communication électronique concrète de

données à caractère personnel fait l’objet d’un test préventif de la conformité aux autorisations de communication en vigueur par un intégrateur de services indépendant

12 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Principes de base communs

toute communication électronique de données à caractère personnel est loggée par l’intégrateur de services indépendant pour pouvoir tracer éventuellement ultérieurement un usage impropre

chaque fois que les informations sont utilisées pour une décision, les informations utilisées sont communiquées à l’intéressé lors de la notification de la décision

toute personne a un droit de consultation et de rectification de ses propres données à caractère personnel

13 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Mesures institutionnelles

l’instauration de comités sectoriels dans le cadre de la Commission pour la Protection de la Vie Privée (CPVP)

l’instauration ou la désignation des services publics qui ont la fonction d’intégrateur de services

l’instauration d’un service de protection de l’information et de la vie privée dans chaque service public

l’instauration de(s) service(s) de protection d’information spécialisé(s) agréé(s)

instauration d’un système de groupes de travail sur la protection de l’information et de la vie privée

14 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Comités sectoriels instaurés au sein de la CPVP composés de membres de la CVPV et de membres désignés

par le Parlement en fonction de leur connaissance thématique présidés par un membre de la CPVP compétences (dans le secteur concerné)

- autorisation des communications de données à caractère personnel à des tiers

- contrôle de la protection de l’information

- traitement des plaintes

- recommandations en matière de protection de l’information

- pouvoirs d’investigation étendus

- rapport d’activités annuel dossiers préparés par le rapport d’auditorat d’un service public

désigné

15 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Service protection de l’information

dans chaque service public composition

- conseiller en sécurité de l’information- un ou plusieurs assistants

contrôle de l’indépendance et de la formation permanente des conseillers en protection de l’information et de la vie privée par le comité sectoriel compétent

le comité sectoriel compétent peut autoriser, dans certaines conditions, à confier les tâches du service de protection de l’information de la vie privée à un service de protection de l’information spécialisé agréé

16 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Service protection de l’information: tâches

service protection information - recommande

- promeut

- documente

- contrôle

- rapporte directement à la direction générale

- formule un projet de plan de sécurité

- élabore le rapport de sécurité annuel

direction générale- prend les décisions

- est le responsable final

- donne un feed-back motivé

- approuve le plan de sécurité

- fournit les ressources

17 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Contenu du rapport de sécurité

aperçu général de la situation en matière de sécurité aperçu des activités

- recommandations et leurs effets- contrôle- campagnes de promotion de la protection de l’information et

de la vie privée

aperçu des recommandations externes et de leurs effets

aperçu des formations reçues

18 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Services de protection spécialisés agréés

agréés par le Gouvernement conditions d’agréation

- association sans but lucratif- sa seule activité est la protection de l’information et de la vie

privée- respecte les principes tarifaires fixés par le Gouvernement

contrôle de l’indépendance est exercé par la CPVP ou par le comité sectoriel compétent

19 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Services de protection spécialisés agréés

tâches- mise à disposition de spécialistes en protection de

l’information et de la vie privée à l’attention des services publics affiliés

- formuler des recommandations- organiser des formations en protection de l’information et de

la vie privée- soutenir les campagnes de promotion de la protection de

l’information et de la vie privée- faire un audit externe à la demande des services publics

affiliés, de la CPVP ou du comité sectoriel compétent

les institutions ne peuvent s’affilier qu’à un seul service de protection de l’information spécialisé agréé

20 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Groupes de travail sécurité de l’information

composition- conseillers en protection de l’information et de la vie privée

des services public du secteur

tâche- coordination- communication- propositions de normes minimales de sécurité- élaboration d’une check-list concernant la protection de

l’information et de la vie privée- recommandations à l’attention du comité sectoriel compétent

21 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Mesures organisationnelles et techniques

polices de sécurité classification de l’information mesures de sécurité vis-à-vis du personnel protection physique gestion des processus de commande et de communication traitement de données à caractère personnel contrôle d’accès logique développement et maintenance de systèmes gestion de la continuité contrôle interne et externe communication au grand public de la politique en matière de

protection de l’information et de la vie privée

22 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Mesures juridiques

obligations du responsable d’un traitement- principes relatifs à la qualité des données- critères de légitimité des traitements de données- règles spécifiques pour le traitement de données sensibles- informations à fournir au titulaire des données- confidentialité et sécurité des traitements- notification du traitement de données à caractère personnel

droits du titulaire des données- droit d’information- droit d’accès- droit de rectification, de suppression ou de blocage- droit au recours judiciaire

pénalités

23 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Organisation

1. politique

2. organisation

3. analyse des risquesexigences de protection

4. sélection desmesures

5. développement desplans et implémen-tation des mesures

6. entraînementet formation

7. contrôle etévaluation

feed

-bac

k

24 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)

Plus d’info

Banque Carrefour de la sécurité socialehttp://www.bcss.fgov.be

FEDICThttp://www.fedict.be

Commission pour la Protection de la Vie Privéehttp://www.privacy.fgov.be

site web personnelhttp://www.law.kuleuven.ac.be/icri/frobben

Un gr@nd merci !

Questions ?