Arrêté royal du 12 août 1993 organisant la sécurité de l'information dans les institutions de sécurité sociale texte complet coordonné
[modifié par l’arrêté royal du 8 octobre 1998 (Moniteur belge du 24 décembre 1998), par l’arrêté royal du 17 mars 2013 (Moniteur belge du 22 avril 2013) et par l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]
CHAPITRE I. DES DEFINITIONS
Article 1er.
Pour l’application du présent arrêté, on entend par:
1° "loi" : la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale;
2° "Banque-carrefour" : la Banque-carrefour de la sécurité sociale;
[3° “comité de sécurité de l'information”: la chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE”; - remplacé par l’article 1er de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]
4° "institution" : les institutions de sécurité sociale visées à l’article 2, alinéa 1er, 2° de la loi, la Banque-Carrefour, ainsi que les autres institutions gérant un réseau secondaire;
5° "institution gérant un réseau secondaire" : une institution qui tient un répertoire particulier des personnes, visé à l’article 6, alinéa 2, 2°, de la loi;
6° “Ministre”: le Ministre qui a [les affaires sociales - remplacé par l’article 1er de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] dans ses attributions;
[7° “responsable de la gestion journalière”: le responsable de la gestion journalière d'une institution, ou, lorsqu'il s'agit d'un service public fédéral chargé de l'application de la sécurité sociale, le président du comité de direction ou le directeur général désigné par celui-ci; - remplacé par l’article 1er de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]
8° “délégué à la protection des données”: la personne visée à l'article 25 de la loi; - remplacé par l’article 1er de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]
[9° “sécurité de l'information”: stratégie, règles, procédures et moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information. – remplacè par l’article 10 de l’arrêté royal du 17 mars 2013 (Moniteur belge du 22 avril 2013)]
CHAPITRE II. DES SERVICES DE SECURITE DE l'INFORMATION DES INSTITUTIONS
Art. 2.
Toutes les institutions sont tenues d’instituer un service chargé de la sécurité de l’information.
Par dérogation à l’alinéa 1er, le [comité de sécurité de l’information - remplacé par l’article 2 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] peut autoriser des institutions, à leur demande ou à son initiative, à confier, aux conditions déterminées par celui-ci, les tâches du service chargé de la sécurité de l’information à un service de sécurité spécialisé agréé visé à l’article 11.
Art. 3.
Le service chargé de la sécurité de l’information a une mission d’avis, de stimulation, de documentation et de contrôle.
Le service chargé de la sécurité de l’information conseille le responsable de la gestion journalière de son institution, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l’information. Sauf si les risques ne sont pas suffisamment importants, les avis s’expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais avec un maximum de trois mois, le responsable de la gestion journalière décide de suivre ou non les avis et informe le service chargé de la sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée.
[Le service chargé de la sécurité de l'information promeut le respect des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par la réglementation relative à la protection des personnes physiques lors du traitement de données à caractère personnel, ainsi que l'adoption, par les personnes employées dans l'institution, d'un comportement favorisant la sécurité. - remplacé par l’article 3 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]
Le service chargé de la sécurité de l’information rassemble la documentation utile à ce sujet.
Le service chargé de la sécurité de l’information veille au respect, dans l’institution, [des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou par chaque autre réglementation en vigueur - remplacé par l’article 3 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de l’institution, accompagnées des avis nécessaires en vue d’éviter de telles infractions à l’avenir.
[Art. 4.
Le service chargé de la sécurité de l'information est placé sous la direction du délégué à la protection des données. Le délégué à la protection des données peut se faire assister par un ou plusieurs adjoints.
Après leur désignation, l'identité du délégué à la protection des données et de ses adjoints éventuels dans les institutions qui appartiennent à un réseau secondaire est communiquée à l'institution gérant le réseau secondaire concerné.
Les délégués à la protection des données et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent dans le cadre de l'exercice correct de leur fonction. - remplacé par l’article 4 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]
Art. 5.
Le service chargé de la sécurité de l’information est placé sous [l’autorité - remplacé par l’article 5 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] du responsable de la gestion journalière de l’institution. Il travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son interventon, en particulier avec le service informatique et le service de sécurité d’hygiène et d’embellissement des lieux de travail de l’institution.
Art. 6.
Le service chargé de la sécurité de l’information doit disposer d’une connaissance suffisante de la structure informatique de l’institution ainsi que de la sécurité de l’information. Il doit en permanence tenir cette connaissance à jour.
Art. 7.
Le service chargé de la sécurité de l’information rédige un projet de plan de sécurité pour une durée de trois ans, à l’attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis, au sens de l’article 3, alinéa 2.
Art. 8.
Le service chargé de la sécurité de l’information rédige un rapport annuel à l’attention du responsable de la gestion journalière de l’institution. Ce rapport comprend au moins :
1° un aperçu général de la situation en matière de sécurité, de l’évolution au cours de l’année écoulée et des objectifs qui doivent encore être atteints;
2° un résumé des avis écrits, transmis au responsable de la gestion journalière et la suite qui y a été réservée;
3° un aperçu des travaux exécutés par le service chargé de la sécurité de l’information;
4° un relevé des résultats des contrôles effectués par le service chargé de la sécurité de l’information, reprenant tous les incidents qui ont été constatés et qui étaient de nature à compromettre la sécurité de l’information de l’institution ou du réseau;
5° les avis transmis à l’institution par le service de sécurité spécialisé agréé visé à l’article 11, auquel l’institution est affiliée, et la suite qui y a été réservée;
6° les avis du groupe de travail visé à l’article 14 ainsi que la suite qui y a été réservée;
7° un relevé des campagnes menées en vue de favoriser la sécurité;
8° un aperçu de toutes les formations suivies et prévues.
Art. 9.
Sans préjudice des dispositions de l’article 3, le service de sécurité de l’information de la Banque-carrefour a en outre une mission d’avis en matière de sécurité de l’échange des données dans le réseau.
Art. 10.
Les missions du service chargé de la sécurité de l’information telles que définies dans le présent chapître se rapportent également aux données sociales à caractère personnel conservées, traitées ou échangées par l’intermédiaire de tiers pour le compte de l’institution concernée.
CHAPITRE III. DU SERVICE DE SECURITE SPECIALISE DE L’INFORMATION
Art. 11.
Il sera créé au moins un service de sécurité spécialisé qui sera agréé par le Ministre; ce service assistera les institutions dans l’exercice de leurs tâches relatives à la sécurité de l’information.
Pour pouvoir être agréé, un service de sécurité spécialisé doit satisfaire aux conditions suivantes :
1° être créé au sein ou sous forme [d’une association sans but lucratif visée dans la loi du 27 juin 1921 sur les associations sans but lucratif, les fondations, les partis politiques européens et les fondations politiques européennes - remplacé par l’article 6 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)], n’ayant comme membres effectifs que des institutions;
2° être exclusivement chargé de missions relatives à la sécurité de l’information dans le cadre de la sécurité sociale;
3° satisfaire aux règles de tarification, dans la mesure où elles sont fixées par le Ministre.
Le [Comité de sécurité de l’information - remplacé par l’article 2 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] veille au caractère indépendant et au bon fonctionnement des services de sécurité spécialisés agréés.
Le Comité de surveillance veille au caractère indépendant et au bon fonctionnement des services de sécurité spécialisés agréés.
Art. 12.
Le service de sécurité spécialisé agréé exerce, entre autres, les missions suivantes :
1° mettre à la disposition des institutions des spécialistes en matière de sécurité de l’information;
2° donner des avis autorisés aux institutions ou au [Comité de sécurité de l’information - remplacé par l’article 2 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)], à la demande de ceux-ci;
3° organiser une formation en matière de sécurité de l’information à l’attention des institutions;
4° encourager et suivre les campagnes de promotion en matière de sécurité de l’information;
5° exécuter les tâches décrites au Chapître II au bénéfice des institutions, qui en application de l’article 2, alinéa 2, n’ont pas créé de service chargé de la sécurité de l’information;
6° effectuer des contrôles externes et des enquêtes détaillées concernant la situation en matière de sécurité des institutions à la demande de l’institution intéressée ou du [Comité de sécurité de l’information - remplacé par l’article 2 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)].
Art. 13.
Chaque institution ne peut, pour tous les aspects de la sécurité de l’information, faire appel qu’à l’intervention d’un seul service de sécurité spécialisé agréé.
[Art. 13 bis.
Si une association créée en application de l’article 17bis de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale est agréée en tant que service spécialisé de sécurité en exécution de l’article 11, toutes les institutions peuvent participer à une telle association pour faire appel aux services confiés en vertu de cet arrêté royal à un service de sécurité spécialisé agréé. – inséré par l’article 1er de l’arrêté royal du 8 octobre 1998 (Moniteur belge du 24 décembre 1998)]
CHAPITRE IV. DU GROUPE DE TRAVAIL SUR LA SECURITE DE L’INFORMATION
Art. 14.
Au sein du Comité général de coordination de la Banque-carrefour est créé un groupe de travail sur la sécurité de l’information. Ce groupe de travail sera présidé par le [délégué à la protection des données - remplacé par l’article 7 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] de la Banque-carrefour et il sera composé en outre des [délégués à la protection des données - remplacé par l’article 7 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] des institutions gérant un réseau secondaire et des institutions n’appartenant pas à un réseau secondaire, ainsi que d’un seul [délégué à la protection des données - remplacé par l’article 7 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] choisi au sein de chaque sous-groupe de travail visé à l’alinéa 2.
En outre, il sera créé un sous-groupe de travail en matière de sécurité de l’information, au sein de chaque institution gérant un réseau secondaire. Ce sous-groupe de travail sera présidé par le [délégué à la protection des données - remplacé par l’article 7 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] de cette institution et sera en outre composé des [délégués à la protection des données - remplacé par l’article 7 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] des institutions appartenant au réseau secondaire géré par cette institution, ainsi que d’un membre du service chargé de la sécurité de l’information de la Banque-carrefour.
Le groupe de travail et les sous-groupes de travail sont convoqués par leur président aussi souvent que cela s’avère nécessaire.
Le groupe de travail et les sous-groupes de travail sont chargés de la coordination et de la communication entre les services chargés de la sécurité de l’information des institutions qui y sont représentées.
Le groupe de travail sur la sécurité de l’information est plus particulièrement chargé de :
1° la préparation des normes minimales concernant la sécurité physique et logique de l’information;
2° la préparation d’une liste de contrôle permettant l’évaluation du respect des normes minimales concernant la sécurité physique et logique de l’information;
3° la formulation d’avis au [Comité de sécurité de l’information - remplacé par l’article 2 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)] concernant la sécurité de l’information.
CHAPITRE V. DES DISPOSITIONS TRANSITOIRES ET FINALES
Art. 15.
Le premier rapport annuel visé à l’article 8 sera transmis dans les 12 mois de l’entrée en vigueur du présent arrêté.
Art. 16.
Le présent arrêté entre en vigueur le premier jour du troisième mois qui sut celui au cours duquel il aura été publié au Moniteur belge.
Par dérogation à l’alinéa premier, la date d’entrée en vigueur du présent arrêté sera fixée ultérieurment en ce qui concerne les institutions publiques qui ne relèvent pas exclusivement de l’autorité fédérale.
Art. 17.
Notre Ministre des Pensions, Notre Ministre de l’Emploi et du Travail. Notre Ministre des Petites et Moyennes Entreprises et Notre Ministre des Affaires sociales sont chargés, chacun en ce qui le concerne, de l’exécution du présent arrêté.