Sommaire
Respect et protection vie privée
Responsabiliser
Les institutions reçoivent de nombreuses données sensibles relatives aux citoyens qu’il faut traiter avec la prudence requise. Lors de l’adhésion au réseau de la sécurité sociale, il faut obligatoirement respecter les normes minimales de sécurité. Toute institution de sécurité sociale doit, en effet, veiller à ce que les données à caractère personnel et les dossiers soient traités en toute confidentialité.
Cadre
- RGPD UE
- Loi comité de sécurité de l’information
- Loi instituant Banque Carrefour + AR 12/08/1993
- Les normes minimales de sécurité
Contrôle préventif
Toute institution de sécurité sociale doit, en principe, s’adresser à la BCSS lorsqu’elle a besoin de données qui sont conservées auprès d’autres institutions. Cette procédure permet à la BCSS de vérifier que l’institution demanderesse a effectivement besoin de ces données pour la réalisation de sa mission, avant de demander les données à d’autres institutions. Ce contrôle préventif de la légitimité d’une demande permet d’éviter des abus éventuels. Il n’appartient pas à la BCSS de décider que les données demandées (ne) sont (pas) indispensables à l’exécution de la mission de l’institution. Cette décision incombe au Comité de sécurité de l’information.
Obligations légales
Toute personne physique ou toute personne morale qui traite des données sociales, par exemple les institutions sociales ou les employeurs, doit respecter plusieurs obligations lors du traitement de ces données.
Les personnes concernées par l’application de la sécurité sociale:
- peuvent uniquement obtenir les données dont elles ont besoin pour l’accomplissement de leurs missions
- ne peuvent conserver et utiliser ces données que pendant la durée nécessaire à la réalisation de leurs missions légales
- doivent tout mettre en œuvre pour garantir la conservation des données à caractère personnel et leur caractère confidentiel
- doivent rectifier les données erronées, incomplètes ou imprécises
- doivent effacer les données superflues et les données obtenues indûment.
Toute personne concernée par la collecte, le traitement ou la communication de données à caractère personnel dans le cadre de la sécurité sociale est tenue au secret professionnel.
Protection de données médicales
Des règles spécifiques supplémentaires s’appliquent aux données médicales à caractère personnel. Les données médicales doivent par exemple être traitées et conservées sous la surveillance d’un médecin responsable qui désigne nommément les personnes autorisées à enregistrer, à consulter, à modifier, à traiter ou à détruire les données concernées.
Droit à l’information et à la rectification
Tout assuré social a le droit de savoir quelles données le concernant sont en possession d’une institution de sécurité sociale.
Un assuré social a toujours droit à l’accès aux données le concernant. Cette protection comprend aussi le droit de toute personne concernée de rectifier, de compléter ou de supprimer des données erronées le concernant. Ce droit d’accès s’applique auprès de l’ensemble des institutions de sécurité sociale.
Chaque fois qu’une institution de sécurité sociale prend une décision importante relative à un droit social, elle doit d’office communiquer à la personne concernée, les données sur lesquelles elle s’est basée lors de l’examen de ce droit. L’assuré social peut ainsi vérifier que la décision est basée sur des informations correctes. Si ce n’est pas le cas, il peut faire valoir son droit de révision de cette décision.