l’e-gouvernment et la protection de la vie privée: défis et propositions
DESCRIPTION
L’e-gouvernment et la protection de la vie privée: défis et propositions. Frank Robben Administrateur général Banque Carrefour de la sécurité sociale Conseiller stratégique Service Public Fédéral TIC Chaussée Saint-Pierre 375 B-1040 Bruxelles E-mail: [email protected] - PowerPoint PPT PresentationTRANSCRIPT
L’e-gouvernment etla protection de la vie privée:
défis et propositions
Frank RobbenAdministrateur général Banque Carrefour de la sécurité socialeConseiller stratégique Service Public Fédéral TICChaussée Saint-Pierre 375B-1040 BruxellesE-mail: [email protected]: http://www.law.kuleuven.ac.be/icri/frobben
Banque Carrefour de la sécurité socialeService Public Fédéral TIC (FEDICT)
2 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Qu’est-ce que l’e-gouvernement ?
l’e-gouvernement est une optimisation continue de la prestation de services et de la gestion par la transformation des relations internes et externes au moyen de la technologie, de l’internet et des nouveaux moyens de communication
relations externes- services publics <-> citoyens
- services publics <-> entreprises relations internes
- services publics <-> services publics
- services publics <-> collaborateurs toutes les relations
- sont à double sens
- se situent à l’intérieur d’un pays ou sont transfrontalières
3 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
E-gouvernement et protection vie privée
le défi est- de profiter des opportunités offertes par l’e-gouvernement
pour• améliorer le service aux citoyens et aux entreprises• améliorer le fonctionnement de l’administration• améliorer l’effectivité de la politique• réduire les coûts et charges administratives
- tout en évitant au mieux des risques négatifs, notamment en matière de protection de l’information et de la vie privée
4 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Opportunités de l’e-gouvernement
gain d’efficacité- en termes de coûts: mêmes services à un moindre coût, p. ex.
• collecte unique d’information au moyen de notions et d’instructions administratives coordonnées
• moins de travail de ré-introduction des données par l’échange électronique d’information
• moins de contacts• répartition fonctionnelle des tâches en matière de gestion de l’information, de
validation de l’information et de développement d’applications (systèmes d’information distribués)
- en termes de quantité: plus de services à un coût total identique, p. ex.
• tous les services sont disponibles à tout moment, partout et à partir de n’importe quel dispositif
• services intégrés
- en termes de rapidité: à un coût total identique en moins de temps• réduction du temps d’attente et du temps de déplacement• interaction directe avec le service public compétent• feed-back en temps réel pour l’utilisateur
5 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Opportunités de l’e-gouvernement
gain d’effectivité- en termes de qualité: mêmes services à un coût identique et dans le
même délai, mais standards de qualité plus élevés, p.ex.• prestation de services plus correcte• prestation de services personnalisée et participative• prestation de services plus transparente et plus étendue• prestation de services plus sûre• possibilité pour le client d’un contrôle de qualité du processus de prestation de
services
- en termes de types de services: de nouveaux types de services, p. ex.
• afin d’éviter la fracture numérique,– système ‘push’: attribution automatique des droits et communication
automatique d’informations concernant les services– recherche active des exclusions à l’aide de techniques de datawarehousing
• gestion contrôlée des données personnelles• environnements de simulation personnalisés• datawarehousing pour un meilleur appui de la politique
6 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Vers des services intégrés
InternetInternet
Extranetrégion ou
communauté
Extranetrégion ou
communauté
Extranetsécuritésociale
Extranetsécuritésociale
Répertoireservices
ISS
ISS
ISS
SPF
SPF
Répertoireservices
FedMAN
SPF
SPR/C
SPR/C
Répertoireservices
Publilink ?Publilink ?
Commune Province
Ville
Répertoireservices
Intégrateurde services
(BCSS)
Intégrateurde services(FEDICT)
Intégrateurde services
7 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Vers des services intégrés
fonctions utiles des intégrateurs de services (BCSS, FEDICT, …)- organisation et orchestration de l’échange d’informations
électronique sécurisé- organisation des work flows- répertoire des utilisateurs et des applications autorisées
• liste des utilisateurs et applications
• définition des moyens et règles d’authentification
• définition des profils d’autorisation
– quel service est accessible à quel type d’utilisateur/application concernant quelles personnes/entreprises en quelle qualité, dans quelle situation et pour quelle période
- répertoire des personnes • quelles personnes/entreprises en quelle qualité ont des dossiers dans quelles
institutions et pour quelles périodes
- table de souscription• quels utilisateurs/applications souhaitent recevoir automatiquement quels services
dans quelles situations pour quelles personnes en quelles qualités
8 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Protection de l’information et de la vie privée
protection de l’information- éviter le dommage à l’information, aux systèmes d’informations et à
toutes les personnes concernées (personnes enregistrées, utilisateurs, …)
- aspects multiples• exactitude et intégrité• disponibilité• confidentialité• non-répudiation• authenticité• autorisation• traçabilité
protection de la vie privée- éviter des intrusions illégitimes dans la vie privée des personnes- respecter le droit minimal de toute personne à l’autodétermination
informationnelle en partie se recouvrant, en partie complémentaire – approche
intégrée est souhaitable
9 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Protection de l’information et de la vie privée
la sécurité absolue n’est pas un objectif, car elle risque de freiner toute innovation et amélioration => politique de protection basée sur l’analyse des risques
la protection de l’information et de la vie privée se fait de façon intégrée (le maillon le plus faible détermine le degré de protection globale !), sur base d’un nombre de principes de base communs
10 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Principes de base communs
la protection de l’information et de la vie privée est assurée par un ensemble intégré de mesures institutionnelles, organisationnelles, techniques, physiques, de screening du personnel et juridiques, décrites dans des textes réglementaires et des polices approuvées
les données à caractère personnel sont uniquement traitées à des fins compatibles avec les fins pour lesquelles elles ont été recueillies
les données à caractère personnel sont uniquement accessibles aux institutions et utilisateurs mandatés à cette fin en fonction des besoins du service, de la réglementation ou de l’application de la politique
11 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Principes de base communs
la communication de données à caractère personnel par des services publics à des tiers doit être autorisée par une instance indépendante (in casu un comité sectoriel de la Commission pour la Protection de la Vie Privée), après qu’il ait été constaté que les conditions d’autorisation de la communication sont remplies
les autorisations de communication sont publiques toute communication électronique concrète de
données à caractère personnel fait l’objet d’un test préventif de la conformité aux autorisations de communication en vigueur par un intégrateur de services indépendant
12 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Principes de base communs
toute communication électronique de données à caractère personnel est loggée par l’intégrateur de services indépendant pour pouvoir tracer éventuellement ultérieurement un usage impropre
chaque fois que les informations sont utilisées pour une décision, les informations utilisées sont communiquées à l’intéressé lors de la notification de la décision
toute personne a un droit de consultation et de rectification de ses propres données à caractère personnel
13 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Mesures institutionnelles
l’instauration de comités sectoriels dans le cadre de la Commission pour la Protection de la Vie Privée (CPVP)
l’instauration ou la désignation des services publics qui ont la fonction d’intégrateur de services
l’instauration d’un service de protection de l’information et de la vie privée dans chaque service public
l’instauration de(s) service(s) de protection d’information spécialisé(s) agréé(s)
instauration d’un système de groupes de travail sur la protection de l’information et de la vie privée
14 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Comités sectoriels instaurés au sein de la CPVP composés de membres de la CVPV et de membres désignés
par le Parlement en fonction de leur connaissance thématique présidés par un membre de la CPVP compétences (dans le secteur concerné)
- autorisation des communications de données à caractère personnel à des tiers
- contrôle de la protection de l’information
- traitement des plaintes
- recommandations en matière de protection de l’information
- pouvoirs d’investigation étendus
- rapport d’activités annuel dossiers préparés par le rapport d’auditorat d’un service public
désigné
15 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Service protection de l’information
dans chaque service public composition
- conseiller en sécurité de l’information- un ou plusieurs assistants
contrôle de l’indépendance et de la formation permanente des conseillers en protection de l’information et de la vie privée par le comité sectoriel compétent
le comité sectoriel compétent peut autoriser, dans certaines conditions, à confier les tâches du service de protection de l’information de la vie privée à un service de protection de l’information spécialisé agréé
16 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Service protection de l’information: tâches
service protection information - recommande
- promeut
- documente
- contrôle
- rapporte directement à la direction générale
- formule un projet de plan de sécurité
- élabore le rapport de sécurité annuel
direction générale- prend les décisions
- est le responsable final
- donne un feed-back motivé
- approuve le plan de sécurité
- fournit les ressources
17 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Contenu du rapport de sécurité
aperçu général de la situation en matière de sécurité aperçu des activités
- recommandations et leurs effets- contrôle- campagnes de promotion de la protection de l’information et
de la vie privée
aperçu des recommandations externes et de leurs effets
aperçu des formations reçues
18 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Services de protection spécialisés agréés
agréés par le Gouvernement conditions d’agréation
- association sans but lucratif- sa seule activité est la protection de l’information et de la vie
privée- respecte les principes tarifaires fixés par le Gouvernement
contrôle de l’indépendance est exercé par la CPVP ou par le comité sectoriel compétent
19 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Services de protection spécialisés agréés
tâches- mise à disposition de spécialistes en protection de
l’information et de la vie privée à l’attention des services publics affiliés
- formuler des recommandations- organiser des formations en protection de l’information et de
la vie privée- soutenir les campagnes de promotion de la protection de
l’information et de la vie privée- faire un audit externe à la demande des services publics
affiliés, de la CPVP ou du comité sectoriel compétent
les institutions ne peuvent s’affilier qu’à un seul service de protection de l’information spécialisé agréé
20 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Groupes de travail sécurité de l’information
composition- conseillers en protection de l’information et de la vie privée
des services public du secteur
tâche- coordination- communication- propositions de normes minimales de sécurité- élaboration d’une check-list concernant la protection de
l’information et de la vie privée- recommandations à l’attention du comité sectoriel compétent
21 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Mesures organisationnelles et techniques
polices de sécurité classification de l’information mesures de sécurité vis-à-vis du personnel protection physique gestion des processus de commande et de communication traitement de données à caractère personnel contrôle d’accès logique développement et maintenance de systèmes gestion de la continuité contrôle interne et externe communication au grand public de la politique en matière de
protection de l’information et de la vie privée
22 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Mesures juridiques
obligations du responsable d’un traitement- principes relatifs à la qualité des données- critères de légitimité des traitements de données- règles spécifiques pour le traitement de données sensibles- informations à fournir au titulaire des données- confidentialité et sécurité des traitements- notification du traitement de données à caractère personnel
droits du titulaire des données- droit d’information- droit d’accès- droit de rectification, de suppression ou de blocage- droit au recours judiciaire
pénalités
23 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Organisation
1. politique
2. organisation
3. analyse des risquesexigences de protection
4. sélection desmesures
5. développement desplans et implémen-tation des mesures
6. entraînementet formation
7. contrôle etévaluation
feed
-bac
k
24 27/05/2005Banque Carrefour de la sécurité socialeService public fédéral ICT (FEDICT)
Plus d’info
Banque Carrefour de la sécurité socialehttp://www.bcss.fgov.be
FEDICThttp://www.fedict.be
Commission pour la Protection de la Vie Privéehttp://www.privacy.fgov.be
site web personnelhttp://www.law.kuleuven.ac.be/icri/frobben
Un gr@nd merci !
Questions ?