17 MARS 2013. - Arrêté royal relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral
Ce texte remplace celui paru au Moniteur belge du 22 mars 2013, page 17946, acte n° 2013/02013.
SERVICE PUBLIC FEDERAL TECHNOLOGIE DE L'INFORMATION ET DE LA COMMUNICATION
17 MARS 2013. - Arrêté royal relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l'organisation d' un intégrateur de services fédéral
RAPPORT AU ROI
Sire,
Dans la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services, la mission d'intégrateur de services fédéral est assignée au service public fédéral compétent pour la technologie de l'information et de la communication. La création de l'intégrateur de services fédéral a pour objectif de simplifier et d'optimiser l'échange de données entre les différents acteurs publics. Dans le cadre du développement et de l'organisation de cet échange de données par voie électronique, l'attention nécessaire doit être accordée à des mesures structurelles, organisationnelles, physiques et techniques ICT appropriées en matière de sécurité de l'information.
C'est la raison pour laquelle la loi susmentionnée prévoit - pour assurer la protection des données qui sont rendues accessibles par le biais du réseau de l'intégrateur de services fédéral - que chaque service public participant, ainsi que chaque intégrateur de services, désigne en son sein un conseiller en sécurité.
Compte tenu de l'importance centrale de la sécurisation des données du réseau, la tâche du conseiller en sécurité ne doit pas être sous-estimée. Des experts tels que les conseillers qualifiés et formés des instances dirigeantes constituent le pilier d'un système de sécurité durable.
Les experts se voient attribuer une compétence consultative, étant donné que les instances dirigeantes doivent rester entièrement responsables du bon fonctionnement du service, ce qui inclut évidemment la sécurité.
Le conseiller en sécurité doit être en contact direct avec le fonctionnaire dirigeant du service, vu que l'exécution des décisions prises incombe à ce dernier. Le conseiller en sécurité doit pouvoir émettre ses avis de manière objective et autonome. Des mesures s'imposent dès lors afin d'éviter qu'il ne soit relevé de sa mission de sécurité de façon arbitraire. Le conseiller en sécurité doit avoir suivi une formation adaptée et disposer des moyens nécessaires pour tenir à jour et perfectionner son expertise.
Le conseiller en sécurité sera souvent dans l'impossibilité de posséder toutes les connaissances spécialisées. Il devra plutôt être un « omnipraticien » doté d'une large qualification et qui sait quand il doit recourir à l'assistance de spécialistes. Les conseillers en sécurité sont également tenus de collaborer avec leurs confrères d'autres services.
Le présent projet d'arrêté se base sur l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale. Ce fait n'a rien d'étonnant, étant donné que l'organisation de la sécurité de l'information dans les institutions de sécurité sociale a suffisamment prouvé son efficacité. Il importe en outre que l'organisation de la sécurité de l'information se déroule de manière cohérente et similaire au sein de l'administration. Les données sont après tout échangées entre les différents secteurs et autorités, ce qui nécessite une sécurité garantie identique à tout moment.
Le présent projet d'arrêté royal exécute en particulier l'article 23 de la loi précitée et définit plus avant les règles régissant l'exécution des missions des conseillers en sécurité.
L'article 1er formule une série de définitions. Le champ d'application est défini par la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services. La définition de la sécurité de l'information ne couvre pas seulement les données à caractère personnel mais toutes les données.
L'article 2 décrit les tâches du conseiller en sécurité. Il revient au fonctionnaire dirigeant du service de fixer les modalités concrètes de l'exercice des tâches. Sauf s'il estime que les risques ne sont pas suffisamment importants, le conseiller en sécurité émet ses avis par écrit et de manière motivée. Un avis écrit est en effet généralement plus mûrement réfléchi, plus nuancé et dans tous les cas plus durable qu'un avis oral. Tant le conseiller en sécurité que le fonctionnaire dirigeant du service en bénéficient. Afin de ne pas tomber dans un formalisme excessif, les avis ne doivent toutefois pas être formulés par écrit lorsque les risques ne sont pas suffisamment importants pour le justifier. Si l'avis est exprimé par écrit, le destinataire est également tenu d'adresser une réponse écrite au conseiller en sécurité afin que la suite éventuelle qui y est donnée puisse être documentée.
L'article 3 stipule que le conseiller en sécurité peut se faire assister par des collaborateurs. C'est par exemple le cas lorsque la taille du service et la complexité des flux de données l'exigent. L'identité du conseiller en sécurité doit être communiquée au comité sectoriel compétent institué au sein de la Commission de la protection de la vie privée afin de contrôler les aptitudes professionnelles du conseiller en sécurité et les circonstances dans lesquelles il exerce sa fonction. Après la nomination, le comité sectoriel compétent vérifie si le conseiller en sécurité exerce correctement sa fonction et contrôle les circonstances dans lesquelles il le fait.
L'article 4 précise que le conseiller en sécurité travaille en étroite collaboration avec les autres membres du service si cela s'avère important pour l'exercice de ses tâches. Il incombe au fonctionnaire dirigeant de prendre des décisions concernant les conflits ou les priorités contradictoires.
En vertu de l'article 5, le conseiller en sécurité doit disposer des connaissances nécessaires concernant, d'une part, la structure et l'organisation informatiques du service et, d'autre part, la sécurité de l'information. Ces connaissances doivent par ailleurs être tenues à jour.
L'article 6 impose une obligation de confidentialité au conseiller en sécurité et aux...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI