17 MARS 2013. - Arrêté royal relatif aux conseillers en sécurité institués par la loi du 15 août 2012Documents pertinents retrouvés type loi prom. 15/08/2012 pub. 29/08/2012 numac 2012002044 source service public federal technologie de l'information et de la communication Loi relative à la création et à l'organisation d'intégrateur de services fédéral fermer relative à la création et à l'organisation d'un intégrateur de services fédéral

RAPPORT AU ROI Sire, Dans la loi du 15 août 2012Documents pertinents retrouvés type loi prom. 15/08/2012 pub. 29/08/2012 numac 2012002044 source service public federal technologie de l'information et de la communication Loi relative à la création et à l'organisation d'intégrateur de services fédéral fermer relative à la création et à l'organisation d'un intégrateur de services, la mission d'intégrateur de services fédéral est assignée au service public fédéral compétent pour la technologie de l'information et de la communication. La création de l'intégrateur de services fédéral a pour objectif de simplifier et d'optimiser l'échange de données entre les différents acteurs publics.

Dans le cadre du développement et de l'organisation de cet échange de données par voie électronique, l'attention nécessaire doit être accordée à des mesures structurelles, organisationnelles, physiques et techniques ICT appropriées en matière de sécurité de l'information.

C'est la raison pour laquelle la loi susmentionnée prévoit - pour assurer la protection des données qui sont rendues accessibles par le biais du réseau de l'intégrateur de services fédéral - que chaque service public participant, ainsi que chaque intégrateur de services, désigne en son sein un conseiller en sécurité.

Compte tenu de l'importance centrale de la sécurisation des données du réseau, la tâche du conseiller en sécurité ne doit pas être sous-estimée. Des experts tels que les conseillers qualifiés et formés des instances dirigeantes constituent le pilier d'un système de sécurité durable.

Les experts se voient attribuer une compétence consultative, étant donné que les instances dirigeantes doivent rester entièrement responsables du bon fonctionnement du service, ce qui inclut évidemment la sécurité.

Le conseiller en sécurité doit être en contact direct avec le fonctionnaire dirigeant du service, vu que l'exécution des décisions prises incombe à ce dernier. Le conseiller en sécurité doit pouvoir émettre ses avis de manière objective et autonome. Des mesures s'imposent dès lors afin d'éviter qu'il ne soit relevé de sa mission de sécurité de façon arbitraire. Le conseiller en sécurité doit avoir suivi une formation adaptée et disposer des moyens nécessaires pour tenir à jour et perfectionner son expertise.

Le conseiller en sécurité sera souvent dans l'impossibilité de posséder toutes les connaissances spécialisées. Il devra plutôt être un « omnipraticien » doté d'une large qualification et qui sait quand il doit recourir à l'assistance de spécialistes. Les conseillers en sécurité sont également tenus de collaborer avec leurs confrères d'autres services.

Le présent projet d'arrêté se base sur l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale. Ce fait n'a rien d'étonnant, étant donné que l'organisation de la sécurité de l'information dans les institutions de sécurité sociale a suffisamment prouvé son efficacité.

Il importe en outre que l'organisation de la sécurité de l'information se déroule de manière cohérente et similaire au sein de l'administration. Les données sont après tout échangées entre les différents secteurs et autorités, ce qui nécessite une sécurité garantie identique à tout moment.

Le présent projet d'arrêté royal exécute en particulier l'article 23 de la loi précitée et définit plus avant les règles régissant l'exécution des missions des conseillers en sécurité.

L'article 1er formule une série de définitions. Le champ d'application est défini par la loi du 15 août 2012Documents pertinents retrouvés type loi prom. 15/08/2012 pub. 29/08/2012 numac 2012002044 source service public federal technologie de l'information et de la communication Loi relative à la création et à l'organisation d'intégrateur de services fédéral fermer relative à la création et à l'organisation d'un intégrateur de services. La définition de la sécurité de l'information ne couvre pas seulement les données à caractère personnel mais toutes les données.

L'article 2 décrit les tâches du conseiller en sécurité. Il revient au fonctionnaire dirigeant du service de fixer les modalités concrètes de l'exercice des tâches. Sauf s'il estime que les risques ne sont pas suffisamment importants, le conseiller en sécurité émet ses avis par écrit et de manière motivée. Un avis écrit est en effet généralement plus mûrement réfléchi, plus nuancé et dans tous les cas plus durable qu'un avis oral. Tant le conseiller en sécurité que le fonctionnaire dirigeant du service en bénéficient. Afin de ne pas tomber dans un formalisme excessif, les avis ne doivent toutefois pas être formulés par écrit lorsque les risques ne sont pas suffisamment importants pour le justifier. Si l'avis est exprimé par écrit, le destinataire est également tenu d'adresser une réponse écrite au conseiller en sécurité afin que la suite éventuelle qui y est donnée puisse être documentée.

L'article 3 stipule que le conseiller en sécurité peut se faire assister par des collaborateurs. C'est par exemple le cas lorsque la taille du service et la complexité des flux de données l'exigent.

L'identité du conseiller en sécurité doit être communiquée au comité sectoriel compétent institué au sein de la Commission de la protection de la vie privée afin de contrôler les aptitudes professionnelles du conseiller en sécurité et les circonstances dans lesquelles il exerce sa fonction. Après la nomination, le comité sectoriel compétent vérifie si le conseiller en sécurité exerce correctement sa fonction et contrôle les circonstances dans lesquelles il le fait.

L'article 4 précise que le conseiller en sécurité travaille en étroite collaboration avec les autres membres du service si cela s'avère important pour l'exercice de ses tâches. Il incombe au fonctionnaire dirigeant de prendre des décisions concernant les conflits ou les priorités contradictoires.

En vertu de l'article 5, le conseiller en sécurité doit disposer des connaissances nécessaires concernant, d'une part, la structure et l'organisation informatiques du service et, d'autre part, la sécurité de l'information. Ces connaissances doivent par ailleurs être tenues à jour.

L'article 6 impose une obligation de confidentialité au conseiller en sécurité et aux collaborateurs éventuels. De par leur fonction, ils entrent en contact avec des informations sensibles, notamment sur la sécurité des systèmes. Le conseiller en sécurité et les collaborateurs éventuels sont tenus de traiter ces informations de manière confidentielle.

L'article 7 confie au conseiller en sécurité la mission de rédiger un projet de plan de sécurité triennal, en spécifiant sur base annuelle les moyens nécessaires à la réalisation de ce plan. Etant donné que ce plan a des conséquences budgétaires pour le service, il doit être rédigé à temps, afin que les conséquences puissent être prises en considération dans le budget.

L'article 8 impose au conseiller en sécurité de rédiger un rapport annuel, dont le contenu minimum est décrit. Ce rapport annuel est adressé au fonctionnaire dirigeant du service, qui peut décider de le transmettre ou non au comité sectoriel compétent institué au sein de la Commission de la protection de la vie privée.

L'article 9 stipule que le conseiller en sécurité d'un service doit également exécuter les missions qui lui sont confiées dans le présent projet d'arrêté concernant les données conservées, traitées ou échangéespar l'intermédiaire de tiers pour le compte du service. Le conseiller en sécurité doit également reprendre cette partie de sa mission dans ses activités ainsi que dans le plan de sécurité et le rapport annuel, etc.

L'article 10 élargit également la définition de la sécurité de l'information pour l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale. La définition couvre toutes les données, et pas seulement les données à caractère personnel. L'objectif est de mener une politique de sécurité aussi cohérente que possible pour l'ensemble des données de l'administration fédérale.

L'article 11 dispose qu'en guise de mesure de transition, un premier rapport annuel de chaque conseiller en sécurité doit être transmis au fonctionnaire dirigeant dans les 12 mois de l'entrée en vigueur du présent arrêté.

L'article 12 fixe la mise en vigueur des dispositions 20 à 23 inclus de la loi du 15 août 2012Documents pertinents retrouvés type loi prom. 15/08/2012 pub. 29/08/2012 numac 2012002044 source service public federal technologie de l'information et de la communication Loi relative à la création et à l'organisation d'intégrateur de services fédéral fermer relative à la création et à l'organisation d'un intégrateur de services fédéral à trois mois après publication du présent arrêté.

L'article 13 fixe l'entrée en vigueur du présent arrêté à trois mois après publication afin de permettre aux services de désigner un conseiller en sécurité s'ils n'en ont encore aucun.

Nous avons l'honneur d'être, Sire, De Votre Majesté, les très respectueux et très fidèles serviteurs, La Vice-Première Ministre et Ministre des Affaires sociales et de la Santé publique, chargée de Beliris et des Institutions culturelles fédérales, Mme L. ONKELINX Le Ministre des Finances, chargé de la Fonction publique, K. GEENS Le Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics, H. BOGAERT

17 MARS 2013. - Arrêté royal relatif aux conseillers en sécurité institués par la loi du 15 août 2012Documents pertinents retrouvés type loi prom. 15/08/2012 pub. 29/08/2012 numac 2012002044 source service public federal technologie de l'information et de la communication Loi relative à la création et à l'organisation d'intégrateur de services fédéral fermer relative à la création et à l'organisation d'un intégrateur de services fédéral ALBERT II, Roi des Belges, A tous, présents et à venir, Salut.

Vu la loi du 15 août 2012Documents pertinents retrouvés type loi prom. 15/08/2012 pub. 29/08/2012 numac 2012002044 source service public federal technologie de l'information et de la communication Loi relative à la création et à l'organisation d'intégrateur de services fédéral fermer relative à la création et à l'organisation d' un intégrateur de services fédéral, notamment les articles 23 et 47;

Vu l'article 17, alinéa 2, de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale;

Vu l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les Institutions de Sécurité sociale;

Vu l'avis de l'Inspecteur des Finances, donné le 10 juillet 2012;

Vu l'accord du Ministre du Budget du 16 juillet 2012;

Vu l'avis n° 24/2012 de la Commission de la protection de la vie privée, donné le 25 juillet 2012;

Vu l'avis motivé du Comité des services publics fédéraux, communautaires et régionaux du 19 décembre 2012;

Vu l'avis n° 52.124/2 du Conseil d'Etat, donné le 24 octobre 2012, en application de l'article 84, § 1er, alinéa 1er, 1°, des lois coordonnées sur le Conseil d'Etat;

Sur la proposition de notre Vice-Première Ministre et Ministre des Affaires sociales et de la Santé publique, chargée de Beliris et des Institutions culturelles fédérales, notre Ministre des Finances, chargé de la Fonction publique et notre Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics sont chargés de l'exécution du présent arrêté, Nous avons arrêté et arrêtons : CHAPITRE Ier. - Définitions Article. 1er. Pour l'application du présent arrêté, on entend par : 1° « loi » : la loi du 15 août 2012Documents pertinents retrouvés type loi prom. 15/08/2012 pub. 29/08/2012 numac 2012002044 source service public federal technologie de l'information et de la communication Loi relative à la création et à l'organisation d'intégrateur de services fédéral fermer relative à la création et à l'organisation d'un intégrateur de services fédéral;2° « sécurité de l'information » : stratégie, règles, procédures et moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information. CHAPITRE II. - Le conseiller en sécurité des services

Article 1er.Le conseiller en sécurité a une mission d'avis, de stimulation, de documentation et de contrôle.

Le conseiller en sécurité conseille le fonctionnaire dirigeant de son service, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l'information. Sauf si les risques ne sont pas suffisamment importants, les avis s'expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais avec un maximum de trois mois, le fonctionnaire dirigeant du service décide de suivre ou non les avis et informe le conseiller en sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée.

Le conseiller en sécurité promeut le respect des règles de sécurité imposées par une disposition légale ou réglementaire ou en vertu d'une telle disposition, ainsi que l'adoption, par les personnes employées dans le service, d'un comportement favorisant la sécurité.

Le conseiller en sécurité rassemble la documentation utile au sujet de la sécurité de l'information.

Le conseiller en sécurité veille au respect, dans le service, des règles de sécurité imposées par une disposition légale ou réglementaire ou en vertu d'une telle disposition. Toutes les infractions constatées sont communiquées par écrit et exclusivement au fonctionnaire dirigeant du service, accompagnées des avis nécessaires en vue d'éviter de telles infractions à l'avenir.

Art. 2.Le fonctionnaire dirigeant peut faire assister le conseiller en sécurité par un ou plusieurs collaborateurs.

Après la désignation du conseiller en sécurité, l'identité de ce dernier est communiquée dans les trois mois au comité sectoriel compétent.

Le comité sectoriel compétent peut refuser la désignation du conseiller en sécurité moyennant décision motivée. Le comité sectoriel compétent vérifie si l'intéressé dispose de connaissances suffisantes pour pouvoir exercer la mission, ou s'il dispose de suffisamment de temps pour bien exercer la mission et n'exerce pas d'activités incompatibles avec cette dernière.

Pendant l'exercice de la fonction de conseiller en sécurité, le comité sectoriel compétent contrôle si la mission est bien exercée et vérifie si les conditions de désignation sont remplies.

Le conseiller en sécurité et les collaborateurs éventuels ne peuvent pas être relevés de cette fonction en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent dans le cadre de l'exercice correct de leur fonction.

Art. 3.Le conseiller en sécurité travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son intervention, en particulier avec le service informatique.

Art. 4.Le conseiller en sécurité doit disposer d'une connaissance suffisante de l'environnement informatique du service ainsi que de la sécurité de l'information. Il doit en permanence tenir cette connaissance à jour.

Art. 5.Le conseiller en sécurité et les collaborateurs éventuels s'engagent à conserver le caractère confidentiel de toutes les informations avec lesquelles ils entrent en contact dans le cadre de leur fonction.

Art. 6.Le conseiller en sécurité rédige un projet de plan de sécurité pour une durée de trois ans, à l'attention du fonctionnaire dirigeant du service, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis, au sens de l'article 3, alinéa 2.

Art. 7.Le conseiller en sécurité rédige un rapport annuel à l'attention du fonctionnaire dirigeant du service. Ce rapport comprend au moins : 1° un aperçu général de la situation en matière de sécurité, de l'évolution au cours de l'année écoulée et des objectifs qui doivent encore être atteints;2° un résumé des avis écrits, transmis au fonctionnaire dirigeant du service, et la suite qui y a été réservée;3° un aperçu des travaux exécutés par le conseiller en sécurité;4° un relevé des résultats des contrôles effectués par le conseiller en sécurité, reprenant tous les incidents qui ont été constatés et qui étaient de nature à compromettre la sécurité de l'information du service ou du réseau;5° un relevé des campagnes menées en vue de favoriser la sécurité;6° un aperçu de toutes les formations suivies et prévues.

Art. 8.Les missions du conseiller en sécurité telles que définies dans le présent chapitre se rapportent également aux données conservées, traitées ou échangées par l'intermédiaire de tiers pour le compte du service concerné. CHAPITRE III. - Dispositions modificatives

Art. 9.L'article 1er, 9°, de l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale est modifié comme suit : Art. 1, 9° : « sécurité de l'information » : stratégie, règles, procédures et moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information. CHAPITRE IV. - Dispositions transitoires et finales

Art. 10.Le premier rapport annuel visé à l'article 8 sera transmis dans les 12 mois de l'entrée en vigueur du présent arrêté.

Art. 11.Le présent arrêté détermine la mise en vigueur des dispositions 20 à 23 inclus de la loi du 15 août 2012Documents pertinents retrouvés type loi prom. 15/08/2012 pub. 29/08/2012 numac 2012002044 source service public federal technologie de l'information et de la communication Loi relative à la création et à l'organisation d'intégrateur de services fédéral fermer relative à la création et à l'organisation d'un intégrateur de services fédéral le premier jour du troisième mois qui suit celui au cours duquel le présent arrêté aura été publié au Moniteur belge.

Art. 12.Le présent arrêté entre en vigueur le premier jour du troisième mois qui suit celui au cours duquel il aura été publié au Moniteur belge.

Art. 14.Notre Vice-Première Ministre et Ministre des Affaires sociales et de la Santé publique, chargée de Beliris et des Institutions culturelles fédérales, notre Ministre des Finances, chargé de la Fonction publique et notre Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics sont chargés de l'exécution du présent arrêté.

Donné à Bruxelles, le 17 mars 2013.

ALBERT Par le Roi : La Vice-Première Ministre et Ministre des Affaires sociales et de la Santé publique, chargée de Beliris et des Institutions culturelles fédérales, Mme L. ONKELINX Le Ministre des Finances, chargé de la Fonction publique, K. GEENS Le Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics, H. BOGAERT