Etaamb.openjustice.be
Document
publié le 28 mai 2021

Directive contraignante commune des Ministres de la Justice et de l'Intérieur relative aux mesures nécessaires en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité, la disponibilité, la t A Mesdames et Messieurs les Bourgmestres, Au Commissaire général de la police fédérale. Pour (...)

source
service public federal justice
numac
2021030854
pub.
28/05/2021
prom.
--
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
Document Qrcode

SERVICE PUBLIC FEDERAL JUSTICE


Directive contraignante commune des Ministres de la Justice et de l'Intérieur relative aux mesures nécessaires en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité, la disponibilité, la traçabilité et l'intégrité des données à caractère personnel et des informations traitées dans les banques de données visées à l'article 44/2 de la Loi sur la Fonction de Police A Mesdames et Messieurs les Bourgmestres, Au Commissaire général de la police fédérale.

Pour information à : Mesdames et Messieurs les Procureurs généraux, Madame et Messieurs les Gouverneurs de province, Monsieur le Ministre-Président de la Région de Bruxelles-Capitale, Monsieur le Procureur fédéral et Mesdames et Messieurs les Magistrats du parquet fédéral, Mesdames et Messieurs les Commissaires d'arrondissement, Monsieur le Président de la Commission Permanente de la police locale, Mesdames et Messieurs les Chefs de corps de la police locale, Madame et Messieurs les Présidents de l'Organe de contrôle de l'information policière, du Comité permanent de contrôle des services de police et de l'Inspection générale de la police fédérale et de la police locale.

Madame le Bourgmestre, Monsieur le Bourgmestre, Monsieur le Commissaire général, I. CADRE LEGAL ET CHAMP D'APPLICATION L'article 44/4, § 2 de la loi sur la fonction de police (ci-après « LFP ») constitue la base légale pour la présente directive contraignante, portant sur les mesures nécessaires en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité, la disponibilité, la traçabilité et l'intégrité des données à caractère personnel et des informations traitées dans la banque de données nationale générale, les banques de données de base, les banques de données particulières, les banques de données communes et les banques de données techniques visées à l'article 44/2 de la LFP. Bien que la présente directive traite en principe du contexte nécessaire pour la sécurité des systèmes opérationnels, cela n'exclut pas que, en complément de la LFP et du titre 2 de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « la loi sur la protection des données » ou « LPD »), également le Règlement Général sur la Protection des Données1 et le titre 1 de la LPD s'appliquent à certaines mesures prises en vertu de la présente directive.

La présente directive est applicable aux services de police au sens de l'article 2, 2° de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer organisant un service de police intégré structuré à deux niveaux.

L'avis du Conseil des bourgmestres a été donné le 12 août 2020, celui de l'Organe de contrôle de l'information policière le 22 septembre 2020 et celui du Collège des Procureurs Généraux le 7 janvier 2021.

II. INTRODUCTION Pour exécuter leurs missions, les services de police utilisent de plus en plus les nouvelles technologies d'information et de communication.

Dans une société où une attention croissante est accordée à la sécurité des informations et à la protection des données à caractère personnel, les risques inévitablement liés aux traitements de ces informations et données par les services de police doivent être correctement encadrés et couverts en adoptant les mesures techniques et organisationnelles nécessaires.

La LFP prévoit que les ministres de la Justice et de l'Intérieur adoptent par le biais d'une directive contraignante les mesures nécessaires à cette fin. Pour déterminer ces mesures, nous nous sommes inspirés des « Baseline Information Security Guidelines » (BSG) du Centre pour la Cybersécurité Belgique. Nous souhaitons que ces lignes directrices constituent le cadre de référence pour la politique de sécurité de l'information et les plans de sécurité des services de police.

Les mesures contenues dans la présente directive visent à permettre aux services de police, qui ont des niveaux de maturité différents en matière de sécurité de l'information, d'augmenter leur niveau au fur et à mesure en utilisant la méthode éprouvée du PDCA (Plan-Do-Check-Act) et de renforcer la gestion des risques qui y est associée, d'assurer la continuité des activités policières, de prévenir la fuite d'informations, d'assurer la sécurité de son personnel et des citoyens et de renforcer ainsi la confiance de la société à leur égard.

Cette progressivité permet également de maintenir la continuité des activités policières opérationnelles tenant compte des moyens disponibles.

La présente directive définit les mesures minimales que les services de police doivent respecter lors de l'élaboration, l'implémentation et l'évaluation de la politique de sécurité de l'information, ainsi que les plans de sécurité et les procédures et processus qui concrétiseront la présente directive.

La mise en oeuvre progressive de la présente directive, ainsi que la définition des priorités, seront reprises dans la politique de sécurité de l'information, dans les plans de sécurité (voir ci-dessous), dans des notes internes à la police intégrée et/ou moyennant une mise à jour des fiches de la directive du 14 juin 2002 des Ministres de la Justice et de l'Intérieur (MFO-3) relative à la gestion de l'information de police judiciaire et de police administrative, lesquelles sont destinées aux services opérationnels.

Les chefs de corps pour la police locale et le commissaire général, les directeurs généraux et les directeurs pour la police fédérale sont les garants de la bonne exécution de ces directives en ce qui concerne les banques de données visées à l'article 44/2, §§ 1er et 3 LFP. Le cas échéant, une concertation entre les acteurs compétents en particulier le commissaire général, les directeurs généraux, les directeurs, les chefs de corps, le gestionnaire fonctionnel et le délégué à la protection des données compétent est fortement recommandée.

III. LES MESURES MINIMALES DE PROTECTION 1) La politique de sécurité de l'information et les plans de sécurité Les services de police doivent disposer d'une politique actualisée et uniforme en matière de sécurité de l'information, ci-après « la politique de sécurité de l'information », validée par le « comité de coordination de la police intégrée »2 (ci-après le CCGPI) après avis du « comité information et ICT »3. En tenant compte de la politique de sécurité de l'information, des plans de sécurité sont ensuite établis, qui contiennent les mesures techniques et organisationnelles de sécurité de l'information à mettre en oeuvre. Ces plans de sécurité, ainsi que les procédures et processus qui concrétiseront la présente directive, sont validés par la hiérarchie compétente, à savoir le Comité de direction pour la police fédérale et le Chef de Corps pour les zones de police, après avis du délégué à la protection des données compétent.

La politique de sécurité de l'information et les plans de sécurité, ainsi que les procédures et les processus qui concrétiseront la présente directive, doivent être évalués régulièrement.

Conformément à l'article 244 LPD, les services de police transmettent à l'Organe de contrôle de l'information policière (ci-après le « COC ») la politique en matière de sécurité de l'information ainsi que les plans de sécurité. 2) Organisation de la sécurité de l'information Les services de police prévoient un système de gestion des risques en matière de sécurité de l'information et identifient les rôles et responsabilités des différents acteurs concernés par la sécurité de l'information. Le délégué à la protection des données compétent est également chargé du suivi de la politique de sécurité des informations et de l'implémentation du(des) plan(s) de sécurité.

Afin de s'assurer que toutes les mesures organisationnelles soient appliquées, les services de police informent leur personnel et les tiers opérant sous leur responsabilité. La politique de sécurité et les plans de sécurité devront être disponibles et consultables par les personnes devant les appliquer. L'accès à toute l'information n'est néanmoins pas nécessaire pour atteindre cet objectif.

Les services de police développent, approuvent et communiquent des procédures et des bonnes pratiques pour la sécurité de l'information qui concrétiseront la présente directive.

Des procédures sont établies pour chaque utilisateur et en particulier pour ceux qui ont accès à des données avec une sensibilité particulière ou à des systèmes critiques.

Ces procédures portent sur les thèmes suivants : - le contrôle d'accès / la gestion des autorisations ; - le retrait des droits ; - la confidentialité des données ; - l'accès physique aux bâtiments et aux infrastructures ; - les systèmes d'accès et la confidentialité des données d'accès ; - les mesures permettant de déterminer l'utilisation correcte des outils de travail mis à disposition (tels que les appareils mobiles, le télétravail, les informations classifiées, etc.) ; - les mesures qui sont prises pour contrôler les activités (accès, destruction de stockage, accès à distance, journalisation).

Ces thèmes sont détaillés ci-dessous.

Les services de police élaborent des procédures détaillant les règles d'accès aux données et informations, ayant ou non une sensibilité particulière, ainsi que le contrôle mis en place pour s'assurer du respect de ces règles.

Les services de police définissent les règles et mesures de sécurité pour l'utilisation des supports média mobiles et pour l'accès et la gestion des informations à distance (p.e. télétravail). Des procédures qui concrétiseront la présente directive sont prévues à cet effet. 3) La sécurité concernant les ressources humaines Les services de police établissent une politique relative à la gestion des membres du personnel et collaborateurs externes en matière de sécurité de l'information et de protection des données.Des procédures couvrant les aspects suivants sont développées : Avant le recrutement : - procédures d'engagement et mesures y afférentes.

Pendant l'occupation de l'emploi : - les modalités visant à l'adhésion de tous les collaborateurs internes et externes aux instructions internes de l'organisation.

Après la résiliation ou la modification de la relation de travail : - les responsabilités et les obligations relatives à la sécurité de l'information et à la protection des données demeurent après la résiliation ou le changement d'emploi et ces conditions doivent être clairement communiquées et intégrées dans le processus de gestion des collaborateurs (internes ou externes).

Un contrat de confidentialité est conclu avec toute personne n'étant pas soumise au statut des membres de la police intégrée et ayant accès aux systèmes d'information des services de police. 4) Sensibilisation, formation & communication Les services de police prévoient une formation continue des membres du personnel et des collaborateurs externes en ce qui concerne la politique de sécurité de l'information et de protection des données. Les services de police prévoient un plan de formation afin que tous les membres du personnel et collaborateurs externes, reçoivent la formation nécessaire et qu'ils soient informés des modifications apportées aux directives et procédures concernant : - la sécurité de l'information et la protection de la vie privée ; - les mesures applicables à l'exercice de leurs fonctions ; - leur rôle et leur responsabilité à cet égard.

Les services de police développent un programme de sensibilisation ayant les objectifs suivants : - conscientiser les membres du personnel et les collaborateurs externes à la sécurité de l'information et à la protection de la vie privée (en mettant l'accent sur les données à caractère personnel) ; - expliquer clairement les responsabilités respectives de l'autorité hiérarchique, d'un service spécifique, du collaborateur et des personnes chargées du contrôle de l'application des mesures de sécurité.

Les sessions doivent être répétées régulièrement afin que les nouveaux collaborateurs soient inclus assez tôt dans le programme.

Pour chaque collaborateur, l'information doit être : o compréhensible; o appropriée pour l'exercice de sa fonction ; o toujours accessible de manière simple et facile. 5) La gestion des actifs4 Afin de garantir la sécurité des systèmes traitant de l'information opérationnelle, les services de police établissent l'inventaire de leurs actifs essentiels, quels que soient leurs types (informations, données, applications, réseaux, processus, systèmes, etc)5. L'inventaire est une liste non-exhaustive et évolutive, qui sera complétée au fur et à mesure, afin d'assurer une amélioration continue en utilisant le cycle PDCA mentionné ci-dessus. Il s'agit d'augmenter progressivement le niveau de maturité des services de police.

Chaque actif sera détaillé et tous les éléments seront repris et tenus à jour afin de bénéficier d'une cartographie correcte de l'architecture des systèmes et de l'information de l'organisation.

Un responsable fonctionnel est identifié pour chaque élément de cet inventaire et sa tâche est précisée dans le plan de sécurité concerné.

Les services de police veillent à mettre en place une procédure de gestion des actifs de l'information en tenant compte de l'importance des données de l'organisation. 6) Le contrôle d'accès Pour les services de police, les règles relatives à l'accès aux données et informations dans les banques de données policières sont contenues dans la directive ministérielle visée à l'article 44/4, § 3 LFP. Pour l'accès aux autres actifs ICT essentiels, les services de police définissent les règles d'accès dans des procédures distinctes qui concrétiseront la présente directive.

Un processus qui garantit l'identification de l'utilisateur lorsque celui-ci souhaite exercer ses tâches est mis en place. Les actifs ICT essentiels ne sont accessibles que via un identifiant individuel et unique. 7) La cryptographie Les services de police protègent adéquatement les données et l'information lors de leur stockage, de leur transport et de leur utilisation. Comme décrit dans les articles 50 et 60 LPD, les données à caractère personnel doivent être protégées de manière appropriée pendant le stockage, le transport et l'utilisation de celles-ci. Le niveau de protection tient compte de l'analyse de risque avec, selon les besoins, des mesures de pseudonymisation ou de chiffrement des données ou de l'information, ou toute autre mesure permettant de garantir le niveau de protection approprié. 8) La sécurité physique Les services de police sécurisent leurs infrastructures.Ils prennent les mesures de protection et de sécurisation afin de gérer l'accès des personnes autorisées aux bâtiments et aux locaux. Les mesures sont adaptées en fonction de la présence physique de personnes dans les locaux.

Les services de police protègent leurs données et leurs supports de données. Ils prennent des mesures préventives contre la perte, l'endommagement, le vol ou la compromission des actifs de l'organisation et contre une éventuelle interruption des activités de l'organisation. 9) La sécurité liée aux opérations Les services de police mettent en oeuvre des mesures spécifiques pour chaque actif essentiel : tout acte suspect ou tout incident est rapporté et investigué.Une trace du suivi de ces incidents est également conservée.

Les mesures techniques minimales qui doivent être prévues pour les moyens ICT des services de police6, sont: - un antimalware/antivirus actuel et à jour ; - un système de détection et de blocage des intrusions ou des accès non autorisés ; - une procédure de mise à jour des logiciels ; - une gestion des incidents (y compris leur communication) ; - des procédures de back-up et de continuité des activités (sécurité opérationnelle). 10) La sécurité de la communication des informations Les services de police prennent des mesures spécifiques pour sécuriser la communication de l'information, afin d'éviter les accès non autorisés aux données et informations7. Si la loi le permet, les données et informations des services de police sont toujours consultées en retournant vers la banque de données d'origine avec un contrôle des autorisations prévues pour celle-ci. Des communications, des copies ou des extractions sont évitées. Si ce n'est absolument pas possible et qu'une communication de certaines données et informations des services de police doit malgré tout être effectuée, alors ces données communiquées doivent toujours avoir un caractère adéquat, pertinent et non excessif par rapport à la finalité de la communication et les mesures de sécurité nécessaires doivent toujours être prises. 11) Acquisition, développement et maintenance des systèmes d'information Lors de l'achat, du développement (et test) et de la maintenance de systèmes, les services de police conçoivent et utilisent des processus et des procédures qui concrétiseront la présente directive pour protéger les informations et ce, aussi bien pendant la phase de développement que d'utilisation opérationnelle. Les systèmes et les processus de traitement de données sont développés et conçus pour protéger par défaut les données et informations (art. 51, § 2 LPD).

Si le recours à des données opérationnelles est indispensable pour le développement et la réalisation de tests, alors leur utilisation peut être exceptionnellement autorisée par le responsable du traitement après avis du comité information et ICT. 12) Relations avec les tiers (fournisseurs, autorités) Les services de police définissent les relations avec les fournisseurs et les autorités. Ces relations sont formalisées dans un document qui indique clairement, le cas échéant : - qui est (sont) le(s) responsable(s) du traitement ; - quelle partie est le sous-traitant ; - comment les responsabilités sont réparties ; - comment la protection des données est organisée, y compris : o la sécurité et le comportement requis ; o la gestion des incidents ; o le signalement des violations ; o le contact avec les autorités (ou non). 13) Le recours au cloud Si les services de police font appel à des services de « cloud computing », ces derniers doivent se conformer aux mesures de sécurité requises, telles qu'elles sont définies dans la politique de sécurité de l'information et, le cas échéant, dans le plan de sécurité correspondant.Les dérogations aux principes énoncés dans la politique de sécurité de l'information doivent toujours être soumises à l'avis préalable du comité Information et ICT, et une décision du CCGPI est requise.

Des contrats et des documents sont rédigés afin de faire respecter les mesures de sécurité exigées.

Les rapports d'audit et les certifications des fournisseurs de services cloud ainsi que l'architecture de la solution « cloud » sont communiquées aux gestionnaires des systèmes compétents (à la DRI et dans la zone de police respective) afin qu'ils puissent vérifier au préalable si les mesures de sécurité requises sont respectées et/ou demander les adaptations nécessaires le cas échéant.

Il est exigé que les centres de données « cloud » et les facilités techniques qui y sont liées se situent sur le territoire de l'Union Européenne.

Dans les contrats et les documents, il est clairement établi qui est le responsable du traitement, quelle partie est le sous-traitant et comment les responsabilités sont réparties. 14) Gestion des incidents liés à la sécurité de l'information Les services de police veillent à ce que les membres du personnel ainsi que les collaborateurs externes et d'autres personnes impliquées disposent d'une procédure permettant de signaler les activités suspectes. Il s'agit d'une procédure permettant de rapporter, d'enregistrer et de gérer des violations potentielles ou présumées de données à caractère personnel ou de la sécurité des systèmes afin que les vulnérabilités puissent être traitées rapidement et de manière structurée.

Les services de police mettent également en place un plan de gestion tant pour des incidents en matière de sécurité de l'information que pour des violations de données à caractère personnel. Ce plan reprendra : - les rôles et les responsabilités de tous les acteurs impliqués ; - un registre interne des incidents contenant tous les incidents de sécurité signalés.

Les services de police veillent à ce que le membre du personnel qui signale un éventuel incident de sécurité n'en subisse pas de conséquences négatives. 15) Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité Les services de police prévoient un système de protection garantissant la disponibilité des données et de l'information. Les services de police prévoient la protection nécessaire de l'information et des données qu'ils traitent contre la perte, la modification ou la destruction non autorisée, soit par accident soit par acte malveillant.

Les services de police veillent à ce que la disponibilité et l'accès à des informations ou à des données soient rétablis rapidement après un incident physique ou technique.

Les services de police prévoient une solution afin d'assurer la continuité des applications utilisées. Dans cette solution, les codes de développement des applications seront au maximum conservés. 16) Veille juridique Les services de police suivent toutes les modifications législatives relatives à la sécurité de l'information et la protection des données, ainsi que les avis émis ou modifiés par les autorités ou organes compétents à ce sujet.17) Evaluation des mesures de sécurité Les services de police évaluent régulièrement la sécurité de l'information (entre autres conformément au cycle PDCA précité). Les plans de sécurité doivent évoluer avec le temps. Ils peuvent être revus pour tenir compte : - des changements dans les menaces et des leçons tirées suite à la gestion d'incidents ; - des résultats d'analyses de risques, d'enquêtes de contrôle ou d'audits ; - de changements de l'organisation ou du contexte juridique, réglementaire ou technologique.

Ces évolutions et adaptations sont suivies par le comité information et ICT et le comité de coordination de la police intégrée, avec les tâches principales suivantes : - le suivi de l'exécution de la politique de sécurité et des plans de sécurité ; - la mesure de l'évolution et du statut de sécurité de l'organisation ; - la proposition de mises à jour ; - la proposition de documents et directives complémentaires pour faciliter et rendre plus claire la mise en oeuvre ; - le suivi de l'évolution des documents techniques.

IV. La méthodologie Pour établir l'inventaire des actifs essentiels des services de police et l'analyse de risque pour chacun des actifs essentiels, les services de police peuvent s'inspirer de la méthodologie prévue dans les « Baseline Information Security Guidelines » du Centre pour la Cybersécurité Belgique. _______ Notes 1 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. 2 Tel que visé à l'article 8ter de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer organisant un service de police intégré structuré à deux niveaux. 3 Tel que visé à l'article 8sexies de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer organisant un service de police intégré structuré à deux niveaux. 4 Pour la sécurité de l'information, on considère les actifs essentiels au sens large comme étant "toutes les ressources qui ont une valeur pour l'organisation et qui doivent être sécurisées". Cela ne se limite pas uniquement à l'infrastructure IT ou aux ressources matérielles, mais aussi aux personnes. Il peut également s'agir de ressources immatérielles, telles que des processus, des procédures, certaines méthodes de travail, des connaissances et des compétences, etc. 5 Datacenter, systèmes d'accès, antivirus, ... 6 Comme décrit dans l'introduction, il s'agit d'une implémentation progressive en fonction du niveau de maturité. 7 Il peut s'agir de mesures de sécurité prévues par un arrêté royal prévu par l'article 44/11/12 LFP réglementant un accès particulier ou un protocole de coopération en matière de communication de données avec un partenaire des services de la police.

^