1 / 25

L’e-gouvernment et la protection de la vie privée: défis et propositions

L’e-gouvernment et la protection de la vie privée: défis et propositions. Frank Robben Administrateur général Banque Carrefour de la sécurité sociale Conseiller stratégique Service Public Fédéral TIC Chaussée Saint-Pierre 375 B-1040 Bruxelles E-mail: Frank.Robben@ksz.fgov.be

jagger
Download Presentation

L’e-gouvernment et la protection de la vie privée: défis et propositions

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. L’e-gouvernment etla protection de la vie privée:défis et propositions Frank Robben Administrateur général Banque Carrefour de la sécurité sociale Conseiller stratégique Service Public Fédéral TIC Chaussée Saint-Pierre 375 B-1040 Bruxelles E-mail: Frank.Robben@ksz.fgov.be Website: http://www.law.kuleuven.ac.be/icri/frobben Banque Carrefour de la sécurité sociale Service Public Fédéral TIC (FEDICT)

  2. Qu’est-ce que l’e-gouvernement ? • l’e-gouvernement est une optimisation continue de la prestation de services et de la gestion par la transformation des relations internes et externes au moyen de la technologie, de l’internet et des nouveaux moyens de communication • relations externes • services publics <-> citoyens • services publics <-> entreprises • relations internes • services publics <-> services publics • services publics <-> collaborateurs • toutes les relations • sont à double sens • se situent à l’intérieur d’un pays ou sont transfrontalières

  3. E-gouvernement et protection vie privée • le défi est • de profiter des opportunités offertes par l’e-gouvernement pour • améliorer le service aux citoyens et aux entreprises • améliorer le fonctionnement de l’administration • améliorer l’effectivité de la politique • réduire les coûts et charges administratives • tout en évitant au mieux des risques négatifs, notamment en matière de protection de l’information et de la vie privée

  4. Opportunités de l’e-gouvernement • gain d’efficacité • en termes de coûts: mêmes services à un moindre coût, p. ex. • collecte unique d’information au moyen de notions et d’instructions administratives coordonnées • moins de travail de ré-introduction des données par l’échange électronique d’information • moins de contacts • répartition fonctionnelle des tâches en matière de gestion de l’information, de validation de l’information et de développement d’applications (systèmes d’information distribués) • en termes de quantité: plus de services à un coût total identique, p. ex. • tous les services sont disponibles à tout moment, partout et à partir de n’importe quel dispositif • services intégrés • en termes de rapidité: à un coût total identique en moins de temps • réduction du temps d’attente et du temps de déplacement • interaction directe avec le service public compétent • feed-back en temps réel pour l’utilisateur

  5. Opportunités de l’e-gouvernement • gain d’effectivité • en termes de qualité: mêmes services à un coût identique et dans le même délai, mais standards de qualité plus élevés, p.ex. • prestation de services plus correcte • prestation de services personnalisée et participative • prestation de services plus transparente et plus étendue • prestation de services plus sûre • possibilité pour le client d’un contrôle de qualité du processus de prestation de services • en termes de types de services: de nouveaux types de services, p. ex. • afin d’éviter la fracture numérique, • système ‘push’: attribution automatique des droits et communication automatique d’informations concernant les services • recherche active des exclusions à l’aide de techniques de datawarehousing • gestion contrôlée des données personnelles • environnements de simulation personnalisés • datawarehousing pour un meilleur appui de la politique

  6. Vers des services intégrés Intégrateur de services SPR/C SPR/C Répertoire services Extranet région ou communauté Intégrateur de services (FEDICT) Répertoire services SPF SPF FedMAN Internet Ville ISS SPF Publilink ? ISS Extranet sécurité sociale Répertoire services Intégrateur de services (BCSS) Province Commune ISS Répertoire services

  7. Vers des services intégrés • fonctions utiles des intégrateurs de services (BCSS, FEDICT, …) • organisation et orchestration de l’échange d’informations électronique sécurisé • organisation des work flows • répertoire des utilisateurs et des applications autorisées • liste des utilisateurs et applications • définition des moyens et règles d’authentification • définition des profils d’autorisation • quel service est accessible à quel type d’utilisateur/application concernant quelles personnes/entreprises en quelle qualité, dans quelle situation et pour quelle période • répertoire des personnes • quelles personnes/entreprises en quelle qualité ont des dossiers dans quelles institutions et pour quelles périodes • table de souscription • quels utilisateurs/applications souhaitent recevoir automatiquement quels services dans quelles situations pour quelles personnes en quelles qualités

  8. Protection de l’information et de la vie privée • protection de l’information • éviter le dommage à l’information, aux systèmes d’informations et à toutes les personnes concernées (personnes enregistrées, utilisateurs, …) • aspects multiples • exactitude et intégrité • disponibilité • confidentialité • non-répudiation • authenticité • autorisation • traçabilité • protection de la vie privée • éviter des intrusions illégitimes dans la vie privée des personnes • respecter le droit minimal de toute personne à l’autodétermination informationnelle • en partie se recouvrant, en partie complémentaire – approche intégrée est souhaitable

  9. Protection de l’information et de la vie privée • la sécurité absolue n’est pas un objectif, car elle risque de freiner toute innovation et amélioration => politique de protection basée sur l’analyse des risques • la protection de l’information et de la vie privée se fait de façon intégrée (le maillon le plus faible détermine le degré de protection globale !), sur base d’un nombre de principes de base communs

  10. Principes de base communs • la protection de l’information et de la vie privée est assurée par un ensemble intégré de mesures institutionnelles, organisationnelles, techniques, physiques, de screening du personnel et juridiques, décrites dans des textes réglementaires et des polices approuvées • les données à caractère personnel sont uniquement traitées à des fins compatibles avec les fins pour lesquelles elles ont été recueillies • les données à caractère personnel sont uniquement accessibles aux institutions et utilisateurs mandatés à cette fin en fonction des besoins du service, de la réglementation ou de l’application de la politique

  11. Principes de base communs • la communication de données à caractère personnel par des services publics à des tiers doit être autorisée par une instance indépendante (in casu un comité sectoriel de la Commission pour la Protection de la Vie Privée), après qu’il ait été constaté que les conditions d’autorisation de la communication sont remplies • les autorisations de communication sont publiques • toute communication électronique concrète de données à caractère personnel fait l’objet d’un test préventif de la conformité aux autorisations de communication en vigueur par un intégrateur de services indépendant

  12. Principes de base communs • toute communication électronique de données à caractère personnel est loggée par l’intégrateur de services indépendant pour pouvoir tracer éventuellement ultérieurement un usage impropre • chaque fois que les informations sont utilisées pour une décision, les informations utilisées sont communiquées à l’intéressé lors de la notification de la décision • toute personne a un droit de consultation et de rectification de ses propres données à caractère personnel

  13. Mesures institutionnelles • l’instauration de comités sectoriels dans le cadre de la Commission pour la Protection de la Vie Privée (CPVP) • l’instauration ou la désignation des services publics qui ont la fonction d’intégrateur de services • l’instauration d’un service de protection de l’information et de la vie privée dans chaque service public • l’instauration de(s) service(s) de protection d’information spécialisé(s) agréé(s) • instauration d’un système de groupes de travail sur la protection de l’information et de la vie privée

  14. Comités sectoriels • instaurés au sein de la CPVP • composés de membres de la CVPV et de membres désignés par le Parlement en fonction de leur connaissance thématique • présidés par un membre de la CPVP • compétences (dans le secteur concerné) • autorisation des communications de données à caractère personnel à des tiers • contrôle de la protection de l’information • traitement des plaintes • recommandations en matière de protection de l’information • pouvoirs d’investigation étendus • rapport d’activités annuel • dossiers préparés par le rapport d’auditorat d’un service public désigné

  15. Service protection de l’information • dans chaque service public • composition • conseiller en sécurité de l’information • un ou plusieurs assistants • contrôle de l’indépendance et de la formation permanente des conseillers en protection de l’information et de la vie privée par le comité sectoriel compétent • le comité sectoriel compétent peut autoriser, dans certaines conditions, à confier les tâches du service de protection de l’information de la vie privée à un service de protection de l’information spécialisé agréé

  16. service protection information recommande promeut documente contrôle rapporte directement à la direction générale formule un projet de plan de sécurité élabore le rapport de sécurité annuel direction générale prend les décisions est le responsable final donne un feed-back motivé approuve le plan de sécurité fournit les ressources Service protection de l’information: tâches

  17. Contenu du rapport de sécurité • aperçu général de la situation en matière de sécurité • aperçu des activités • recommandations et leurs effets • contrôle • campagnes de promotion de la protection de l’information et de la vie privée • aperçu des recommandations externes et de leurs effets • aperçu des formations reçues

  18. Services de protection spécialisés agréés • agréés par le Gouvernement • conditions d’agréation • association sans but lucratif • sa seule activité est la protection de l’information et de la vie privée • respecte les principes tarifaires fixés par le Gouvernement • contrôle de l’indépendance est exercé par la CPVP ou par le comité sectoriel compétent

  19. Services de protection spécialisés agréés • tâches • mise à disposition de spécialistes en protection de l’information et de la vie privée à l’attention des services publics affiliés • formuler des recommandations • organiser des formations en protection de l’information et de la vie privée • soutenir les campagnes de promotion de la protection de l’information et de la vie privée • faire un audit externe à la demande des services publics affiliés, de la CPVP ou du comité sectoriel compétent • les institutions ne peuvent s’affilier qu’à un seul service de protection de l’information spécialisé agréé

  20. Groupes de travail sécurité de l’information • composition • conseillers en protection de l’information et de la vie privée des services public du secteur • tâche • coordination • communication • propositions de normes minimales de sécurité • élaboration d’une check-list concernant la protection de l’information et de la vie privée • recommandations à l’attention du comité sectoriel compétent

  21. Mesures organisationnelles et techniques • polices de sécurité • classification de l’information • mesures de sécurité vis-à-vis du personnel • protection physique • gestion des processus de commande et de communication • traitement de données à caractère personnel • contrôle d’accès logique • développement et maintenance de systèmes • gestion de la continuité • contrôle interne et externe • communication au grand public de la politique en matière de protection de l’information et de la vie privée

  22. Mesures juridiques • obligations du responsable d’un traitement • principes relatifs à la qualité des données • critères de légitimité des traitements de données • règles spécifiques pour le traitement de données sensibles • informations à fournir au titulaire des données • confidentialité et sécurité des traitements • notification du traitement de données à caractère personnel • droits du titulaire des données • droit d’information • droit d’accès • droit de rectification, de suppression ou de blocage • droit au recours judiciaire • pénalités

  23. Organisation 1. politique 2. organisation 3. analyse des risques exigences de protection 4. sélection des mesures feed-back 5. développement des plans et implémen- tation des mesures 6. entraînement et formation 7. contrôle et évaluation

  24. Plus d’info • Banque Carrefour de la sécurité sociale http://www.bcss.fgov.be • FEDICT http://www.fedict.be • Commission pour la Protection de la Vie Privée http://www.privacy.fgov.be • site web personnel http://www.law.kuleuven.ac.be/icri/frobben

  25. Un gr@nd merci !Questions ?

More Related