Paroles d’experts : conseiller en sécurité de l’information, les hôpitaux donnent l’exemple

© Thinkstock

Toute institution ayant accès aux données personnelles de personnes privées doit désigner un conseiller responsable de la sécurité de l’information, conformément à la réglementation européenne sur la protection de la vie privée et des données personnelles.

L’administration publique est une des institutions qui ont accès aux données personnelles et doit, à ce titre, faire preuve de circonspection. Elle est donc tenue d’instituer en son sein un conseiller chargé de la sécurité et de la protection des informations privées traitées ou échangées. Celui-ci établit un plan de sécurité de l’information, émet des avis quant à la sécurité de l’information, sensibilise, effectue des contrôles, documente la politique et aide les institutions à appliquer la réglementation en la matière.

Le consultant en sécurité ne fait pas vraiment partie de la culture de l’administration publique ; un peu moins de la moitié des administrations communales n’a pas encore nommé de conseiller, une obligation pourtant légale. Ainsi par exemple, les CPAS consultent de temps à autre la Banque carrefour de la Sécurité sociale. Les fonctionnaires et les agents de police font régulièrement appel au Registre national. La loi impose l’obligation de désigner un conseiller chargé de la sécurisation de l’information à toutes les institutions y ayant accès.

Les institutions qui souhaitent faire appel à un conseiller en sécurité de l’information peuvent s’inspirer des hôpitaux où il existe déjà une certaine tradition. Dans le secteur des soins de santé, le conseiller en sécurité est bien présent et joue un rôle clé.

Une raison fondamentale est à rechercher dans l’informatisation progressive des établissements de soin, principalement en ce qui concerne les dossiers médicaux des patients et l’échange électronique des données, où le risque pour les données personnelles a augmenté. Le risque d’incidents relatifs au non-respect de la vie privée est effectivement élevé en milieu hospitalier : un dossier médical qui atterrit où il ne devrait pas, une infirmière indiscrète qui ébruite le traitement d’une personnalité célèbre, le dossier médical d’un homme politique consulté par du personnel non concerné par les soins à administrer, etc. Dans les pays anglo-saxons, ce genre d’incident débouche souvent sur une action en justice. Les hôpitaux ne sont pas les seuls à courir de pareils risques. Le personnel des CPAS pourrait par exemple être tenté de consulter le dossier d’une personne sollicitant une allocation parce qu’il la connaît. Même s’il n’est pas professionnellement impliqué dans le dossier en question.

“Le recrutement en externe permet de garantir l’indépendance de la fonction.”

Pour toutes ces raisons, il a été décidé de créer la fonction de conseiller en sécurité de l’information. Sa mission consiste à faire en sorte que l’organisation prenne suffisamment de mesures pour éviter ce genre de situations délicates. Si pareil incident vient à se produire, une institution comme un hôpital ou un service public peut se prémunir en réalisant une analyse de risque au niveau de la sécurité de l’information. C’est une des tâches du consultant : il doit réaliser une analyse de risque afin de répertorier les risques les plus importants en termes de sécurité de l’information et établit un plan sécurité sur base des résultats.

Se pose alors la question de savoir qui, au sein de l’organisation, est capable d’assumer ce rôle. L’approche de BDO offre deux options, à savoir soit sous-traiter le rôle de conseiller en sécurité et le confier à BDO. Soit désigner un conseiller en sécurité en interne, avec le soutien de BDO. Après analyse, le transfert formel des tâches de BDO à un conseiller interne peut être envisagé.

Dans les deux cas, la procédure s’effectue en deux temps. Elle débute par les tâches de mise en route, notamment l’élaboration d’une politique de sécurité, l’analyse du risque et l’établissement d’un plan de sécurité. Viennent ensuite les tâches récurrentes, telles que le suivi du plan de sécurité et toute la communication autour de ladite politique. Le conseiller en sécurité n’ayant pas de fonction exécutive, il peut être aisément recruté en externe. Le recrutement en externe permet en outre de garantir l’indépendance de la fonction. ˜

KOEN CLAESSENS

Partner – Audit & Assurance – Risk & Assurance Services

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content