20 ans d'échanges de données électroniques et sécurisés au sein du secteur social dans le respect de la vie privée Frank Robben Administrateur g é n é ral Banque Carrefour de la s é curit é sociale

2 Le 15 janvier 2010 KSZ-BCSS Modèle Banque Carrefour n organisation d'un échange de données électronique efficace et dûment sécurisé et optimisation des processus entre de nombreux acteurs autonomes n tout en respectant leur autonomie et les missions qui leur sont confiées n sans enregistrement central en masse de données à caractère personnel n en vue d'une prestation de services électronique intégrée qui répond aux attentes des utilisateurs (citoyens, entreprises, professionnels, …) n sur la base de principes communs en matière de -collecte unique et réutilisation des informations -gestion des informations -échange électronique d'informations -sécurisation des informations et protection de la vie privée n coordonnée, stimulée et organisée par un intégrateur de services assumant une fonction de carrefour

3 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Attentes des utilisateurs n protection sociale effective n appui solide de la politique sociale n services intégrés -adaptés à leur situation concrète, et si possible, personnalisés -offerts lors de la survenance d'événements se produisant au cours de leur cycle de vie (naissance, école, travail, déménagement, maladie, pension, décès, création d'une entreprise, …) -tous niveaux de pouvoir, services publics et instances privées confondus (> dans le secteur social) n axés sur les processus propres n avec un minimum de coûts et de formalités administratives n si possible offerts de manière automatique n avec un apport actif de l'utilisateur (selfservice - autonomie) n offerts de manière performante et conviviale n fiables, sécurisés et disponibles en permanence n par le biais de canaux qu'ils ont choisis (contact direct, téléphone, par la voie électronique,...) n tout en respectant la protection de la vie privée

4 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Réseau de la sécurité sociale

5 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Quelques principes et chiffres n collecte unique de données -tout acteur met les données qu'il tient à jour à la disposition (côté de l'offre) -tout acteur utilise ces données si nécessaire au lieu de les demander à nouveau auprès des assurés sociaux ou de leurs employeurs (côté de la demande) n enregistrement décentralisé et distribué des données -répartition fonctionnelle des tâches enregistrement des données confié à l'acteur qui en a le plus besoin dans des circonstances normales cet acteur est obligé de gérer les données de manière qualitative et de les mettre à la disposition -exemples données d’identification: Registre national / registres Banque Carrefour données relatives au salaire et au temps de travail: ONSS / ONSSAPL / INASTI

6 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Quelques principes et chiffres n échange de données via la BCSS -communications de données par/aux acteurs se déroulent en principe à l'intervention de la BCSS d'une manière sécurisée moyennant autorisation du Comité sectoriel compétent -utilisation de répertoires des références avec "fonction de filtre” répertoire des références central géré par la BCSS répertoires des références spécifiques gérés au sein des réseaux secondaires n quelques chiffres -806 millions de messages électroniques échangés en à l'aide de 225 processus électroniques optimalisés -avec une économie structurelle d'au moins 1,7 milliards € par an pour les employeurs (étude du Bureau du plan)

7 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Répertoire des références n composé de trois tables reliées entre elles -la table qui-où-quand-en quelle qualité (répertoire des personnes) indique quelles personnes possèdent des dossiers en quelle qualité auprès de quelles institutions de sécurité sociale pour quelles périodes -la table quoi-où (table des données disponibles) indique quels types de données sont disponibles auprès des divers types d'institutions de sécurité sociale en ce qui concerne les différents types de dossiers -la table qui-peut obtenir-quoi (table des autorisations d’accès) indique quelles sont les données que les divers types d'institutions de sécurité sociale peuvent obtenir en ce qui concerne les différents types de dossiers n soutien pour -routage de demandes de données vers les acteurs compétents -communication automatique de données aux acteurs -qualité de l'échange de données -adéquate de la vie privée

8 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Répertoire des références n contrôle systématique de tout échange électronique de données quant à -l'exactitude de l'identité de la personne concernant laquelle les données sont échangées -respect des principes de finalité et de proportionnalité et des dispositions contenues dans les autorisations du Comité sectoriel n l'anonymat quant à l'appartenance de l'assuré social concerné à une institution coopérante de sécurité sociale est garanti -principalement l'affiliation à un syndicat ou une mutualité -la BCSS sait certes qu'un dossier relatif à un assuré social est géré au sein du secteur en question mais ne sait pas auprès de quel syndicat ou mutualité l'assuré social est affilié -seul l'organisme de gestion du secteur même est au courant et peut être chargé de la transmission à l'institution coopérante compétente de sécurité sociale

9 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Protection de la vie privée n il n'y a pas d'enregistrement central des données n les données à caractère personnel sont uniquement utilisées à des fins conciliables avec les fins pour lesquelles elles ont été recueillies (principe de finalité) n les données à caractère personnel peuvent uniquement être traitées si elles sont significatives et non excessives par rapport aux finalités du traitement (principe de proportionnalité) n tout utilisateur n'a accès qu'aux seules données à caractère personnel dont il a besoin en vue de l'application de la réglementation dont il/elle est chargé(e) (principe de proportionnalité)

10 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Protection de la vie privée n sauf dans les cas où l'accès est prévu dans la loi, l'autorisation de communication de données à d'autres acteurs est accordée par un comité sectoriel de la Commission de la protection de la vie privée, désigné par le Parlement, après qu'il ait été constaté que les conditions susmentionnées sont remplies n les autorisations d'accès sont publiques

11 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Protection de la vie privée n tout échange électronique concret de données à caractère personnel entre acteurs fait l’objet d’un test préventif de la conformité aux autorisations d'accès valables; test effectué par une autre instance que celle qui met à disposition les données ou celle qui en a besoin, en l'occurrence par la Banque Carrefour de la sécurité sociale et l'institution de gestion d'un réseau secondaire n tout échange électronique de données à caractère personnel fait l’objet d’un logging afin de pouvoir éventuellement tracer par la suite tout usage impropre

12 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Protection de la vie privée n chaque fois que les informations sont utilisées pour une décision, les informations sont communiquées à l’intéressé lors de la notification de la décision n une politique de sécurité de l'information valable pour toutes les institutions a été élaborée grâce à un affinement progressif sur la base de la série de normes ISO 27000

13 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Protection de la vie privée n la sécurité, l'intégrité et la confidentialité des informations traitées sont garanties par un ensemble intégré de mesures de sécurité -structurelles -organisationnelles -en matière d'ICT -physiques -liées aux personnes en exécution de la politique de sécurité de l'information

14 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Protection de la vie privée n toute personne a un droit d’accès et, si les données sont incorrectes, de correction de ses propres données personnelles n auprès de tout organisme qui participe au flux de données électronique, il est créé un service de sécurité de l'information interne ayant une fonction de conseil, de stimulation, de documentation et de contrôle interne n un groupe de travail composé des conseillers en sécurité de l'information présente les polices en matière de sécurité de l'information qui sont approuvées par le Comité sectoriel

15 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Protection de la vie privée n le comité sectoriel fixe des normes minimales en matière de sécurité de l'information auxquelles doivent satisfaire l'ensemble des acteurs du secteur social n sur la base d'un questionnaire annuel et, si nécessaire, sur la base d'un contrôle, le Comité sectoriel vérifie si les différents acteurs satisfont aux normes minimales en matière de sécurité de l'information; si tel n'est pas le cas, des actions correctrices sont décidées et font l'objet d'un suivi

16 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Comité sectoriel n comité sectoriel de la sécurité sociale et de la santé n anciennement “Comité de surveillance” n sous-commission de la Commission de la protection de la vie privée n nommé par le Parlement n chargé -de formuler des avis et recommandations en matière de sécurité de l’information et de protection de la vie privée -d’accorder des autorisations pour la communication de données à caractère personnel (les autorisations sont publiques) -d’effectuer un contrôle externe en matière de sécurité de l’information et de protection de la vie privée -de traiter les plaintes

17 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Avantages engrangés n plus grande efficacité -moins de frais et de coûts, p.ex. collecte unique des données à l'aide d'instructions et concepts harmonisés échange électronique d'informations d’application à application autant que possible, sans réintroduction manuelle répartition des tâches en matière de validation et de gestion d'informations moins de contacts inutiles ultérieurement collaboration en matière de développement d'applications (technique d'assemblage) grâce à la présence de services et composants réutilisables -plus de services pour le même coût total, p.ex. tous les services sont disponibles à n'importe quel moment, à partir de n'importe quel endroit et à partir de n'importe quel dispositif services intégrés -prestation de services plus rapide réduction des temps de déplacement et d'attente interaction directe avec l'acteur compétent feed-back en temps réel pour l'utilisateur

18 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Avantages engrangés n plus grande effectivité -plus grande qualité de la prestation de services, p.ex. services plus corrects prestation de services plus personnalisée prestation de services plus transparente services plus sûrs avec une plus grande protection de la vie privée possibilité pour l'utilisateur d'effectuer un contrôle de qualité du processus de prestation de services, notamment grâce à la possibilité de consultation électronique de l'état d'avancement du processus de prestation de services -moins de possibilités de fraude -nouveaux types de services, p.ex. octroi automatique maximal de droits communication automatique d'informations relatives aux droits éventuels qui ne peuvent pas être accordés automatiquement recherche active du non-recours à certains droits via des techniques de datawarehousing contrôle direct des données propres environnements de simulation personnalisés

19 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS United Nations Public Service Award

20 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS European Public Service Award

21 Banque Carrefour de la s é curit é socialeLe 15 janvier 2010 KSZ-BCSS Pour plus d’informations n site web de la Banque Carrefour de la sécurité sociale - n portail de la sécurité sociale - n site web personnel de Frank Robben -