Comité de sécurité de l’information (CSI)

Le comité de sécurité de l'information a été institué par la loi du 5 septembre 2018.

Il est composé de deux chambres : la chambre sécurité sociale et santé, qui est établie auprès de la BCSS et de la Plate-forme eHealth, et la chambre autorité fédérale, qui est établie auprès du Service public fédéral Stratégie et Appui.
Il assure des missions spécifiques sur le plan de la sécurité de l’information - il rend p.ex. des délibérations pour certains types de communications de données à caractère personnel - mais il n’est pas une autorité de surveillance au sens du Règlement général sur la protection des données (RGPD). Il n’est dès lors pas compétent pour surveiller le respect de la réglementation, résoudre les problèmes et litiges ou traiter les plaintes. En effet, c’est l’Autorité de protection des données qui est compétente pour ces matières.

La chambre sécurité sociale et santé du comité de sécurité de l’information est le successeur du Comité sectoriel de la sécurité sociale et de la santé, dont elle a repris certaines compétences, notamment formuler de bonnes pratiques, rendre des délibérations et soutenir les délégués à la protection des données. La réglementation dispose que le mandat des membres externes du Comité sectoriel de la sécurité sociale et de la santé est maintenu jusqu’à la date de nomination des membres de la chambre sécurité sociale et santé du comité de sécurité de l’information et que le Comité sectoriel de la sécurité sociale et de la santé se réunit jusqu’à cette date comme une seule instance intégrant les deux sections (la section sécurité sociale et la section santé) et exerce les tâches qui sont compatibles avec le RGPD.

Ceci signifie concrètement que, même si le comité de sécurité de l’information n’est actuellement pas encore constitué, certaines tâches de sa chambre sécurité sociale et santé sont d’ores et déjà exécutées par certains membres du Comité sectoriel de la sécurité sociale et de la santé dont le mandat est temporairement maintenu.

Membres du Comité sectoriel de la sécurité sociale et de la santé

Comme évoqué ci-avant, le mandat de certains membres du Comité sectoriel de la sécurité sociale et de la santé est maintenu jusqu’à la date de nomination des membres du comité de sécurité de l'information. A part monsieur Yves Roger, qui exerce temporairement la présidence de la chambre sécurité sociale et santé, il s’agit des personnes suivantes :

Juristes

Michel DISPERSYN (professeur ordinaire à l'Université Libre de Bruxelles) 
(suppléant: Pascal HUBAIN)

Paul SCHOUKENS (professeur à la Katholieke Universiteit Leuven)
(suppléant: Ludwine CASTELEYN)

Informaticien

Jean RAMAEKERS (professeur aux Facultés Notre-Dame de la Paix de Namur)
(suppléant: Bart SIJNAVE)

Médecins

Bart VIAENE (médecin du travail/informaticien attaché à l'IDEWE vzw, Interbedrijfsgeneeskundige dienst voor werkgevers)
(suppléant: Stefaan BARTOLOMEEUSEN)

Christian SMULDERS
(suppléant: Etienne DE CLERCQ)

Benoît DEBANDE
(suppléant: Didier THILLAYE DU BOULLAY)

Georges DE MOOR
(suppléant: Michel DENEYER)
 

Domaines d’action de la chambre sécurité sociale et santé

La chambre sécurité sociale et santé du comité de sécurité de l’information est chargée, en vue de la protection de la vie privée, des tâches suivantes: :

  • formuler les bonnes pratiques qu’elle juge utiles pour l’application et le respect de la réglementation relative à la BCSS et de la réglementation relative au traitement de données à caractère personnel relatives à la santé ;
  • fixer les règles pour la communication de données anonymes par la BCSS et pour la collaboration de la BCSS à des enquêtes, conformément à l’article 5 de la loi relative à la BCSS ;
  • rendre des délibérations pour la communication de données sociales à caractère personnel  et de données à caractère personnel relatives à la santé, pour autant que cette délibération soit rendue obligatoire par la réglementation, et tenir à jour et publier la liste de ces délibérations ;
  • soutenir les délégués à la protection des données sur le plan du contenu, entre autres en leur offrant une formation continue adéquate et en formulant des recommandations, notamment sur le plan technique ;
  • publier annuellement, sur le site web de la BCSS et sur le site web de la Plate-forme eHealth, un rapport sommaire de l’accomplissement de ses missions au cours de l’année écoulée.

De plus amples informations sur les activités de la chambre sécurité sociale et santé du comité de sécurité de l’information sur le plan du traitement de données à caractère personnel relatives à la santé figurent sur le site web de la Plate-forme eHealth.
 

Délégués à la protection des données

Dans le passé, un avis du Comité sectoriel de la sécurité sociale et de la santé était requis pour la désignation des conseillers en sécurité des institutions de sécurité sociale directement connectées à la BCSS. Cette obligation n’est plus d’application. Cependant, le comité de sécurité de l’information continue (à l’instar du Comité sectoriel de la sécurité sociale et de la sécurité sociale et de la santé) à fournir un soutien sur le plan du contenu aux délégués à la protection des données, en leur proposant une formation continue adéquate et en formulant des recommandations.
 

Délibérations relatives aux communications de données à caractère personnel

1. La chambre sécurité sociale et santé et les chambres réunies

Toute communication de données sociales à caractère personnel par la BCSS ou une institution de sécurité sociale à une autre institution de sécurité sociale ou à une instance autre qu’un service public fédéral, un service public de programmation ou un organisme fédéral d’intérêt public doit faire l’objet d’une délibération préalable de la chambre sécurité sociale et santé du comité de sécurité de l’information.

Les communications suivantes de données sociales à caractère personnel par des institutions de sécurité sociale sont toutefois dispensées d’une délibération du comité de sécurité de l’information, en vertu de l’arrêté royal du 4 février 1997 organisant la communication de données sociales à caractère personnel entre institutions de sécurité sociale, mais doivent éventuellement être déclarées au comité de sécurité de l’information.

  • communications entre une institution de sécurité sociale et son propre sous-traitant ;
  • communications entre institutions de sécurité sociale appartenant au même réseau secondaire, nécessaires à l’exécution de la réglementation relative à la sécurité sociale ;
  • communications entre l’INAMI et le CIN ou les mutualités, nécessaires à l’exécution de la réglementation relative à la sécurité sociale ;
  • communication de données d’identification de base au sein du réseau de la sécurité sociale.

Dans certains cas, les communications de données à caractère personnel par des services publics et institutions publiques des Communautés et Régions sont également soumises à une délibération préalable du comité de sécurité de l'information, plus précisément lorsque le service public ou l'institution publique a intégré le réseau de la sécurité sociale en application de l’arrêté royal du 16 janvier 2002. Une exception est prévue pour la communication de données à caractère personnel par ce service public ou cette institution publique à une autre instance de la même Communauté ou Région dans la mesure où les parties ne demandent pas explicitement l’intervention de la BCSS.

Exemples

  • Le VDAB fait partie du réseau de la sécurité sociale. Lorsqu’il communique des données à caractère personnel à une autre instance flamande et ne fait pas appel dans ce cadre à la BCSS, une délibération n’est pas requise.
  • Le FOREM fait partie du réseau de la sécurité sociale. Lorsqu’il communique des données à caractère personnel à une autre instance wallonne et ne fait pas appel dans ce cadre à la BCSS, une délibération n’est pas nécessaire.
  • Cependant, une délibération est requise pour la communication de données à caractère personnel par le VDAB ou le FOREM à une instance fédérale ou à une instance d’une autre Communauté ou Région.

Une délibération de la chambre sécurité sociale et santé du comité de sécurité de l’information n’est pas requise pour la communication de données sociales à caractère personnel par la BCSS ou une institution de sécurité sociale aux archives générales du Royaume et aux Archives de l’État dans les provinces.

Une telle délibération n’est pas non plus requise pour la communication de données sociales à caractère personnel pseudonymisées (il s’agit de données sociales à caractère personnel qui peuvent uniquement être mises en rapport avec la personne sur laquelle elles portent au moyen d'un code sans signification et que le destinataire n’est pas en mesure de mettre en rapport avec l’intéressé) que la BCSS réalise, en vertu de l’article 5, § 1er, alinéa 1er, de la loi relative à la BCSS, aux ministres qui ont la sécurité sociale dans leurs attributions, aux Chambres législatives, aux institutions publiques de sécurité sociale, à la Direction générale Statistique – Statistics Belgium du Service public fédéral Economie, PME, Classes moyennes et Energie et aux autres autorités statistiques, tel que prévu dans l’accord de coopération du 15 juillet 2014 concernant les modalités de fonctionnement de l’Institut interfédéral de statistique, au Conseil national du travail, au Conseil supérieur des indépendants et des petites et moyennes entreprises, au Bureau du plan ou à la Banque nationale de Belgique

Dans la mesure où la chambre sécurité sociale et santé du comité de sécurité de l’information doit rendre une délibération pour une communication de données à caractère personnel, elle peut éventuellement rendre également une délibération pour l'utilisation du numéro de registre national par les instances concernées si cela est nécessaire dans le cadre de la communication envisagée.

Toute communication de données sociales à caractère personnel par la BCSS, par une institution publique de sécurité sociale (telle que l’ONSS) ou un service public fédéral chargé de l’application de la sécurité sociale (tel que le Service public fédéral Sécurité sociale) à un service public fédéral, un service public de programmation ou un organisme fédéral d’intérêt public autre qu’une institution de sécurité sociale doit faire l’objet d’une délibération préalable des chambres réunies du comité de sécurité de l’information dans la mesure où les responsables du traitement de l’instance qui communique, de l’instance destinatrice et de la BCSS ne parviennent pas à un accord concernant la communication ou au moins un de ces responsables du traitement demande une délibération.

Toute communication de données sociales à caractère personnel par une institution de sécurité sociale autre que la BCSS, une institution publique de sécurité sociale ou un service public fédéral chargé de l’application de la sécurité sociale à un service public fédéral, un service public de programmation ou un organisme fédéral d’intérêt public autre qu’une institution de sécurité sociale doit toujours faire l’objet d’une délibération préalable des chambres réunies du comité de sécurité de l’information.
 

2. La chambre autorité fédérale et les chambres réunies

Le fonctionnement de la chambre autorité fédérale du comité de sécurité de l’information est régi par les (nouveaux) articles 35/1 à 35/5 de la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral.

La chambre autorité fédérale délibère sur les communications de données à caractère personnel par des services publics et des institutions publiques de l’autorité fédérale à des tiers autres que des institutions de sécurité sociale dans la mesure où les responsables du traitement concernés ne parviennent pas à un accord concernant la communication ou au moins un de ces responsables du traitement demande une délibération.

La communication de données à caractère personnel par des services publics et des institutions publiques de l’autorité fédérale à des institutions publiques de sécurité sociale et à des services publics fédéraux chargés de l’application de la sécurité sociale requiert une délibération des chambres réunies du comité de sécurité de l’information dans la mesure où les responsables du traitement concernés ne parviennent pas à un accord ou au moins un de ces responsables du traitement demande une délibération.

La communication de données à caractère personnel par des services publics et des institutions publiques de l’autorité fédérale à d’autres institutions de sécurité sociale requiert toujours une délibération des chambres réunies du comité de sécurité de l’information.
 

3. Délibérations antérieures

Les prédécesseurs du comité de sécurité de l’information - à savoir le Comité de surveillance près la Banque Carrefour (1990-2003), le Comité sectoriel de la sécurité sociale (2003-2007) et le Comité sectoriel de la sécurité sociale et de la santé (2007-2018) - ont déjà rendu dans le passé un grand nombre de délibérations. Ces délibérations gardent leur validité juridique, en application de l’article 111 de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données.
 

Délibérations de la chambre sécurité sociale et santé

Les délibérations de la chambre sécurité sociale et santé du comité de sécurité de l’information (et de ses prédécesseurs) ainsi que les délibérations des chambres réunies du comité de sécurité de l’information sont disponibles sur le site web de la BCSS (délibérations relatives au traitement de données sociales à caractère personnel) et sur le site web de la Plate-forme eHealth (délibérations relatives au traitement de données à caractère personnel relatives à la santé). Des informations supplémentaires peuvent être obtenues auprès du secrétariat de la chambre sécurité sociale et santé du comité de sécurité de l’information via l’adresse e-mail ivc@mail.fgov.be.

Pour obtenir une nouvelle délibération de la chambre sécurité sociale et santé du comité de sécurité de l’information, le demandeur est prié d'utiliser le formulaire disponible à cet effet.

Le formulaire complété doit être envoyé à ivc@mail.fgov.be