Politique de Sécurité
L’équipe du Service et très consciente de la sensibilité des informations et des traitements effectués sur ceux-ci. Il n’y a pas de vulnérabilité de ce côté et la loi belge actuelle est correctement mise en œuvre.
Cependant, la nouvelle Réglementation Générale européenne de Protection des Données à caractère personnel (RGPD) qui entre en application le 25 mai 2018 apporte des changements qui imposent une directive spéciale.
Responsable du Traitement (RT) :
La RT est Hélène Cornet, la coordinatrice
Le registre des traitements
La RT est chargé de tenir ce registre à jour et de les synthétiser afin de pouvoir les présenter aux personnes qui le demanderaient. Les traitements primaires sont :
- La gestion des dossiers du personnel,
- le traitement des dossiers d’adoption pour les familles adoptantes,
- le traitement des dossiers des mères biologiques,
- le traitement des dossiers des enfants adoptés (servant également pour la recherche des origines),
- l’envoi de mailings avec la newsletter annuelle sur la vie du Service, les invitations aux évènements organisés, etc.
- le suivi des donateurs.
Le registre des données
Les « dossiers d’adoption » comportent des informations sensibles de caractère social et psychologique. Les informations médicales sont sommaires et ne sont, en général pas sensibles, sauf pour ce qui concerne des informations dont la communication aux candidats adoptants est indispensable.
Les informations concernant les mailings et le suivi des donateurs sont de simples données d’identification et de localisation : nom, prénom, adresse physique, adresse email. Cette liste initiale sera complétée par la RT.
La RT établit la structure des données et tient celles-ci à disposition des personnes qui en feraient la demande.
La RT détermine également la durée de maintien et d’archivage des informations. Certaines sont ad infinitum alors que d’autres ne sont conservées que pour la durée strictement nécessaire.
Rôles et responsabilités
Il revient au Conseil d’Administration (C.A.) de veiller à ce que la présente politique et les procédures imposées par le RGPD restent conformes aux exigences, adaptées à la situation du Service et sont effectivement appliquées. Le C.A. est également chargé de (faire) réaliser les processus de gestion des risques et le PIA (Privacy Impact Assessment) s’il s’avère pertinent.
La RT est responsable, outre ce qui concerne les registres, de la réalisation des contrôles nécessaires à s’assurer que les mesures de sécurité sont appliquées. Elle est également responsable d’attribuer la mise en œuvre des procédures aux membres de l’équipe. Elle signale également au Conseil d’Administration les points des procédures qui demandent adaptation.
L’équipe est responsable d’appliquer les mesures de sécurité et de mettre en œuvre les procédures qui lui ont été attribuées. Il lui revient également de signaler à la coordinatrice tout situation qui est potentiellement une atteinte aux exigences de sécurité des données à caractère personnel.
Politique
Les informations traitées par le Service sont toutes des informations à caractère personnel. La réglementation, autant que la qualité des services offerts, impose que les informations soient
- juste nécessaires et suffisantes pour le traitement qui leur est appliqué, (proportionnalité),
- exactes, complètes, à jour en permanence (qualité et intégrité),
- authentiques (qualité),
- disponibles pour le traitement à ceux qui en sont responsables (disponibilité),
- protégée contre les accès et les utilisations illicites (confidentialité),
- communiquées exclusivement aux autorités prévues par le Décret de la Fédération Wallonie-Bruxelles dans le contenu et le format exigé, (confidentialité),
- échangée uniquement avec des tiers (parents et enfants) autorisés et authentifiés (confidentialité).
Les mesures de sécurité ci-après sont jugées nécessaires et suffisantes. Elles sont adaptées au besoin et en considérant les évènements et incidents reportés.
Ces mesures sont, pour certaines triviales et déjà appliquées de façon naturelle alors que d’autres sont nouvelles et demandent une attention certaine de la part de l’équipe.
Est considéré comme un incident de sécurité
- tout manquement aux mesures de sécurité ci-après,
- toute constatation d’un comportement différent des ordinateurs,
- toute constatation d’une disparition ou d’une modification des informations, contenues dans les ordinateurs et sur les disques de sauvegarde.
Mesures de sécurité
Sécurité physique
Les accès (portes et fenêtres) sont en permanence fermés quand l’équipe n’est pas présente pour observer et, naturellement, à la fin de la journée.
Les bureaux sont fermés à clé à la fin de la journée.
Les armoires qui contiennent les dossiers sont fermées en fin de la journée.
Aucun document relatif aux personnes, ni relatif au fonctionnement du Service, ne traine le soir sur les tables. Ils sont mis sons clé.
Toutes les clés sont rangées dans un endroit choisi par la coordinatrice.
Les documents relatifs aux personnes et au fonctionnement du Service et qui ne sont plus utiles sont détruits à l’aide d’une déchiqueteuse.
Sécurité informatique
Les ordinateurs sont installés, configurés et leurs logiciels maintenus par un informaticien proposé par la coordinatrice et agréé par le C.A.
Les ordinateurs sont équipés d’un logiciel anti-malware activé en permanence et mis à jour de façon automatique.
Le routeur internet est coupé à la fin de la journée de sorte de ne pas laisser les ordinateurs ou le réseau accessibles par un hacker. Cette action force l’attribution d’une nouvelle adresse IP, ce qui rend une attaque ciblée impossible dans la mesure où un logiciel malveillant serait passé au travers des mailles du filet.
Les ordinateurs sont éteints quand ils ne sont pas utilisés de sorte de ne pas laisser les ordinateurs ou le réseau accessibles par un hacker.
L’équipe fait très attention quand elle reçoit un email et en vérifie l’authenticité avant d’ouvrir les pièces jointes.
L’équipe fait également attention et vérifie l’authenticité de la source ainsi que la cohérence avec l’émetteur avant d’activer un hyperlien (adresse internet : www.aaa.xxx)
Seul l’informaticien ou le membre du C.A. désigné peut installer un logiciel sur les ordinateurs. Cette vérifie qu’il n’apporte pas de vulnérabilité ou d’incompatibilité avec les logiciels déjà installés.
Sécurité des données
Le travail, les documents et les données sont transmises sur un espace protégé et sécurisé dans le cloud (sous la responsabilité du prestataire informatique agréé pad le C.A.). Un backup interne est réalisé par une copie du cloud sur un NAS.
Les dossiers papiers sont numérisés et archivés sur un disque spécial mis à l’abri dans un petit coffre-fort. Ceci concerne
La base de données est alimentée avec les fiches ‘archives’, tenue à jour et conservée en sécurité dans un local fermé. Seules des personnes dument autorisées y ont accès pour la mise à jour ou la lecture.
Contacts avec les personnes
Les emails sont accompagnés d’un Disclaimer dont le contenu et la formulation ont été validés par le C.A.
L’équipe informe les parents et enfants qu’il n’est pas recommandé de transmettre des informations personnelles ‘sensibles’ via internet. L’utilisation du courrier papier est recommandée
L’échange de données avec l’Autorité Centrale de l’Adoption utilise exclusivement les canaux et les protocoles imposés par cette administration. La coordinatrice veille à se tenir au courant des changements et interroge ladite administration quand elle ou le C.A. s’inquiète de l’insécurité des procédures.
Comportement face à un incident de sécurité
Tous les membres du Service sont tenus de signaler les incidents qu’ils constatent à la coordinatrice pour enregistrement et réponse immédiate. La réponse consiste
- en la correction de l’erreur ou du comportement fautif pour les incidents procéduraux
- en la mise en œuvre de la procédure si les ordinateurs ou des informations sensibles sont concernées
Le C.A. étudie le registre et recommande des actions dans les meilleurs délais. La communication par email vers le C.A. utilise un code afin de préserver la confidentialité des situations et des intérêts du Service.
Procédures
Les procédures suivront… elles sont en cours de rédaction.
Procédure de consentement
Procédure de demande d’accès par les personnes concernées
Procédure de destruction des données personnelles sensibles
Procédure de signalement des brèches de sécurité à l’autorité de contrôle compétente
Procédure de signalement des brèches de sécurité aux personnes concernées
Procédure de réponse aux incidents de sécurité procédurale
Procédure de réponse aux incidents de sécurité informatique