La sécurité de l’information et la vie privée

Phédra Clouner
Conseiller en sécurité de l’information SPF Justice
Services du Président – Service Sécurité de l’Information

I. Quel est l’état des lieux en Belgique ?

La sécurité de l’information et la protection de la vie privée sont des éléments qui, dans le secteur public, sont particulièrement cadrés et revêtent une grande importance ! En effet, il existe un arrêté royal, datant du 17 mars 2013 qui oblige tout service public à avoir en son sein un conseiller en sécurité de l’information. Même si dans les faits cette fonction existait informellement ou formellement (secteur de la Sécurité sociale) dans de nombreuses organisations.

Le conseiller en sécurité de l’information, dont la candidature doit être approuvée par la Commission de protection de la vie privée, et qui dépend directement du fonctionnaire dirigeant, a pour mission de : « Donner des avis sur des questions ayant trait à la sécurité de l’information, de stimuler la sécurité de l’information au sein de son organisation et faire en sorte de l’encourager et de sensibiliser les collaborateurs à ce sujet en lui communiquant l’information pertinente, de documenter la problématique et bien évidemment de contrôler si la sécurité de l’information, des bonnes pratiques et des polices diffusées est bien mise en œuvre en fonction des règlementations et si tel n’est pas le cas, pourquoi ? ».

Outre cela, tout traitement de données à caractère personnel est fortement règlementé également et contrôlé par la Commission de protection de la vie privée et divers comités sectoriels qui en dépendent.

Nous évoquerons également le Centre belge pour la cyber-sécurité, dont la création a été initiée par le gouvernement précédent et qui devrait se concrétiser sous la législature actuelle. Le politique, suite à des événements fâcheux de hacking, cybercriminalité, etc. est conscient de l’importance que représente la cyber-sécurité.

II. Comment faire prendre conscience de l’importance de la sécurité de l’information ?

Je pense que certains événements récents, tels que l’affaire Belgacom, les attaques dont a été victime la Chancellerie et dernièrement les SPF Économie et Affaires étrangères, les révélations sur les agissements de la NSA, ont fait beaucoup pour initier une prise de conscience… Nous sommes tous, tous les jours, exposés à des menaces issues du cyberespace, à des virus, des malwares, du hacking, du phishing, avec parfois de lourdes conséquences en termes d’images, de compétitivité, financières, etc. pour les organisations tant du secteur public que du secteur privé, mais également pour les individus, avec des atteintes à leur vie privée.

La meilleure manière de faire prendre conscience de l’importance de la sécurité de l’information est de sensibiliser au maximum les gens et les organisations sur les dangers auxquels ils peuvent être confrontés. Leur expliquer les conséquences de certains actes soi-disant anodins (transmission de mot de passe, comportements imprudents sur les réseaux sociaux, utilisation de certains sites internet) et leur expliquer quels sont les bons comportements à adopter ! Souvent un peu de vigilance et de bon sens évite des catastrophes (beaucoup de  problèmes de sécurité de l’information sont le fait de négligence humaine).

III. Comment concilier contrôle de l’employeur et vie privée des collaborateurs ?

Cette problématique est compliquée et doit pouvoir concilier les exigences de l’employeur en termes de productivité et de sécurité et le droit à la protection de la vie privée du collaborateur. Il est clair que l’usage que les collaborateurs font des systèmes de communication électronique mis à disposition par les employeurs n’est pas toujours professionnel. Et un usage déraisonnable de ces moyens à des fins privées présentent des risques pour l’employeur au niveau juridique, de la sécurité et de la productivité.

L’employeur a un droit de contrôle à l’égard des prestations fournies sous son autorité et par conséquent pourrait contrôler l’utilisation que les collaborateurs font d’internet, du mail, etc. Néanmoins, il se doit de concilier ce droit et celui à la vie privée du collaborateur ! Tout est une question d’équilibre.

Il est illusoire d’interdire totalement l’usage d’internet et du mail à des fins privées au sein de l’organisation. Mais en revanche, l’employeur peut décider de l’utilisation ou non des moyens de communication électronique. Il peut alors fixer des conditions et limites raisonnables à l’utilisation privée d’internet et du mail, et les porter à la connaissance du collaborateur.

Ainsi, on voit certains employeurs qui utilisent des moyens techniques pour limiter l’usage de certains moyens de communication, en bloquant l’accès à certains sites. L’employeur ne peut néanmoins pas prendre connaissance des mails à caractère privé de ses collaborateurs, sans le consentement de ces derniers.

Pour plus d’informations sur le sujet, retrouvez Phédra Clouner lors de notre formation Sécurité de l’information & vie privée le 9 décembre à Bruxelles.

Laisser un commentaire