En tant qu’organisme public, Iriscare est particulièrement attentif à tout ce qui a trait à la protection des données. De nombreux projets sont mis en œuvre chaque année afin d’exercer les différentes missions d’Iriscare et ceux-ci doivent respecter les règles en vigueur en matière de protection des données. Si on regarde d’un peu plus près l’organigramme d’Iriscare, on retrouve d’ailleurs un service dédié au sein du département « Services Généraux » : le service « Protection des données ».

L’importance de la protection des données grandit de jour en jour dans un monde qui se veut de plus en plus interconnecté. Cette thématique transversale touche l’ensemble des projets menés par Iriscare. C’est donc tout naturellement qu’un service dédié existe au sein du département « Services Généraux ». « Le service « Protection des données » traite les demandes des différents services d’Iriscare et des autres partenaires (BCSS, réseau secondaire, CIRB, Fidus, Smals, etc.) en lien avec la sécurité de l’information et la protection des données à caractère personnel et ce conformément aux règles en la matière », explique Agnès Wambo, responsable du service. En 2020, plusieurs missions ont été réalisées dans le cadre du respect et de l’application des règles en matière de sécurité de l’information et de protection des données à caractère personnel.

Le RGPD au cœur de nos actions

Des projets sont régulièrement menés dans le cadre du RGPD et l’année 2020 n’a pas fait exception. Certaines mentions légales présentes sur les sites d’Iriscare ont notamment fait l’objet d’une mise en conformité. « L’une des obligations imposées par le RGPD en termes de protection des données à caractère personnel et de la vie privée, concerne l’information de certaines mentions aux personnes dont les données sont collectées et traitées », explique Agnès Wambo. « En 2020, les mentions légales (déclaration de confidentialité, politique des cookies et clause de non-responsabilité) à publier obligatoirement, ont été mise à jour pour les sites web d’Iriscare. Ces mentions légales ont également été rédigées pour l’application eCat Iriscare.» En parallèle, une analyse de la conformité au RGPD des contrats et/ou projets impliquant des données à caractère personnel a également été effectuée : c’est-à-dire, la mise à jour des clauses contractuelles liant Iriscare tant à ses fournisseurs qu’à ses partenaires (autre entité, assureurs, marchés publics, etc.). « En 2020, 16 projets ont fait l’objet d’un tel suivi, 9 contrats de sous-traitance des données à caractère personnel ont été analysés et adaptés, une analyse d’impact relative à la protection des données a été réalisée (AIPD) dans le cadre de mise en œuvre des compétences APA au sein d’Iriscare et 2 demandes d’avis ont été formulées : l’une à l’autorité de protection des données (APD) et l’autre au Comité de sécurité et d’information (CSI) », précise Agnès Wambo.

Des actions de sensibilisation

En parallèle du RGPD, d’autres missions sont réalisées par le service « Protection des données ». « Iriscare appartient au réseau de la Banque Carrefour de la Sécurité Sociale (BCSS) et, de ce fait, est assimilé à une institution de sécurité sociale. Si Iriscare n’est pas Fédéral, notre organisme est cependant appelé à respecter les normes minimales de la BCSS en tant que membre de leur réseau.. Les institutions de sécurité sociale (ou assimilées) qui souhaitent obtenir et maintenir l’accès au réseau de la BCSS, doivent respecter ces normes minimales de sécurité », détaille Agnès Wambo. « Chaque année, afin de permettre le contrôle du respect des normes de sécurité minimales au sein de la Sécurité sociale, Iriscare remplit le questionnaire ad hoc et le transmet à la BCSS. » Le service « Protection des données » s’occupe également de la gestion des accès aux applications. Il s’agit d’évaluer et d’approuver des demandes d’accès aux applications de la Sécurité sociale ou à toutes les autres applications utilisées au sein d’Iriscare et de formuler des demandes d’accès au Registre National, etc. En 2020, 124 demandes d’accès ont été évaluées et approuvées.

Enfin, il y a également un énorme travail de sensibilisation effectué auprès des collaborateurs d’Iriscare. L’objectif : familiariser l’ensemble du personnel avec les principes de base en matière de sécurité de l’information et de protection des données. Cela passe notamment via l’intranet. En 2020, la rubrique dédiée à la sécurité de l’information a été mise à jour et une campagne a été menée au mois de mars pour sensibiliser sur le phishing et, plus spécifiquement, sur le corona-phishing.

En tant qu’organisme d’intérêt public, Iriscare porte une attention toute particulière à la protection des données. Grâce aux actions de sensibilisation mises en place dès la naissance de notre organisme, la protection des données vit au sein d’Iriscare et nos gestionnaires de projets n’oublient plus de consulter le délégué à la protection des données (DPO). Il s’agit d’un enjeu essentiel pour Iriscare qui continuera à mettre tout en œuvre pour se conformer aux règles en vigueur.