La nouvelle loi européenne sur la protection et la gestion des données, (General Data Protection Regulation (GDPR) ou, en français, Règlement Général sur la Protection des Données (RGPD)), est entrée en vigueur le 27 avril 2016 pour devenir pleinement applicable le 25 mai 2018.

Cette législation européenne définit la manière dont les organisations, les entreprises et les pouvoirs publics doivent traiter les données à caractère personnel et ce, en mettant l’accent sur la vie privée et la sécurité. On entend par données à caractère personnel toutes les données qui peuvent (in)directement conduire à l’identification d’une personne physique. Par exemple : nom, adresse, adresse électronique, numéro de registre national, numéro de téléphone ou numéro de GSM. Au cours de l’année 2017, un plan d’action a été élaboré pour l’INASTI et les caisses d’assurances sociales. Il a été mis en œuvre dès l’automne de cette année-là et s’est poursuivi en 2018.

Des déclarations de confidentialité ont été élaborées afin de fournir aux citoyens des informations relatives à l’utilisation de leurs données à caractère personnel. Ces déclarations (concernant l’INASTI et la Caisse nationale auxiliaire) peuvent être consultées sur les sites internet respectifs. En outre, des instructions ont été élaborées pour le trafic e-mail et les conversations téléphoniques.

Actions spéciales pour l’INASTI

• Établissement d’un registre de traitement et de données, en ce compris une classification des données;
• Publication d’une déclaration de confidentialité pour nos clients sur les sites web de l’INASTI et de la Caisse nationale auxiliaire;
• Établissement de différentes clauses pour différents types de formulaires (e. a. déclarations d’affiliation, formulaires A1, demandes de dispense de cotisations);
• Reprise d’une check-list GDPR dans la mise en œuvre de tout projet;
• Préparation d’un formulaire type DPIA (data protection impact assessment, également appelé analyse d’impact relative à la protection des données) à remplir pour chaque nouveau projet ou adaptation majeure d’une application existante;
• Élaboration d’une procédure de signalement en cas de fuite de données;
• Début 2018, tous les collaborateurs de l’INASTI et du réseau INASTI ont été invités à modifier leur mot de passe et à opter pour un mot de passe plus complexe et plus sécurisé;
• Le trajet de formation pour les nouveaux collaborateurs comprend un volet sécurité de l’information et de la vie privée.

Actions spéciales pour les caisses d’assurances sociales

• Établissement d’un modèle de traitement et de données, en ce compris une classification des données;
• Établissement d’un modèle de déclaration de confidentialité pour les clients des caisses d'assurances sociales;
• Établissement d'une clause type pour les déclarations d'affiliation;
• Établissement d'une liste récapitulative des points d'attention dans le cadre du GDPR;
• Présentation sur l'élaboration d'une procédure de signalement et transmission d'un modèle de procédure de signalement.