Rapport d'activité 2019

Rapport d’activité IGSS
La méthode d’AIPD retenue en collaboration étroite avec un consultant externe repose sur la méthodologie
d’analyse des risques MONARC et son outil associé.
Ainsi, deux analyses de risques permanentes ont été mises en place et sont mises à jour régulièrement : Analyse
des risques de l'information et analyse des risques opérationnels. Le livrable final de l’AIPD est un document
personnalisé décrivant l’organisation du projet, la méthode déroulée, les résultats obtenus, ainsi que toutes les
informations issues automatiquement de MONARC, telles que les échelles d’évaluation et d’acceptation des
risques, le plan de traitement des risques, les évaluations des 3 typologies de risques, etc.
En l’occurrence, le déroulement de la méthodologie MONARC a permis de générer un plan de traitement des risques
permettant de traiter 75 risques identifiés, dont 5 risques critiques à traiter en priorité, 48 risques moyens et 22
risques faibles négligeables. Une trentaine de recommandations générales ont ainsi été formulées, dont 4
recommandations prioritaires, 20 recommandations requérant une action dédiée pour remédier à une vulnérabilité
ou à une bonne pratique qui fait défaut et 5 recommandations à titre de conseil.
Peuvent être cités, parmi les points à traiter prioritairement, la gestion de l’accès physique au bâtiment, la
destruction systématique de certains fichiers temporaires, ou encore la définition de certaines périodes de
rétention. De même, parmi les points requérant une action dédiée, la formation systématique de tous les agents
en matière de sécurité de l’information et protection des données ou encore la désignation formelle de
responsables internes pour chaque traitement sont à soulever.
INFRASTRUCTURE TECHNIQUE - mise en place d’une plate-forme sécurisée pour la mise à disposition de microdonnées
S’inspirant des bonnes pratiques au niveau international en ce qui concerne la mise à disposition de données à
caractère personnel pour une finalité scientifique ou statistique et s’appuyant sur les articles 5.1.b 13 et 89.1 14 du
RGPD et sur sa base légale 15 , l’IGSS a conçu la Luxembourg Microdata Platform on Labour and Social Protection
(https://igss.gouvernement.lu/fr/microdata-platform.html) en appliquant les principes de « Privacy by design » et
« Privacy by default ».
L’IGSS a réalisé une analyse de risques et en a déduit un ensemble de mesures permettant de garantir le respect de
la vie privée des individus.
13
Art. 5.1.b RGPD : cf. sous le point 1.
14
Art. 89.1 RGPD : « Le traitement (…) à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis (…) à des garanties
appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et
organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la
pseudonymisation (…) ».
15
Art. 423. 4) Code de la sécurité sociale repris ci-avant sous le point 1.
34