Logo Parlement Buxellois

Question écrite concernant le CIRB et la gestion des données privées

de
David Leisterh
à
Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°1069)

 
Date de réception: 28/10/2022 Date de publication: 17/01/2023
Législature: 19/24 Session: 22/23 Date de réponse: 19/12/2022
 
Date Intitulé de l'acte de Référence page
15/11/2022 Recevable
 
Question   

Il me revient qu’un marché public a été octroyé par le CIRB à un acteur Américain (Salesforce Inc) afin d’assurer une gestion consolidée des données. Cependant, force est de constater qu’un grand nombre d’Autorités de Protection des Données nationales s’opposent au recours à des acteurs Américains afin d’assurer la gestion des données personnelles détenues par des organismes publics.

Par ailleurs, vous n’êtes pas sans savoir, Monsieur le Ministre, que la Commission Européenne a annoncé qu'elle allait lancer des enquêtes conjointes avec 22 régulateurs nationaux sur l'utilisation de services cloud par le secteur public afin de vérifier s'ils respectent ses garanties en matière de protection de la vie privée, considérant que les organismes publics et privés ont de plus en plus recours aux services cloud de grands fournisseurs américains régis par une législation qui autorise des activités de surveillance disproportionnées par les autorités américaines.

Au vu de ces éléments, j'aimerais vous poser les questions suivantes :

  • Comment, dans le contexte que je viens de vous décrire, et malgré les discussions actuelles au sein de l’ensemble des états membres de l’Union Européenne, vous estimez-vous capables d’assurer aux citoyen bruxellois et belges que la protection de leurs données personnelles est bien assurée ?

  • L’implémentation coûteuse de ces solutions pourrait prochainement être interdite et devrait faire l’objet d’une migration vers des solution européennes, ou du moins qui respectent les standards prescrits par le RGPD. Pourquoi imposer ces choix et faire prendre ce risque à nos citoyens, - en mettant également à mal le fonctionnement des institutions et la continuité du service public ? Est-ce dû à ce fait que le marché public n’est pas encore exécuté ?

  • N’est-il pas adéquat de recourir à des acteurs européens qui assurent une cohérence avec le règlement européen de gestion des données personnelles ?

 

 
 
 
Réponse    Comme vous le mentionnez, un marché public a été attribué le 17/06/2019 par le Gouvernement sur proposition de la secrétaire d’Etat Bianca DEBAETS pour la création d’une plateforme citoyenne (CRM) à Cronos (Salesforce).
L’annulation du Privacy Shield (accord dans le domaine du droit de la protection des données personnelles, qui a été négocié entre 2015 et 2016 entre l'Union européenne et les États-Unis d'Amérique permettant d’appliquer le RGPD pour les données européennes hébergées aux Etats Unis) par la CJUE (Cour de Justice de l’UE) a, quant à elle, été décidée le 16/07/2020 (arrêt Schrems 2).


1/
Le marché Salesforce a été attribué avant l’arrêt Schrems 2 de la CJUE. Suite à cet arrêt l’European Data Protection Board (EDPB) a alors proposé des mesures de sécurité à mettre en place pour permettre le transfert de données européennes vers des hébergements américains.

Depuis, le Centre Informatique de la Région Bruxelloise et le Service Public Régional de Bruxelles ont mené des analyses de risques et ont établi des plans d’actions afin de réagir au mieux aux conséquences de ce nouvel arrêt. Certaines mesures ont déjà été prises :
Ainsi, nous avons réalisé un audit de sécurité, nous structurons les accès afin que chaque agent n’ait accès qu’aux données nécessaires pour la finalité déterminée, nous mettons en place des conventions afin de clarifier les rôles et responsabilités tant d’un point technique que d’un point de vue communicationnel. Il est également prévu le chiffrement avec clé (BYOK) pour certains projets en cours.


Ces différentes mesures reflètent notre volonté de mettre en œuvre tous les moyens nécessaires afin d’assurer aux citoyens bruxellois et belges la protection de leurs données personnelles. Il est toutefois à noter qu’il s’agit d’un processus d’amélioration continue qui évoluera en fonction des développements de nouveaux arrêts éventuels de la Cour de Justice de l’Union européenne ou des avis émis par l’Autorité de Protection des données (APD) ou encore de l’évaluation des négociations entre l’Union européenne et les Etats-Unis suite à l’invalidation du “Privacy Shield”.
De plus, postérieurement à l’arrêt Schrems 2, des analyses d’impact des traitements ou des transferts de données ont été réalisés ou sont en voie de réalisation, conformément aux lignes de conduite récentes du Comité Européen de la Protection des Données (European Data Protection Board).

En conclusion, les analyses juridiques et technologiques ont permis de déterminer que la Région bruxelloise pouvait utiliser la technologie Salesforce d’origine américaine tant que les mécanismes annoncés sous le Chapitre. V du Réglement Général de Protection des Données soient respectés. Le Service Public Régional de Bruxelles et le Centre Informatique de la Région Bruxelloise analysent régulièrement les traitements et transferts de données au regard des nouvelles évolutions.



2/
Le marché a été lancé conformément à la loi en vigueur à ce moment-là. Il n’est actuellement pas interdit d’utiliser des solutions américaines.
Depuis l’arrêt Schrems 2 et la publication des lignes de conduite du Comité européen pour la protection des données nous prenons les mesures de sécurité nécessaires, après analyse des risques, comme nous le faisons.


Le Centre Informatique de la Région Bruxelloise et Bruxelles ConnectIT restent attentifs à toute nouvelle actualité et réagissent en fonction.


3/
La situation actuelle et la loi des marchés publics ne nous permettent pas de réserver l’accès des seules entreprises européennes aux marchés publics. Enfin, le marché de 2019 est toujours en cours.