Logo Parlement Buxellois

Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur l'Office bicommunautaire de la santé "Iriscare".

de
Emin Özkara
à
Sven Gatz et Bernard Clerfayt, membres du Collège réuni en charge des prestations familiales, du budget, de la fonction publique et des relations extérieures (question n°19)

Matière(s):
 
Date de réception: 12/02/2020 Date de publication: 10/03/2020
Législature: 19/24 Session: 19/20 Date de réponse: 06/03/2020
 
Date Intitulé de l'acte de Référence page
19/02/2020 Recevable p.m.
 
Question    La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. La déclaration de politique générale commune au gouvernement de la Région de Bruxelles-Capitale et au Collège réuni de la Commission communautaire commune (législature 2019-2024) parle de soutenir une politique d’« open data » des données publiques en vue de développer des solutions pour la société (e-santé, administration, etc.) et de systèmes intelligents, respectueux de la vie privée.()
Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une « AIPD » (ou « DPIA » en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des
risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés.() C’est pourquoi, ce 12 février 2020, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée.
Messieurs les Ministres, en vos qualités de membres du Collège réuni de la Commission communautaire commune (COCOM), chargés conjointement des prestations familiales, de la fonction publique, des finances, du budget, des relations extérieures et du contrôle des films, je souhaite donc savoir
pour ce qui concerne l’Office bicommunautaire de la santé « Iriscare » :
1. Actuellement
, l’Office bicommunautaire de la santé « Iriscare » répond-il entièrement aux exigences du RGPD ?
2. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?
3. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?
 
 
Réponse    1.
Les Services d'Iriscare répondent aux exigences du RGPD et disposent d’un DPO. Un fonctionnaire, premier attaché, est en fonction depuis le 01/01/2019.

2.
Iriscare dispose d’un seul DPO. Les coordonnées du DPO d'Iriscare sont disponibles à tout moment sur son site Internet via un lien, en bas de la page d’accueil, menant vers une page intitulée "Protection des données à caractère personnel". Une rubrique de cette page est dédiée aux modalités d’exercice des droits RGPD du public concerné et les coordonnées du DPO y sont mentionnées.
Un cadastre des DPO est réalisé par l’Autorité de protection des données (Art.37.7 du RGPD). Ce cadastre n’est pas rendu public. Chaque institution doit en principe publier les coordonnées de son DPO.
3.
Des données sensibles sont traitées par Iriscare. Ces données sensibles sont essentiellement des données relatives à la santé : rapports médicaux, diagnostics, traitements, handicap, etc. Ces données sensibles figurent dans un registre de traitement qui n’est pas rendu public.

4.
Iriscare réalisera une AIPD lorsque cela sera nécessaire comme stipulé à l'article 35 du RGPD. Conformément à l’approche par les risques préconisée par le RGPD, il n’est pas obligatoire d’effectuer une AIPD pour toute opération de traitement. Une AIPD n’est requise que lorsque le traitement est «
susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Pour le moment Iriscare n'a pas encore rencontré des traitements pour lesquels une AIPD est obligatoire.