Logo Parlement Buxellois

Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur les organismes régionaux.

de
Emin Özkara
à
Rudi Vervoort, ministre-président du gouvernement de la Région de Bruxelles-Capitale, chargé du développement territorial et de la rénovation urbaine, du tourisme, de la promotion de l'image de Bruxelles et du biculturel d'intérêt régional (question n°86)

Matière(s):
 
Date de réception: 20/12/2019 Date de publication: 21/02/2020
Législature: 19/24 Session: 19/20 Date de réponse: 21/02/2020
 
Date Intitulé de l'acte de Référence page
13/01/2020 Recevable p.m.
 
Question    La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Dans son point "Une ambition « smart city » pour Bruxelles", la déclaration de politique générale (législature 2019-2024) nous informe que : "Le Gouvernement soutiendra une politique d’ « open data » des données publiques en vue de développer des solutions pour la société (e-santé, mobilité, administration, etc.), tout comme les systèmes intelligents, respectueux de la vie privée, qui offrent une véritable plus-value sociale, environnementale et économique dans les missions que doit remplir la Région, en matière de mobilité, de déchets, de gestion des chantiers, etc.".
Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une "AIPD" (ou "DPIA" en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des
risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. () C'est pourquoi, ce 19 décembre 2019, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée.
En votre qualité de Ministre-Président du Gouvernement de la Région de Bruxelles-Capitale (RBC), chargé du Développement territorial et de la Rénovation urbaine, du Tourisme, de la Promotion de l’Image de Bruxelles et du Biculturel d’Intérêt régional, je souhaite donc savoir :
1. Votre cabinet répond-il
entièrement aux exigences du RGPD et dispose-t-il d’un DPO ?
2. Actuellement, quels sont les organismes régionaux relevant de vos compétences ou de votre tutelle qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ?
3. Un cadastre des DPO des organismes régionaux relevant de vos compétences ou de votre tutelle a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ?
Pour
CHACUN des organismes régionaux relevant de vos compétences ou de votre tutelle, je souhaiterais vous poser les questions supplémentaires suivantes :
4. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?
5. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?

Autorité de protection des données, "
Analyse d'impact relative à la protection des données", https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees , consulté le 19 décembre 2019.
 
 
Réponse    1) La mise en conformité du cabinet aux exigences du RGPD est en cours. Le cabinet ministériel dispose d’un DPO par le biais du marché public lancé à l’initiative du SPRB. Le DPO actuel est Monsieur Jean-Pierre Heymans, pouvant être contacté à l’adresse mail DPO@sprb.brussels. Le maintien de la conformité au RGPD étant un travail constant, le DPO du SPRB accompagne le cabinet dans cette mission.


2) 4) et 5). Le maintien de la conformité au RGPD est un travail constant. Les administrations du SPRB, Talent et Urban disposent d’un DPO. Les administrations du SPRB disposent de leurs registres de traitement et continuent de développer les outils et procédures nécessaires au maintien de la conformité. Concernant les autres administrations sous ma tutelle et, plus particulièrement, Bruxelles Prévention et Sécurité, les principales obligations du RGPD ont été implémentées en son sein, entre autre comme il est prévu dans l’article 37 du RGPD, avec la désignation d’un DPO qui a été enregistré auprès de l’Autorité de la Protection des Données.


Dès lors, tout citoyen voulant exercer ses droits prévus dans le RGPD trouvera les coordonnées du DPO sur le site web de l’organisme.

Le traitement des données dites sensibles où à caractère personnel, selon l’art 9-10 du RGPD, est documenté dans le registre de traitement de l’OIP.


La fréquence et le type de traitement ou l’analyse d’impact relative à la protection des données à caractère personnel est régi par les recommandations de l’APD et du CEPD (Comité Européenne de la protection des données). Sur base de leurs recommandations, BPS a identifié les traitements qui font l’objet d’une AIPD. Plusieurs analyses sont par ailleurs en cours.
Les deux organismes régionaux dépendant de ma compétence Image de Bruxelles et Tourisme sont visit.brussels et screen.brussels Fund.
En ce qui concerne screen.brussels Fund, l’asbl compte actuellement 3 employés à temps plein. La gestion des questions liées aux exigences du RGPD a été confiée au CIRB.

En ce qui concerne visit.brussels, je vous répondrai de manière plus exhaustive.

Le processus de mise en conformité au RGPD a démarré en 2018 avec un bureau d’avocats spécialisé et se poursuit actuellement, notamment avec le soutien d’un DPO mis à disposition par le CIRB. Un certain nombre de mesures ont été prises comme :

· Sensibilisation du personnel via différents médias : intranet, brochure nouvel employé, …
· Établissement du registre et des fiches de traitement
· Justification DPIA et méthode
· Procédure de gestion de violation et outils d’analyse d’impact
· Gestion des requêtes de personnes concernées
· Mise en place d’autres mesures de sécurité de l’information : processus d’achat…

Des données sensibles sont effectivement traitées et un registre est disponible.

Une analyse est en cours de réalisation. 
La démarche est la suivante :
· Une justification à la DPIA est faite pour chaque fiche de traitement (activités existantes). Ces justifications sont faites par le DPO.
· L'analyse d'impact ne sera faite que pour les fiches jugées/justifiées comme ayant un impact important

2020 aura pour objectif de progresser à grands pas dans ce volet. Une analyse d'impact n'est pas une analyse facile et aux résultats immédiats. Concernant les nouveaux traitements, une documentation explique quand il faut réaliser une analyse d’impact qui doit être intégrée dans la méthode de travail et de gestion de projets. 

Abordons maintenant les organismes qui dépendent de ma compétence Développement territorial et rénovation urbaine

En ce qui concerne Urban :
Urban.brussels est actuellement sur une trajectoire de mise en conformité RGPD. Un plan d’action a été déterminé et est actuellement suivi, suite à une analyse de conformité.

Dans ce cadre, une analyse complète des traitements d’Urban.brussels ainsi qu’une mise à jour du registre de traitement est en cours par un cabinet externe spécialisé. Le résultat final de ces analyses sera notamment l’identification des traitements sujets à une DPIA (Data Protection Impact Assessment), qui pourra être réalisée ensuite.

Actuellement, le DPO (Data Protection Officer) pour Urban.brussels est le DPO du SPRB, qui couvre les services du gouvernement bruxellois, en ce compris donc Urban.brussels.
En ce qui concerne Citydev :
L’institution est dotée d’un DPO depuis le 6 septembre 2017 après avoir été nommé officiellement par le Conseil de direction de citydev.brussels.

Juriste de formation, ayant écrit 2 mémoires sur la protection des données à caractère personnel, il a également suivi une formation au sein du Data Protection Institute pour acquérir les compétences nécessaires à la fonction de Data Protection Officer.


Le GDPR crée une caste particulière de données dont le traitement est considéré comme plus délicates que les autres. Ces données sensibles portent sur :

· l’origine raciale ou ethnique d’une personne;
· les opinions politiques
· les convictions religieuses ou philosophiques ou l'appartenance syndicale;
· les données génétiques;
· les données biométriques aux fins d'identifier une personne physique de manière unique;
· les données concernant la santé, la vie sexuelle, l'orientation sexuelle d'une personne physique.


Les seules données recensées de ce genre, sont les données conservées dans le cadre des accidents de travail de nos travailleurs, les certificats médicaux et tout autre document communiqué dans ce cadre qui pourrait aisément révéler la nature d’une maladie ou d’un handicap.

Ces données sensibles sont reprises dans notre registre des activités de traitement.

Une DPIA n'est requise que lorsque le traitement de données, compte tenu de sa nature, de sa portée, de son contexte et de ses finalités, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Pour évaluer la nécessité de faire un DPIA, nous avons suivi les recommandation du Groupe de Travail 29 au niveau européen; groupe de travail dont les rapports sont le mètre étalon de toutes les autres autorités de protection des données dans l’ensemble des Etats membres de l’Union.

Le GT29 a identifié une série de 9 critères pour pouvoir déterminer si un traitement doit faire l’objet d’un DPIA :

· Évaluation ou notation;
· Prise de décision automatisée avec effet juridique ou effet similaire significatif;
· Surveillance systématique;
· Données sensibles ou données à caractère hautement personnel;
· Traitement de données à caractère personnel à grande échelle;
· Croisement ou combinaison d’ensembles de données;
· Données concernant des personnes vulnérables;
· Utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles;


les personnes concernées ne peuvent pas exercer un droit ou bénéficier d’un service ou d’un contrat du fait du traitement opéré.

Pour qu’un traitement de données à caractère personnel soit manifestement sujet à un DPIA, il faut que ledit traitement arbore au moins 2 des 9 critères.

Dans le registre de traitement de Citydev, aucun traitement ne répond aux conditions pour qu’un DPIA soit exigible.

Cela étant, les données à caractère sensibles se trouvant dans l’institution (relatifs aux accidents de travail du personnel) ou les données récoltées auprès de concitoyens dans le cadre de la mission de Rénovation Urbaine de citydev.brussels, font l’objet d’un DPIA allégé. Nous travaillons encore sur l’efficience de ce type de DPIA, mais les obligations légales en la matière, incombant à l’institution sont respectées.

En ce qui concerne Perpective.brussels
Perspective.brussels répond bien aux exigences du RGPD.

Perspective.brussels est conforme aux articles 37, 38 et 39 via le DPO Chris Maertens. Chris Maertens est enregistré sous le numéro EBDOBUWA à l’Autorité de la Protection des Données (APD). Les coordonnées se trouvent sur le site de prepsctive.brussels 


Perspective.brussels ne traite pas de données dites sensibles.

En respectant l’article 35, perspective.brussels réalise ainsi une AIPD (Analyse d’Impact relative à la protection des données) avant d’envisager certains nouveaux traitements. Toutes les AIPD’s sont exécutées avant de démarrer le traitement comprenant des données et les AIPD’s sont également actualisées à chaque changement de ce traitement. Perspective.brussels analyse aussi les traitements qui font objet de la nouvelle liste de l’APD, publiée récemment.

Tous les traitements avec au minimum une AIPD sont documentés dans le registre de traitements.

1) Je n’ai pas connaissance d’un cadastre des DPO. Le DPO du cabinet étant celui du SPRB, ses coordonnées sont accessibles à l’adresse mail suivante : https://servicepublic.brussels/politique_confidentialité/.