Logo Parlement Buxellois

Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur les organismes régionaux.

de
Emin Özkara
à
Elke Van den Brandt, ministre du gouvernement de la Région de Bruxelles-Capitale, chargée de la mobilité, des travaux publics et de la sécurité routière (question n°161)

Matière(s):
 
Date de réception: 20/12/2019 Date de publication: 12/02/2020
Législature: 19/24 Session: 19/20 Date de réponse: 12/02/2020
 
Date Intitulé de l'acte de Référence page
13/01/2020 Recevable p.m.
 
Question    La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Dans son point "Une ambition « smart city » pour Bruxelles", la déclaration de politique générale (législature 2019-2024) nous informe que : "Le Gouvernement soutiendra une politique d’ « open data » des données publiques en vue de développer des solutions pour la société (e-santé, mobilité, administration, etc.), tout comme les systèmes intelligents, respectueux de la vie privée, qui offrent une véritable plus-value sociale, environnementale et économique dans les missions que doit remplir la Région, en matière de mobilité, de déchets, de gestion des chantiers, etc.".
Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une "AIPD" (ou "DPIA" en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des
risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. () C'est pourquoi, ce 19 décembre 2019, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée.
En votre qualité de Ministre du Gouvernement de la Région de Bruxelles-Capitale (RBC), chargée de la Mobilité, des Travaux publics et de la Sécurité routière, je souhaite donc savoir :
1. Votre cabinet répond-il
entièrement aux exigences du RGPD et dispose-t-il d’un DPO ?
2. Actuellement, quels sont les organismes régionaux relevant de vos compétences ou de votre tutelle qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ?
3. Un cadastre des DPO des organismes régionaux relevant de vos compétences ou de votre tutelle a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ?
Pour
CHACUN des organismes régionaux relevant de vos compétences ou de votre tutelle, je souhaiterais vous poser les questions supplémentaires suivantes :
4. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?
5. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?

Autorité de protection des données, "
Analyse d'impact relative à la protection des données", https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees , consulté le 19 décembre 2019.
 
 
Réponse    La mise en conformité des cabinets aux exigences du RGPD est en cours. Les cabinets ministériels disposent d’un DPO par le biais du marché public lancé à l’initiative du SPRB. Le DPO actuel est Jean-Pierre Heymans, pouvant être contacté à l’adresse e-mail

DPO@sprb.brussels

. Les cabinets ministériels disposent de leur registre de traitements de données. Le maintien de la conformité au RGPD est un travail constant. Le DPO SPRB les accompagne dans leur parcours.
Le maintien de la conformité au RGPD est un travail constant. Les administrations du SPRB, Talent et Urban disposent d’un DPO. Les administrations du SPRB disposent de leurs registres de traitement et continuent de développer les outils et procédures nécessaires au maintien de la conformité. Aucune information de cette nature n’est disponible pour le DPO du SPRB. Cependant une recommandation a été formulée au cabinet du ministre-président de la précédente législature et de la législature actuelle mentionnant notamment la nécessité d’étudier la conformité RGPD des organismes relevant des compétences ou de la tutelle des différents cabinets. Bruxelles Mobilité fait partie du SPRB. Celui-ci répond aux exigences du RGPD et a un Data Protection Officer.
Chaque administration a normalement un Data Steward qui assure le relais entre le DPO et son administration. L’engagement d’un Data Steward pour Bruxelles Mobilité est en cours. La STIB et Parking.Brussels ont tous deux nommé un DPO.
Le DPO du SPRB n’a pas connaissance de l’existence d’un tel cadastre. Pour ce qui est de la mise à disposition du public des coordonnées du DPO, celle-ci dépend de chaque cabinet. Le DPO du SPRB ne sait pas si ceux-ci ont publié les coordonnées du DPO sur leur site internet. Le DPO est actuellement en train de rencontrer individuellement chaque cabinet et la publication de ses coordonnées fait partie des recommandations. Le SPRB, ses administrations, Urban.brussels et Talent.brussels disposent d’un seul et même DPO. Ses coordonnées sont publiques et peuvent être trouvées à l’adresse suivante

https://servicepublic.brussels/politique_confidentialite.

Comme mentionné précédemment, le DPO n’a pas de vue sur les organismes régionaux relevant des compétences ou de la tutelle des cabinets : ceux-ci disposent de leur propre DPO. Pour ce qui est du registre des cabinets, celui-ci est en cours de rédaction par les Data Stewards des cabinets, le DPO n’est donc pas en mesure de déterminer, actuellement, s’ils traitent des données dites sensibles.

De manière générale, des données sensibles sont traitées lorsque la mission de l’administration concernée et la finalité du traitement concerné nécessitent que ce type de données soit traité. Les registres des activités de traitement tenus par les administrations du SPRB stipulent lorsqu’un traitement porte sur des données sensibles. Lesdites données sont alors énumérées dans les registres. Leur durée de conservation est toujours précisée.
Des données à caractère personnel sont traitées par Bruxelles Mobilité et la STIB. Au sein des deux, il existe un registre des traitements de ces données. Parking.brussels ne traite pas de données dites sensibles.
Pour le SPRB, l’ensemble des traitements ont été évalués par le DPO afin de déterminer la nécessité de réaliser une analyse d’impact (ci-après « PIA ») à partir des critères établis dans le RGPD, des critères du groupe 29 et des recommandations de l’Autorité de Protection des Données. La liste consolidée des traitements nécessitant un PIA  sera finalisée début 2020 pour le SPRB. La priorité du SPRB, dans le cadre de la réalisation d’analyses d’impact, est d’analyser les traitements concernés datant d’après le 25 mai 2018 ou ayant fait l’objet d’une modification depuis cette date. Parallèlement à la mise en place d’une procédure systématique d’exécution de PIA, le SPRB a démarré des analyses d’impact pour tous les nouveaux processus critiques qui ont été portés à l’attention du DPO.
L’analyse d’impact au sein du SPRB est en cours de réalisation. Il se fait avec un nouvel outil appelé One Trust. En ce qui concerne la STIB, tout traitement qui présente un risque accru pour les personnes concernées fait l'objet d'une analyse d'impact de la protection des données. Enfin, dans le cas de Parking, un GEB est effectué chaque fois qu'un nouveau traitement des données personnelles est envisagé.