Logo Parlement Buxellois

Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur les organismes régionaux.

de
Emin Özkara
à
Alain Maron, ministre du gouvernement de la Région de Bruxelles-Capitale chargé de la transition climatique, de l'environnement, de l'énergie et de la démocratie participative (question n°106)

Matière(s):
 
Date de réception: 20/12/2019 Date de publication: 13/02/2020
Législature: 19/24 Session: 19/20 Date de réponse: 12/02/2020
 
Date Intitulé de l'acte de Référence page
13/01/2020 Recevable p.m.
 
Question    La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Dans son point "Une ambition « smart city » pour Bruxelles", la déclaration de politique générale (législature 2019-2024) nous informe que : "Le Gouvernement soutiendra une politique d’ « open data » des données publiques en vue de développer des solutions pour la société (e-santé, mobilité, administration, etc.), tout comme les systèmes intelligents, respectueux de la vie privée, qui offrent une véritable plus-value sociale, environnementale et économique dans les missions que doit remplir la Région, en matière de mobilité, de déchets, de gestion des chantiers, etc.".
Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une "AIPD" (ou "DPIA" en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des
risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. () C'est pourquoi, ce 19 décembre 2019, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée.
En votre qualité de Ministre du Gouvernement de la Région de Bruxelles-Capitale (RBC), chargé de la Transition climatique, de l'Environnement, de l'Energie et de la Démocratie participative, je souhaite donc savoir :
1. Votre cabinet répond-il
entièrement aux exigences du RGPD et dispose-t-il d’un DPO ?
2. Actuellement, quels sont les organismes régionaux relevant de vos compétences ou de votre tutelle qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ?
3. Un cadastre des DPO des organismes régionaux relevant de vos compétences ou de votre tutelle a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ?
Pour
CHACUN des organismes régionaux relevant de vos compétences ou de votre tutelle, je souhaiterais vous poser les questions supplémentaires suivantes :
4. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?
5. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?

Autorité de protection des données, "
Analyse d'impact relative à la protection des données", https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees , consulté le 19 décembre 2019.
 
 
Réponse    1) Votre cabinet répond-il entièrement aux exigences du RGPD et dispose‑t-il d’un DPO ?

Les cabinets de Alain Maron et de Barbara Trachte ne répondent pas encore aux exigences du RGPD. Nous avons participé à la séance d’information organisée dans le courant du mois de novembre 2019. Les dispositions du SPRB ne prévoient pas de DPO spécifique pour les cabinets. Le DPO est attaché au SPRB. Conformément aux dispositions établies par le SPRB, nous avons désigné un Data Stewards. Le Data Stewards rencontrera prochainement le DPO (courant du mois de février) pour déployer le registre de traitements des données et les processus spécifiques au RGPD : gestion des violations de données à caractère personnel, analyse d’impact relative à la protection des données, exercice des droits des personnes concernées.

2) Actuellement, quels sont les organismes régionaux relevant de vos compétences ou de votre tutelle qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ?

Bruxelles Environnement
Bruxelles Environnement dispose d’un DPO et s’engage à respecter les dispositions de protection des données qui lui sont applicables. Le respect de la conformité est un travail continu assumé par les membres de l’administration, soutenus par les experts juridiques et informatiques.

Port de Bruxelles
Afin de répondre à l’obligation de nomination d’un délégué à la protection des données (ci-après DPO) reprise à l’article 37 du règlement général sur la protection des données (RGPD), le Port de Bruxelles, en sa qualité d’organisme public, a attribué cette fonction en interne dès le mois de mai 2018. Lors de l’entrée en fonction de la gestionnaire de l’information en janvier 2019, la fonction de DPO lui a été transférée. Lors de la nomination initiale ainsi que lors du transfert de fonction, l’Autorité de Protection des Données a été informée par le biais du formulaire électronique disponible sur son site web ainsi que par courrier écrit.



La conformité aux exigences du RGPD étant un processus continu et non un projet finalisé/finalisable, le Port de Bruxelles met tout en œuvre afin de répondre auxdites exigences et de corriger, au besoin, les traitements ou les conditions de traitement de données à caractère personnel.

Brugel
BRUGEL a pris plusieurs mesures afin de répondre aux exigences du RGPD. Notamment, elle a fait appel, depuis 2018, à plusieurs consultants, PWC (appui dans la mise en conformité de BRUGEL), UPTIME ICT – INFOSENTRY (fonctions de DPO et de conseiller sécurité de l’information) et le CIRB (audit informatique).


Agence Bruxelles Propreté
L’Agence a engagé en 2017 un projet de mise en conformité avec le Règlement général sur la protection des données qui s’est achevé en juin 2018. La même année, un Data Protection Officer a été nommé.

Pour CHACUN des organismes régionaux relevant de vos compétences ou de votre tutelle, je souhaiterais vous poser les questions supplémentaires suivantes

3) Un cadastre des DPO des organismes régionaux relevant de vos compétences ou de votre tutelle a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ?

Bruxelles Environnement
Aucun cadastre n’a été réalisé, la législation ne le prévoyant pas. Les coordonnées du DPO sont communiquées lors de chaque collecte de données et sont également indiquées sur le site web de Bruxelles Environnement.

Société Bruxelloise de Gestion de l’Eau
• Le cadastre n’est pas du ressort de la SBGE
• Les coordonnées des DPO sont à disposition du public sur la page web du site (et autres formulaires de collecte de données)


Un certain nombre de mesures ont été prises pour assurer la mise en conformité de SBGE :
· Sensibilisation du personnel via différents médias : intranet, brochure nouvel employé, …
· Établissement du registre et des fiches de traitement
· Justification DPIA et méthode
· Procédure de gestion de violation et outils d’analyse d’impact
· Gestion des requêtes de personnes concernées
· Mis en place d’autres mesures de sécurité de l’information : processus d’achat, …
· Documentation (formalisation) des contrôles en place.
· Un DPO
· ….

Port de Bruxelles
Différents groupes de travail ou de réflexion se sont constitués, dont le « knowledge center DPO/ISA » du CIRB ouvert uniquement aux personnes ayant un rôle de DPO et/ou de conseiller en sécurité de l’information au sein de son institution. Ce groupe réunit des membres des organismes régionaux mais aussi communaux ou de police. Le Port de Bruxelles y est représenté par sa DPO.

Brugel
BRUGEL a dressé des notes de vie privée. Elles seront très prochainement publiées sur le site internet de BRUGEL. Ces dernières reprennent notamment les coordonnées du DPO de BRUGEL.

Agence Bruxelles Propreté
Pour l’Agence, les coordonnées du DPO sont reprises dans la déclaration de confidentialité de l’Agence, publiée dans la section ‘Mentions Légales’ de notre site web public.

4) Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?

Bruxelles Environnement
Votre question semble concerner les données reprises aux article 9 et 10 du RGPD.
Le règlement précité prévoit par ailleurs la tenue d’un registre des activités de traitement (article 30), sans considération du type de données traitées.

Dans ce cadre, Bruxelles Environnement tient bien un registre de ses activités de traitement.

Société Bruxelloise de Gestion de l’Eau
· Oui, des données sensibles sont traitées
· Oui


Port de Bruxelles
Le Port de Bruxelles traite en effet des données « sensibles ». Même si cela ne fait pas partie de son cœur de métier, de telles données sont traitées dans le cadre de certaines procédures essentiellement dictées par une obligation légale. Lesdites procédures sont relatives à la :
- Gestion des ressources humaines ;
- Attribution des marchés publics.


Un registre des traitements de données à caractère personnel est tenu par le Port de Bruxelles. Celui-ci reprend la catégorie des données traitées (normale ou particulière pour reprendre les termes du RGPD).
Ce registre est disponible dans les conditions reprises dans le RGPD, à savoir une disponibilité, sur demande, réservée à l’autorité de contrôle – Autorité de Protection des Données (APD) (voir article 30.4 du RGPD).

Brugel
Des données dites sensibles sont traitées par BRUGEL.
BRUGEL a établi un registre des activités de traitement de BRUGEL. Ce document a été approuvé par le DPO en fonction.

Agence Bruxelles Propreté
Un registre des traitements de données personnelles a été mis en place pour l’ensemble des traitement de données personnelles.

5) Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?

Bruxelles Environnement
Une analyse d’impact est actuellement en cours en ce qui concerne le traitement des données réalisé par la Cellule Régionale d'Intervention en Pollution Intérieure.

Société Bruxelloise de Gestion de l’Eau
Une analyse d’impact est en cours de réalisation. La démarche est la suivante :
Une justification à la DPIA est faite pour chaque fiche de traitement (16). Cette justification permet déjà d’exclure et de documenter la non-nécessité de la DPIA. En effet il existe des traitements, malgré le type des données traitées, qui ne nécessitent pas de DPIA (ex : gestion des formations). 2020 aura pour objectif de finaliser cette action.
Concernant les nouveaux traitements ou des activités de traitement qui sont modifiées, une documentation explique quand il faut la faire. Celle-ci doit être intégrée dans la méthode de travail et de gestion de projet qui couvre de nouveaux traitements.


Port de Bruxelles
Conformément aux exigences du RGPD (article 35) et aux recommandations de l’APD (https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees) ainsi que de la CNIL (autorité de contrôle française - https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd), deux AIPD concernant des traitements requérant ce type d’analyse ont été programmées pour le premier semestre 2020. Celles-ci seront mises à jour à une fréquence relative à la nécessité induite par un changement impactant les traitements concernés (nouvelle technologie, nouveau processus, etc.).


Il n’est bien entendu pas exclu que d’autres AIPD se voient ajoutées à l’agenda en fonction des évolutions des traitements de données à caractère personnel.

A l’instar du registre, ces analyses seront mises à la disposition de l’APD le cas échéant.


Brugel
L’analyse DPIA pour le traitement de données personnelles concernant les clients protégés, les plaintes et la Greenbox relative aux énergies renouvelables – traitées par BRUGEL - est actuellement en cours de réalisation. Une légère DPIA a déjà été réalisée pour l’outil « Energy Reporting Tool » dans le courant de 2019.


Agence Bruxelles Propreté
Les traitements de données personnelles qui pourraient faire l’objet d’une analyse d’impact relative à la protection des données sont issus d’obligations légales de l’Agence. Tenant compte de l’article 35 du RGPD qui exempte l’ABP de l’obligation de réaliser une AIPD pour ces traitements de données, aucune AIPD n’a été réalisée, ni planifiée pour l’Agence.