Logo Parlement Buxellois

Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur les organismes régionaux.

de
Emin Özkara
à
Bernard Clerfayt, ministre du gouvernement de la Région de Bruxelles-Capitale, chargé de l'emploi et de la formation professionnelle, de la transition numérique et des pouvoirs locaux (question n°63)

Matière(s):
 
Date de réception: 20/12/2019 Date de publication: 06/02/2020
Législature: 19/24 Session: 19/20 Date de réponse: 06/02/2020
 
Date Intitulé de l'acte de Référence page
13/01/2020 Recevable p.m.
 
Question    La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Dans son point "Une ambition « smart city » pour Bruxelles", la déclaration de politique générale (législature 2019-2024) nous informe que : "Le Gouvernement soutiendra une politique d’ « open data » des données publiques en vue de développer des solutions pour la société (e-santé, mobilité, administration, etc.), tout comme les systèmes intelligents, respectueux de la vie privée, qui offrent une véritable plus-value sociale, environnementale et économique dans les missions que doit remplir la Région, en matière de mobilité, de déchets, de gestion des chantiers, etc.".
Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une "AIPD" (ou "DPIA" en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des
risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. () C'est pourquoi, ce 19 décembre 2019, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée.
En votre qualité de Ministre du Gouvernement de la Région de Bruxelles-Capitale (RBC), chargé de l’Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-être animal, je souhaite donc savoir :
1. Votre cabinet répond-il
entièrement aux exigences du RGPD et dispose-t-il d’un DPO ?
2. Actuellement, quels sont les organismes régionaux relevant de vos compétences ou de votre tutelle qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ?
3. Un cadastre des DPO des organismes régionaux relevant de vos compétences ou de votre tutelle a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ?
Pour
CHACUN des organismes régionaux relevant de vos compétences ou de votre tutelle, je souhaiterais vous poser les questions supplémentaires suivantes :
4. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?
5. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?

Autorité de protection des données, "
Analyse d'impact relative à la protection des données", https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees , consulté le 19 décembre 2019.
 
 
Réponse    En ce qui concerne le bien-être animal, le Département bien-être animal, organiquement dépendant de Bruxelles Environnement, respecte ce qui est appliqué par l’Institut.
Bruxelles Environnement dispose d’un DPO et s’engage à respecter les dispositions de protection des données qui lui sont applicables.
Aucun cadastre n’a été réalisé, la législation ne le prévoyant pas.
Les coordonnées du DPO sont communiquées lors de chaque collecte de données et sont également indiquées sur le site web de Bruxelles Environnement.
Bruxelles Environnement tient bien un registre de ses activités de traitement conformément à l’article 30 du règlement.
Aucune analyse d’impact n’a, pour l’instant, été réalisée en ce qui concerne cette thématique.

Le SPRB, dont
Bruxelles Pouvoirs locaux & Bruxelles Economie et Emploi font parties, est considéré notamment pour tous les aspects relatifs à la protection des données et du règlement y relatif, comme une seule entité. Bruxelles Pouvoirs locaux et Bruxelles Economie et Emploi n’ont dès lors pas d’information propre en lien avec l’objet de votre question, que je vous invite à adresser au Ministre en charge de la Fonction publique, Monsieur Gatz.

En ce qui concerne la Transition numérique, j’ai l’honneur de vous adresser les éléments de réponse suivants :

1.
La mise en conformité des cabinets aux exigences du RGPD est en cours. Les cabinets ministériels disposent d’un DPO par le biais du marché public lancé à l’initiative du SPRB. Le DPO actuel est Jean-Pierre Heymans, pouvant être contacté à l’adresse e-mail DPO@sprb.brussels. Les cabinets ministériels disposent de leur registre de traitements de données. Le maintien de la conformité au RGPD est un travail constant. Le DPO SPRB les accompagne dans leur parcours.

2.
Le principe même du RGPD est que son application relève d’une obligation sous la responsabilité directe des différents organismes. Il est donc difficile pour moi de répondre au nom de tous les organismes qui ne dépendent pas directement de moi. Néanmoins, concernant les administrations qui me rapportent, je peux vous dire qu’aussi bien le CIRB, Actiris et le SPRB ont mis en place toutes les procédures requises par le RGPD. Il est toutefois important de mettre en évidence qu’il s’agit d’un processus continu d’alignement et d’amélioration en fonction de l’évolution des administrations.

3.
Le DPO du SPRB n’a pas connaissance de l’existence d’un tel cadastre. Pour ce qui est de la mise à disposition du public des coordonnées du DPO, celle-ci dépend de chaque cabinet. Le DPO du SPRB ne sait pas si ceux-ci ont publié les coordonnées du DPO sur leur site internet. Le DPO est actuellement en train de rencontrer individuellement chaque cabinet et la publication de ses coordonnées fait partie des recommandations.

Le SPRB, ses administrations, Urban.brussels et Talent.brussels disposent d’un seul et même DPO. Ses coordonnées sont publiques et peuvent être trouvées à l’adresse suivante
https://servicepublic.brussels/politique_confidentialite/.

Le CIRB et Actiris procèdent de la même manière, toutes les informations requises peuvent être obtenues dans la déclaration vie privée qui se trouve sur leurs portails respectifs.

4.
Pour ce qui est du registre des cabinets, celui-ci est en cours de rédaction par les Data Stewards des cabinets, le DPO n’est donc pas en mesure de déterminer, actuellement, s’ils traitent des données dites sensibles.
De manière générale, des données sensibles sont traitées lorsque la mission de l’administration concernée et la finalité du traitement concerné nécessitent que ce type de données soit traité. Les registres des activités de traitement tenus par les administrations du SPRB stipulent lorsqu’un traitement porte sur des données sensibles, lesdites données sont alors énumérées dans les registres. Leur durée de conservation est toujours précisée.

Des données à caractère personnel dites sensibles, suivant les articles 9 et 10 du RGPD, sont traitées au sein du CIRB. Un registre d’activités de traitement de données à caractère personnel y a été établi et est disponible pour l’autorité de protection de données.

Actiris ne traite des données sensibles que dans quelques cas très ciblés. Ces traitements sont décrits dans le registre des traitements et font l’objet d’une vigilance accrue et de mesures particulières de protection organisationnelles, logiques et physiques.

5.
Plusieurs analyses d’impact sont en cours ou ont été finalisées au niveau du CIRB. Le CIRB est considéré comme sous-traitant pour un grand nombre d’activités de traitements à caractère personnel, traitements opérés par ses clients. Les analyses d’impact réalisées en 2019 portent sur la vidéoprotection et l’application NOVA. En effet, une analyse d’impact relative à la protection des données (AIPD) est nécessaire pour tout traitement lié aux données de surveillance systématique ou des données à caractère personnel à grande échelle accédant à des sources authentiques. Deux autres analyses sont en cours. L’une porte sur un traitement des données à caractère personnel de personnes vulnérables, pour le datawarehouse de la pauvreté ; l’autre porte sur un traitement de données sensibles, dans l’application HMS (Housing Management System) en matière de gestion immobilière et locative au niveau social. D’autres analyses d’impact suivront suivant le plan d’actions réévalué.

Pour le SPRB, l’ensemble des traitements ont été évalués par le DPO afin de déterminer la nécessité de réaliser une analyse d’impact (ci-après « PIA ») à partir des critères établis dans le RGPD, des critères du groupe 29 et des recommandations de l’Autorité de Protection des Données. La liste consolidée des traitements nécessitant un PIA  sera finalisée début 2020 pour le SPRB. La priorité du SPRB, dans le cadre de la réalisation d’analyses d’impact, est d’analyser les traitements concernés datant d’après le 25 mai 2018 ou ayant fait l’objet d’une modification depuis cette date. Parallèlement à la mise en place d’une procédure systématique d’exécution de PIA, le SPRB a démarré des analyses d’impact pour tous les nouveaux processus critiques qui ont été portés à l’attention du DPO.

En ce qui concerne Actiris, des analyses d’impacts et analyse de risques ont été réalisées ou sont en cours concernant les traitements estimés sensibles. Ces analyses ont débuté dans le courant du 2nd trimestre 2019. Ces analyses sont mises à jour sur un base annuelle.

Les principaux traitements soumis à cette analyse de risques sont : le traitement des données personnelles liées aux systèmes de vidéo-protection installés dans les différents bâtiments d’Actiris ; le traitement impliquant des échanges de données à caractère personnel avec des partenaires d’Actiris sous convention ; la nouvelle plateforme de gestion des ressources humaines ; et un POC (Proof of Concept) d’un algorithme d’intelligence artificielle pour assister les conseillers emplois.