Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur les organismes régionaux.
- de
- Emin Özkara
- à
- Nawal Ben Hamou, Secrétaire d'État à la Région de Bruxelles-Capitale en charge du Logement et de l'Égalité des Chances (question n°55)
| Date de réception: 20/12/2019 | Date de publication: 05/02/2020 | ||
| Législature: 19/24 | Session: 19/20 | Date de réponse: 05/02/2020 | |
| Date | Intitulé de l'acte | de | Référence | page |
| 13/01/2020 | Recevable | p.m. |
| Question | La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Dans son point "Une ambition « smart city » pour Bruxelles", la déclaration de politique générale (législature 2019-2024) nous informe que : "Le Gouvernement soutiendra une politique d’ « open data » des données publiques en vue de développer des solutions pour la société (e-santé, mobilité, administration, etc.), tout comme les systèmes intelligents, respectueux de la vie privée, qui offrent une véritable plus-value sociale, environnementale et économique dans les missions que doit remplir la Région, en matière de mobilité, de déchets, de gestion des chantiers, etc.". Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une "AIPD" (ou "DPIA" en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. () C'est pourquoi, ce 19 décembre 2019, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée. En votre qualité de Secrétaire d'Etat à la Région de Bruxelles-Capitale (RBC), chargée du Logement et de l'Egalité des Chances (compétences déléguées par le Ministre-Président Rudi Vervoort), je souhaite donc savoir : 1. Votre cabinet répond-il entièrement aux exigences du RGPD et dispose-t-il d’un DPO ? 2. Actuellement, quels sont les organismes régionaux relevant de vos compétences ou de votre tutelle qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ? 3. Un cadastre des DPO des organismes régionaux relevant de vos compétences ou de votre tutelle a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ? Pour CHACUN des organismes régionaux relevant de vos compétences ou de votre tutelle, je souhaiterais vous poser les questions supplémentaires suivantes : 4. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ? 5. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ? Autorité de protection des données, "Analyse d'impact relative à la protection des données", https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees , consulté le 19 décembre 2019. |
| Réponse | En ce qui concerne votre première question : La mise en conformité des cabinets aux exigences du RGPD est en cours. Les cabinets ministériels disposent d’un DPO par le biais du marché public lancé à l’initiative du SPRB. Le DPO actuel est Jean-Pierre Heymans, pouvant être contacté à l’adresse e-mail DPO@sprb.brussels. Les cabinets ministériels disposent de leur registre de traitements de données. Le maintien de la conformité au RGPD est un travail constant. Le DPO SPRB les accompagne dans leur parcours. En ce qui concerne votre seconde question : Pour Equal.brussels et Bruxelles logement, voici les éléments de réponses fournis par le SPRB: Le maintien de la conformité au RGPD est un travail constant. Les administrations du SPRB disposent de leurs registres de traitement et continuent de développer les outils et procédures nécessaires au maintien de la conformité. En outre, les administrations du SPRB, Talent et Urban disposent d’un DPO. Pour le Fonds du logement: Le Fonds a nommé en date du 25 mai 2018 un DPO en la personne de Marguerite de Callataÿ. Cette nomination a été communiquée à l’autorité de protection des données. Le Fonds a, par ailleurs, organisé un marché public de consultance en vue de la mise en conformité du Fonds au GDPR qui se terminera en mai prochain. Dans ce cadre, le Fonds a mis en place les choses suivantes: - Audit global des bases de données du Fonds et création d’un registre de traitements ; - Adaptation du site internet ; - Adaptation des contrats ; - Formation et sensibilisation du personnel au GDPR. Parallèlement à ce marché, le Fonds a entamé des discussions avec le CIRB en vue de pouvoir accéder aux sources authentiques via l’intégrateur Régional FIDUS. Dans ce cadre, il est prévu que le CIRB offre une mission de CSI « conseiller en sécurité de l’information » au Fonds, et analyse quels sont les traitements de données qui nécessiteraient une étude d’impact. Les données personnelles récoltées par le Fonds sont actuellement gérées dans un DATA centre externe au Luxembourg. Pour la SLRB : La SLRB se conforme aux exigences du RGPD et a désigné un DPO. En ce qui concerne votre troisième question : Pour le cabinet: Le DPO est actuellement en train de rencontrer individuellement chaque cabinet et la publication de ses coordonnées fait partie des recommandations. Pour Equal.brussels et Bruxelles logement, voici les éléments de réponses fournis par le SPRB : Bruxelles Logement et Equal.brussels disposent d’un seul et même DPO tout comme l’ensemble des administrations du SPRB. Ses coordonnées sont publiques et peuvent être trouvées à l’adresse suivante https://servicepublic.brussels/politique_confidentialite/. Pour le Fonds du Logement: Les coordonnées du DPO sont disponibles sur son site internet ainsi que sur l’ensemble de ses prospectus. Pour la SLRB: Il est possible de contacter le DPO de la SLRB via le formulaire de contact repris sur le site internet de la SLRB. En ce qui concerne votre quatrième question: Pour le cabinet: Pour ce qui est du registre des cabinets, celui-ci est en cours de rédaction par les Data Stewards des cabinets. Pour Equal.brussels et Bruxelles logement, voici les éléments de réponses fournis par le SPRB: De manière générale, des données sensibles sont traitées lorsque la mission de l’administration concernée et la finalité du traitement concerné, le nécessitent. Les registres des activités de traitement tenus par les administrations du SPRB stipulent que lorsqu’un traitement porte sur des données sensibles, lesdites données doivent alors être énumérées dans les registres. Leur durée de conservation est toujours précisée. Pour le Fonds du Logement : Des données dites sensibles sont traitées par le Fonds (par ex. les revenus, la situation de handicap, les données médicales..). Comme indiqué ci-avant, un registre des traitements de données effectués par le Fonds a été créé. Pour la SLRB : La SLRB ne traite pas de données qualifiées de sensibles. Un registre des activités de traitement des données est établi. La SLRB transmet des données relatives aux dossiers du personnel dans le cadre de la DIMONA, conformément à la règlementation en vigueur. Dans le cadre des marchés publics, la SLRB consulte la Banque Carrefour des entreprises et demande des données relatives aux soumissionnaires via l’application Télémarc, dans le respect de toutes les dispositions en vigueur. Dans le cadre de la Banque de données régionale des candidats locataires, la SLRB a obtenu pour les SISP des autorisations d’accès aux données suivantes: - Délibération AF 29/2017 du 19/10/2017 : données de revenus et patrimoniales nécessaires limitées à l’exercice des missions légales de gestion des logements sociaux ; - Délibération RN n°15/2018 du 28/03/2018 : extension de l’autorisation d’accès aux données du Registre national nécessaires à l’exercice des missions légales de gestion des logements sociaux ; - Délibération n°17/92 du 7 novembre 2017du CSSSS consultation du cadastre des allocations familiales nécessaire à l’exercice des missions légales de gestion des logements sociaux ; - Délibération n°15/046 du 7 novembre 2015 du CSSSS communication de données par la direction générale personnes handicapées du SPF Sécurité sociale nécessaire à l’exercice des missions légales de gestion des logements sociaux ; Les données peuvent être consultées et/ou obtenues par les SISP et la SLRB (personnes autorisées) via l’intégrateur de service régional FIDUS. En ce qui concerne votre dernière question: Pour le cabinet: Aucune analyse d’impact relative à la protection des données n’a été réalisée actuellement. Pour Bruxelles Logement et Equal.brussels, voici les éléments de réponse fournis par le SPRB: Pour le SPRB, l’ensemble des traitements ont été évalués par le DPO afin de déterminer la nécessité de réaliser une analyse d’impact (ci-après « PIA ») à partir des critères établis dans le RGPD, des critères du groupe 29 et des recommandations de l’Autorité de Protection des Données. La liste consolidée des traitements nécessitant un PIA sera finalisée début 2020 pour le SPRB. La priorité du SPRB, dans le cadre de la réalisation d’analyses d’impact, est d’analyser les traitements concernés datant d’après le 25 mai 2018 ou ayant fait l’objet d’une modification depuis cette date. Parallèlement à la mise en place d’une procédure systématique d’exécution de PIA, le SPRB a démarré des analyses d’impact pour tous les nouveaux processus critiques qui ont été portés à l’attention du DPO. Pour le Fonds du logement: Comme évoqué ci-avant, une analyse des traitements de données est prévue dans le cadre de la future mission du CIRB. Pour la SLRB: La SLRB n’a pas réalisé d’analyse d’impact relative à la protection des données, en raison des risques et du type de données à caractère personnel qu’elle est amenée à traiter. Une politique et des procédures de protection des données ont été établies. |