Logo Parlement Buxellois

Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur les organismes régionaux.

de
Emin Özkara
à
Pascal Smet, secrétaire d'État à la Région de Bruxelles-Capitale, chargé de l'urbanisme et du patrimoine, des relations européennes et internationales, du commerce extérieur et de la lutte contre l'incendie et l'aide médicale urgente (question n°51)

Matière(s):
 
Date de réception: 20/12/2019 Date de publication: 17/02/2020
Législature: 19/24 Session: 19/20 Date de réponse: 13/02/2020
 
Date Intitulé de l'acte de Référence page
13/01/2020 Recevable p.m.
 
Question    La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Dans son point "Une ambition « smart city » pour Bruxelles", la déclaration de politique générale (législature 2019-2024) nous informe que : "Le Gouvernement soutiendra une politique d’ « open data » des données publiques en vue de développer des solutions pour la société (e-santé, mobilité, administration, etc.), tout comme les systèmes intelligents, respectueux de la vie privée, qui offrent une véritable plus-value sociale, environnementale et économique dans les missions que doit remplir la Région, en matière de mobilité, de déchets, de gestion des chantiers, etc.".
Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une "AIPD" (ou "DPIA" en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des
risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. () C'est pourquoi, ce 19 décembre 2019, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée.
En votre qualité de Secrétaire d'Etat à la Région de Bruxelles-Capitale (RBC), chargé de l'Urbanisme et du Patrimoine, des Relations européennes et internationales, du Commerce extérieur et de la Lutte contre l'Incendie et l'Aide médicale urgente (compétences déléguées par le Ministre Sven Gatz), je souhaite donc savoir :
1. Votre cabinet répond-il
entièrement aux exigences du RGPD et dispose-t-il d’un DPO ?
2. Actuellement, quels sont les organismes régionaux relevant de vos compétences ou de votre tutelle qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ?
3. Un cadastre des DPO des organismes régionaux relevant de vos compétences ou de votre tutelle a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ?
Pour
CHACUN des organismes régionaux relevant de vos compétences ou de votre tutelle, je souhaiterais vous poser les questions supplémentaires suivantes :
4. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?
5. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?

Autorité de protection des données, "
Analyse d'impact relative à la protection des données", https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees , consulté le 19 décembre 2019.
 
 
Réponse    Le cabinet répond aux exigences du RGPD. Un DPO a été désigné au sein de la Région bruxelloise pour être responsable de tous les cabinets en plus de l’administration. Un responsable du traitement a été désigné au sein du cabinet.

Pour ce qui est du
SIAMU, la mise en conformité RGPD a démarré au cours de l’année 2018. Ce processus est toujours en cours et il exige un contrôle continu. Le SIAMU a fait appel aux services du CIRB, via le service spécifique de « DPO as-service ».

Un certain nombre de mesures ont été implémentées (liste non-exhaustive) :
· Sensibilisation du personnel via différents médias : intranet, brochure nouvel employé…
· Établissement du registre et des fiches de traitement ;
· Justification DPIA et méthode ;
· Procédure de gestion de violation et outil décisionnel d’analyse d’impact pour établir la nécessité d’alerter ou pas l’APD et/ou la personne concernée ;
· Gestion des requêtes de personnes concernées ;
· Documentation (formalisation) des mesures de contrôle : Politique de sécurité de l’information… ;
· Un DPO (déclaré auprès de l’APD) ;
· ….

Le SIAMU dispose d’un DPO.
Le DPO du SIAMU a construit un plan d’activités détaillé recouvrant tous les traitements nécessaires à la mise en conformité. Ce plan d’actions recense 11 objectifs : certains objectifs sont atteints, d’autres sont en cours de réalisation.


Le SIAMU traite des données dites sensibles. Le registre des activités et des fiches d’activités est disponible.
L’analyse d’impact relative à la protection des données (AIPD) est en cours de réalisation. La démarche est la suivante :
Une justification à la DPIA est faite pour chaque fiche de traitement. Cette justification permet déjà d’exclure et documenter la non-nécessité de la DPIA complète. En effet, il existe des exceptions aux DPIA pour certains traitements (ex : gestion des formations) malgré la nature des données traitées. À ce jour, sur les 50 fiches existantes, une vingtaine de justification ont été faites. 2020 aura pour objectif de finaliser cette action.

Concernant les nouveaux traitements ou la modification de traitements existants (tant en termes de technologies que de types de données collectées), une documentation explique quand il faut la faire. Celle-ci doit être intégrée dans la méthode de travail et de gestion de projet qui couvre de nouveaux traitements ou des mises à jour (opérationnelles) de traitements.

urban.brussels est actuellement sur une trajectoire de mise en conformité RGPD. Un plan d’action a été déterminé et est actuellement suivi, suite à une analyse de conformité. Dans ce cadre, une analyse complète des traitements d’urban.brussels ainsi qu’une mise à jour du registre de traitement sont en cours par un cabinet externe spécialisé. Le résultat final de ces analyses sera notamment l’identification des traitements sujets à une DPIA, qui pourra être réalisée ensuite. Actuellement, le DPO pour urban.brussels est le DPO du SPRB, qui couvre les services du gouvernement bruxellois, en ce compris donc urban.brussels.

Hub.brussels
met en œuvre les mesures techniques et organisationnelles de nature à fournir une assurance raisonnable quant au respect du RGPD. Hub.brussels a une DPO. L’adresse mail de contact de la DPO de hub.brussels se trouve dans leur politique de protection des données à caractère personnel sur le site internet de hub.brussels.
En principe, hub.brussels ne traite pas de données sensibles. Si le cas devait se présenter à l’avenir, le traitement se ferait conformément au RGPD et serait donc repris dans le registre de traitement.
Description du traitement : utilisation d’un système de géolocalisation.
Finalités du traitement : le traitement des données est institué dans le cadre des finalités suivantes :
a) La sécurité du travailleur ;
b) Le contrôle et la surveillance des missions et tâches confiées par le responsable du traitement au travailleur ;
c) Le contrôle et la surveillance du travailleur en vue de s’assurer du respect du régime de travail ;
d) L’optimisation de la gestion des déplacements du travailleur ;
e) La vérification de la fiabilité, de l’exactitude et de la qualité des données collectées par le travailleur.
Enjeux du traitement : permettre aux travailleurs au sein de la Field, grâce à des tablettes, de collecter de manière professionnelle et automatique différentes informations sur le terrain.