Logo Parlement Buxellois

Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur les organismes régionaux.

de
Emin Özkara
à
Barbara Trachte, secrétaire d'État à la Région de Bruxelles-Capitale, en charge de la transition économique et de la recherche scientifique (question n°36)

Matière(s):
 
Date de réception: 20/12/2019 Date de publication: 03/03/2020
Législature: 19/24 Session: 19/20 Date de réponse: 27/02/2020
 
Date Intitulé de l'acte de Référence page
13/01/2020 Recevable p.m.
 
Question    La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Dans son point "Une ambition « smart city » pour Bruxelles", la déclaration de politique générale (législature 2019-2024) nous informe que : "Le Gouvernement soutiendra une politique d’ « open data » des données publiques en vue de développer des solutions pour la société (e-santé, mobilité, administration, etc.), tout comme les systèmes intelligents, respectueux de la vie privée, qui offrent une véritable plus-value sociale, environnementale et économique dans les missions que doit remplir la Région, en matière de mobilité, de déchets, de gestion des chantiers, etc.".
Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une "AIPD" (ou "DPIA" en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des
risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. () C'est pourquoi, ce 19 décembre 2019, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée.
En votre qualité de Secrétaire d'Etat à la Région de Bruxelles-Capitale (RBC), chargée de la Transition économique et de la Recherche scientifique (compétences déléguées par le Ministre Alain Maron), je souhaite donc savoir :
1. Votre cabinet répond-il
entièrement aux exigences du RGPD et dispose-t-il d’un DPO ?
2. Actuellement, quels sont les organismes régionaux relevant de vos compétences ou de votre tutelle qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ?
3. Un cadastre des DPO des organismes régionaux relevant de vos compétences ou de votre tutelle a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ?
Pour
CHACUN des organismes régionaux relevant de vos compétences ou de votre tutelle, je souhaiterais vous poser les questions supplémentaires suivantes :
4. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?
5. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?

Autorité de protection des données, "
Analyse d'impact relative à la protection des données", https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees , consulté le 19 décembre 2019.
 
 
Réponse    Afin de répondre aux exigences du RGPD, nous avons participé à la séance d’information organisée dans le courant du mois de novembre 2019. Les dispositions du SPRB ne prévoient pas de DPO spécifique pour les cabinets. Le DPO est attaché au SPRB. Conformément aux dispositions établies par le SPRB, nous avons désigné un Data Steward. Le Data Steward rencontrera prochainement le DPO (courant du mois de février) pour déployer le registre de traitements des données et les processus spécifiques au RGPD : gestion des violations de données à caractère personnel, analyse d’impact relative à la protection des données, exercice des droits des personnes concernées.

En ce qui concerne les organismes régionaux relevant de ma compétence :

Pour Bruxelles Economie et Emploi
, cette question relève des compétences de Bruxelles Coordination Régional et plus spécifiquement de la direction Digital Transformation Office.

Le groupe finance&invest.brussels, n’est pas un organisme administratif mais une entreprise active sur le marché du financement des entreprises (ce qui ne rend a priori pas obligatoire la désignation d’un DPO). Néanmoins, par souci de protection de la vie privée de ses partenaires, une avocate œuvrant dans un cabinet spécialisé dans le droit des technologies de l’information vient de commencer son office en cette qualité – finance&invest.brussels n’étant par ailleurs pas soumise à la législation sur les marchés publics. Ceci permet également de parfaire la sécurité de l’architecture informatique dans le cadre de la réorganisation des modes de travail du groupe.

En ce qui concerne Citydev, je vous invite à consulter la réponse du Ministre-Président, qui en a la tutelle.

En ce qui concerne Innoviris : Alors que la mise en conformité sera revue et améliorée de manière continue, les obligations de base du RGPD ont été implémentées:
· Nomination du DPO (enregistré auprès de l'Autorité de Contrôle)
· Procédure de gestion de requêtes des personnes concernées établie et communiquée
· Etablissement du registre des activités et vérification de la licéité des traitements opérés.
· Analyse et justification DPIA des activités de traitement
· Procédure de gestion d'incident et de notification auprès de l'APD établie et communiquée. Cette procédure s'intègre dans le système de ticketing d'Innoviris.
· Programme de sensibilisation interne établi: classroom, news sur intranet, brochure, etc.
· Développement de clauses standards pour les sous-traitants/marchés publics. Les contrats et nécessité de DPA (Data processing agreement) sont revus au fur et à mesure.
· Politique de sécurité de l'information développée et en cours de validation. D'autres politiques sont dans le pipeline comme les principes de la protection des données.
Concernant les données dites sensibles, un registre des activités a été développé mais aussi une analyse détaillée des types de données pour chaque fiche. L’analyse d’impact relative à la protection des données (AIPD) est actuellement en cours de réalisation.

La démarche est faite en 2 phases :
Cette analyse est
Phase 1: Une justification à la Data Protection Impact Assessment (DPIA) est faite pour chaque fiche de traitement (<40). Cette justification permet déjà d’exclure et de documenter la non-nécessité de la DPIA pour certains traitements. En effet il existe des traitements, malgré le type des données traitées, qui ne nécessitent pas de DPIA (ex : gestion des formations).
Phase 2 : Effectuer la DPIA (un outil a été sélectionné) pour les traitements diagnostiqués en Phase 1.
2020 aura pour objectif de finaliser cette analyse.
Concernant les nouveaux traitements ou des activités de traitement qui sont/seront modifiées, une documentation explique quand il faut faire la DPIA et avec quelle méthode. Celle-ci doit être intégrée dans la méthode de travail et de gestion de projet qui couvre de nouveaux traitements.

Hub.brussels met en œuvre les mesures techniques et organisationnelles de nature à fournir une assurance raisonnable quant au respect du RGPD. Hub. Brussels a une DPO dont l’adresse mail de contact se trouve dans leur politique de protection des données à caractère personnel sur le site internet de l’agence. Hub.brussels ne traite pas de données sensibles. Si le cas devait se présenter, le traitement se ferait conformément au RGPD et serait donc repris dans le registre de traitement. Par ailleurs, hub.brussels a réalisé en 2019 une analyse d’impact pour le traitement suivant : l’utilisation d’un système de géolocalisation. Le traitement des données est institué dans le cadre des finalités suivantes :
a) La sécurité du travailleur ;
b) Le contrôle et la surveillance des missions et tâches confiées par le responsable du traitement au travailleur ;
c) Le contrôle et surveillance du travailleur en vue de s’assurer du respect du régime de travail ;
d) L’optimisation de la gestion des déplacements du travailleur ;
e) La vérification de la fiabilité, de l’exactitude et de la qualité des données collectées par le travailleur.