Logo Parlement Buxellois

Question écrite concernant le stationnement à Bruxelles et le respect de la vie privée.

de
Khadija Zamouri
à
Elke Van den Brandt, Ministre du Gouvernement de la Région de Bruxelles-Capitale, chargée de la Mobilité, des Travaux publics et de la Sécurité routière (question n°1402)

 
Date de réception: 27/09/2022 Date de publication: 02/02/2023
Législature: 19/24 Session: 22/23 Date de réponse: 19/01/2023
 
Date Intitulé de l'acte de Référence page
21/11/2022 Recevable p.m.
 
Question    On a pu lire dans les journaux du lundi 26 septembre qu’en connaissant la plaque d'immatriculation d'une personne on peut facilement savoir où elle se trouve lorsqu'elle est garée. La Région bruxelloise a beaucoup misé sur cette numérisation, sur l'utilisation de caméras numériques. Je suis tout à fait favorable à l'automatisation et à la numérisation afin de simplifier la vie des citoyens. Mais il convient de prendre ces mesures en tenant compte de nos droits fondamentaux, au rang desquels la vie privée. Dès lors qu’il s’avère que la politique de stationnement bruxelloise n’est pas soumise à ce test, que ferez-vous pour garantir notre vie privée ?

Le hacker éthique Inti De Ceukelaire a exposé les dangers dans le menu détail en menant une expérience pendant 100 jours. Même les données personnelles des conducteurs qui n'utilisent pas une telle application de stationnement sont traitées par les caméras intelligentes et mises à disposition dans l'application où elles peuvent être consultées par n’importe qui.

Cette nouvelle me paraît d'autant plus étrange que depuis mai 2016, il y a le RGPD, une nouvelle réglementation sur la protection de la vie privée émanant de l'UE. Le niveau fédéral a également adopté une nouvelle loi sur la protection de la vie privée, qui remplace celle de 1992. La protection de la vie privée est donc avant tout une question de politique fédérale, mais il incombe à tous les membres de la société de respecter la législation. Les applications 4411 et Indigo ne se chargent-elles pas du traitement pour le compte de la Région, et n'y a-t-il donc pas un contrat mettant l'accent sur la "protection des données par défaut" ? Il s'agit, entre autres, de limiter l'accès aux données aux seules personnes qui en ont besoin et d’anonymiser autant que possible les données à carcatère personnel ; ce n’est guère le cas dans un système où le premier venu peut obtenir toutes les informations en entrant la plaque d'immatriculation.

Outre des problèmes de respect de la vie privée, cela peut aussi donner lieu à un préjudice encore plus grand. Savoir où vous êtes garé... Je ne suis pas Zuckerberg mais je peux rapidement en tirer des conclusions. Du vol au harcèlement, beaucoup de choses deviennent possibles en négligeant la vie privée. Il faut peut-être débourser un petit montant pour utiliser l'application, mais cela peut rapidement rapporter des dividendes à un criminel, si cela permet de cambrioler une maison.

Merci donc au hacker d'avoir soulevé ce problème. La publicité pourrait inciter davantage de personnes mal intentionnées à en profiter. Une politique s’impose donc de toute urgence pour combler cette lacune, que ce soit à votre initiative ou à travers un dialogue avec vos collègues des autres niveaux. Nous ne pouvons pas attendre une solution européenne, d'autant que le problème a un impact disproportionné sur la Belgique. Prenons rapidement les devants. Cela m’inquiète, Madame la Ministre. Pouvez-vous expliquer ce que vous allez faire pour rassurer les Bruxellois ?
Plus précisément, je voudrais vous poser les questions suivantes :

  • Les sites de parking.brussels utilisent-ils des caméras intelligentes ? Sont-ils vulnérables aux problèmes signalés par le hacker éthique ? Comment s’y attaque-t-on ?

  • Quelle est la relation entre la Région de Bruxelles-Capitale et les applications de stationnement ? Cette collaboration répond-elle aux exigences de protection de la vie privée du RGPD ? Dans l’affirmative, pourquoi ce problème de protection de la vie privée se pose-t-il ? Par le biais de parking.brussels, on fait la promotion de fournisseurs d'applications, notamment Indigo et 4411, deux des applications qui sont la cible des critiques. Eu égard à la récente révélation, prendrez-vous langues avec ces fournisseurs et suspendrez-vous provisoirement la collaboration ?

  • Quel est la relation entre la Région de Bruxelles-Capitale et les caméras intelligentes qui surveillent les parkings publics ? Quelles mesures prenez-vous afin de rendre ces abus impossibles ?

  • Quelles actions avez-vous entreprises afin de sensibiliser les entreprises de stationnement et les développeurs d'applications à cette infraction grossière au RGPD ? Afin de garantir le respect de la vie privée des citoyens, ferez-vous vous-même appel à l'Autorité de protection des données ?
 
 
Réponse    En ce qui concerne les parkings publics gérés par parking.brussels :

Tout d’abord, concernant les caméras intelligentes, celles-ci sont en effet utilisées sur les sites de parksharing et de park and ride de parking.brussels. L’emploi de ces services de reconnaissance des plaques par parking.brussels ne fonctionne que pour des abonnés vérifiés. S’agissant de marchés de services, parking.brussels, en tant que pouvoir adjudicateur, est responsable du traitement des données par les soumissionnaires. Parking.brussels prévoit dans ses cahiers des charges le respect des règles légales en vigueur en matière de traitement des données normatives et des images. Un modèle de convention est systématiquement proposé par le pouvoir adjudicateur au concessionnaire afin de cadrer l’offre de marché. Une convention GDPR est donc passée avec chacun d’entre eux. Elle prévoit notamment des engagements conformes à la législation sur la protection des données quant aux délais de suppression des enregistrements pris par les caméras de reconnaissance de plaques (ANPR) et des enregistrements de surveillance générale.


Ensuite, concernant les applications, deux cas de figure se présentent.

Le premier cas de figure vise les parkings publics donnés en concession par l’Agence parking.brussels depuis sa création.

Pour la gestion du parksharing, l’Agence collabore avec le consortium Indigo-Bepark et fonctionne uniquement via abonnement. L’application de gestion des abonnements est différente de celle qui a fait l’objet d’un hacking. La gestion des abonnements repose sur une base nominative avec un identifiant unique qui est la plaque d’immatriculation. Il n’est dès lors pas possible de disposer de deux abonnements ou plus comprenant la même plaque. L’historique des stationnements pour une plaque donnée n’est consultable que par son seul abonné.

Concernant les P+R, l’Agence collabore avec d’autres opérateurs qu’Indigo. Les abonné.e.s disposant d’un compte utilisateur ne peuvent gérer que maximum deux plaques. La consultation est donc très cadrée. Pour les non-abonnée.s, le système de reconnaissance de plaque est raccordé à la caisse et non à une application. L’identifiant est une plaque qu’il faut insérer dans la caisse, il faut ensuite payer pour disposer d’un droit de sortie. Il n’y a donc pas de consultation possible des données d’un autre utilisateur.



Le deuxième cas de figure vise les parkings publics bruxellois gérés par parking.brussels qui ont été donnés en concession par les pouvoirs publics avant la création de l’Agence parking.brussels et avant l’entrée en vigueur des règles GDPR. La concession a ensuite été transférée à parking.brussels. Pour s’assurer de la présence ou non de failles de sécurité dans la gestion de ces parking publics, l’Agence interroge les concessionnaires des 6 parkings publics régionaux concernés : Indigo, Apcoa et Interparking. L’Agence rédigera un rapport de la situation au regard de la législation relative à la vie privée et au GDPR. Il reviendra ensuite de dresser le constat ou non d’éventuelles violations de la vie privée et de saisir les autorités compétentes en la matière.




Il est en tout cas important de savoir que parking.brussels ne collabore pas avec 4411 dans le cadre de la gestion des parkings hors voirie. Ce type d’application est par contre disponible pour le paiement du stationnement en voirie. La consultation des données y est limitée à la session proprement dite, payée par l’utilisateur de l’application.


En ce qui concerne les autres parkings publics en Région bruxelloise, qui ne sont pas gérés par parking.brussels :

Nous introduirons une demande d’information auprès l’Autorité de protection des données afin de pouvoir déterminer s’il y a eu ou non violation des règles en matière de protection des données.