Logo Parlement Buxellois

Question écrite concernant l'impact du Délégué à la protection des données ou "Data Protection Officer" (DPO) et du règlement général sur la protection des données (RGPD) sur les administrations du SPRB.

de
Emin Özkara
à
Sven Gatz, Ministre du Gouvernement de la Région de Bruxelles-Capitale, chargé des Finances, du Budget, de la Fonction publique, de la Promotion du Multilinguisme et de l'Image de Bruxelles (question n°27)

 
Date de réception: 09/12/2019 Date de publication: 09/01/2020
Législature: 19/24 Session: 19/20 Date de réponse: 08/01/2020
 
Date Intitulé de l'acte de Référence page
11/12/2019 Recevable p.m.
 
Question    La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Dans son point « Une ambition « smart city » pour Bruxelles », la déclaration de politique générale (législature 2019-2024) nous informe que : "Le Gouvernement soutiendra une politique d’ « open data » des données publiques en vue de développer des solutions pour la société (e-santé, mobilité, administration, etc.), tout comme les systèmes intelligents, respectueux de la vie privée, qui offrent une véritable plus-value sociale, environnementale et économique dans les missions que doit remplir la Région, en matière de mobilité, de déchets, de gestion des chantiers, etc."

Vous le savez, en vertu du RGPD, il est obligatoire, dans certaines circonstances, de procéder à une "AIPD" (ou "DPIA" en anglais). Une AIPD est une procédure destinée à évaluer si un traitement de données à caractère personnel comporte des
risques pour les droits et libertés de la personne dont les données sont traitées et à évaluer la manière dont ces risques peuvent être maîtrisés. (). C'est pourquoi, ce 9 décembre 2019, je souhaiterais revenir sur ce sujet des plus importants pour la protection de la vie privée.

Monsieur le Ministre, en votre qualité de Ministre du Gouvernement de la Région de Bruxelles-Capitale (RBC), chargé des Finances, du Budget, de la Fonction publique, de la Promotion du Multilinguisme et de l’Image de Bruxelles, je souhaite donc savoir :

1. Votre cabinet répond-il
entièrement aux exigences du RGPD et dispose-t-il d’un DPO ?
2. Actuellement, quels sont les administrations du SPRB qui ne répondent pas entièrement aux exigences du RGPD et/ou qui ne disposent pas d’un DPO ?
3. Un cadastre des DPO des six administrations du SPRB a-t-il été réalisé ? Les coordonnées des DPO sont-elles à disposition du public ?
Pour
chacune des 6 administrations du SPRB, je souhaiterais vous poser les questions supplémentaires suivantes :
4. Des données dites sensibles sont-elles traitées ? Si oui, un registre des activités de traitement est-il disponible pour ces données dites sensibles ?
5. Une analyse d’impact relative à la protection des données (AIPD) a-t-elle été réalisée ? Si oui, quand, à quelle fréquence et pour quels traitements de données ?

Autorité de protection des données, "
Analyse d'impact relative à la protection des données", https://www.autoriteprotectiondonnees.be/analyse-dimpact-relative-a-la-protection-des-donnees , consulté le 9 décembre 2019.
 
 
Réponse    1.
Les cabinets ministériels disposent d’un DPO par le biais du marché public lancé à l’initiative du SPRB, qui couvre également les cabinets ministériels de la région de Bruxelles-Capitale, ainsi que les services du Gouvernement. Ils disposent de leur registre de traitements de données. Le maintien de la conformité au RGPD est un travail constant. Le DPO les accompagne dans leur parcours.

2.
Le maintien de la conformité au RGPD est un travail constant. Les administrations du SPRB, Talent et Urban disposent d’un DPO. Les administrations du SPRB disposent de leurs registres de traitement et continuent de développer les outils et procédures nécessaires au maintien de la conformité.

3.
Le SPRB, ses administrations, Urban.brussels et Talent.brussels disposent d’un seul et même DPO. Ses coordonnées sont publiques et peuvent être trouvées à l’adresse suivante
https://servicepublic.brussels/politique_confidentialite/.

4.
Des données sensibles sont traitées lorsque la mission de l’administration concernée et la finalité du traitement concerné nécessitent que ce type de données soit traité. Les registres des activités de traitement tenus par les administrations du SPRB stipulent lorsqu’un traitement porte sur des données sensibles. Lesdites données sont alors énumérées dans les registres. Leur durée de conservation est toujours précisée.

5.
L’ensemble des traitements ont été évalués par le DPO afin de déterminer la nécessité de réaliser une analyse d’impact (ci-après « PIA ») à partir des critères établis dans le RGPD, des critères du groupe 29 et des recommandations de l’Autorité de Protection des Données. La liste consolidée des traitements nécessitant un PIA  sera finalisée début 2020. La priorité du SPRB, dans le cadre de la réalisation d’analyses d’impact, est d’analyser les traitements concernés datant d’après le 25 mai 2018 ou ayant fait l’objet d’une modification depuis cette date. Parallèlement à la mise en place d’une procédure systématique d’exécution de PIA, le SPRB a démarré des analyses d’impact pour tous les nouveaux processus critiques qui ont été portés à l’attention du DPO.