la mise en application du RGPD au sein des services publics

De Leila Agic,

à Sven Gatz, ministre du Gouvernement de la Région de Bruxelles-Capitale chargé des Finances, du Budget, de la Fonction publique, de la Promotion du multilinguisme et de l'Image de Bruxelles

Le 24 novembre 2022, une zone de police locale d’Anvers était victime d’une cyberattaque. Des milliers de plaques d’immatriculation, d'amendes pour excès de vitesse et de procès-verbaux étaient ainsi divulgués. Selon les médias flamands, il s’agit d’une des plus grandes fuites de données publiques en Belgique.

Cet évènement est loin d’être isolé. Cette année, plusieurs autres incidents en matière de vol d’informations personnelles se sont déjà produits, comme le piratage des ordinateurs de la commune de Maldegem ou du CPAS de Mouscron. Ces faits sont très graves et ne peuvent que nous inquiéter fortement car ils concernent des données personnelles, sensibles, et parfois d'un public vulnérable. Ces incidents mettent plus que jamais en évidence l’importance de la protection des données à caractère personnel, et plus particulièrement en ce qui concerne les services et pouvoirs publics, qui en traitent au quotidien un nombre très élevé.

Le règlement général sur la protection des données (RGPD) impose une série d’obligations permettant d’évaluer les risques et de mettre en œuvre des stratégies visant à minimiser et gérer les incidents de ce type. Récemment, dans le cadre de la présentation du budget, vous indiquiez, dans un paragraphe de l'exposé des motifs concernant la gestion éthique des données, que « se préparer fonctionnellement et techniquement à l’utilisation des données ne suffit pas. Il est important de mener en parallèle une réflexion et de mettre en place un cadre éthique sur la gestion des données de nos citoyens et de nos entreprises. »

Au vu de cette actualité inquiétante - d'autant que nous avons depuis appris l'impact vertigineux de cet incident sur le budget communal d'Anvers -, puisque le risque existe aussi pour les services et les institutions publiques bruxelloises, il est légitime de se poser des questions et de veiller au respect des obligations légales en matière de protection des données, aussi bien au niveau régional qu’au niveau local.

Le RGPD est en vigueur depuis plus de quatre ans. Avez-vous procédé à un état des lieux concernant son application au sein des pouvoirs publics, afin d’en assurer une application cohérente ? Existe-t-il un subside, une aide financière régionale ou autre dispositif pour aider à respecter ces obligations ? Si non, est-ce prévu ?

Tous les pouvoirs publics soumis à l’obligation de désigner un délégué à la protection des données ont-ils effectivement fait cette démarche ? Selon le RGPD, son rôle est d’effectuer un contrôle, de conseiller et de donner des avis quant à la manière de faire. Il est donc également nécessaire d’engager, ou du moins de mandater des personnes afin de mettre en application ces demandes. De tels postes de responsables internes de la conformité au RGPD ont-ils été créés ? Si tel n’est pas le cas, quelle stratégie est-elle prévue pour respecter cette obligation légale ?

Réponse du Ministre

Le cas que vous citez démontre que la gestion des données exige une grande prudence de la part de chacune des autorités - et également qu'Anvers n'est pas toujours un bon exemple.

M. Ghyssels m'avait déjà interrogé à ce sujet. Je lui ai longuement répondu en commission des Affaires intérieures, début octobre, et je n'ai donc pas grand-chose à ajouter. À l'époque, j'avais précisé que la Région - et moi-même en particulier, en tant que responsable de « l'informatique régionale » et autorité de tutelle à l'égard des communes - n'avait aucun rôle à jouer à l'égard des autorités locales en ce qui concerne le respect des obligations découlant du RGPD tel que transposé dans la législation belge par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

En effet, il s’agit d’une législation spécifique, fédérale, applicable également à la Région, confiant le contrôle de son application à l’Autorité de protection des données (APD), instituée par la loi du 3 décembre 2017 portant création de l’Autorité de protection des données. L'APD est compétente pour l’ensemble du territoire du Royaume et, partant, pour toutes les institutions publiques auxquelles cette loi impose des obligations. À ce titre, l'APD est compétente pour contrôler les traitements de données effectués par les entités publiques bruxelloises, en ce compris chacun des pouvoirs locaux ou associations de pouvoirs locaux - les intercommunales -, les CPAS, etc.

De ce fait, la Région, qui n’a pas à intervenir dans le contrôle du respect de ces dispositions, n’est pas non plus tenue d’assurer un accompagnement structurel et régulier auprès des administrations communales. En effet, il n’entre pas dans les missions, ni du ministre des Pouvoirs locaux, ni de son administration, de vérifier la mise en œuvre de législations fédérales spécifiques par les communes.

En l'occurrence, le RGPD prévoit un intervenant, à savoir le délégué à la protection des données (DPD). Certains responsables du traitement ou sous-traitants sont obligés de désigner un DPD. C'est le cas des communes, en tant qu’autorités publiques visées par la loi du 30 juillet 2018 précitée. Le DPD ne doit pas nécessairement faire partie de l’administration ; il peut s’agir d’un consultant externe ou d’un agent d’une autre administration, dans le cas d’une mutualisation de la fonction par le pouvoir local.

La législation confie à ce délégué, entre autres missions, la tâche de contrôler le respect du RGPD et d’aider le responsable du traitement ou le sous-traitant à en vérifier l'observation en interne.

Mon administration n'a, pour le reste, pas connaissance du nombre de plaintes qui portent sur une infraction au RGPD en Région bruxelloise ces dernières années. Ces informations d'ordre statistique pourraient néanmoins être obtenues auprès de l'Autorité de protection des données, qui a mis en place un service de première ligne, chargé notamment de recevoir les plaintes et demandes d'information adressées à ladite Autorité de protection des données.

Enfin, concernant votre dernière question sur le bilan que je peux tirer de ce RGPD, je peux vous confirmer que Paradigm a mis en place un service d'aide ou soutien aux communes qui le souhaitent, en leur proposant un DPO (data protection officer) as a Service si elles souhaitent faire appel au DPD mis en place, parce qu'elles n'ont pas toujours la taille suffisante pour justifier un emploi à temps plein ou rédiger un cahier des charges pour avoir recours à un prestataire externe.

De nombreuses communes font appel à ce service proposé par Paradigm. Quatre ou cinq DPD qui travaillent à temps plein chez Paradigm travaillent à temps partiel pour diverses communes, assurant une cohérence de la protection des données dans les différents pouvoirs locaux qui font appel aux communes.

Concernant votre dernière question portant sur le bilan du RGPD décidé au niveau européen et transposé en droit belge, je dois vous rappeler que les questions des députés adressées aux ministres ne peuvent pas porter sur une opinion ou une intention. Je ne peux donc pas avoir d'avis à ce sujet. En ce qui concerne les services publics régionaux, je vous invite à interroger le ministre du Budget.

Réplique de Mme Agic

Vous avez relu la réponse que vous avez fournie à mon collègue, alors que nous n'avions pas posé exactement les mêmes questions.

Réponse du ministre

Dans ce cas, je retire ce que j'ai dit !

Réplique de Mme Agic

Votre équipe a été repêcher la réponse fournie à M. Ghyssels sur le règlement général sur la protection des données (RGPD). Je comprends pourquoi, mais mes questions n'étaient pas exactement les mêmes. Je m'attendais plutôt à des réponses du type de celle concernant Paradigm et les quatre délégués à la protection des données (DPD) au service des communes. Du coup, je ne sais pas de combien de communes il s'agit, ni de quelles communes.

Réponse du Ministre

Posez-moi une question écrite et je vous répondrai. Je vous rappelle toutefois que la protection des données est imposée aux communes par la loi fédérale et qu'il ne m'appartient pas de vérifier si les communes respectent ou pas leurs obligations légales en ce domaine. C'est également le cas pour le bien-être au travail, par exemple. Cette tâche de vérification relève, dans le cas qui nous occupe, de l'Autorité de protection des données. Les communes restent donc responsables de leurs erreurs, comme c'est le cas à Anvers. Cette commune n'a pas suffisamment investi pour protéger ses données, elle n'a pas fait appel à un bon DPD ou n'a pas suivi les recommandations de celui-ci. Il lui revient donc de payer les dégâts. Les citoyens, dont les données ont été révélées, peuvent dès lors se retourner contre la commune, qui est responsable en la matière.

Réplique de Mme Agic

Je comprends tout à fait, et vous avez raison de rappeler que vous n'êtes pas obligé de vérifier l'application de cette loi dans les communes. Cependant, si une commune bruxelloise se retrouve à devoir payer 70 millions d'euros, comme à Anvers, il faudra de toute façon trouver des solutions pour la soutenir financièrement. Nos communes sont déjà dans des situations financières extrêmement compliquées. Tout est finalement lié. Un hôpital bruxellois a encore récemment été ciblé par des attaques informatiques.

Il me semble donc important que la Région de Bruxelles-Capitale puisse aider les communes à appliquer la réglementation et leur fournir des DPD correctement formés sur la question du RGPD. Je vous invite donc à soutenir les communes, même si cela n'est pas dans votre obligation directe.

Mes questions partaient de ce constat. Je vous les reformulerai donc par écrit.

Réponse du ministre

Je vous confirme l'offre de Paradigm, à laquelle de nombreuses communes ont recours. Pour des informations plus détaillées sur les communes, je vous invite à m'adresser une question écrite à ce sujet.

Lors du dernier hackage ou tentative de hackage à l'égard d'un hôpital bruxellois, Paradigm a été appelé au secours. Il n'y a pas eu de vol de données, mais il y a eu une tentative d'intervention.

Sachez que Paradigm constate des centaines d'attaques tous les jours sur nos systèmes informatiques. Jusqu'à présent, Paradigm a mis en place les pare-feu suffisants. Jusqu'où tiendrons-nous ? Nul ne le sait mais nous faisons en tout cas des tests réguliers pour détecter toutes les failles.