Le Vert Pays

Ecolo à Charleroi

Aller au contenu | Aller au menu | Aller à la recherche

La mise en application du nouveau règlement européen relatif à la protection des données privées (RGPD)

Question posée par la Conseillère Madame Malika El Bourezgui

Lors du dernier Conseil communal, je vous interrogeais sur la mise en application du nouveau RGPD mais je n’ai pas eu les réponses à mes questions. Le RGPD concerne tous les services susceptibles de traiter des données à caractère personnel. Il concerne en première ligne tout ce qui relève de l’Etat civil, de la Population mais aussi des Ressources humaines, de l’Enseignement, de l’Intégration sociale, de la Santé, etc…. Il me semble que vous n’avez pas saisi la portée de mon interpellation. Je vous la rappelle donc ci-dessous :

« En mai 2018 entrera en vigueur le nouveau règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). Ce nouveau règlement exige non seulement un changement de perspective dans la mise en place des mesures de protection des données à caractère personnel mais nécessite également des modifications organisationnelles.

Désormais, tout projet impliquant un traitement de ces données privées doit intégrer dès sa conception la dimension de leur sécurité. De plus, toutes les organisations utilisant des données privées doivent pouvoir être en mesure de répondre aux demandes, questions et plaintes de citoyens concernant l’utilisation de leurs données personnelles.

Pour le 25 mai 2018, la mise en conformité de tout responsable de traitement impose de prendre les 7 mesures suivantes :

1°) Désigner un délégué à la protection des données (DPO)

2°) Mettre en place un registre des traitements

3°) Améliorer la sécurité (privacy by design, privacy by default, DPIA)

4°) Mettre en place une procédure de notification en cas de violation des données

5°) Assurer des responsabilités conjointes en cas de traitement conjoint des données

6°) Assurer les droits de la personne concernée

7°) Documenter ses procédures et ses mesures techniques et organisationnelles

En cas de non-respect de ces obligations, de fortes amendes sont prévues.

La mise en place du RGPD semble poser des difficultés à de nombreuses organisations. Vu l’échéance et les enjeux, pouvez-vous nous dire où en est la ville dans la mise en place de ce nouveau règlement et de ses procédures ? Quel est votre plan d’actions pour respecter vos obligations ? Disposez-vous des ressources nécessaires ?
Serons-nous prêts à l’échéance du 25 mai 2018 ?
Et enfin existe-t-il un partage d’expertise dont la Ville pourrait bénéficier et à quel niveau ? »

Réponse de Madame l’Echevine Anne-Marie Boeckaert

Vous évoquez un règlement européen particulièrement important puisqu’il touche à la protection de la vie privée.
Il concerne tous les secteurs d’activités et donc bien évidemment les pouvoirs locaux. C’est la raison pour laquelle l’Union des Villes et Communes s’est penchée sur le sujet.

La matière très sensible est également très vaste, puisqu’elle couvre tant les données concernant le personnel que celles des citoyens qu’elles soient à caractère fiscal ou issues du Registre national ou de la banque-carrefour, par exemple.

Nous traitons chaque jour, dans l’ensemble des services communaux, des centaines, voire des milliers de données personnelles que ce soit les fichiers des ressources humaines, la sécurisation des locaux, la gestion des registres de population, les listes électorales, l’e-guichet, etc…

Vous avez rappelé les délais et les obligations contenues dans ce règlement.

Notons d’abord que les grands principes déjà présents dans la loi sur la protection de la vie privée ne changent pas. Le règlement renforce les obligations en matière de transparence des traitements et de respect des droits des personnes. Il conforte également le rôle de la Commission pour la Protection de la Vie Privée comme autorité de contrôle en renforçant son pouvoir de sanction.

Il est important de rappeler aussi, en préalable, que chaque commune est déjà dans l’obligation de désigner un conseiller en sécurité de l’information (qui doit être indépendant du DPO), sans quoi l’accès aux données n’est pas autorisé par le Comité sectoriel du Registre National.
A Charleroi, outre la désignation dudit conseiller, une « Charte de l’utilisateur du RN, des registres de la population et du registre des étrangers » a été créée.
Chaque utilisateur d’un accès à la banque de données « population », en reçoit une copie et signe un document « d’engagement de confidentialité », par lequel l’agent s’engage à respecter ladite Charte et à n’utiliser son droit d’accès à la banque de données « population » que dans le cadre strict de ses fonctions professionnelles, sous peine de sanctions.
Enfin, le logiciel « métier » mis à la disposition des agents carolos assure la traçabilité de toutes les connexions (consultation et mise à jour).

Ce règlement est une nouvelle approche de la manière de protéger la vie privée.
C’est un allègement des obligations en matière de formalités préalables, pour entrer dans un système de « gestion » des données personnelles. C’est une logique de responsabilisation en continu de toutes les personnes qui traitent ces données.

Ça demande donc, de la part de nos services, une implication permanente et une méthode de travail appropriée.

Un groupe de travail a été constitué entre plusieurs communes (Charleroi, Namur, Liège, Andenne, Marche-en-Famenne, Saint Nicolas et Liège, sous l’égide du GAPEC) et le Ministère de l’intérieur.
L’objectif de cette démarche est de définir les priorités, la méthodologie de travail, les objectifs de mutualisation, les moyens à mettre en place.

5 points importants semblent clairement sortir du lot :

1) La désignation d’un DPO (Délégué à la protection des données)
*Le DPO doit être indépendant des différents départements de l’entité
*Il peut être interne, externe ou « mutualisé »

2) Le consentement
Il devra être systématique et explicite.
Dans les cas où la mission a une base légale, le consentement n’est pas d’application. Il faut dont faire un inventaire des missions communales.

3) Les sous-traitants
*Une liste des sous-traitants doit être établie (fournisseurs, …). Un courrier doit les informer et les interroger sur leur mise en conformité au niveau RGPD.
*Définir qui est responsable du traitement et qui est sous-trai tant car les obligations sont différentes.
Exemple : le Registre National est responsable du traitement pour l’utilisation des données par la Ville mais la Ville est responsable du traitement dans le cadre des taxes sur copie de la base RN. Il est aussi possible d’être co-responsable.

4) La sécurisation des locaux
Il est nécessaire d’établir un plan de sécurité (informatique et physique) et de mettre en place un registre des Traitements.

5) Le registre des traitements
Il s’agit de l’inventaire de la totalité des fichiers de données personnelles traitées au sein des services communaux (inventaire des données personnelles, fichiers, finalité, pertinence, catégories, sources, procédures,…).

Selon le SPF Intérieur, la priorité doit être donnée par les communes :
1) à la désignation d’un DPO
2) au Registre des Traitements

Pour lancer le processus, nous attendons d’imminentes informations
- du GAPEC (prochaine réunion fixée au 24 janvier pour inventorier les actions concrètes à mener),
- de l’Union des Villes et Communes de Wallonie (formation en mars 2018, participation éventuelle à une centrale d’achat via une manifestation d’intérêt)
- et du SPF Intérieur (Vade-mecum attendu)

Néanmoins, il est clair que ces nouvelles dispositions concernent (presque) tous les départements de la Ville et que, même si nous ne pourrons pas tout mettre en œuvre pour le mois de mai 2018, nous veillons à avancer au plus vite pour répondre à ces obligations européennes.


Les commentaires sont fermés


aucune annexe



À voir également

Salle du Conseil - © J-M/ Hoornaert

Place Matteotti

Question posée par Monsieur le Conseiller Luc Parmentier Monsieur l’Echevin, Votre majorité a décidé...

Lire la suite

Salle du Conseil - © J-M/ Hoornaert

Sécurité à Lodelinsart

Question posée Monsieur le Conseiller Luc Parmentier Monsieur le Bourgmestre, Je viens d’être...

Lire la suite