Le nouveau Règlement général européen sur la protection des données personnelles (RGPD)
- Session : 2017-2018
- Année : 2018
- N° : 396 (2017-2018) 1
2 élément(s) trouvé(s).
Question écrite du 30/05/2018
- de PECRIAUX Sophie
- à GREOLI Alda, Ministre de l’Action sociale, de la Santé, de l’Egalité des chances, de la Fonction publique et de la Simplification administrative
Cette directive européenne existe depuis le 25 mai 2016, mais les sanctions pourront être appliquées à partir de ce vendredi !
Lors d’une précédente commission, Madame la Ministre nous avait assuré des mesures qu’elle prenait, notamment à l’AViQ.
De nombreux plus petits services gèrent également des données à caractère personnel et seront donc soumis à cette directive.
L’AViQ est-elle en ordre de marche en ce qui concerne ce RGPD ?
Les plus petits services le sont-ils également ?
Réponse du 18/06/2018
- de GREOLI Alda
La date du 25 mai 2018 est effectivement la date d’entrée en application du Règlement européen. C’est également la date d’entrée en vigueur de la loi du 3 décembre 2017 mettant en place la nouvelle Autorité de protection des données (APD). Bien que sur papier, les amendes peuvent être appliquées à partir de cette date, l’APD ne sera pas en mesure de le faire, ni d’effectuer les contrôles préalables à ces sanctions.
De plus, le projet de loi-cadre fédérale qui va être déposé au Parlement exclut les autorités publiques pour les sanctions administratives. Cela ne veut évidemment pas dire qu’il n’y aura pas de sanctions, mais les amendes pourraient ne pas être appliquées dans le secteur public régional.
En effet, il convient de vérifier dans quelle mesure la loi fédérale aura un impact sur les administrations fédérées.
Compte tenu de la complexité des mesures à mettre en œuvre, les administrations wallonnes visent à atteindre une conformité optimale à court terme. Chaque administration a déjà – et parfois largement – entamé sa mise en conformité et je suis confiante par rapport à l’état d’avancement général.
L'accord-cadre d’eWBS a été attribué le 23 avril aux différents prestataires. Les bénéficiaires de cet accord-cadre peuvent dès lors passer leur commande pour se faire accompagner dans leur mise en conformité.
Concernant l’AViQ, un délégué à la protection des données a récemment été engagé (le 15 mars) pour épauler le conseiller en sécurité dans la mise en conformité. Leur plan d’action a été élaboré et est maintenant en cours de réalisation (Actions en cours : constitution du registre des traitements, implémentation d’une procédure de déclaration et de gestion des incidents, mise en place des outils de communication avec la personne concernée (police « vie privée », points de contact...)).
L’AViQ a également manifesté son intention d’avoir recours à l’accord-cadre (1. la conformité juridique (respect des droits de la personne concernée, entre autres transparence et droit d’accès) et 2. audit informatique sur la qualité technique des mesures de protection relatives au RGPD, traçage applicatif entre autres) susmentionné pour parfaire sa conformité.
Sur l’année 2017, l’ensemble du personnel de l’AViQ et de ses bureaux régionaux a été sensibilisé – avec la collaboration d’eWBS – à la protection des données et à la sécurité de l’information avec un focus sur le RGPD. Une vingtaine de séances (3h) ont été organisées entre janvier et novembre 2017.
En ce qui concerne les bureaux régionaux en particulier, le délégué à la protection des données de l’AViQ envisage de les visiter chacun pour contrôler au moins les mesures de sécurité physiques qui y sont implémentées.
Pour les plus petites structures (hors AViQ), il est possible pour elles de mutualiser les procédures et les effectifs afin de répondre aux exigences du RGPD, et elles peuvent également faire appel à l’accord-cadre susmentionné.
J’ai chargé les différents ministres de revenir vers moi pour établir un état des lieux de la situation dans les structures sous leur tutelle.
Un état des lieux de la situation dans l’ensemble des administrations wallonnes sera réalisé prochainement.