Question écrite concernant le stationnement à Bruxelles et le respect de la vie privée.
- de
- Khadija Zamouri
- à
- Elke Van den Brandt, Ministre du Gouvernement de la Région de Bruxelles-Capitale, chargée de la Mobilité, des Travaux publics et de la Sécurité routière (question n°1402)
Date de réception: 27/09/2022 | Date de publication: 02/02/2023 | ||
Législature: 19/24 | Session: 22/23 | Date de réponse: 19/01/2023 |
Date | Intitulé de l'acte | de | Référence | page |
21/11/2022 | Recevable | p.m. |
Question | On a pu lire dans les journaux du lundi 26 septembre qu’en connaissant la plaque d'immatriculation d'une personne on peut facilement savoir où elle se trouve lorsqu'elle est garée. La Région bruxelloise a beaucoup misé sur cette numérisation, sur l'utilisation de caméras numériques. Je suis tout à fait favorable à l'automatisation et à la numérisation afin de simplifier la vie des citoyens. Mais il convient de prendre ces mesures en tenant compte de nos droits fondamentaux, au rang desquels la vie privée. Dès lors qu’il s’avère que la politique de stationnement bruxelloise n’est pas soumise à ce test, que ferez-vous pour garantir notre vie privée ?
Le hacker éthique Inti De Ceukelaire a exposé les dangers dans le menu détail en menant une expérience pendant 100 jours. Même les données personnelles des conducteurs qui n'utilisent pas une telle application de stationnement sont traitées par les caméras intelligentes et mises à disposition dans l'application où elles peuvent être consultées par n’importe qui. Cette nouvelle me paraît d'autant plus étrange que depuis mai 2016, il y a le RGPD, une nouvelle réglementation sur la protection de la vie privée émanant de l'UE. Le niveau fédéral a également adopté une nouvelle loi sur la protection de la vie privée, qui remplace celle de 1992. La protection de la vie privée est donc avant tout une question de politique fédérale, mais il incombe à tous les membres de la société de respecter la législation. Les applications 4411 et Indigo ne se chargent-elles pas du traitement pour le compte de la Région, et n'y a-t-il donc pas un contrat mettant l'accent sur la "protection des données par défaut" ? Il s'agit, entre autres, de limiter l'accès aux données aux seules personnes qui en ont besoin et d’anonymiser autant que possible les données à carcatère personnel ; ce n’est guère le cas dans un système où le premier venu peut obtenir toutes les informations en entrant la plaque d'immatriculation. Outre des problèmes de respect de la vie privée, cela peut aussi donner lieu à un préjudice encore plus grand. Savoir où vous êtes garé... Je ne suis pas Zuckerberg mais je peux rapidement en tirer des conclusions. Du vol au harcèlement, beaucoup de choses deviennent possibles en négligeant la vie privée. Il faut peut-être débourser un petit montant pour utiliser l'application, mais cela peut rapidement rapporter des dividendes à un criminel, si cela permet de cambrioler une maison. Merci donc au hacker d'avoir soulevé ce problème. La publicité pourrait inciter davantage de personnes mal intentionnées à en profiter. Une politique s’impose donc de toute urgence pour combler cette lacune, que ce soit à votre initiative ou à travers un dialogue avec vos collègues des autres niveaux. Nous ne pouvons pas attendre une solution européenne, d'autant que le problème a un impact disproportionné sur la Belgique. Prenons rapidement les devants. Cela m’inquiète, Madame la Ministre. Pouvez-vous expliquer ce que vous allez faire pour rassurer les Bruxellois ?
|
Réponse | En ce qui concerne les parkings publics gérés par parking.brussels : Tout d’abord, concernant les caméras intelligentes, celles-ci sont en effet utilisées sur les sites de parksharing et de park and ride de parking.brussels. L’emploi de ces services de reconnaissance des plaques par parking.brussels ne fonctionne que pour des abonnés vérifiés. S’agissant de marchés de services, parking.brussels, en tant que pouvoir adjudicateur, est responsable du traitement des données par les soumissionnaires. Parking.brussels prévoit dans ses cahiers des charges le respect des règles légales en vigueur en matière de traitement des données normatives et des images. Un modèle de convention est systématiquement proposé par le pouvoir adjudicateur au concessionnaire afin de cadrer l’offre de marché. Une convention GDPR est donc passée avec chacun d’entre eux. Elle prévoit notamment des engagements conformes à la législation sur la protection des données quant aux délais de suppression des enregistrements pris par les caméras de reconnaissance de plaques (ANPR) et des enregistrements de surveillance générale. Ensuite, concernant les applications, deux cas de figure se présentent. Le premier cas de figure vise les parkings publics donnés en concession par l’Agence parking.brussels depuis sa création. Pour la gestion du parksharing, l’Agence collabore avec le consortium Indigo-Bepark et fonctionne uniquement via abonnement. L’application de gestion des abonnements est différente de celle qui a fait l’objet d’un hacking. La gestion des abonnements repose sur une base nominative avec un identifiant unique qui est la plaque d’immatriculation. Il n’est dès lors pas possible de disposer de deux abonnements ou plus comprenant la même plaque. L’historique des stationnements pour une plaque donnée n’est consultable que par son seul abonné. Concernant les P+R, l’Agence collabore avec d’autres opérateurs qu’Indigo. Les abonné.e.s disposant d’un compte utilisateur ne peuvent gérer que maximum deux plaques. La consultation est donc très cadrée. Pour les non-abonnée.s, le système de reconnaissance de plaque est raccordé à la caisse et non à une application. L’identifiant est une plaque qu’il faut insérer dans la caisse, il faut ensuite payer pour disposer d’un droit de sortie. Il n’y a donc pas de consultation possible des données d’un autre utilisateur. Le deuxième cas de figure vise les parkings publics bruxellois gérés par parking.brussels qui ont été donnés en concession par les pouvoirs publics avant la création de l’Agence parking.brussels et avant l’entrée en vigueur des règles GDPR. La concession a ensuite été transférée à parking.brussels. Pour s’assurer de la présence ou non de failles de sécurité dans la gestion de ces parking publics, l’Agence interroge les concessionnaires des 6 parkings publics régionaux concernés : Indigo, Apcoa et Interparking. L’Agence rédigera un rapport de la situation au regard de la législation relative à la vie privée et au GDPR. Il reviendra ensuite de dresser le constat ou non d’éventuelles violations de la vie privée et de saisir les autorités compétentes en la matière. Il est en tout cas important de savoir que parking.brussels ne collabore pas avec 4411 dans le cadre de la gestion des parkings hors voirie. Ce type d’application est par contre disponible pour le paiement du stationnement en voirie. La consultation des données y est limitée à la session proprement dite, payée par l’utilisateur de l’application. En ce qui concerne les autres parkings publics en Région bruxelloise, qui ne sont pas gérés par parking.brussels : Nous introduirons une demande d’information auprès l’Autorité de protection des données afin de pouvoir déterminer s’il y a eu ou non violation des règles en matière de protection des données. |