De plus en de consommateurs et d'entreprises utilisent le « nuage » pour stocker des données sur des serveurs externes. Cela paraît pratique pour pouvoir disposer d'une sauvegarde accessible par les utilisateurs partout dans le monde. Mais le propriétaire n'est pas le seul à pouvoir y accéder facilement. Une enquête réalisée par l'Institut du droit de l'information (IviR) aux Pays-Bas révèle en tout cas que les services de recherche américains ont très facilement accès à ces données Le Patriot Act offre à ces services des possibilités renforcées d'enquêter dans le « nuage », notamment sur des informations concernant des non-Américains. Selon les enquêteurs, la loi donne aux non-Américains beaucoup moins de droits qu'aux Américains. Même si l'on opère à partir du territoire belge ou européen, on n'est, par définition, pas protégé par les lois belges ou européennes sur la protection de la vie privée ou par d'autres réglementations. Même si une affaire n'a qu'un lien ténu avec les États-Unis, il y a, selon le Patriot Act, obligation de fournir l'information.

Des révélations récentes l'ont abondamment prouvé.

J'avais posé cette question aux ministres de la Justice (5-7199) et de l'Économie (5-7188), mais ils m'ont renvoyé au secrétaire d'État pour certains points.

Voici mes questions à ce sujet :

1) Est-il exact que les services de sécurité américains peuvent plus facilement consulter les données des ressortissants étrangers que celles des Américains et que les lois belges et européennes sur la protection de la vie privée n'ont aucune valeur à cet égard ? Le secrétaire d'État pense-t-il comme moi que le manque d'égard dont fait l'objet la confidentialité des données des non-Américains aux États-Unis est très problématique ?

2) De quelle manière l'utilisateur belge de l'informatique en nuage est-il protégé et le secrétaire d'État estime-t-il cette protection efficace ? Le secrétaire d'État juge-t-il les pratiques des États-Unis contraires à la loi belge ? Dans l'affirmative, entreprendra-t-il des actions pour mettre fin à cette situation ?

3) L'autorité belge utilise-t-elle l'informatique en nuage pour stocker des données ? Dans l'affirmative, le secrétaire d'État juge-t-il ces données suffisamment protégées et tient-on suffisamment compte des risques qui y sont liés ?

4) Le secrétaire d'État a-t-il une idée de la quantité de données de citoyens, autorités et entreprises belges en possession des États-Unis ? Notre pays est-il informé par les autorités américaines lorsqu'elles consultent des données sur des ressortissants, entreprises et autorités belges par le biais des serveurs en nuage ? Ou le secrétaire d'État reconnaît-il qu'il y a très peu de transparence en la matière ?

5) Selon le Comité R, notre pays n'a pas de politique globale en matière de sécurité de l'information. Contrairement à ses voisins, la Belgique ne dispose d'aucun organe chargé de protéger les systèmes d'information. La compétence est répartie entre les divers services publics fédéraux qui ne coordonnent pas leurs efforts. Le secrétaire d'État estime-t-il que l'autorité belge dispose d'une connaissance et d'une mise à jour suffisantes en matière de sécurité de l'information (numérique) ? Dans la négative, est-il d'accord sur le fait qu'il faut investir d'urgence dans ce domaine ?

1) Le Service public fédéral Technologie de l'Information et de la Communication (FEDICT) ne dispose d'aucune information à ce sujet.

2) Le caractère transfrontalier est propre au service de cloud. En ce sens, une clause mentionnant le droit applicable ainsi que la désignation explicite du tribunal compétent sont deux éléments très importants dans les contrats établis entre le client et le fournisseur de cloud. De cette manière, le droit belge peut être d'application.

Il est vrai que la loi belge relative au traitement de données à caractère personnel (transposition de la directive 95/46/CE) est d'application pour chaque traitement de données à caractère personnel qui a lieu dans le cadre d'activités sur le territoire belge. Cela concerne le traitement de données à caractère personnel effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge. La loi belge s'applique également aux traitements de données à caractère personnel pour lesquels il y a recourt à des moyens situés sur le territoire belge. Par exemple, si un site internet utilise des cookies, l'exploitant dudit site sera souvent soumis à la législation européenne relative au traitement de données à caractère personnel car il utilise l'ordinateur du visiteur du site.

Il faut faire une distinction entre la collecte d'informations frauduleuse et la collecte d'informations légalement autorisée, par exemple via le Patriot Act. Dans le cadre d'une enquête judiciaire, la Belgique peut, elle aussi, demander des informations sur des non-Belges. En 2013, la Belgique a effectué plusieurs demandes auprès d'entreprises américaines dans le cadre d'une enquête judiciaire. La législation des États-Unis est différente de celle de la Belgique et dévie donc de la législation belge sur plusieurs points (notamment la protection de la vie privée).

Le citoyen belge est libre d'utiliser ces services mais doit être conscient des possibles risques qui y sont liés. Il est dès lors important de le sensibiliser et de lui apprendre à faire les bons choix face à ces éventuels risques. Il existe une solution qui consiste à crypter les données stockées dans le cloud, ce qui les rend illisibles pour des tiers. Si l'administration devait faire appel à des services de cloud, cette solution serait évidemment envisagée.

3) Fedict n'utilise pas le cloud pour enregistrer des données.

4) Fedict n'a aucune idée à ce sujet. Cela semble plus être une question pour le Service public fédéral (SPF) Justice (service de renseignements) et/ou le SPF Affaires étrangères.

5) À l'inverse de ses voisins, la Belgique ne dispose d'aucun organe chargé de la protection des systèmes d'information. Cette compétence est partagée entre différents services publics fédéraux qui ne coordonnent pas leurs efforts.

Par leur décision relative à la création d'un Centre pour la cybersécurité (décision du Conseil des ministres du 19 décembre 2013), les autorités belges ont clairement indiqué qu'elles souhaitaient renforcer l'efficacité de la protection des systèmes d'information. Les moyens nécessaires seront débloqués dans le budget 2014.