SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2013-2014 Zitting 2013-2014
________________
13 janvier 2014 13 januari 2014
________________
Question écrite n° 5-10855 Schriftelijke vraag nr. 5-10855

de Bert Anciaux (sp.a)
van Bert Anciaux (sp.a)

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique
aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken
________________
Informatique en nuage - Utilisation - Protection - Vie privée Cloud computing - Gebruik - Beveiliging - Privacy 
________________
sécurité des systèmes d'information
réseau informatique
centre serveur
protection des données
protection de la vie privée
États-Unis
service secret
informatiebeveiliging
computernetwerk
informatiedienstverlening
gegevensbescherming
eerbiediging van het privé-leven
Verenigde Staten
geheime dienst
________ ________
13/1/2014Verzending vraag
27/2/2014Antwoord
13/1/2014Verzending vraag
27/2/2014Antwoord
________ ________
Question n° 5-10855 du 13 janvier 2014 : (Question posée en néerlandais) Vraag nr. 5-10855 d.d. 13 januari 2014 : (Vraag gesteld in het Nederlands)

De plus en de consommateurs et d'entreprises utilisent le « nuage » pour stocker des données sur des serveurs externes. Cela paraît pratique pour pouvoir disposer d'une sauvegarde accessible par les utilisateurs partout dans le monde. Mais le propriétaire n'est pas le seul à pouvoir y accéder facilement. Une enquête réalisée par l'Institut du droit de l'information (IviR) aux Pays-Bas révèle en tout cas que les services de recherche américains ont très facilement accès à ces données Le Patriot Act offre à ces services des possibilités renforcées d'enquêter dans le « nuage », notamment sur des informations concernant des non-Américains. Selon les enquêteurs, la loi donne aux non-Américains beaucoup moins de droits qu'aux Américains. Même si l'on opère à partir du territoire belge ou européen, on n'est, par définition, pas protégé par les lois belges ou européennes sur la protection de la vie privée ou par d'autres réglementations. Même si une affaire n'a qu'un lien ténu avec les États-Unis, il y a, selon le Patriot Act, obligation de fournir l'information.

Des révélations récentes l'ont abondamment prouvé.

J'avais posé cette question aux ministres de la Justice (5-7199) et de l'Économie (5-7188), mais ils m'ont renvoyé au secrétaire d'État pour certains points.

Voici mes questions à ce sujet :

1) Est-il exact que les services de sécurité américains peuvent plus facilement consulter les données des ressortissants étrangers que celles des Américains et que les lois belges et européennes sur la protection de la vie privée n'ont aucune valeur à cet égard ? Le secrétaire d'État pense-t-il comme moi que le manque d'égard dont fait l'objet la confidentialité des données des non-Américains aux États-Unis est très problématique ?

2) De quelle manière l'utilisateur belge de l'informatique en nuage est-il protégé et le secrétaire d'État estime-t-il cette protection efficace ? Le secrétaire d'État juge-t-il les pratiques des États-Unis contraires à la loi belge ? Dans l'affirmative, entreprendra-t-il des actions pour mettre fin à cette situation ?

3) L'autorité belge utilise-t-elle l'informatique en nuage pour stocker des données ? Dans l'affirmative, le secrétaire d'État juge-t-il ces données suffisamment protégées et tient-on suffisamment compte des risques qui y sont liés ?

4) Le secrétaire d'État a-t-il une idée de la quantité de données de citoyens, autorités et entreprises belges en possession des États-Unis ? Notre pays est-il informé par les autorités américaines lorsqu'elles consultent des données sur des ressortissants, entreprises et autorités belges par le biais des serveurs en nuage ? Ou le secrétaire d'État reconnaît-il qu'il y a très peu de transparence en la matière ?

5) Selon le Comité R, notre pays n'a pas de politique globale en matière de sécurité de l'information. Contrairement à ses voisins, la Belgique ne dispose d'aucun organe chargé de protéger les systèmes d'information. La compétence est répartie entre les divers services publics fédéraux qui ne coordonnent pas leurs efforts. Le secrétaire d'État estime-t-il que l'autorité belge dispose d'une connaissance et d'une mise à jour suffisantes en matière de sécurité de l'information (numérique) ? Dans la négative, est-il d'accord sur le fait qu'il faut investir d'urgence dans ce domaine ?

 

Steeds meer consumenten en bedrijven maken gebruik van de "cloud" voor het plaatsen van gegevens op externe servers. Het lijkt handig om over een back-up te beschikken, waar gebruikers overal ter wereld bij kunnen. Maar de eigenaar is niet de enige die er gemakkelijk bij kan. Uit onderzoek van het Instituut voor Informatierecht (IViR) uit Nederland blijkt in ieder geval dat de Amerikaanse opsporingsdiensten zeer gemakkelijk toegang hebben tot die gegevens. De Patriot Act biedt zeer verstrekkende mogelijkheden voor Amerikaanse opsporingsdiensten om te speuren in de cloud, met name naar gegevens van niet-Amerikanen. Volgens de onderzoekers geeft de wet niet-Amerikanen veel minder rechten dan Amerikanen. Zelfs indien men opereert vanuit Belgisch of Europees grondgebied, is men niet per definitie beschermd door Belgische of Europese privacywetten of andere regelgeving. Zelfs wanneer er alleen maar op enige manier een zakelijke verbondenheid met de Verenigde Staten (VS) bestaat, is er volgens de Patriot Act een verplichting om informatie te verstrekken.

Recente onthullingen hebben dat dubbel en dik bevestigd.

Ik heb deze vraag aanvankelijk gesteld aan de minister van Justitie (5-7199) en de minister van Economie (5-7188), maar zij verwezen voor enkele vragen door naar de staatssecretaris.

Hierover de volgende vragen:

1) Is het waar dat bij het opvragen van gegevens door de Amerikaanse veiligheidsdiensten buitenlandse onderdanen over minder rechten beschikken dan de Amerikaanse en dat Belgische en Europese privacywetten in dat geval van generlei waarde zijn? Deelt de geachte staatssecretaris de opvatting dat het gebrek aan aandacht in de VS voor de belangen van vertrouwelijkheid van gegevens van niet-Amerikanen zeer problematisch is?

2) Op welke wijze wordt de Belgische cloudgebruiker beschermd en acht staatssecretaris die bescherming afdoende? Beoordeelt de staatssecretaris de praktijken van de Verenigde Staten als strijdig met de Belgische wet? Zo ja, zal hij iets ondernemen om een einde te maken aan die situatie?

3) Maakt de Belgische overheid gebruik van de cloud om gegevens op te slaan? Zo ja, acht de staatssecretaris die informatie voldoende beschermd en houdt men daarbij genoeg rekening met de risico's die daaraan verbonden zijn?

4) Heeft de staatssecretaris een zicht op de mate waarin gegevens van Belgische burgers, overheden en bedrijven reeds in het bezit zijn van de VS? Wordt ons land geïnformeerd door de Amerikaanse autoriteiten wanneer zij gegevens over Belgische onderdanen, bedrijven en overheden opvragen bij cloudservers? Of beaamt de staatssecretaris dat hierover zeer weinig transparantie bestaat?

5) Volgens het Comité I België beschikt ons land niet over een globaal beleid betreffende informatieveiligheid. In tegenstelling tot zijn buurlanden, is er in België geen orgaan belast met de bescherming van informatiesystemen. De bevoegdheid wordt verdeeld over verschillende federale overheidsdiensten die hun inspanningen niet coördineren. Is de geachte staatssecretaris van mening dat de Belgische overheid over genoeg kennis beschikt en voldoende up-to-date is inzake (digitale) informatiebeveiliging? Zo neen, gaat hij akkoord dat daar dringend in moet worden geïnvesteerd?

 
Réponse reçue le 27 février 2014 : Antwoord ontvangen op 27 februari 2014 :

1) Le Service public fédéral Technologie de l'Information et de la Communication (FEDICT) ne dispose d'aucune information à ce sujet.

2) Le caractère transfrontalier est propre au service de cloud. En ce sens, une clause mentionnant le droit applicable ainsi que la désignation explicite du tribunal compétent sont deux éléments très importants dans les contrats établis entre le client et le fournisseur de cloud. De cette manière, le droit belge peut être d'application.

Il est vrai que la loi belge relative au traitement de données à caractère personnel (transposition de la directive 95/46/CE) est d'application pour chaque traitement de données à caractère personnel qui a lieu dans le cadre d'activités sur le territoire belge. Cela concerne le traitement de données à caractère personnel effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge. La loi belge s'applique également aux traitements de données à caractère personnel pour lesquels il y a recourt à des moyens situés sur le territoire belge. Par exemple, si un site internet utilise des cookies, l'exploitant dudit site sera souvent soumis à la législation européenne relative au traitement de données à caractère personnel car il utilise l'ordinateur du visiteur du site.

Il faut faire une distinction entre la collecte d'informations frauduleuse et la collecte d'informations légalement autorisée, par exemple via le Patriot Act. Dans le cadre d'une enquête judiciaire, la Belgique peut, elle aussi, demander des informations sur des non-Belges. En 2013, la Belgique a effectué plusieurs demandes auprès d'entreprises américaines dans le cadre d'une enquête judiciaire. La législation des États-Unis est différente de celle de la Belgique et dévie donc de la législation belge sur plusieurs points (notamment la protection de la vie privée).

Le citoyen belge est libre d'utiliser ces services mais doit être conscient des possibles risques qui y sont liés. Il est dès lors important de le sensibiliser et de lui apprendre à faire les bons choix face à ces éventuels risques. Il existe une solution qui consiste à crypter les données stockées dans le cloud, ce qui les rend illisibles pour des tiers. Si l'administration devait faire appel à des services de cloud, cette solution serait évidemment envisagée.

3) Fedict n'utilise pas le cloud pour enregistrer des données.

4) Fedict n'a aucune idée à ce sujet. Cela semble plus être une question pour le Service public fédéral (SPF) Justice (service de renseignements) et/ou le SPF Affaires étrangères.

5) À l'inverse de ses voisins, la Belgique ne dispose d'aucun organe chargé de la protection des systèmes d'information. Cette compétence est partagée entre différents services publics fédéraux qui ne coordonnent pas leurs efforts.

Par leur décision relative à la création d'un Centre pour la cybersécurité (décision du Conseil des ministres du 19 décembre 2013), les autorités belges ont clairement indiqué qu'elles souhaitaient renforcer l'efficacité de la protection des systèmes d'information. Les moyens nécessaires seront débloqués dans le budget 2014.

1) De Federale overheidsdienst Informatie- en Communicatietechnologie (FEDICT) – heeft geen informatie hierover.

2) Het is eigen aan een clouddienst dat er een grensoverschrijdend karakter is. In die zin is een rechtskeuzebeding en de ondubbelzinnige aanduiding van de bevoegde rechtbank zeer belangrijk in de contracten van de klant met de aanbieder van de clouddienst. Op die manier kan het Belgische recht van toepassing gemaakt worden.

Het is zo dat de Belgische Wet Verwerking Persoonsgegevens (omzetting van de Richtlijn 95/46/EG) van toepassing is op elke verwerking van persoonsgegevens in het kader van activiteiten op het Belgisch grondgebied. Dit betreft verwerkingen van persoonsgegevens die worden verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied. De Belgische wet is ook van toepassing op verwerkingen van persoonsgegevens waarbij gebruik wordt gemaakt van middelen op het Belgisch grondgebied. Indien een website bijvoorbeeld gebruik maakt van cookies zal de uitbater van de website vaak aan de Europese wetgeving inzake verwerking van persoonsgegevens onderworpen zijn, omdat hij gebruik maakt van de computer van de websitebezoeker.

Men moet een onderscheid maken tussen ongeoorloofde informatieverzameling en wettelijk toegestane informatieverzameling bijvoorbeeld via Patriot-Act. Ook de Belgische overheid kan, in het kader van een gerechtelijk onderzoek, informatie opvragen over niet-Belgen. Er zijn in 2013 een aantal opvragingen gebeurd door de Belgische overheid bij Amerikaanse bedrijven in het kader van zo’n gerechtelijk onderzoek. De wetgeving van de Verenigde Staten is anders dan de Belgische en zal dus op een aantal punten (onder andere bescherming van de privacy) afwijken van de Belgische.

De Belgische burger is vrij om gebruik te maken van deze diensten maar dient zich bewust te zijn van de mogelijke risico’s. Het is daarom belangrijk om de Belgische burger te sensibiliseren en te leren om de juiste beslissingen te nemen in verband met de mogelijke risico’s. Een oplossing bestaat er in om de gegevens die men in de cloud bewaart, te versleutelen zodat ze niet leesbaar zijn voor derden. Als de overheid zou gebruik maken van clouddiensten zou ze allicht deze oplossing voorop stellen.

3) Fedict maakt geen gebruik van de cloud om gegevens op te slaan.

4) Fedict heeft geen zicht hierop. Dit lijkt meer een vraag voor de Federale Overheidsdienst (FOD) Justitie (inlichtingendiensten) en/of de FOD Buitenlandse Zaken.

5) In tegenstelling tot zijn buurlanden, werd er in België geen orgaan belast met de bescherming van informatiesystemen. De bevoegdheid wordt verdeeld over verschillende federale overheidsdiensten die hun inspanningen niet coördineren.

De Belgische overheid heeft met de beslissing rond het oprichten van een Centrum voor Cybersecurity (beslissing van ministerraad op 19 december 2013) duidelijk aangegeven dat zij de bescherming van informatiesystemen efficiënter wil organiseren. Hiervoor zijn de nodige middelen op de begroting 2014 vrijgemaakt.