SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
15 décembre 2016 15 december 2016
________________
Question écrite n° 6-1204 Schriftelijke vraag nr. 6-1204

de Martine Taelman (Open Vld)

van Martine Taelman (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique

aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur - Secret bancaire - Vente de données client à des tiers - Autorisation explicite - Cybercriminalité - Risque Richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt - Bankgeheim - Verkoop van klantengegevens aan derden - Expliciete toestemming - Cybercrime - Risico 
________________
monnaie électronique
activité bancaire
établissement de crédit
contrôle bancaire
données personnelles
secret bancaire
protection de la vie privée
banque centrale
Financial Services and Markets Authority
criminalité informatique
elektronisch betaalmiddel
bankactiviteit
kredietinstelling
bankcontrole
persoonlijke gegevens
bankgeheim
eerbiediging van het privé-leven
centrale bank
Financial Services and Markets Authority
computercriminaliteit
________ ________
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 6-1203 Ook gesteld aan : schriftelijke vraag 6-1203
________ ________
Question n° 6-1204 du 15 décembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1204 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

Le niveau du salaire, l'hypothèque ou une visite chez le psychologue : à partir du mois de janvier 2018, des tiers suivront les données bancaires privées d'un titulaire de compte, à moins que celui-ci ne notifie clairement son opposition à la banque qui pourra dorénavant vendre ses données à d'autres entreprises.

D'après la nouvelle réglementation européenne (la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE, appelée directive PSD2), les banques seront bientôt obligées de vendre les données de paiement de leurs clients à des tiers si ceux-ci en font la demande et ont obtenu l'agrément nécessaire. Le client doit également donner son accord, chaque fois que des données de paiement doivent être transmises à des tiers. Ces dispositions légales sont assorties d'un certain nombre de conditions : il faut préciser à qui les données sont vendues, quelles données de paiement sont fournies et à quelles fins elles sont vendues. Un consommateur doit à chaque fois pouvoir marquer son refus.

Je suis très sceptique quant à cette mesure. Les expériences du passé nous apprennent que cette autorisation est souvent noyée parmi toute une série d'autres, et que dès lors, le client ne fait pas un choix délibéré. De plus, un titulaire de compte ne se rend pas toujours compte des secrets qu'il/elle divulgue. Les assureurs automobiles seront particulièrement intéressés de savoir que le client a acheté de l'alcool. Les assureurs vie manifesteront un intérêt particulier pour la consommation de tabac ou la prise de certains médicaments. Par ailleurs, toutes ces données peuvent conduire au vol d'identité.

Il semblerait que les banques soient, d'après la nouvelle directive DSP2, elles-mêmes tenues de vendre ces données.

L'Autoriteit Financiële Markten (AFM-autorité néerlandaise de régulation des marchés financiers) craint que les données de paiement ne soient utilisées de manière abusive et qu'une nouvelle loi européenne ne donne lieu à une augmentation de la cybercriminalité. Du fait de cette loi, appelée PSD2, les banques seront bientôt obligées de partager les données de paiement des clients avec des tiers - pour autant que le client donne son autorisation. D'après Reinier Pollmann de l'AFM, ces données de paiement peuvent permettre aux entreprises de développer d'excellents services pour les consommateurs mais elles peuvent également avoir des conséquences extrêmement déplaisantes.

Reinier Pollmann dit également que le contrôle sur ces services est actuellement trop fragmenté. Les clients courent dès lors le risque de voir leurs données de paiement utilisées de manière abusive.

La loi vise à encourager l'innovation et à élargir la concurrence. Et c'est ce qui semble se produire, d'après l'autorité néerlandaise de contrôle: De nombreuses entreprises fintech (technologies financières) sont déjà prêtes actuellement à affronter la concurrence avec les banques et à offrir des services que seules les banques pouvaient offrir au départ. Pensez aux applications relatives aux investissements, aux cahiers de comptes ménagers en ligne, aux nouveaux modes de paiement et aux conseils hypothécaires, disponibles sans que vous ayez à encoder des données. Toutes les parties qui veulent utiliser ces données doivent d'abord demander une autorisation à la banque. Le système est organisé correctement aux Pays-Bas. Mais il s'agit d'une législation européenne et une autorisation peut donc être demandée dans n'importe quel pays européen. D'après l'autorité de contrôle, les cybercriminels préféreront le faire au départ de Chypre ou de Malte. C'est pourquoi le politique doit réfléchir à la manière de mieux organiser ce contrôle.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019, et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif .

J'aimerais obtenir une réponse aux questions suivantes :

1) Que pensez-vous de la position de l'autorité néerlandaise de contrôle des banques selon laquelle la directive DSP2 envisagée entraîne certains risques de cybercriminalité et que le politique doit réfléchir à la manière de mieux organiser ce contrôle ?

2) Avez-vous déjà reçu un avis de la Banque nationale de Belgique (BNB), de la Commission de la protection de la vie privée ou de l'Autorité des services et marchés financiers (FSMA) sur les risques que comporte la directive DSP2 proposée en matière de cybercriminalité et de vol d'identité ?

3) Pouvez-vous préciser qui assurera l'ensemble du contrôle sur tous les « fournisseurs de services » qui achèteront les données bancaires des clients dans le but de diffuser des annonces et de mener d'autres actions commerciales ? Dans la négative, comment pouvez-vous garantir le contrôle ?

 

De hoogte van je loon, je hypotheek, of een bezoek aan de psycholoog ; vanaf januari 2018 zullen derden meekijken naar de privébankgegevens. Tenzij de rekeninghouder duidelijk nee zegt tegen de bank die zijn gegevens straks aan andere bedrijven door kan verkopen.

Onder nieuwe Europese regelgeving (de richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van richtlijn 97/5/EG, de zogenaamde PSD2 richtlijn) zijn banken straks verplicht betaalgegevens van hun klanten te verkopen aan derden als die daarom vragen. Die partijen hebben daar wel een vergunning voor nodig. Ook moet de klant hier toestemming voor geven, iedere keer dat de betaalgegevens in andere handen overgaan. Dat is wettelijk vastgelegd onder een aantal voorwaarden : aan wie de gegevens worden verkocht, welk deel van de betaalgegevens worden geleverd en voor welk doel ze worden verkocht. Ook moet een consument altijd nee kunnen zeggen.

Ik ben bijzonder huiverachtig ten opzicht van deze maatregel. Ervaringen uit het verleden leren ons dat deze toestemming dikwijls bedolven zit onder een rits andere voorwaarden waardoor de klant dit niet bewust kiest. Bovendien beseft een gebruiker van een bankrekening niet welke geheimen hij / zij prijsgeeft. Autoverzekeraars zullen bijzondere interesse hebben in de aankopen van alcohol door de gebruiker. Levensverzekeraars zullen bijzondere interesse vertonen in tabaksgebruik of bepaalde medicatie die genomen wordt. Bovendien kunnen al deze gegevens leiden tot identiteitsdiefstal.

Naar verluidt zouden banken een volgens de nieuwe DSP2 richtlijn zelfs verplicht worden om deze gegevens te verkopen.

De Nederlandse toezichthouder Autoriteit Financiële Markten (AFM) is bang dat betaalgegevens misbruikt zullen worden en dat er meer cybercriminaliteit komt door een nieuwe Europese wet. Door die wet, PSD2 genoemd, zijn banken straks verplicht betaalgegevens van klanten te delen met andere partijen - mits de klant daar toestemming voor geeft. « Met die betaalgegevens kunnen bedrijven prachtige diensten voor ons consumenten ontwikkelen, maar daar kunnen ze ook hele nare dingen mee doen », zegt Reinier Pollmann van toezichthouder AFM.

Het toezicht op die diensten is nu te versnipperd, zegt hij. Dus lopen klanten gevaar dat hun betaalgegevens worden misbruikt.

De wet is bedoeld om innovatie te stimuleren en de concurrentie te verbreden. En dat lijkt te gebeuren, zegt de Nederlandse toezichthouder : « Nu al staan talloze fintech-bedrijven klaar om de concurrentie met banken aan te gaan en diensten aan te bieden die eerst alleen banken konden aanbieden. Denk aan beleggingsapps, online huishoudboekjes, nieuwe betaalmanieren en hypotheekadvies zonder dat je daarvoor gegevens hoeft in te sturen. Alle partijen die de data willen gebruiken moeten eerst een bankvergunning aanvragen. Dat is in Nederland goed geregeld. Maar het is een Europese wet, dus kan in elk Europees land een vergunning worden aangevraagd. » « Cybercriminelen zullen er dan eerder voor kiezen om dat op Cyprus of Malta te doen », vertelt de toezichthouder. Daarom moet de politiek erover nadenken hoe dat toezicht beter kan worden geregeld.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft dus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik hieromtrent dan ook een antwoord gekregen op de volgende vragen :

1) Hoe reageert u op het standpunt van de Nederlandse bankentoezichthouder dat de vooropgestelde DSP2 richtlijn bijzondere risico's inhoudt wat betreft cybercriminaliteit en dat « de politiek erover moet nadenken hoe dat toezicht beter kan worden geregeld » ?

2) Heeft u reeds een advies bekomen van de Nationale Bank van België (NBB), de Privacycommissie of het Autoriteit voor financiële diensten en markten (FSMA) over de risico's van deze vooropgestelde DSP2 richtlijn wat betreft cybercriminaliteit en identiteitsdiefstal ?

3) Kunt u zeer gedetailleerd meedelen wie de hele controle gaat uitvoeren op alle zogenaamde « dienstverleners » die de bankgegevens van klanten gaan opkopen met het oog op advertenties en andere commerciële acties ? Zo neen, hoe kunt u dan het toezicht garanderen ?

 
Réponse reçue le 18 janvier 2017 : Antwoord ontvangen op 18 januari 2017 :

1) Concernant vos questions relative à la cybercriminalité, je vous renvoie à mon collègue, le ministre de la Sécurité et de l’Intérieur, ministre tutelle de la police et de la Computeur Crime Unit, compétent en la matière.

Pour ce qui relève de ma compétence, je viens d’adopter avec mes collègues européens le règlement européen 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) qui impose, à l’article 32, la mise en œuvre de mesures techniques et organisationnelles par le responsable du traitement et le sous-traitant afin de garantir un niveau de sécurité adapté au risque. Parmi celles-ci : la pseudonymisation et le chiffrement des données à caractère personnel, des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique et une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. En outre, leur mise en œuvre dépend de l'état des connaissances, les coûts de mise en œuvre et la nature, la portée, le contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes physiques. Le respect de ces exigences peut être démontré par l’application d’un code de conduite ou d’un mécanisme de certification approuvé. 

L’article 35 du règlement européen impose en outre que pour les traitements à risque, le responsable du traitement et le sous-traitant effectuent une analyse d’impact relative à la protection des données, décrivant les mesures de sécurité. Cette analyse d’impact doit être communiquée à la Commission de la protection de la vie privée, qui peut imposer des mesures de sécurité supplémentaire.

Enfin, les articles 33 et 34 imposent au responsable du traitement et au sous-traitant de notifier dans les septante-deux heures aux autorités de protection des données et aux personnes concernées toute violation de données à caractère personnel, en indiquant les faits et les mesures prises pour y remédier.

2) & 3) Concernant ces deux questions, je vous renvoie à mon collègue en charge de l’Économie, la directive 2015/366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite directive PSD2) relevant de sa compétence. Et bien évidemment, la transposition doit s’effectuer dans le respect des règles relatives à la protection de la vie privée, ce à quoi je veillerai au sein du gouvernement.

1) Ik verwijs het geachte lid met betrekking tot de vraag over cybercriminaliteit naar mijn collega, de minister van Veiligheid en Binnenlandse Zaken, voogdijminister van de politie en van de Computer Crime Unit, die ter zake bevoegd is.

In het kader van mijn bevoegdheden, heb ik samen met mijn Europese collega’s de Europese verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) goedgekeurd. Conform artikel 32 ervan moeten de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Het gaat onder meer om de pseudonimisering en de versleuteling van persoonsgegevens; het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen en een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. Bovendien hangt de uitvoering ervan af van de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook voor de rechten en vrijheden van natuurlijke personen. De naleving van die voorwaarden kan worden bewezen door de toepassing van een gedragscode of van een goedgekeurd certificeringsmechanisme.

In artikel 35 van de Europese verordening is overigens bepaald dat de verwerkingsverantwoordelijke en de verwerker voor de verwerkingen met een hoog risico een gegevensbeschermingseffectbeoordeling uitvoeren, met omschrijving van de veiligheidsmaatregelen. Die gegevensbeschermingseffectbeoordeling moet worden meegedeeld aan de Commissie voor de bescherming van de persoonlijke levenssfeer, die aanvullende veiligheidsmaatregelen kan opleggen.

Overeenkomstig de artikelen 33 en 34 ten slotte, moeten de verwerkingsverantwoordelijke en de verwerker de toezichthoudende autoriteiten en de betrokkenen uiterlijk binnen tweeënzeventig uur melden dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, met vermelding van de feiten en maatregelen genomen om zulks te verhelpen.

2) & 3) Wat betreft deze twee vragen verwijs ik u door naar mijn collega bevoegd voor Economie vermits de richtlijn 2015/366 van 25 november 2015 betreffende betalingsdiensten in de interne markt (genaamd richtlijn PSD2) tot zijn bevoegdheid behoort. En vanzelfsprekend moet de omzetting gebeuren met inachtname van de privacyregels, waarover ik binnen de regering zal waken.