| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||
| ________ | ________ | ||||||||
| Session 2021-2022 | Zitting 2021-2022 | ||||||||
| ________ | ________ | ||||||||
| 17 décembre 2021 | 17 december 2021 | ||||||||
| ________ | ________ | ||||||||
| Question écrite n° 7-1435 | Schriftelijke vraag nr. 7-1435 | ||||||||
de Rik Daems (Open Vld) |
van Rik Daems (Open Vld) |
||||||||
au vice-premier ministre et ministre de la Justice et de la Mer du Nord |
aan de vice-eersteminister en minister van Justitie en Noordzee |
||||||||
| ________ | ________ | ||||||||
| Pandémie de coronavirus - Covid safe ticket - Code QR - Fausses applications de scannage - Statistiques et tendances - Problèmes de respect de la vie privée (Covid-19) | Coronapandemie - Covid safe ticket - QR-code - Valse scanner-apps - Cijfers en tendensen - Privacyprobleem (Covid-19) | ||||||||
| ________ | ________ | ||||||||
| épidémie vaccination document officiel fraude application de l'informatique protection de la vie privée scanner |
epidemie vaccinatie officieel document fraude toepassing van informatica eerbiediging van het privé-leven scanner |
||||||||
| ________ | ________ | ||||||||
|
|
||||||||
| ________ | ________ | ||||||||
| Aussi posée à : question écrite 7-1433 Aussi posée à : question écrite 7-1434 |
Aussi posée à : question écrite 7-1433 Aussi posée à : question écrite 7-1434 |
||||||||
| ________ | ________ | ||||||||
| Question n° 7-1435 du 17 décembre 2021 : (Question posée en néerlandais) | Vraag nr. 7-1435 d.d. 17 december 2021 : (Vraag gesteld in het Nederlands) | ||||||||
On savait déjà que des acteurs malhonnêtes délivraient de faux certificats de vaccination contre le coronavirus mais un nouveau phénomène a fait son apparition aux Pays-Bas : une fausse application de scannage. L'application normale scanne le code QR du Covid safe ticket et indique si son titulaire est ou non vacciné (cf. https://nos.nl/artikel/2405316-ook-vervalste-scanner-app-coronacheck-in-omloop ). La fausse application de scannage détectée aux Pays-Bas émet un signal vert pour tous les codes QR scannés, même si le certificat est périmé ou bloqué et même pour des codes qui ne sont pas compatibles avec l'application «CoronaCheck». Selon ses concepteurs, cette fausse application est destinée aux entrepreneurs qui ne veulent pas «exclure» des gens. Lorsqu'elle scanne un code QR légitime, la fausse application de scannage affiche même les bonnes initiales de ses titulaires, promettent les concepteurs. Le ministère néerlandais de la Santé publique souligne que les agents des forces de l'ordre peuvent vérifier si les entrepreneurs utilisent bien la bonne application de scannage, mais pour un œil non averti, la différence est à peine perceptible, d'autant plus que même l'icône de la vraie application est contrefaite. Aux Pays-Bas, la distribution de l'application n'est pas illégale, mais son utilisation bien. De plus, les entrepreneurs sont tenus de télécharger une application officielle pour scanner les codes QR. En ce qui concerne le caractère transversal de la question : la présente question écrite traite à la fois de santé, de respect de la vie privée, de TIC et de justice et est donc de nature transversale. Je souhaiterais dès lors poser au ministre les questions suivantes: 1) A-t-on connaissance de cas d'utilisation de faux scanners de Covid safe ticket par des entrepreneurs en Belgique ? Si oui, à combien d'arrestations a-t-on déjà procédé ? À partir d'où les contrevenants opéraient-ils ? De quel type d'entreprises s'agissait-il ? Quel était leur mobile ? 2) Parallèlement à l'interdiction des certificats falsifiés, développe-t-on actuellement des stratégies pour lutter contre les fausses applications de scannage ? Si oui, en quoi consistent-elles ? Qui est chargé de leur coordination ? Quels en sont les coûts ? Si non, pourquoi la lutte contre ces fausses applications n'est-elle pas une priorité ? 3) De quelle manière agit-on actuellement contre les personnes suspectées d'utiliser ces fausses applications de scannage ? De quelles sanctions ou amendes sont-elles passibles ? Jugez-vous cette approche suffisante ? Pourquoi ? Pouvez-vous en détailler les raisons ? 4) Quel est le statut légal de ces fausses applications ? L'interdiction porte-t-elle seulement sur leur utilisation, comme aux Pays-Bas, ou bien leur détention est-elle, elle aussi, illégale ? Dans quelle mesure les fabricants de cette application peuvent-ils être poursuivis ? Quel est le statut légal des applications «concurrentes» capables de scanner des codes QR ? 5) Ces applications frauduleuses constituent-elles, selon vous, un problème pour la protection de la vie privée ? Si oui, dans quelle mesure et de quelle manière ? 6) Comment les forces de l'ordre peuvent-elles mieux s'armer, lors des inspections, contre ce type de pratiques frauduleuses qui ne sont pas toujours perceptibles à première vue ? Pouvez-vous dire si les agents de nos forces de l'ordre se sont déjà familiarisés avec ces fausses applications de scannage ? 7) Comment éviter que des entrepreneurs, inspirés par une idéologie déterminée, utilisent ce type d'applications frauduleuses ? Dans quelle mesure certaines organisations, comme le VOKA, Horeca Vlaanderen, etc., peuvent-elles contribuer à la lutte contre ce phénomène ? |
Naast het feit dat reeds geweten is dat malafide actoren valse corona-certificaten uitreiken is er in Nederland een nieuw fenomeen opgedoken: een frauduleuze scanner-app. De normale app scant de QR-code van het Covid safe ticket en geeft al dan niet aan of men gevaccineerd is (cf. https://nos.nl/artikel/2405316-ook-vervalste-scanner-app-coronacheck-in-omloop). De valse scanner-app in Nederland kleurt bij alle QR-codes groen, ook al zijn ze verlopen, geblokkeerd of zijn het zelfs codes die helemaal niet afkomstig zijn van de CoronaCheck-app. Volgens de makers is hij bedoeld voor ondernemers die mensen niet willen «buitensluiten». De valse scanner-app toont zelfs de juiste initialen als mensen met een legitieme QR-code worden gescand, beloven de makers. Het Nederlandse ministerie van Volksgezondheid wijst erop dat ordehandhavers kunnen controleren of ondernemers wel de juiste scanner-app gebruiken, maar voor het ongeoefende oog is het verschil nauwelijks zichtbaar. Ook het feit dat het icoontje van de echte app is nagemaakt maakt dit moeilijker. In Nederland is het verspreiden van de app niet illegaal, het gebruik ervan wel. Voorts moeten de ondernemers een officiële app downloaden om de QR-codes te scannen. Wat betreft het transversaal karakter van de vraag: deze schriftelijke vraag behandelt zowel gezondheid, als privacy, als IT, als justitie en is dus van transversale aard. Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister: 1) Zijn er reeds gevallen in België bekend van ondernemers die valse Covid safe ticket scanners gebruiken? Zo ja, hoeveel arrestaties in totaal hebben er plaatsgevonden? Vanuit waar opereerden ze? Over welke soort onderneming ging het? Wat waren hun beweegredenen? 2) Zijn er momenteel strategieën om naast het verbieden van vervalste certificaten op te treden tegen valse scan-apps? Zo ja, wat houdt deze in? Wie coördineert dit? Wat zijn de kosten? Zo neen, waarom is dit geen prioriteit? 3) Hoe wordt momenteel opgetreden tegen verdachten die deze valse scan-apps gebruiken? Aan welke sancties of boetes moeten zij zich verwachten? Acht u deze aanpak voldoende? Waarom wel? Waarom niet? Gelieve te verklaren waarom. 4) Wat is de legale status van deze valse apps? Worden deze verboden enkel bij gebruik zoals in Nederland of is het bezit ervan reeds illegaal? In hoeverre kunnen de makers van deze app vervolgd worden? Wat is de legale status van «concurrerende» apps die QR-codes kunnen scannen? 5) Vormen deze frauduleuze apps volgens u een privacy probleem? Zo ja, in welke mate en hoe? 6) Hoe kunnen ordehandhavers zich beter wapenen bij inspecties tegenover dit soort frauduleuze praktijken die op het eerste zicht niet altijd te bemerken zijn? Kan u meedelen of onze ordehandhavers reeds bekend zijn met deze valse scanner-apps? 7) Hoe kan voorkomen worden dat ondernemers vanuit een bepaalde ideologische ingeving dit soort frauduleuze apps gebruiken? In welke mate kunnen bepaalde organisaties als VOKA, Horeca Vlaanderen, enz., hierbij helpen? |
||||||||
| Réponse reçue le 26 janvier 2022 : | Antwoord ontvangen op 26 januari 2022 : | ||||||||
1) En réponse à la question 1), je peux vous indiquer que la banque centrale de données statistiques du Collège des procureurs généraux ne permet pas de répondre à la demande de données chiffrées. Il n’existe en effet aucun code de prévention spécifique concernant l’utilisation de faux scanners de covid safe tickets (CST). 2) Il convient de noter que les services de police vérifient d’ores et déjà en priorité et de manière active si les exploitants ou organisateurs contrôlent le CST. La manière dont doivent s’effectuer ces contrôles – et s’ils permettent, le cas échéant, de constater le recours à de fausses applications de scannage – est une matière devant être définie par la hiérarchie policière. Ce serait par exemple possible: – en demandant à l’exploitant de montrer le système de contrôle CST qu’il a mis en place; – en vérifiant que l’exploitant dispose bien de l’application de vérification du CST; – en demandant à l’exploitant comment il procède au contrôle; – en demandant aux employés s’ils ont reçu des instructions en ce qui concerne le contrôle; – en demandant à l’exploitant de produire la liste des personnes chargées d’opérer le contrôle. 3) Cette question n’appelle actuellement aucune réponse dès lors qu’aucun cas n’est connu. Mais de tels faits sont punissables d’un emprisonnement de six mois à cinq ans ou d’une amende de vingt-six euros à cent mille euros. 4) L’utilisation de ces fausses applications de scannage peut constituer une infraction à l’article 210bis du Code pénal, relatif au faux en informatique, ce qui implique que l’appareil est également réellement utilisé: «Art. 210Bis. § 1er. Celui qui commet un faux, en introduisant dans un système informatique, en modifiant ou effaçant des données, qui sont stockées, traitées ou transmises par un système informatique, ou en modifiant par tout moyen technologique l’utilisation possible des données dans un système informatique, et par là modifie la portée juridique de telles données, est puni d’un emprisonnement de six mois à cinq ans et d’une amende de vingt-six [euros] à cent mille [euros] ou d’une de ces peines seulement.» 5) Si le faux scan se contente de colorer tous les QR codes en vert sans collecter les données des propriétaires, il n’y pas d’infraction à la loi protection des données. S’il apparaissait que le faux scan, en faisant apparaître les initiales, collecte en outre des données à caractère personnel, cette collecte illégale peut être sanctionnée par le RGPD (règlement général sur la protection des données – directive 95/46/CE) d’une amende pouvant aller jusqu’à 20 millions d’euros. Dans l’appréciation de l’infraction, il faudra voir si la collecte ne dure que quelques secondes, le temps de faire apparaitre les initiales ou si les données sont conservées plus longtemps par l’appareil. À noter que le vrai scan ne conserve pas les données: la «déclaration de confidentialité concernant le traitement de données et la protection des données dans le cadre du certificat Covid numérique de l’UE COVIDSCAN.BE AP» souligne en effet qu’aucune donnée n’est conservée sur l’appareil. Les données sont uniquement utilisées pour visualiser le contenu du code QR présenté et vérifier l’authenticité du certificat. 6) Cette question relève de la compétence de ma collègue la ministre de l’Intérieur. 7) Cette question relève de la compétence de mon collègue le ministre de l’Économie. |
1) Als antwoord op vraag 1) kan ik u meedelen dat de centrale statistische gegevensbank van het College van procureurs-generaal niet toelaat om een antwoord te verschaffen op de gestelde vraag naar cijfergegevens. Er bestaat immers geen specifieke tenlasteleggingscode omtrent het gebruik van valse «Covid Safe Ticket» (CST)-scanners. 2) Wat het antwoord op vraag 2) betreft, valt te noteren dat de politiediensten op heden reeds prioritair en actief nagaan of uitbaters of organisatoren het CST controleren. De wijze waarop deze controle dient te gebeuren – en of desgevallend het gebruik van valse scan-apps kan worden vastgesteld – is een aangelegenheid die aan de politionele hiërarchie toekomt om te definiëren. Dit zou bijvoorbeeld kunnen: – door aan de uitbater te vragen om het CST-controlesysteem te tonen waarin hij heeft voorzien; – door na te gaan of de uitbater wel degelijk over de controleapp voor het CST beschikt; – door aan de uitbater te vragen hoe hij de controle uitvoert; – door aan de werknemers te vragen of ze instructies hebben gekregen wat de controle betreft; – door aan de uitbater te vragen om de lijst van personen te tonen die belast zijn met de controle. 3) Vraag 3) behoeft momenteel geen antwoord aangezien er geen gevallen bekend zijn. Weliswaar is het zo dat overtreders strafbaar zijn met een gevangenisstraf van zes maanden tot vijf jaar of met een geldboete van zesentwintig euro tot honderdduizend euro. 4) Wat het antwoord op vraag 4) betreft, kan het gebruik van deze valse scan-apps een inbreuk uitmaken op artikel 210bis van het Strafwetboek, i.c. valsheid in informatica, wat impliceert dat de apparatuur ook daadwerkelijk gebruikt wordt: «Art. 210bis. § 1. Hij die valsheid pleegt, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in te voeren in een informaticasysteem, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, waardoor de juridische draagwijdte van dergelijke gegevens verandert, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig euro tot honderdduizend euro of met een van die straffen alleen.» 5) Als de valse scanner enkel bij alle QR-codes groen kleurt, zonder de gegevens van de eigenaars te verzamelen, wordt geen inbreuk gepleegd op de gegevensbeschermingswet. Als blijkt dat de valse scanner, aangezien hij de initialen toont, ook persoonsgegevens verzamelt, dan kan die illegale verzameling van persoonsgegevens op grond van de AVG (algemene verordening gegevensbescherming – richtlijn 95/46/EG) worden bestraft met een geldboete die kan oplopen tot 20 miljoen euro. Bij de beoordeling van het misdrijf moet worden nagegaan of de gegevens slechts enkele seconden worden bewaard – de tijd die nodig is om de initialen te doen verschijnen – of dat ze langer worden bewaard op het toestel. Er dient te worden opgemerkt dat de echte scanner de gegevens niet bewaart: in de «Privacyverklaring over de gegevensverwerking en bescherming in het kader van het Digitaal EU-Covid-Certificaat – COVIDSCAN.BE APP» wordt immers onderstreept dat er geen gegevens worden bewaard op het toestel. De gegevens worden enkel gebruikt om de inhoud van de gepresenteerde QR code te visualiseren en de authenticiteit van het certificaat na te gaan. 6) Deze vraag valt onder de bevoegdheid van mijn collega de minister van Binnenlandse Zaken. 7) Deze vraag valt onder de bevoegdheid van mijn collega de minister van Economie. |