SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
30 mars 2022 30 maart 2022
________________
Question écrite n° 7-1543 Schriftelijke vraag nr. 7-1543

de Rik Daems (Open Vld)
van Rik Daems (Open Vld)

à la ministre de la Défense
aan de minister van Defensie
________________
Services de sécurité - Méthodes spécifiques - Méthodes exceptionnelles - Interception de données transitant par câble - Captures de données à des moments précis - Écoute de données - Collecte - Autorisation - Vie privée - Statistiques et tendances Veiligheidsdiensten - Specifieke methode - Uitzonderlijke methode - Kabelinterceptie - Snapshots - Datatap - Verzameling - Toestemming - Privacy - Cijfers en tendensen 
________________
sûreté de l'Etat
service secret
collecte de données
protection de la vie privée
protection des communications
staatsveiligheid
geheime dienst
verzamelen van gegevens
eerbiediging van het privé-leven
telefoon- en briefgeheim
________ ________
30/3/2022Verzending vraag
(Einde van de antwoordtermijn: 28/4/2022)
7/6/2022Antwoord
30/3/2022Verzending vraag
(Einde van de antwoordtermijn: 28/4/2022)
7/6/2022Antwoord
________ ________
Aussi posée à : question écrite 7-1542
Aussi posée à : question écrite 7-1544		 Aussi posée à : question écrite 7-1542
Aussi posée à : question écrite 7-1544
________ ________
Question n° 7-1543 du 30 mars 2022 : (Question posée en néerlandais) Vraag nr. 7-1543 d.d. 30 maart 2022 : (Vraag gesteld in het Nederlands)

Il ressort d'un rapport de la Commission néerlandaise de contrôle des services de renseignement et de sécurité (Commissie van toezicht op de inlichtingen- en veiligheidsdiensten, CTIVD) que les services de renseignement néerlandais n'ont pas toujours géré correctement les données issues d'écoutes, ce qui a provoqué un renforcement des contrôles (cf. https://www.ctivd.nl/actueel/nieuws/2022/03/15/index).

L'enquête de la CTIVD se concentre sur des phases d'interception de données transitant par câble que les services de renseignement ont effectivement exécutées, à savoir la mise en place de sites d'accès aux données où l'interception se fait physiquement, et la capture de données à des moments précis («snapshots»). La capture de données à des moments précis permet aux services d'explorer le contenu du trafic internet écouté afin d'évaluer si les données récoltées présentent un intérêt réel pour le renseignement (cf. https://www.nrc.nl/nieuws/2022/03/15/strenger-toezicht-op-aftappen-inlichtingendiensten-a4101812).

Ce qui pose problème, c'est qu'une enquête de la CTIVD a révélé que les services réalisaient parfois des captures sur une période plus longue que celle autorisée. La CTIVD ne peut pas non plus exclure que le Service général de renseignement et de sécurité des Pays-Bas (Algemene Inlichtingen en Veiligheidsdienst, AIVD) ait réalisé des captures de données sur de courtes périodes sans disposer d'une autorisation formelle en ce sens. Les données capturées auraient également été transmises à tort à des collaborateurs des services de renseignement parce qu'elles auraient été mal été étiquetées à la suite d'une «erreur technique».

La CTIVD constate que la loi actuelle sur les services de renseignement n'est pas bien adaptée à la pratique. Selon l'instance de contrôle, cette situation résulte de promesses juridiques et politiques formulées lors du débat parlementaire, mais qui ne sont pas en phase avec la réalité du travail de renseignement.

En réponse aux critiques formulées par la CTIVD, les services de renseignement ont établi un plan d'amélioration. L'interception de données transitant par câble a été vivement critiquée lors de l'élaboration d'un nouveau projet de loi sur les services de renseignement visant à remédier aux problèmes rencontrés et à accroître l'efficacité opérationnelle des services.

Justification du caractère transversal de la question écrite : les différents gouvernements et maillons dans la chaîne de sécurité s'accordent sur les phénomènes à traiter en priorité au cours des quatre prochaines années. Ils sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019, et ont été examinés lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit dès lors d'une matière transversale partagée avec les Régions, dont le rôle principal se situe dans le volet préventif.

J'aimerais donc poser les questions suivantes au ministre :

1) Veuillez m'indiquer à combien de reprises une autorisation a été accordée afin de collecter des données en recourant à des «méthodes spécifiques» ainsi qualifiées par la Sûreté de l'État (VSSE). Pourriez-vous ventiler les données sur les trois dernières années ? Des tendances sont-elles observables ? Pourriez-vous également m'indiquer le nombre de demandes refusées et le motif des refus ?

2) Veuillez m'indiquer à combien de reprises une autorisation a été accordée afin de collecter des données en recourant à des «méthodes exceptionnelles» ainsi qualifiées par la Sûreté de l'État (VSSE). Pourriez-vous ventiler les données sur les trois dernières années ? Des tendances sont-elles observables ? Pourriez-vous également m'indiquer le nombre de demandes refusées et le motif des refus ?

3) A-t-on reproché à la législation belge réglementant les méthodes de collecte de données des faiblesses au regard du respect de la vie privée ?

4) Pourriez-vous m'indiquer combien de captures à des moments précis («snapshots») réalisées en 2019, 2020 et 2021 ont été utilisées par le parquet, en ventilant les données sur une base annuelle ?

5) Le parquet a-t-il tendance à recourir de plus en plus souvent et de plus en plus rapidement à la méthode de l'écoute de données ou de la capture de données à des moments précis ? Dans l'affirmative, quelle est votre opinion à ce sujet ?

6) Pourriez-vous m'indiquer dans quels cas le parquet peut-il autoriser ces méthodes ?

7) Pouvez-vous préciser si la capture de données à des moments précis concerne surtout des réseaux publics ou privés ? Quelles en sont les raisons ?

8) Comment les données sont-elles conservées ? Des données à caractère personnel sont-elles identifiables ? Si oui, de quelle manière ? Que fait-on des données obtenues à partir de réseaux publics (wifi, etc.) ? Comment peut-on garantir le respect de la vie privée des personnes qui utilisent ces réseaux et dont les données sont simultanément écoutées ?

9) Outre les écoutes du trafic internet, combien d'écoutes téléphoniques et d'autres méthodes connexes ont été réalisées au cours de ces quatre dernières années ? Combien de ces écoutes ont été utilisées par le parquet ? Quelle est la durée moyenne de conservation des données ? Pourriez-vous m'indiquer si ces écoutes représentent une menace pour la vie privée ?

 

Volgens een rapport van de Nederlandse Commissie van toezicht op de inlichtingen- en veiligheidsdiensten (CTIVD), blijkt dat de Nederlandse inlichtingendiensten niet altijd goed omgingen met afgetapte data. Daarom wordt het toezicht scherper (cf. https://www.ctivd.nl/actueel/nieuws/2022/03/15/index).

Het onderzoek van de CTIVD richt zich op fases van de kabelinterceptie die de inlichtingendiensten wel hebben uitgevoerd – het opzetten van «accesslocaties» waar de interceptie fysiek plaatsvindt en het «snapshotten». Met een snapshot verkennen de diensten de inhoud van het afgetapte internetverkeer, om in te schatten of de verkregen gegevens daadwerkelijk inlichtingenwaarde hebben (cf. https://www.nrc.nl/nieuws/2022/03/15/strenger-toezicht-op-aftappen-inlichtingendiensten-a4101812?utm_source=twitter&utm_medium=social&utm_campaign=twitter&utm_term=20220315).

Het probleem is als volgt: uit onderzoek van de CTIVD blijkt dat de diensten soms langer dan afgesproken de snapshots maakten. Ook kan de CTIVD niet uitsluiten dat de AIVD (Algemene Inlichtingen- en Veiligheidsdienst van Nederland) «korte tijd» snapshots maakte terwijl de toestemming daarvoor formeel ontbrak. Snapshotdata zou ook niet terecht mogen komen bij inlichtingenmedewerkers, maar dat gebeurde toch omdat de gegevens door «een technische fout» een verkeerd label hadden gekregen.

De CTIVD constateert dat de huidige wet op de inlichtingendiensten en de praktijk «niet goed met elkaar in overeenstemming zijn». Dat is volgens de toezichthouder het gevolg van juridische en politieke beloftes die in het parlementaire debat gedaan zijn, maar in praktijk schuren met het inlichtingenwerk.

De inlichtingendiensten hebben naar aanleiding van de kritiek van de CTIVD een verbeterplan opgesteld. De kritiek op de kabelinterceptie komt terwijl het kabinet werkt aan een nieuwe, tijdelijke inlichtingenwet die de problemen weg moet nemen en de diensten meer «operationele slagkracht» moet geven.

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Gelieve mee te delen hoeveel keer er toestemming werd gegeven om via de zogenaamde «specifieke methode», zoals de Veiligheid van de Staat (VSSE) het noemt, data te verzamelen. Kan u uitsplitsen naar de jongste drie jaar? Zijn er trends te bemerken? Kan u ook meedelen hoeveel aanvragen er geweigerd werden en hun reden daartoe?

2) Gelieve mee te delen hoeveel keer er toestemming werd gegeven om via de zogenaamde «uitzonderlijke methode», zoals de VSSE het noemt, data te verzamelen. Kan u uitsplitsen naar de jongste drie jaar? Zijn er trends te bemerken? Kan u ook meedelen hoeveel aanvragen er geweigerd werden en hun reden daartoe?

3) Zijn er binnen de Belgische wetgeving omtrent de methodes voor de gegevensverzameling werkpunten, die betrekking hebben tot privacy?

4) Zou u kunnen meedelen hoeveel snapshots gemaakt in respectievelijk 2019, 2020 en 2021 door het parket gebruikt werden op jaarbasis?

5) Is er een tendens waarbij het parket steeds meer en steeds vlugger de tap of snapshots als methode gebruikt? Zo ja, wat de vindt u hiervan?

6) Kunt u meedelen in welke gevallen het parket in staat is deze methodes toe te staan?

7) Kunt u zeggen of het maken van snapshots vooral gebeurt bij publieke of private netwerken? Wat zijn de redenen hiertoe?

8) Hoe worden de data bewaard? Zijn persoonsgegevens te identificeren? Indien ja, op welke manier? Wat wordt gedaan met data die gehaald werd uit publieke netwerken (wifi, enz.)? Hoe wordt de privacy gegarandeerd van personen die deze netwerken gebruiken, indien ze ook getapt worden?

9) Gelieve mee te delen, naast de taps van internetverkeer, hoeveel telefoontaps en andere aanverwante methoden gebruikt werden in de voorbije vier jaar. Hoeveel van deze taps werden gebruikt door het parket? Hoe lang worden gemiddeld de data hiervan bijgehouden? Kunt u meedelen of dit een gevaar voor de privacy vormt?

 
Réponse reçue le 7 juin 2022 : Antwoord ontvangen op 7 juni 2022 :

1) L’organe de contrôle des services de renseignement, le Comité permanent R, publie chaque année le nombre de méthodes spécifiques utilisées par le Service général de renseignement et de sécurité (SGRS) et par la Sureté de l’État (VSSE). Le Comité permanent R permet donc une comptabilisation uniforme et objective des méthodes entre les deux services. Les données peuvent également être consultées sur le site web du Comité. Il est préférable de retenir les chiffres que l’on retrouve dans le rapport annuel du Comité R.

– 2019: 138 méthodes spécifiques;

– 2020: 146 méthodes spécifiques;

– 2021: le rapport annuel du Comité R n’est pas encore publié.

De manière générale, on observe une augmentation du nombre de méthodes spécifiques, qui se poursuivra probablement en 2022.

Le nombre de refus est marginal. Moins de 5 % des demandes sont refusées ou retournées plus tôt, généralement afin de demander une meilleure justification.

2) Le même commentaire s’applique ici que pour la question précédente.

– 2019: 76 méthodes exceptionnelles;

– 2020: 51 méthodes exceptionnelles;

– 2021: le rapport annuel du Comité R n’est pas encore publié.

Ici aussi, le nombre de refus est marginal. Moins de 5 % des demandes sont refusées ou retournées plus tôt, généralement afin de demander une meilleure justification.

3) Tout traitement de données personnelles par le SGRS dans le cadre de ses missions est soumis aux dispositions du sous-titre 1er de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Le Comité R agit en tant qu’autorité de protection des données.

La loi du 30 juillet 2018 fait actuellement l’objet d’une évaluation. Dans ce contexte, le SGRS a soumis des commentaires visant à améliorer le texte de loi. Il s’agit notamment de libérer davantage de ressources pour la protection des données.

4) Pour cette question nous vous renvoyons au ministre de la Justice.

5) Pour cette question nous vous renvoyons au ministre de la Justice.

6) L’article 20 de notre loi organique établit que le SGRS et les autorités judiciaires doivent assurer la coopération la plus efficace possible. Cette coopération peut consister à partager des informations et à fournir une assistance technique.

Toutefois, le SGRS ne peut utiliser des méthodes de renseignement que si elles entrent dans le cadre de ses missions (telles que définies à l’article 11 de la loi organique).

Le parquet n’a pas le pouvoir de demander ou d’approuver l’utilisation de méthodes de renseignement par le SGRS.

7) Jusqu’à ce jour, le SGRS n’a pas encore utilisé la méthode snapshots comme moyen de renseignement.

8) Le traitement des données à caractère personnel collectées par le SGRS et ses sous-traitants, effectué dans le cadre des missions visées à l’article 11 de la loi du 30 novembre 1998, se fait conformément au titre 3, sous-titre 1er, de la loi du 30 juillet 2018.

Les données à caractère personnel sont conservées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont stockées.

Les droits des personnes dont les données personnelles sont traitées sont énumérés aux articles 78 à 82 de la loi du 30 juillet 2018.

La majorité des données personnelles est traitée par le SGRS dans un environnement classifié (loi du 11 décembre 1998) qui protège la disponibilité, l’authenticité, l’intégrité et la confidentialité des données personnelles stockées.

Le réseau informatique contenant ces données n’est accessible qu’aux membres du personnel du service qui ont l’habilitation de sécurité nécessaire et le «besoin de savoir».

9) Les chiffres relatifs au nombre d’écoutes téléphoniques figurent dans le rapport annuel du Comité R.

– 2018: 13 écoutes téléphoniques;

– 2019: 40 écoutes téléphoniques;

– 2020: 39 écoutes téléphoniques;

– 2021: le rapport annuel du Comité R n’est pas encore publié.

Bien que dans certains cas il y ait une collaboration ou un partage d’informations, le parquet fédéral travaille indépendamment du SGRS.

Le SGRS coopère avec le parquet en effectuant une analyse sur des dossiers pour lesquels il est compétent. Ces analyses sont en partie, mais certainement pas entièrement, basées sur des résultats d’écoutes téléphoniques. La mesure dans laquelle le procureur général utilise ces analyses ne peut être déterminée que par le procureur général lui-même.

Les analyses du SGRS n’étant que partiellement basées sur les écoutes téléphoniques, il est impossible de déterminer de manière chiffrée le nombre exact d’écoutes téléphoniques utilisées par le procureur.

Les données issues des écoutes téléphoniques (enregistrements) sont généralement conservées pendant cinq ans. Compte tenu des contrôles stricts et de la sécurité des réseaux, nous remplissons les conditions nécessaires à la protection de la vie privée.

Conformément aux dispositions de l’arrêté royal du 3 juillet 2016 et pour l’application de l’article 21 de la loi organique, les données à caractère personnel traitées par le SGRS dans le cadre de leurs missions sont détruites, sans préjudice des règles relatives à la destruction des documents classifiés conformément à la loi du 11 décembre 1998 relative à la classification et aux habilitations de sécurité, aux certificats de sécurité et aux avis de sécurité, sauf si elles:

(1) présentent un caractère historique reconnu par les Archives nationales, ou;

(2) sont encore nécessaires aux fins pour lesquelles elles ont été traitées, ou;

(3) sont nécessaires dans le cadre d’une procédure judiciaire en cours.

Dans les cas prévus aux paragraphes (2) et (3), la nécessité de la conservation continue des données à caractère personnel est examinée par le service concerné sur base d’une évaluation de la relation qu’elles ont encore avec les finalités visées à l’article 11 de la loi du 30 novembre 1998 ou avec une procédure judiciaire en cours.

1) Het controleorgaan van de inlichtingendiensten, het Vast Comité I, publiceert jaarlijks het aantal door de Algemene Dienst inlichting en veiligheid (ADIV) en de Staatsveiligheid (VSSE) gebruikte specifieke methodes. Het Vast Comité I maakt derhalve een uniforme en objectieve telling van de methoden tussen de twee diensten mogelijk. De gegevens zijn ook terug te vinden op de website van het Comité. Er wordt bij deze vraag de voorkeur aan gegeven om de cijfers te hernemen die zijn terug te vinden in de jaarlijkse rapportage van het Vast Comité I.

– 2019: 138 specifieke methoden;

– 2020: 146 specifieke methoden;

– 2021: het jaarverslag van het Comité I is nog niet gepubliceerd.

In het algemeen is er een toename van het aantal specifieke methoden, wat zich in 2022 waarschijnlijk zal voortzetten.

Het aantal weigeringen is marginaal. Minder dan 5 % van de aanvragen wordt geweigerd of eerder teruggestuurd, meestal om een betere motivering te vragen.

2) Hier geldt dezelfde opmerking als onder de vorige vraag.

– 2019: 76 uitzonderlijke methoden;

– 2020: 51 uitzonderlijke methoden;

– 2021: het jaarverslag van het Comité R is nog niet gepubliceerd.

Het aantal weigeringen is hier ook marginaal. Minder dan 5 % van de aanvragen wordt geweigerd of eerder teruggestuurd, meestal om een betere motivering te vragen.

3) Elke verwerking van persoonsgegevens door de ADIV in het kader van de uitoefening van haar opdrachten is onderworpen aan de bepalingen van ondertitel 1 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

Het Comité I treedt op als gegevensbeschermingsautoriteit.

De wet van 30 juli 2018 wordt momenteel geëvalueerd. In dit kader heeft de ADIV opmerkingen overgemaakt ter verbetering van de wettekst. Dit omvat onder andere het vrijmaken van meer middelen voor gegevensbescherming.

4) Voor deze vraag verwijzen wij u naar de minister van Justitie.

5) Voor deze vraag verwijzen wij u naar de minister van Justitie.

6) Het artikel 20 van onze organieke wet stelt dat de ADIV en de gerechtelijke autoriteiten voor een zo doeltreffend mogelijke samenwerking moeten zorgen. Deze samenwerking kan bestaan uit het meedelen van informatie en het verlenen van technische bijstand.

De ADIV kan echter enkel inlichtingenmethoden aanwenden wanneer deze binnen haar opdrachten vallen (zoals gedefinieerd in artikel 11 van de organieke wet).

Het parket heeft niet de bevoegdheid om de aanwending van inlichtingenmethoden door de ADIV te vragen of goed te keuren.

7) Tot op heden heeft de ADIV nog geen gebruik gemaakt van de methode snapshots als inlichtingenmethode.

8) De verwerkingen van persoonsgegevens door de ADIV en hun onderaannemers, uitgevoerd in het kader van de opdrachten als bedoeld in artikel 11 van de wet van 30 november 1998 gebeuren overeenkomstig titel 3, ondertitel 1, van de wet van 30 juli 2018.

De persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor ze opgeslagen worden.

De rechten van de personen wiens persoonsgegevens verwerkt worden zijn opgesomd in de artikelen 78 tot 82 van de wet van 30 juli 2018.

Het merendeel van de persoonsgegevens wordt door ADIV verwerkt binnen een geclassificeerde omgeving (wet van 11 december 1998) die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen persoonsgegevens beschermen.

Het informaticanetwerk waarop deze gegevens staan is enkel toegankelijk voor medewerkers van de dienst die over de nodige veiligheidsmachtiging én «need to know» beschikken.

9) De cijfers over het aantal telefoontaps zijn te vinden in het jaarverslag van het Comité I.

– 2018: 13 telefoontaps;

– 2019: 40 telefoontaps;

– 2020: 39 telefoontaps;

– 2021: het jaarverslag van het Comité I is nog niet gepubliceerd.

Hoewel er in sommige dossiers sprake is van samenwerking of informatiedeling, werkt het parket onafhankelijk van de ADIV.

De ADIV werkt samen met het parket door een analyse van de dossiers waarvoor het bevoegd is. Deze analyses zijn deels, maar zeker niet volledig, gebaseerd op de resultaten van telefoontaps. De mate waarin de procureur-generaal deze analyses gebruikt kan enkel bepaald worden door de procureur-generaal zelf.

Aangezien de analyses van de ADIV slechts deels gebaseerd zijn op de telefoontaps kan onmogelijk cijfermatig bepaald worden hoeveel telefoontaps precies door de procureur gebruikt werden.

Data van telefoontaps (de opnames) worden over het algemeen vijf jaar bijgehouden. Gezien de strenge controles en beveiliging van de netwerken voldoen wij aan de nodige voorwaarden voor de bescherming van de persoonlijke levenssfeer.

Ingevolge de bepalingen van het koninklijk besluit van 3 juli 2016 en voor de toepassing van artikel 21 van de organieke wet worden, onverminderd de regels betreffende de vernietiging van geclassificeerde documenten overeenkomstig de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen, de persoonsgegevens die door de ADIV verwerkt zijn in het kader van hun opdrachten, vernietigd, behalve indien ze:

(1) een door het Rijksarchief erkend historisch karakter hebben, of;

(2) nog noodzakelijk zijn voor de doeleinden waarvoor zij werden verwerkt, of;

(3) noodzakelijk zijn in het kader van een lopende gerechtelijke procedure.

In de gevallen voorzien in (2) en (3) wordt de noodzaak van de verdere bewaring van de persoonsgegevens onderzocht door de betrokken dienst op basis van een evaluatie van het verband dat zij nog vertonen met de doeleinden bedoeld in het artikel 11 van de wet van 30 november 1998 of met een lopende gerechtelijke procedure.