Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-1915

de Tom Ongena (Open Vld) du 6 mars 2023

à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique

Universités - Données des étudiants - Violation de la vie privée - Plateformes technologiques étrangères - Utilisation - Services publics - Incidents - Chiffres et tendances

université
protection de la vie privée
informatique en nuage
intégrité scientifique
indépendance économique
étudiant
sécurité des systèmes d'information
protection des données
traitement des données

Chronologie

6/3/2023Envoi question (Fin du délai de réponse: 6/4/2023)
6/4/2023Réponse

Aussi posée à : question écrite 7-1914
Aussi posée à : question écrite 7-1916

Question n° 7-1915 du 6 mars 2023 : (Question posée en néerlandais)

Malgré les mises en garde d'experts, les trois quarts des données des étudiants néerlandais sont stockées dans les centres de données des entreprises technologiques américaines Microsoft et Amazon (le cloud). C'est ce qui ressort d'une étude internationale. L'utilisation du cloud par les universités est controversée car elle met en péril la vie privée des étudiants. En outre, les universités peuvent devenir dépendantes économiquement des entreprises technologiques.

Les chercheurs ont analysé l'utilisation du cloud depuis 2015. Cette année-là, environ 25 % des données des étudiants se trouvaient dans le cloud; aujourd'hui, il s'agit de 75 %. En plus des données que constituent les résultats des étudiants et leurs données personnelles, des données de recherches et des systèmes d'enseignement numériques sont également stockés dans le cloud.

L'augmentation est singulière, d'autant plus que depuis un certain temps déjà, des professeurs d'université et des experts de la cybersécurité jugent inopportun de laisser des entreprises commerciales soumises à la législation américaine gérer les données personnelles d'étudiants et de collaborateurs. Il est ainsi possible qu'un service d'enquête américain exige de consulter des données privées néerlandaises.

La dépendance commerciale peut limiter la liberté de choix des universités. Le passage d'un service à un autre est en effet coûteux en temps et en argent. L'ACM, l'Autorité néerlandaise chargée des consommateurs et des marchés, est elle aussi très critique à cet égard. Celui qui stocke des données dans le cloud ne peut quasiment pas en sortir.

Le monde universitaire a déjà tiré la sonnette d'alarme précédemment. En 2019, les recteurs ont mis en garde contre le risque que les «big tech» fassent un usage abusif des données des étudiants et des enseignants sur le marché publicitaire. L'année dernière, dix-neuf professeurs ont eux aussi lancé un cri d'alarme, suivis, cet été, par l'Académie royale néerlandaise des sciences.

L'étude a été réalisée par Tobias Fiebig, de l'institut allemand d'informatique Max Planck, et par Martina Lindorfer, de l'Université technique de Vienne. Tous deux craignent que cette tendance soit préjudiciable à l'intégrité scientifique.

M. Fiebig juge cette attitude «naïve»: les entreprises technologiques promettent en fait de ne pas abuser de vos données tant que vous vous trouvez dans une position où vous n'avez en fait pas la possibilité de refuser qu'elles le fassent. Et pourtant, les universités choisissent plus souvent d'acheter des services auprès d'entreprises technologiques que de développer elles-mêmes ces services. Et ce, alors que la science a jadis été pionnière du développement d'une infrastructure numérique (cf. https://fd.nl/samenleving/1454238/studentgegevens ondanks kritiek massaal in de amerikaanse cloud gezet).

En ce qui concerne le caractère transversal de la question écrite: les Communautés sont autonomes en matière d'enseignement, mais les exigences minimales pour la délivrance des diplômes restent une compétence de l'autorité fédérale. Les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence transversale partagée avec les Régions, ces dernières intervenant surtout dans le volet préventif.

Je souhaiterais vous poser les questions suivantes.

1) Comment, selon vous, peut-on réduire le risque de violation de la vie privée, d'espionnage et de perte d'autonomie stratégique si l'on est de toute façon contraint d'utiliser les services cloud de pays qui ne sont pas membres de l'Union européenne (UE)?

2) Nos services de sécurité ont-ils déjà indiqué qu'il est risqué de stocker des données dans le cloud offert par des entreprises «big tech» étrangères? Pouvez-vous donner une estimation du pourcentage de risque supplémentaire que représente l'utilisation des services cloud de pays tels que la Chine, la Russie ou l'Iran? Les services cloud de ces pays sont-ils utilisés par des instituts ou services publics de notre pays? Si oui, à quelles fins? Quels sont ces services utilisateurs? Pouvez-vous préciser en quoi le risque lié aux services cloud de ces pays diffère de celui que représentent ceux des États-Unis?

3) Nos universités ou hautes écoles ont-elles déjà formulé des plaintes à ce sujet ou bien dispose-t-on d'indications selon lesquelles certaines entreprises «big tech» offrant des services cloud dérobent des informations, violent les règles de protection de la vie privée ou portent atteinte à l'intégrité scientifique? Si oui, combien de cas a-t-on recensés ces quatre dernières années? Quelle en était l'origine? Quelles étaient les parties impliquées? Quelle en a été l'issue?

4) Dans quelle mesure nos services de sécurité dispensent-ils des conseils en matière de respect de la vie privée et de sécurité (économique) aux établissements d'enseignement qui utilisent de tels services cloud?

5) Pouvez-vous indiquer combien de services publics utilisent les services cloud de fournisseurs américains? Quels sont les services concernés et à quelles fins utilisent-ils ces services cloud? Existe-t-il des directives relatives aux données sensibles et au recours à ces services cloud?

6) Y a-t-il déjà eu des incidents avec des fournisseurs de services cloud qui ont porté atteinte à l'intégrité (scientifique) des utilisateurs? Combien d'incidents de ce type a-t-on recensés ces quatre dernières années? Quelle en était l'origine? Quelles étaient les parties impliquées? Quel a été le résultat final?

7) Pouvez-vous dire si des projets sont en préparation afin de proposer des alternatives aux services cloud des entreprises technologiques américaines? Si oui, quelles sont les motivations de ces projets? Quel est le délai prévu? Qui sera associé à ces projets? Dans quels services ces projets seront-ils mis en œuvre? À combien le coût de ces projets est-il estimé?

Réponse reçue le 6 avril 2023 :

Cette question parlementaire ne relève pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB).