Le contrôle et la mise sous séquestre de données sur des serveurs étrangers est essentiellement une question de droit communautaire et international.

Au niveau européen, il existe plusieurs formes de coopération (par exemple, Eurojust) et il y a déjà une législation qui rend plus aisé l'échange de données et permet d'effectuer des actes d'instruction sur le territoire d'un autre État membre.

Les possibilités d'échange de données et d'exercice d'actes d'instruction sur le territoire d'un autre État sont moindres lorsqu'il s'agit d'États en dehors de l'Union européenne. On peut songer par exemple à la mise sous séquestre de données qui se trouvent sur un serveur étranger dans la lutte contre la cybercriminalité, la pornographie enfantine, la fraude fiscale, etc. Il s'avère que les instances de contrôle et services judiciaires nationaux se heurtent encore souvent à des problèmes juridiques et/ou pratiques pour exercer réellement un contrôle ou pour obtenir une information éventuellement par des actes d'instruction ou la mise sous séquestre de données.

Toutefois, les pouvoirs publics peuvent également être une cible pour des personnes malhonnêtes qui souhaitent abuser de données des autorités publiques.

Pour ces raisons, je souhaiterais une réponse aux questions suivantes :

1) Dans le département du ministre, est-il fait usage de serveurs étrangers pour le stockage de données ?

2) Peut-il donner un aperçu de ces serveurs étrangers répartis selon leur origine ?

3) Quelles sont les données stockées sur ces serveurs ?

4) De quelle manière l'administration peut-elle exiger par voie juridique un accès à ces serveurs étrangers si cet accès lui est refusé ?

5) De quelle manière l'administration peut-elle exercer un contrôle sur le respect de la confidentialité de ces données ?

En réponse à votre question, j'ai l'honneur de vous communiquer ce qui suit.

L'Office national des pensions et le Service des pensions du Secteur public n'utilisent pas de serveurs étrangers pour le stockage des données.

Le SPF Santé publique, Sécurité de la chaîne alimentaire et Environnement (SPF SPSCAE) n'est propriétaire que d'un seul registre dont les données et l'application permettant la manipulation de celles-ci sont hébergées à l'étranger, à savoir le registre Kyoto. Vous trouverez ci-dessous les réponses aux questions posées pour le registre Kyoto. Le SPF SPSCAE contribue par ailleurs, quant au fond, aux données stockées dans différents registres (Organisation mondiale de la santé — OMS, European Centre for Disease Prevention and Control — ECDC) à l'étranger, mais dont le SPF n'est pas propriétaire (par exemple, divers systèmes d'alerte précoce en matière médicale, de crises, de catastrophes, surveillance, etc.).

Registre Kyoto

1. Le registre relatif aux gaz à effet de serre est tenu sur des serveurs à configuration redondante dans deux centres informatiques différents et sécurisés à Berlin. Les serveurs sont tenus à jour par COLT Telekom GmbH et leur maintenance est assurée par dr. Lippke et dr. Wagner GmbH. L'emplacement exact des centres informatiques de COLT Telekom ne peut être divulgué pour motifs de sécurité. L'administrateur du registre reçoit régulièrement des back-ups de l'application et des données sur support électronique. Ces back-ups sont conservés à Bruxelles sur un site protégé.

2. Au total, dix serveurs de marque Hewlett-Packard sont tenus à jour.

3. Les serveurs gérés et tenus à jour à Berlin sont de trois types :

— serveurs web assurant l'accès à l'application via l'Internet;

— serveurs d'application sur lesquels tourne le logiciel du registre;

— serveurs de base de données où sont enregistrées les données (droits d'émission et comptes) du registre belge des gaz à effet de serre.

4. L'administrateur du registre dispose envers COLT Telekom GmbH d'un droit d'accès, établi contractuellement et juridiquement exigible, à l'environnement hardware. À ce jour, toutes les demandes d'accès ont été immédiatement satisfaites par COLT Telekom GmbH.

5. COLT Telekom GmbH est certifiée ISO/IEC 27001. Il s'agit d'une norme de sécurisation ICT internationalement reconnue pour les organisations qui accomplissent des missions ICT critiques. Cette certification est accordée après un audit approfondi de l'organisation de l'entreprise et de ses procédures de sécurité. COLT Telekom GmbH et dr. Lippke und dr. Wagner GmbH sont tenues à des obligations de confidentialité établies contractuellement et juridiquement exigibles. L'accès physique et numérique à l'environnement est limité à une liste de personnes autorisées. Tous les accès à l'environnement (sur site et hors site) et à l'application du registre sont systématiquement enregistrés.

En ce qui concerne le SPF Sécurité sociale, celui- ci n'est propriétaire que d'un seul registre (FIN-S).

1. Pour une application informatique FIN-S, le serveur se trouve à l'étranger.

2. Le serveur de production pour l'application FIN-S se trouve à Essen en Allemagne.

3. Les données qui sont enregistrées sur ce serveur sont des données comptables et budgétaires, notamment les crédits, les engagements, les ordonnancements et les données des fournisseurs.

4. Le contrat d'exploitation avec CEGEKA stipule explicitement que le SPF Sécurité sociale est propriétaire des données enregistrées. Des sauvegardes sont effectuées quotidiennement et les données de sauvegarde sont conservées dans différents centres de données. De sérieuses amendes sont prévues contractuellement en cas de non-disponibilité du serveur concerné.

5. Le contrat d'exploitation avec CEGEKA contient des règles en ce qui concerne la protection des données. CEGEKA est contractuellement tenu à une obligation de confidentialité pour toutes les données du SPF Sécurité sociale. Aucune communication d'information à des tiers n'est permise.