SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2017-2018 Zitting 2017-2018
________________
8 novembre 2017 8 november 2017
________________
Question écrite n° 6-1625 Schriftelijke vraag nr. 6-1625

de Martine Taelman (Open Vld)

van Martine Taelman (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique

aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Sites clickbait (« appât à clics ») qui collectent automatiquement des données sur les internautes - Vie privée - Droits d'auteur - Protection - Plaintes - Mesures - Concertation avec des moteurs de recherche Clickbait sites die automatisch data verzamelen over burgers - Privacy - Auteursrechten - Bescherming - Klachten - Maatregelen - Overleg met zoekrobots 
________________
collecte de données
protection de la vie privée
données personnelles
criminalité informatique
protection des données
moteur de recherche
Internet
verzamelen van gegevens
eerbiediging van het privé-leven
persoonlijke gegevens
computercriminaliteit
gegevensbescherming
zoekmachine
internet
________ ________
8/11/2017 Verzending vraag
(Einde van de antwoordtermijn: 7/12/2017 )
6/12/2017 Antwoord
8/11/2017 Verzending vraag
(Einde van de antwoordtermijn: 7/12/2017 )
6/12/2017 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 6-1624 Ook gesteld aan : schriftelijke vraag 6-1624
________ ________
Question n° 6-1625 du 8 novembre 2017 : (Question posée en néerlandais) Vraag nr. 6-1625 d.d. 8 november 2017 : (Vraag gesteld in het Nederlands)

Le site web DocPlayer rassemble des centaines de livres électroniques, de périodiques, de textes de chanson, mais également de déclarations fiscales complétées et de C.V. comprenant des données relatives au salaire et au patrimoine. Selon le ministère néerlandais de l'Intérieur, ces données peuvent servir à commettre des fraudes à l'identité. Les documents figurant sur ce site semblent avoir été mis à disposition par des utilisateurs, mais ce n'est pas le cas. En réalité, ces fichiers pdf ont été collectés par un programme informatique intelligent. Les documents ont été placés sur le site de manière entièrement automatique, au moyen d'un robot, sorte de petit « aspirateur » qui ne cesse de parcourir l'ensemble d'internet à la recherche de documents et qui les place sur le site DocPlayer. Tant qu'il s'agit de documents publics, il n'y a aucune objection légale directe, mais il y en a dès lors que ces données proviennent de connexions internet mal sécurisées ou de fuites de données. Les documents privés qui se retrouvent accidentellement sur internet - par exemple à la suite d'une fuite de données - sont également placés sur ce site.

Selon le Nederlandse National Cyber Security Centrum (Centre national néerlandais de cybersécurité), la police et l'Autoriteit Persoonsgegevens (Autorité pour la protection des données personnelles), ce que fait ce site est illégal parce qu'il enfreint à grande échelle la législation sur la protection de la vie privée et celle sur le droit d'auteur.

Les revenus de ce site russe illégal dépendent du nombre de clics sur certains articles - via des moteurs de recherche comme Google - et de la copie - parfois futive - de documents provenant de milliers d'internautes qui ne se doutent de rien. Actuellement, ce site opère déjà dans une vingtaine de pays.

L'autorité est limitée dans son action parce que les sites se trouvent à l'étranger. Par contre, Google peut intervenir. Aux Pays-Bas, le parti D66, entre autres, plaide pour que l'on interpelle Google sur la question.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique et la protection de la vie privée font partie des priorités fixées. Il s'agit dès lors d'une compétence régionale transversale où les Régions interviennent surtout dans le volet préventif.

Voici mes questions à cet égard :

1) Que pensez-vous de ce genre de sites clickbait qui collectent automatiquement des données de citoyens et d'entreprises, y compris des documents privés qui ont été obtenus à la suite d'une fuite des données ou d'une mauvaise connexion internet, en faisant fi des droits d'auteur et en enfreignant, parfois très sérieusement, le droit à la vie privée ? Avez-vous déjà reçu des plaintes à cet égard ? Dans l'affirmative, quels étaient les sites incriminés ? Est-il exact que ceux-ci opèrent généralement au départ de la Russie ?

2) Avez-vous déjà entrepris des démarches à ce sujet auprès de la Commission de la protection de la vie privée ou par le biais de contacts bilatéraux afin de vérifier dans quelle mesure ces sites portent atteinte à la vie privée de nos concitoyens et de nos entreprises ? Pouvez-vous détailler votre réponse ?

3) Êtes-vous disposé à engager un dialogue avec des moteurs de recherche comme Google et pouvez-vous donner des détails quant au calendrier et au contenu de vos démarches ?

 

Op de website DocPlayer staan honderden e-books, tijdschriften, liedteksten, maar ook compleet ingevulde belastingaangiften en cv's met gegevens over salaris en vermogen. Met deze gegevens kan volgens het Nederlandse ministerie van Binnenlandse Zaken identiteitsfraude worden gepleegd. De documenten op deze site lijken daarop te zijn geplaatst door gebruikers, maar dat is nep. In werkelijkheid zijn deze pdf-bestanden verzameld door een slim computerprogramma. De documenten worden volledig automatisch op de site geplaatst. Dit gebeurt door middel van een robotje dat als een stofzuiger voortdurend het hele internet afstruint op zoek naar documenten en die op DocPlayer plaatst. Zolang dit publieke documenten zijn, zijn er geen onmiddellijke wettelijke bezwaren, maar wel als deze voortvloeien uit slecht beveiligde connecties op het internet of datalekken. Ook privédocumenten die per ongeluk op het internet komen - door bijvoorbeeld een datalek - worden op deze site geplaatst.

Volgens het Nederlandse National Cyber Security Centrum, de politie en de Autoriteit Persoonsgevens is wat deze site doet illegaal, omdat het op grote schaal de privacy en het auteursrecht schendt.

Het verdienmodel van deze illegale Russische site is gebaseerd op het aanklikken van artikelen - via zoekrobotten zoals Google - en het - soms stiekem - kopiëren van documenten van duizenden nietsvermoedende landgenoten. Deze site is momenteel reeds actief in een twintigtal landen.

De overheid kan weinig ondernemen, omdat de sites in het buitenland staan. Google kan dat wel. In Nederland pleit onder meer de partij D66 ervoor om Google hieromtrent aan te spreken.

Wat het transversale karakter van de vraag  betreft: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die zijn opgenomen in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit en de bescherming van de privacy. Het betreft aldus een transversale gewestaangelegenheid, waarbij de rol van de Gewesten vooral ligt in het preventieve luik en het onderwijs.

Ik heb hieromtrent volgende vragen :

1) Hoe reageert u op dergelijke clickbaitsites die via automatische processen dat ianzamelen van burgers en ondernemingen, inclusief privédocumenten die via datalekken of slechte internetverbindingen werden verkregen, waarbij auteursrechten worden genegeerd en de privacy soms zeer verregaand wordt geschonden ? Hebt u hieromtrent reeds klachten ontvangen ? Zo ja, om welke sites gaat het ? Klopt het dat deze veelal vanuit Rusland opereren ?

2) Hebt u hieromtrent stappen ondernomen bij de Privacycommissie of via bilaterale contacten om na te gaan in hoeverre de privacy van onze landgenoten en ondernemingen door dergelijke sites wordt aangetast ? Kunt u dit uitvoerig toelichten ?

3) Bent u bereid hieromtrent in dialoog te treden met zoekrobotten zoals Google en kunt u het tijdschema en de inhoud toelichten ?

 
Réponse reçue le 6 décembre 2017 : Antwoord ontvangen op 6 december 2017 :

1) Selon le nouveau règlement général européen relatif à la protection des données, qui entrera en vigueur en mai 2018, un responsable de traitement établi en dehors de l’Union européenne est soumis au règlement « lorsque les activités de traitement sont liées au suivi du comportement de personnes, dans la mesure où il s’agit d’un comportement qui a lieu dans l’Union ».

Si, comme le dit votre question, Doc Player place automatiquement sur son site des données de citoyens européens récoltées par des robots, il faut considérer que ce site est soumis au règlement et que donc les personnes concernées ont le droit d’être informé de la collecte de données, d’en avoir copie, et de s’opposer à ce traitement.

Concernant les plaintes, j’ai interrogé la Commission de la protection de la vie privée et celle-ci m’a répondu ne pas encore avoir reçu de plainte liée à Doc Player.

2) La Commission de la protection de la vie privée a attiré l’attention sur le fait que dans la mesure où ils s’agit de sites ou de serveurs russes, elle n’a aucun moyen d’y accéder. Lorsque la problématique dépasse le cadre belge, elle sera traitée au niveau européen, au sein du groupe 29 afin de déterminer si une approche européenne est possible.

3) Avant de prendre des mesures, il est opportun d’attendre les conclusion de l’enquête lancée par la Commission de la protection de la vie privée avec le groupe 29 et de déterminer quelles mesures et sanctions ils seront amenées à prendre.

1) Volgens de nieuwe algemene verordening gegevensbescherming, die in mei 2018 inwerking treedt, is een verantwoordelijke voor de verwerking die gevestigd is buiten de Europese Unie onderworpen aan de verordening « wanneer de verwerking verband houdt met het monitoren van het gedrag van de personen, voor zover dit gedrag plaatsvindt in de Europese Unie ».

Indien, zoals in uw vraag gesteld, Doc Player gegevens van Europese burgers die verzameld worden door robots, automatisch op zijn site plaatst dan moeten we ervan uitgaan dat die site onderworpen is aan de verordening en dat de betrokken personen het recht hebben om ingelicht te worden over het feit dat hun gegevens verzameld worden, er een kopie van te krijgen, en zich te verzetten tegen de verwerking ervan.

Ik heb nagevraagd bij de Commissie ter bescherming van de persoonlijke levenssfeer of er reeds klachten werden ingediend gelinkt aan Doc Player en zij hebben hier negatief op geantwoord.

2) De Privacycommissie heeft er wel op gewezen dat, voor zover het gaat om Russische sites of servers, dat ze over geen middelen beschikt om daartoe toegang te krijgen. Wanneer het gestelde probleem het Belgisch niveau overstijgt, wordt het binnen de WP 29 op Europees niveau behandeld om te bepalen of een Europese benadering mogelijk is.

3) Dus vooraleer maatregelen te nemen, wachten we best op de conclusies van het onderzoek dat de Privacycommissie lanceerde binnen de WP29 om te bepalen welke maatregelen en sancties ze ze zullen nemen.