Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-6422

de Alexander De Croo (Open Vld) du 7 juin 2012

au ministre de la Défense

Perte d'informations classifiées et de données à caractère personnel - Service général du renseignement et de la sécurité des forces armées (SGRS) - Sûreté de l'État - Protection des données en dehors de sites sécurisés - Incidents - Mesures - Recommandat

service secret
sûreté de l'Etat
données personnelles
protection des données
accès à l'information

Chronologie

7/6/2012Envoi question
16/7/2012Réponse

Aussi posée à : question écrite 5-6421
Aussi posée à : question écrite 5-6423

Question n° 5-6422 du 7 juin 2012 : (Question posée en néerlandais)

Le rapport d'activités 2010 du Comité permanent R fait mention de divers incidents ayant entraîné la perte de données à caractère personnel et/ou d'informations classifiées au Service général du renseignement et de la sécurité (SGRS). Le Comité R a analysé ces incidents qui ont eu lieu en 2007. Tous les incidents se sont déroulés en dehors des sites dits « sécurisés ». Inutile de préciser que de tels incidents peuvent s'avérer préjudiciables au bon fonctionnement du service.

Les résultats de cette analyse sont connus et semblent quelque peu inquiétants.

Tout d'abord, le SGRS n’a dénoncé qu’une seule affaire auprès des autorités judiciaires. Les autres négligences n’ont visiblement pas été considérées comme suffisamment graves. Le Comité permanent R conclut pourtant que ce jugement d’opportunité relève de la compétence souveraine du ministère public.

Certains de ces incidents ont engendré la perte de données personnelles et de contacts de personnes qui faisaient l’objet d’une enquête de sécurité. En l'absence de consignes à ce sujet, le SGRS n’en a informé aucune des personnes concernées.

Le Comité R écrit à ce sujet : « En l’absence de prescriptions en la matière, le SGRS juge actuellement au cas par cas en évaluant les risques pour le service et ceux pour la personne concernée. Il convient cependant de prendre toutes les précautions requises, puisqu’une estimation erronée des conséquences pourrait indubitablement mettre en péril la responsabilité de l’État belge ». Le Comité R a formulé différentes recommandations que je voudrais soumettre à la ministre compétente.

Mes questions sont les suivantes.

1) La ministre peut-elle indiquer combien de fois, chaque année depuis 2007, on a constaté des incidents ayant entraîné la perte de données personnelles et/ou d'informations classifiées par le SGRS, d'une part, et la Sûreté de l'État, d'autre part ? Je souhaiterais des détails sur le lieu où la perte est survenue et la nature des données qui ont été perdues et ce, tant pour les données à caractère personnel et les coordonnées que pour les informations classifiées, de 2007 (incluse) à nos jours. Ces données étaient-elles cryptées et/ou sécurisées ?

2) La ministre pense-t-elle que les données personnelles non classifiées qui sortent des sites sécurisés doivent elles aussi être systématiquement cryptées et/ou sécurisées ? Si oui, la ministre peut-elle indiquer si c'est actuellement le cas au SGRS et à la Sûreté de l'État ?

3) La ministre partage-t-elle le point de vue du Comité R, à savoir qu'il faut élaborer des consignes relatives à l'information éventuelle des personnes dont des données ont été perdues au sujet d'un incident de sécurité ? Si oui, la ministre peut-elle indiquer quelles doivent être ces consignes ? Si non, pour quelle raison et la ministre peut-elle expliquer en détail son point de vue ?

4) Que pense la ministre de la recommandation du Comité R d'équiper tous les véhicules de service des services de renseignement d'un dispositif de sécurisation de données et matériels sensibles et/ou classifiés ? Peut-elle communiquer l'état actuel de la question ? La ministre partage-t-elle cette préoccupation ? Si oui, que fait-on pour y remédier ? Si non, pour quelle raison ?

5) Comment la ministre réagit-elle à la constatation qu'en 2007, le SGRS n'a signalé qu'un seul cas de perte de données aux autorités judiciaires alors qu'il appartient au ministère public de juger de la gravité des faits ? La ministre peut-elle répondre de façon détaillée ?

6) A-t-on tiré des leçons de l'avis du Comité R relatif à la notification de la perte de données classifiées et/ou de données à caractère personnel ? A-t-on élaboré des directives pour que de tels faits soient systématiquement portés à la connaissance des autorités judiciaires puisque le jugement d'opportunité incombe au ministère public et non au SGRS ? La ministre peut-elle répondre de façon détaillée ?

Réponse reçue le 16 juillet 2012 :

L’honorable membre est prié de trouver ci-dessous la réponse à ses questions:

1. La Commission Parlementaire d’Accompagnement du Comité Permanent de Contrôle offre, par son système de réunions et d’invitations des ministres concernés, un forum adéquat pour débattre des rapports du Comité Permanent R. En ce qui concerne la Sûreté de l'État, l’honorable membre est prié de se référer à la ministre de la Justice. Le cadre légal pour le traitement d’informations sensibles concerne plusieurs départements et nécessite donc une approche interdépartementale. Au Service général du renseignement et de la sécurité (SGRS), onze cas de vol ou perte sont répertoriés depuis 2007 (sept en Belgique, le reste à l’étranger), avec une nette tendance à la baisse depuis les nombreux cas de l’année 2007 mentionnés dans le rapport du Comité Permanent R. La plupart concernaient des vols ou pertes d’informations ou de matériel classifiés.

2. En ce qui concerne la Sécurité de l'État, l’honorable membre doit s'adresser au ministre de la Justice. Le règlement IF 5 relatif à la sécurité au sein des Forces armées ne prévoit pas que des données non classifiées soient cryptées ou sécurisées. Bien entendu, toutes les prescriptions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel sont respectées.

3. Lorsque l’incident de sécurité concerne des données personnelles collectées dans le cadre d’enquêtes de sécurité préalables à la délivrance d’une habilitation, une attestation ou un avis de sécurité, il est indiqué d’avertir la personne dont les données pourraient être compromises. Une directive au sein du SGRS est le moyen le plus indiqué à cette fin.

Quand il s’agit d’informations collectées dans le cadre des autres missions du SGRS, avertir les personnes dont les données seraient compromises pourrait nuire aux opérations en cours dans lesquelles ces données personnelles apparaissent.

Si la compromission met en danger une personne, celle-ci sera avertie et des mesures seront prises pour limiter les risques.

4. Sous réserve de l’impact budgétaire et en tenant compte du nombre de véhicules qui sont utilisés par le SGRS, je ne peux que réagir positivement à la proposition d’équiper les véhicules du SGRS avec un dispositif de sécurisation des informations et du matériel sensibles et/ou classifiés. Jusqu’à présent, toutes les divisions sont équipées de porte-documents qui ferment à clef, disponibles dans la chaîne militaire.

5. Une plainte a été déposée par le SGRS au Parquet pour un seul des trois vols en raison du fait qu’une enquête interne avait révélé qu’il y était question d’une négligence grave : documents laissés visibles dans une voiture avec une fenêtre ouverte alors que la voiture était laissée sans surveillance. La plainte a été introduite sur base de l’article 11 de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. Cet article précise que le titulaire d’une habilitation de sécurité qui, dans l’exercice de ses fonctions, utilise ou laisse utiliser des informations, documents ou données, ou du matériel classifiés, de manière inappropriée sera, même si cette utilisation est la conséquence d’une négligence, pour autant qu’elle soit grave, puni d’un emprisonnement et/ou d’une amende. Dans les autres cas, une plainte a été déposée auprès de la police locale par les membres du personnel victimes de vol.

6. Sur base de l’article 29 du Code d’instruction criminelle, le SGRS est (comme toute autre autorité) obligé d’informer les autorités judiciaires chaque fois qu’il a connaissance d’un crime ou d’un délit. Le règlement IF 5 relatif à la sécurité au sein des Forces armées renvoie implicitement à cette disposition lorsqu’il prévoit que chaque incident à caractère judiciaire doit être porté à la connaissance des autorités judiciaires. L’obligation de l’article 29 ne s’applique cependant que dans la mesure où l’autorité a connaissance de l’existence d’un délit ou d’un crime. Une simple présomption de l’existence d’un délit ou d’un crime n’est pas suffisante.