SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2011-2012 Zitting 2011-2012
________________
7 juin 2012 7 juni 2012
________________
Question écrite n° 5-6423 Schriftelijke vraag nr. 5-6423

de Alexander De Croo (Open Vld)

van Alexander De Croo (Open Vld)

à la ministre de la Justice

aan de minister van Justitie
________________
Perte d'informations classifiées et de données à caractère personnel - Service général du renseignement et de la sécurité des forces armées (SGRS) - Sûreté de l'État - Protection des données en dehors de sites sécurisés - Incidents - Mesures - Recommandat Verlies van geclassificeerde informatie en persoonsgegevens - Algemene Dienst Inlichtingen en Veiligheid (ADIV) - Veiligheid van de Staat - Bescherming van gegevens buiten beveiligde sites - Incidenten - Maatregelen - Aanbevelingen 
________________
service secret
sûreté de l'Etat
données personnelles
protection des données
accès à l'information
geheime dienst
staatsveiligheid
persoonlijke gegevens
gegevensbescherming
toegang tot de informatie
________ ________
7/6/2012Verzending vraag
28/9/2012Antwoord
7/6/2012Verzending vraag
28/9/2012Antwoord
________ ________
Aussi posée à : question écrite 5-6421
Aussi posée à : question écrite 5-6422
Aussi posée à : question écrite 5-6421
Aussi posée à : question écrite 5-6422
________ ________
Question n° 5-6423 du 7 juin 2012 : (Question posée en néerlandais) Vraag nr. 5-6423 d.d. 7 juni 2012 : (Vraag gesteld in het Nederlands)

Le rapport d'activités 2010 du Comité permanent R fait mention de divers incidents ayant entraîné la perte de données à caractère personnel et/ou d'informations classifiées au Service général du renseignement et de la sécurité (SGRS). Le Comité R a analysé ces incidents qui ont eu lieu en 2007. Tous les incidents se sont déroulés en dehors des sites dits « sécurisés ». Inutile de préciser que de tels incidents peuvent s'avérer préjudiciables au bon fonctionnement du service.

Les résultats de cette analyse sont connus et semblent quelque peu inquiétants.

Tout d'abord, le SGRS n’a dénoncé qu’une seule affaire auprès des autorités judiciaires. Les autres négligences n’ont visiblement pas été considérées comme suffisamment graves. Le Comité permanent R conclut pourtant que ce jugement d’opportunité relève de la compétence souveraine du ministère public.

Certains de ces incidents ont engendré la perte de données personnelles et de contacts de personnes qui faisaient l’objet d’une enquête de sécurité. En l'absence de consignes à ce sujet, le SGRS n’en a informé aucune des personnes concernées.

Le Comité R écrit à ce sujet : « En l’absence de prescriptions en la matière, le SGRS juge actuellement au cas par cas en évaluant les risques pour le service et ceux pour la personne concernée. Il convient cependant de prendre toutes les précautions requises, puisqu’une estimation erronée des conséquences pourrait indubitablement mettre en péril la responsabilité de l’État belge ». Le Comité R a formulé différentes recommandations que je voudrais soumettre à la ministre compétente.

Mes questions sont les suivantes.

1) La ministre peut-elle indiquer combien de fois, chaque année depuis 2007, on a constaté des incidents ayant entraîné la perte de données personnelles et/ou d'informations classifiées par le SGRS, d'une part, et la Sûreté de l'État, d'autre part ? Je souhaiterais des détails sur le lieu où la perte est survenue et la nature des données qui ont été perdues et ce, tant pour les données à caractère personnel et les coordonnées que pour les informations classifiées, de 2007 (incluse) à nos jours. Ces données étaient-elles cryptées et/ou sécurisées ?

2) La ministre pense-t-elle que les données personnelles non classifiées qui sortent des sites sécurisés doivent elles aussi être systématiquement cryptées et/ou sécurisées ? Si oui, la ministre peut-elle indiquer si c'est actuellement le cas au SGRS et à la Sûreté de l'État ?

3) La ministre partage-t-elle le point de vue du Comité R, à savoir qu'il faut élaborer des consignes relatives à l'information éventuelle des personnes dont des données ont été perdues au sujet d'un incident de sécurité ? Si oui, la ministre peut-elle indiquer quelles doivent être ces consignes ? Si non, pour quelle raison et la ministre peut-elle expliquer en détail son point de vue ?

4) Que pense la ministre de la recommandation du Comité R d'équiper tous les véhicules de service des services de renseignement d'un dispositif de sécurisation de données et matériels sensibles et/ou classifiés ? Peut-elle communiquer l'état actuel de la question ? La ministre partage-t-elle cette préoccupation ? Si oui, que fait-on pour y remédier ? Si non, pour quelle raison ?

5) Comment la ministre réagit-elle à la constatation qu'en 2007, le SGRS n'a signalé qu'un seul cas de perte de données aux autorités judiciaires alors qu'il appartient au ministère public de juger de la gravité des faits ? La ministre peut-elle répondre de façon détaillée ?

6) A-t-on tiré des leçons de l'avis du Comité R relatif à la notification de la perte de données classifiées et/ou de données à caractère personnel ? A-t-on élaboré des directives pour que de tels faits soient systématiquement portés à la connaissance des autorités judiciaires puisque le jugement d'opportunité incombe au ministère public et non au SGRS ? La ministre peut-elle répondre de façon détaillée ?

 

In het Activiteitenverslag (2010) van het Vast Comité I wordt gewag gemaakt van diverse incidenten betreffende het verlies van persoonsgegevens en/of geclassificeerde informatie bij de Algemene Dienst Inlichting en Veiligheid (ADIV). Het Comité I onderzocht deze incidenten die plaatsvonden in 2007. Alle incidenten deden zich voor buiten de zogenaamde "beveiligde sites". Het hoeft geen betoog dat dergelijke incidenten potentieel schadelijk zijn voor de goede werking van de dienst.

De resultaten van het onderzoek zijn gekend en lijken enigszins verontrustend.

Vooreerst heeft de ADIV slechts in één geval aangifte gedaan bij de gerechtelijke autoriteiten. De overige nalatigheden werden klaarblijkelijk niet ernstig genoeg geacht. Nochtans besluit het Comité I dat dergelijk opportuniteitsoordeel tot de soevereine bevoegdheid van het Openbaar Ministerie behoort .

Bij bepaalde incidenten is er sprake van verlies van persoonsgegevens, waarbij contacten en gegevens verdwenen van personen die het voorwerp uitmaken van een veiligheidsonderzoek. Bij gebrek aan voorschriften werd in geen van de gevallen de betrokken personen geïnformeerd van het verlies van gegevens.

Het Comité I stelt hieromtrent: "Bij gebreke aan voorschriften ter zake wordt momenteel geval per geval een afweging gemaakt tussen de risico's voor de dienst en deze voor de betrokken persoon. Dit moet secuur gebeuren nu een verkeerde inschatting ongetwijfeld de gemeenrechtelijke aansprakelijkheid van de Belgische overheid in het gedrang zou kunnen brengen.". Het Comité I heeft diverse aanbevelingen geformuleerd die ik graag wil voorleggen aan de bevoegde minister.

Ik heb hieromtrent volgende vragen:

1) Kan de minister aangeven hoeveel keer er jaarlijks, sinds 2007, incidenten zijn geweest betreffende het verlies van persoonsgegevens en/of geclassificeerde gegevens door respectievelijk het ADIV en de Veiligheid van de Staat ? Graag een gedetailleerde toelichting over de plaats waar het verlies plaatsvond en de aard van de gegevens die verloren gingen, dit zowel wat betreft persoonsgegevens, contactgegevens als geclassificeerde gegevens vanaf 2007 (dat jaar inbegrepen) tot op heden. Waren deze gegevens versleuteld en/of beveiligd?

2) Meent de minister dat ook de niet geclassificeerde persoonsgegevens die de beveiligde site verlaten systematisch dienen te worden versleuteld en/of beveiligd ? Zo ja , kan de bevoegde minister aangeven of dit momenteel het geval is bij de ADIV en de Veiligheid van de Staat?

3) Deelt de minister het standpunt van het Vast Comité I, namelijk dat er voorschriften moeten worden uitgewerkt voor de eventuele mededeling van een veiligheidsincident aan de personen over wie informatie verloren ging? Zo ja, kan zij aangeven hoe deze voorschriften eruit moeten zien? Zo neen, waarom niet en kan dit uitvoerig worden toegelicht?

4) Hoe staat de minister tegenover de aanbeveling van het Vast Comité I om de dienstvoertuigen van alle inlichtingendiensten uit te rusten met een dispositief voor de beveiliging van gevoelige en/of geclassificeerde informatie en materialen? Kan de actuele stand van zaken hieromtrent worden weergegeven ? Deelt de minister deze bezorgdheid? Zo ja, wat wordt hieraan gedaan? Zo neen, waarom niet?

5) Hoe reageert de minister op de vaststelling dat het ADIV in 2007 slechts in één geval aangifte deed van verlies van gegevens bij de gerechtelijke autoriteiten, ondanks het feit dat het aan het Openbaar Ministerie toekomt om de bepalen of de feiten al dan niet ernstig zijn ? Kan dit antwoord uitvoerig worden toegelicht?

6) Werden er lessen getrokken uit het advies van het Vast Comité I inzake het aangeven van verlies van geclassificeerde gegevens en/of persoonsgegevens? Zijn er richtlijnen uitgevaardigd om dit systematisch aan te geven aan de gerechtelijke autoriteiten, gezien het opportuniteitsoordeel aan het Openbaar Ministerie toekomt en niet aan de ADIV zelf? Kan dit uitvoerig worden toegelicht?

 
Réponse reçue le 28 septembre 2012 : Antwoord ontvangen op 28 september 2012 :
  1. Un seul incident est à déplorer entre 2007 et aujourd’hui, impliquant la perte de matériel classifié. Ainsi, début 2012, un CD-Rom non sécurisé contenant des données classifiées « confidentiel » a été perdu à l’extérieur des sites sécurisés.

  2. Il n’est pas d’usage d’emporter des données à caractère personnel non classifiées en dehors des sites sécurisés. La Sûreté de l’État n’a du reste pas connaissance de la perte éventuelle de données à caractère personnel ; le service n’a jamais reçu de déclaration concernant la perte ou la découverte de telles données. Il faut par ailleurs souligner que lorsque les PC quittent les sites sécurisés, ils sont toujours sécurisés, tandis que les clefs USB ne le sont qu’à la demande de l’utilisateur.

  3. Dans son rapport annuel 2010, le Comité R relate la perte, par le Service général du renseignment et de la sécurité (SGRS), de données personnelles de contacts et personnes ayant fait l’objet d’une enquête de sécurité. Il y est également fait mention du fait que le SGRS n’a pas informé ces personnes de cette perte pour des raisons d’opportunité. La Sûreté de l’Etat partage le point de vue du SGRS: compte tenu de ce qui fait la spécificité des services de renseignement (recours aux sources humaines, secret des techniques et tactiques, protection des informations transmises par les services étrangers, etc.), il n’est pas indiqué de signaler de manière systématique les incidents de sécurité aux personnes qui sont ainsi concernées par la perte d’informations personnelles.

  4. La recommandation qui vise à équiper tous les véhicules de service d’un dispositif de sécurité n’offre aucune garantie absolue contre la perte ou le vol de documents classifiés. L’installation d’un compartiment sécurisé dans un seul véhicule réservé au transport du matériel sensible semble constituer la seule solution qui puisse offrir une garantie suffisante au niveau de la sécurité, d’une part, et soit réalisable compte tenu des impératifs budgétaires, d’autre part. Au niveau de la Sûreté de l’État, aucune décision n’a encore été prise à ce sujet.

  5. La réponse à cette question est du ressort du ministre de la Défense.

  6. La réponse à cette question est du ressort du ministre de la Défense.

  1. Sinds 2007 en tot op heden heeft één incident plaatsgevonden waarbij geclassificeerd materiaal verloren is. Het geval vond plaats begin 2012, buiten de beveiligde sites, en betrof het verlies van een niet-beveiligde CD- rom met gegevens die “vertrouwelijk” geclassificeerd waren.

  2. Het is niet gebruikelijk dat niet-geclassificeerde persoonsgegevens de beveiligde site verlaten. De Veiligheid van de Staat heeft ook geen kennis van het eventuele verlies van persoonsgegevens; de dienst heeft hierover nooit een aangifte van verlies of van vondst ontvangen. Er moet opgemerkt worden dat de PC’s die de beveiligde sites verlaten steeds beveiligd zijn; voor USB-sticks gebeurt dit enkel op aanvraag van de gebruiker.

  3. In zijn jaarverslag 2010 maakt het Comité I melding van het verlies door de Algemene Dienst Inlichtingen en Veiligheid (ADIV) van persoonsgegevens van contacten en personen die het voorwerp uitmaakten van een veiligheidsonderzoek en het feit dat de ADIV de betrokken personen hiervan wegens opportuniteitsredenen niet op de hoogte gebracht heeft. De Veiligheid van de Staat is dezelfde mening toegedaan als de ADIV: gezien de specifieke aard van de inlichtingendiensten (onder andere het werken met menselijke bronnen, de geheimhouding van de technieken en tactieken, de bescherming van de informatie die van buitenlandse diensten afkomstig is) is het niet aangewezen dat veiligheidsincidenten systematisch worden gesignaleerd aan personen over wie informatie verloren gegaan is.

  4. De aanbeveling om alle dienstvoertuigen uit te rusten met een beveiligingsdispositief biedt geen absolute garantie tegen verlies of diefstal van geclassificeerde documenten. Het uitrusten van één voertuig, bestemd voor het vervoer van gevoelig materiaal, met een beveiligd compartiment lijkt de enige oplossing die enerzijds voldoende garantie biedt op vlak van veiligheid en anderzijds budgettair haalbaar is. Op het niveau van de Veiligheid van de Staat werd hierover nog geen beslissing genomen.

  5. Het antwoord op deze vraag behoort tot de bevoegdheid van de minister van Landsverdediging.

  6. Het antwoord op deze vraag behoort tot de bevoegdheid van de minister van Landsverdediging.