Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-6421

de Alexander De Croo (Open Vld) du 7 juin 2012

à la vice-première ministre et ministre de l'Intérieur et de l'Égalité des Chances

Perte d'informations classifiées et de données à caractère personnel - Service général du renseignement et de la sécurité des forces armées (SGRS) - Sûreté de l'État - Protection des données en dehors de sites sécurisés - Incidents - Mesures - Recommandat

service secret
sûreté de l'Etat
données personnelles
protection des données
accès à l'information

Chronologie

7/6/2012 Envoi question
3/8/2012 Réponse

Aussi posée à : question écrite 5-6422
Aussi posée à : question écrite 5-6423

Question n° 5-6421 du 7 juin 2012 : (Question posée en néerlandais)

Le rapport d'activités 2010 du Comité permanent R fait mention de divers incidents ayant entraîné la perte de données à caractère personnel et/ou d'informations classifiées au Service général du renseignement et de la sécurité (SGRS). Le Comité R a analysé ces incidents qui ont eu lieu en 2007. Tous les incidents se sont déroulés en dehors des sites dits « sécurisés ». Inutile de préciser que de tels incidents peuvent s'avérer préjudiciables au bon fonctionnement du service.

Les résultats de cette analyse sont connus et semblent quelque peu inquiétants.

Tout d'abord, le SGRS n’a dénoncé qu’une seule affaire auprès des autorités judiciaires. Les autres négligences n’ont visiblement pas été considérées comme suffisamment graves. Le Comité permanent R conclut pourtant que ce jugement d’opportunité relève de la compétence souveraine du ministère public.

Certains de ces incidents ont engendré la perte de données personnelles et de contacts de personnes qui faisaient l’objet d’une enquête de sécurité. En l'absence de consignes à ce sujet, le SGRS n’en a informé aucune des personnes concernées.

Le Comité R écrit à ce sujet : « En l’absence de prescriptions en la matière, le SGRS juge actuellement au cas par cas en évaluant les risques pour le service et ceux pour la personne concernée. Il convient cependant de prendre toutes les précautions requises, puisqu’une estimation erronée des conséquences pourrait indubitablement mettre en péril la responsabilité de l’État belge ». Le Comité R a formulé différentes recommandations que je voudrais soumettre à la ministre compétente.

Mes questions sont les suivantes.

1) La ministre peut-elle indiquer combien de fois, chaque année depuis 2007, on a constaté des incidents ayant entraîné la perte de données personnelles et/ou d'informations classifiées par le SGRS, d'une part, et la Sûreté de l'État, d'autre part ? Je souhaiterais des détails sur le lieu où la perte est survenue et la nature des données qui ont été perdues et ce, tant pour les données à caractère personnel et les coordonnées que pour les informations classifiées, de 2007 (incluse) à nos jours. Ces données étaient-elles cryptées et/ou sécurisées ?

2) La ministre pense-t-elle que les données personnelles non classifiées qui sortent des sites sécurisés doivent elles aussi être systématiquement cryptées et/ou sécurisées ? Si oui, la ministre peut-elle indiquer si c'est actuellement le cas au SGRS et à la Sûreté de l'État ?

3) La ministre partage-t-elle le point de vue du Comité R, à savoir qu'il faut élaborer des consignes relatives à l'information éventuelle des personnes dont des données ont été perdues au sujet d'un incident de sécurité ? Si oui, la ministre peut-elle indiquer quelles doivent être ces consignes ? Si non, pour quelle raison et la ministre peut-elle expliquer en détail son point de vue ?

4) Que pense la ministre de la recommandation du Comité R d'équiper tous les véhicules de service des services de renseignement d'un dispositif de sécurisation de données et matériels sensibles et/ou classifiés ? Peut-elle communiquer l'état actuel de la question ? La ministre partage-t-elle cette préoccupation ? Si oui, que fait-on pour y remédier ? Si non, pour quelle raison ?

5) Comment la ministre réagit-elle à la constatation qu'en 2007, le SGRS n'a signalé qu'un seul cas de perte de données aux autorités judiciaires alors qu'il appartient au ministère public de juger de la gravité des faits ? La ministre peut-elle répondre de façon détaillée ?

6) A-t-on tiré des leçons de l'avis du Comité R relatif à la notification de la perte de données classifiées et/ou de données à caractère personnel ? A-t-on élaboré des directives pour que de tels faits soient systématiquement portés à la connaissance des autorités judiciaires puisque le jugement d'opportunité incombe au ministère public et non au SGRS ? La ministre peut-elle répondre de façon détaillée ?

Réponse reçue le 3 aôut 2012 :

Les questions ne relèvent pas de ma compétence mais de celle de la ministre de la Justice, Mme Turtelboom d'une part, et du ministre de la Défense, M De Crem d'autre part. Je vous renvoie dès lors à mes deux collègues à qui vous avez également posé les questions, pour obtenir une réponse à vos questions.