SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2008-2009 Zitting 2008-2009
________________
12 aôut 2009 12 augustus 2009
________________
Question écrite n° 4-4052 Schriftelijke vraag nr. 4-4052

de Bart Tommelein (Open Vld)

van Bart Tommelein (Open Vld)

au ministre de la Justice

aan de minister van Justitie
________________
Banques de données - Protection des données - Stockage - Criminalité sur internet Databanken - Bescherming van gegevens - Opslag - Internetcriminaliteit 
________________
base de données
protection des données
protection de la vie privée
données personnelles
criminalité informatique
Internet
Autorité de protection des données
gegevensbank
gegevensbescherming
eerbiediging van het privé-leven
persoonlijke gegevens
computercriminaliteit
internet
Gegevensbeschermingsautoriteit
________ ________
12/8/2009 Verzending vraag
(Einde van de antwoordtermijn: 10/9/2009 )
4/11/2009 Antwoord
12/8/2009 Verzending vraag
(Einde van de antwoordtermijn: 10/9/2009 )
4/11/2009 Antwoord
________ ________
Question n° 4-4052 du 12 aôut 2009 : (Question posée en néerlandais) Vraag nr. 4-4052 d.d. 12 augustus 2009 : (Vraag gesteld in het Nederlands)

Le Nederlandse College Bescherming Persoonsgegevens envisage des règles plus strictes concernant la manière de protéger les données des clients dans les banques de données.

Le CBP compte élaborer des règles détaillées et fera en sorte qu'elles soient strictement respectées. Après le renforcement des règles, le gardien de la vie privée pourra plus facilement infliger des amendes aux entreprises qui ne traitent pas avec soin les données des client. Selon le président néerlandais du NCBP, M. Kohnstamm, une telle amende peut atteindre des millions d'euros.

Ces règles sont indispensable étant donné que les banques de données sont de plus en plus la cible des criminels sur internet.

Je souhaite une réponse détaillées aux questions suivantes.

1. La Commission belge de la protection de la vie privée a-t-elle déjà élaboré des règles détaillées relatives à la protection des données des clients dans les banques de données. Dans l'affirmative, ces règles sont-elles suffisantes?

2. La Commission belge de la protection de la vie privée peut-elle infliger des amendes si ses directives relatives à la protection des fichiers de clients dans les banques de données ne sont pas respectées ou si les données des clients sont traitées avec négligence? Dans l'affirmative, combien de fois cela s'est-il produit et quel est le montant total des amendes perçues annuellement? Dans la négative, le ministre n'estime-t-il pas indiqué de prévoir cette possibilité d'amendes? Peut-il donner des éclaircissements?

3. Le ministre compétent peut-il préciser, respectivement pour 2006, 2007 et 2008 combien de fois la Commission belge de la protection de la vie privée a constaté que la protection des fichiers de clients dans les banques de donnée laissait à désirer? Peut-on parler d'une tendance? Le ministre peut-il expliquer cela en détail?

 

Het Nederlandse College Bescherming Persoonsgegevens komt met scherpere regels wat betreft de wijze waarop klantgegevens in databases moeten worden beveiligd.

Het CBP gaat gedetailleerde regels uitwerken en vervolgens strikt handhaven. De privacy-waakhond kan na de aanscherping makkelijker boetes opleggen aan bedrijven die niet zorgvuldig omgaan met klantgegevens. Zo'n boete kan volgens de Nederlandse Voorzitter van het NCBP, Kohnstamm uiteindelijk oplopen tot miljoenen euro's.

Deze regels zijn noodzakelijk gezien databanken steeds meer geviseerd worden door internetcriminelen.

Graag had ik hieromtrent dan ook van de geachte minister een gedetailleerd antwoord ontvangen op volgende vragen:

1. Heeft Belgische Commissie voor de Bescherming van de Persoonlijke levenssfeer reeds gedetailleerde regels uitgewerkt wat betreft de beveiliging van klantgegevens in databanken en zo ja volstaan deze?

2. Kan de Belgische Commissie voor de Bescherming van de Persoonlijke levenssfeer boetes opleggen indien haar richtlijnen wat betreft het beveiligen van klantenbestanden in databanken niet worden nageleefd of er onzorgvuldig wordt omgesprongen met de klantgegevens op databanken? Zo ja, hoeveel maal werd dit reeds toegepast en kan het totaalbedrag van geïnde boetes worden weergegeven en dit op jaarbasis? Zo neen, acht de minister het niet aangewezen om deze boetemogelijkheid te voorzien en kan dit concreet worden toegelicht?

3. Kan de bevoegde minister aangeven en dit voor respectievelijk 2006, 2007 en 2008 hoeveel keer de Belgische Commissie voor de Bescherming van de Persoonlijke levenssfeer heeft vastgesteld dat de beveiliging van klantenbestanden in databanken tekort schoot? Is er sprake van een tendens? Kan dit worden toegelicht?

 
Réponse reçue le 4 novembre 2009 : Antwoord ontvangen op 4 november 2009 :

1. L’article 16 §4 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel prévoit que : « Afin de garantir la sécurité des données à caractère personnel, le responsable du traitement et, le cas échéant, son représentant en Belgique, ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.

Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels ».

À ma connaissance, la Commission de la protection de la vie privée n’a pas rédigé de règles de sécurité spécifiques aux données clients.

Par contre, elle a adopté et publié sur son site web les « mesures de référence en matière de sécurité applicables à tout traitement de données à caractère personnel ».

2. Concernant cette question, il vous revient de vous adresser directement à la Commission de la protection de la vie privée.

La Commission étant indépendante, je n’ai pas d’instruction à lui donner au sujet d’éventuelles amendes.

3. Concernant cette question, je n’ai pas d’information. Il vous revient d’adresser toutes vos questions directement à la Commission.

Pour le surplus, je rappelle que l’article 23 de la loi du 8 décembre 1992 précitée institue la Commission de la protection de la vie privée auprès de la Chambre des représentants. L’article 24 §6, quant à lui, rappelle que les membres de la Commission ne « reçoivent d’instruction de personne ».

Vous pouvez donc adresser vos questions directement à la Commission de la protection de la vie privée.

1. Artikel 16§4 van de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens voorziet dat : “om de veiligheid van de persoonsgegevens te waarborgen, moet de verantwoordelijke van de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.

Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's.”

Voor zover ik weet heeft de Commissie voor de bescherming van de persoonlijke levensfeer geen gedetailleerde regels uitgewerkt wat betreft de beveiliging van klantgegevens in databanken.

Daarentegen heeft ze “referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens” aangenomen, te vinden op haar website.

2. Betreffende deze vraag, kunt u zich rechtstreeks tot de Commissie voor de bescherming van de persoonlijke levensfeer richten.

Gezien de onafhankelijkheid van deze Commissie, heb ik geen instructies aan haar te geven wat betreft mogelijke boetes.

3. Betreffende deze vraag, heb ik geen informatie. U kunt rechtstreek al uw vragen aan de Commissie stellen.

Verder herinner ik er aan dat artikel 23 van de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens de Commissie voor de bescherming van de persoonlijke levensfeer bij de Kamer van volksvertegenwoordigers instelt. Het artikel 24 §6 herinnert er in dit verband aan dat “de leden van de Commissie van niemand onderrichtingen krijgen”.

U kunt dus rechtstreeks aan de Commissie uw vragen stellen.