SÉNAT Question écrite n° 5-6422 - SENAAT Schriftelijke vraag nr. 5-6422

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2011-2012

Zitting 2011-2012

________

7 juin 2012

7 juni 2012

________

Question écrite n° 5-6422

Schriftelijke vraag nr. 5-6422

de Alexander De Croo (Open Vld)

van Alexander De Croo (Open Vld)

au ministre de la Défense

aan de minister van Landsverdediging

________

Perte d'informations classifiées et de données à caractère personnel - Service général du renseignement et de la sécurité des forces armées (SGRS) - Sûreté de l'État - Protection des données en dehors de sites sécurisés - Incidents - Mesures - Recommandat

Verlies van geclassificeerde informatie en persoonsgegevens - Algemene Dienst Inlichtingen en Veiligheid (ADIV) - Veiligheid van de Staat - Bescherming van gegevens buiten beveiligde sites - Incidenten - Maatregelen - Aanbevelingen

________

service secret
sûreté de l'Etat
données personnelles
protection des données
accès à l'information

geheime dienst
staatsveiligheid
persoonlijke gegevens
gegevensbescherming
toegang tot de informatie

________

7/6/2012	Verzending vraag
16/7/2012	Antwoord

7/6/2012	Verzending vraag
16/7/2012	Antwoord

________

Ook gesteld aan : schriftelijke vraag 5-6421
Ook gesteld aan : schriftelijke vraag 5-6423

________

Question n° 5-6422 du 7 juin 2012 : (Question posée en néerlandais)

Vraag nr. 5-6422 d.d. 7 juni 2012 : (Vraag gesteld in het Nederlands)

Le rapport d'activités 2010 du Comité permanent R fait mention de divers incidents ayant entraîné la perte de données à caractère personnel et/ou d'informations classifiées au Service général du renseignement et de la sécurité (SGRS). Le Comité R a analysé ces incidents qui ont eu lieu en 2007. Tous les incidents se sont déroulés en dehors des sites dits « sécurisés ». Inutile de préciser que de tels incidents peuvent s'avérer préjudiciables au bon fonctionnement du service.

Les résultats de cette analyse sont connus et semblent quelque peu inquiétants.

Tout d'abord, le SGRS n’a dénoncé qu’une seule affaire auprès des autorités judiciaires. Les autres négligences n’ont visiblement pas été considérées comme suffisamment graves. Le Comité permanent R conclut pourtant que ce jugement d’opportunité relève de la compétence souveraine du ministère public.

Certains de ces incidents ont engendré la perte de données personnelles et de contacts de personnes qui faisaient l’objet d’une enquête de sécurité. En l'absence de consignes à ce sujet, le SGRS n’en a informé aucune des personnes concernées.

Le Comité R écrit à ce sujet : « En l’absence de prescriptions en la matière, le SGRS juge actuellement au cas par cas en évaluant les risques pour le service et ceux pour la personne concernée. Il convient cependant de prendre toutes les précautions requises, puisqu’une estimation erronée des conséquences pourrait indubitablement mettre en péril la responsabilité de l’État belge ». Le Comité R a formulé différentes recommandations que je voudrais soumettre à la ministre compétente.

Mes questions sont les suivantes.

1) La ministre peut-elle indiquer combien de fois, chaque année depuis 2007, on a constaté des incidents ayant entraîné la perte de données personnelles et/ou d'informations classifiées par le SGRS, d'une part, et la Sûreté de l'État, d'autre part ? Je souhaiterais des détails sur le lieu où la perte est survenue et la nature des données qui ont été perdues et ce, tant pour les données à caractère personnel et les coordonnées que pour les informations classifiées, de 2007 (incluse) à nos jours. Ces données étaient-elles cryptées et/ou sécurisées ?

2) La ministre pense-t-elle que les données personnelles non classifiées qui sortent des sites sécurisés doivent elles aussi être systématiquement cryptées et/ou sécurisées ? Si oui, la ministre peut-elle indiquer si c'est actuellement le cas au SGRS et à la Sûreté de l'État ?

3) La ministre partage-t-elle le point de vue du Comité R, à savoir qu'il faut élaborer des consignes relatives à l'information éventuelle des personnes dont des données ont été perdues au sujet d'un incident de sécurité ? Si oui, la ministre peut-elle indiquer quelles doivent être ces consignes ? Si non, pour quelle raison et la ministre peut-elle expliquer en détail son point de vue ?

4) Que pense la ministre de la recommandation du Comité R d'équiper tous les véhicules de service des services de renseignement d'un dispositif de sécurisation de données et matériels sensibles et/ou classifiés ? Peut-elle communiquer l'état actuel de la question ? La ministre partage-t-elle cette préoccupation ? Si oui, que fait-on pour y remédier ? Si non, pour quelle raison ?

5) Comment la ministre réagit-elle à la constatation qu'en 2007, le SGRS n'a signalé qu'un seul cas de perte de données aux autorités judiciaires alors qu'il appartient au ministère public de juger de la gravité des faits ? La ministre peut-elle répondre de façon détaillée ?

6) A-t-on tiré des leçons de l'avis du Comité R relatif à la notification de la perte de données classifiées et/ou de données à caractère personnel ? A-t-on élaboré des directives pour que de tels faits soient systématiquement portés à la connaissance des autorités judiciaires puisque le jugement d'opportunité incombe au ministère public et non au SGRS ? La ministre peut-elle répondre de façon détaillée ?

In het Activiteitenverslag (2010) van het Vast Comité I wordt gewag gemaakt van diverse incidenten betreffende het verlies van persoonsgegevens en/of geclassificeerde informatie bij de Algemene Dienst Inlichting en Veiligheid (ADIV). Het Comité I onderzocht deze incidenten die plaatsvonden in 2007. Alle incidenten deden zich voor buiten de zogenaamde "beveiligde sites". Het hoeft geen betoog dat dergelijke incidenten potentieel schadelijk zijn voor de goede werking van de dienst.

De resultaten van het onderzoek zijn gekend en lijken enigszins verontrustend.

Vooreerst heeft de ADIV slechts in één geval aangifte gedaan bij de gerechtelijke autoriteiten. De overige nalatigheden werden klaarblijkelijk niet ernstig genoeg geacht. Nochtans besluit het Comité I dat dergelijk opportuniteitsoordeel tot de soevereine bevoegdheid van het Openbaar Ministerie behoort .

Bij bepaalde incidenten is er sprake van verlies van persoonsgegevens, waarbij contacten en gegevens verdwenen van personen die het voorwerp uitmaken van een veiligheidsonderzoek. Bij gebrek aan voorschriften werd in geen van de gevallen de betrokken personen geïnformeerd van het verlies van gegevens.

Het Comité I stelt hieromtrent: "Bij gebreke aan voorschriften ter zake wordt momenteel geval per geval een afweging gemaakt tussen de risico's voor de dienst en deze voor de betrokken persoon. Dit moet secuur gebeuren nu een verkeerde inschatting ongetwijfeld de gemeenrechtelijke aansprakelijkheid van de Belgische overheid in het gedrang zou kunnen brengen.". Het Comité I heeft diverse aanbevelingen geformuleerd die ik graag wil voorleggen aan de bevoegde minister.

Ik heb hieromtrent volgende vragen:

1) Kan de minister aangeven hoeveel keer er jaarlijks, sinds 2007, incidenten zijn geweest betreffende het verlies van persoonsgegevens en/of geclassificeerde gegevens door respectievelijk het ADIV en de Veiligheid van de Staat ? Graag een gedetailleerde toelichting over de plaats waar het verlies plaatsvond en de aard van de gegevens die verloren gingen, dit zowel wat betreft persoonsgegevens, contactgegevens als geclassificeerde gegevens vanaf 2007 (dat jaar inbegrepen) tot op heden. Waren deze gegevens versleuteld en/of beveiligd?

2) Meent de minister dat ook de niet geclassificeerde persoonsgegevens die de beveiligde site verlaten systematisch dienen te worden versleuteld en/of beveiligd ? Zo ja , kan de bevoegde minister aangeven of dit momenteel het geval is bij de ADIV en de Veiligheid van de Staat?

3) Deelt de minister het standpunt van het Vast Comité I, namelijk dat er voorschriften moeten worden uitgewerkt voor de eventuele mededeling van een veiligheidsincident aan de personen over wie informatie verloren ging? Zo ja, kan zij aangeven hoe deze voorschriften eruit moeten zien? Zo neen, waarom niet en kan dit uitvoerig worden toegelicht?

4) Hoe staat de minister tegenover de aanbeveling van het Vast Comité I om de dienstvoertuigen van alle inlichtingendiensten uit te rusten met een dispositief voor de beveiliging van gevoelige en/of geclassificeerde informatie en materialen? Kan de actuele stand van zaken hieromtrent worden weergegeven ? Deelt de minister deze bezorgdheid? Zo ja, wat wordt hieraan gedaan? Zo neen, waarom niet?

5) Hoe reageert de minister op de vaststelling dat het ADIV in 2007 slechts in één geval aangifte deed van verlies van gegevens bij de gerechtelijke autoriteiten, ondanks het feit dat het aan het Openbaar Ministerie toekomt om de bepalen of de feiten al dan niet ernstig zijn ? Kan dit antwoord uitvoerig worden toegelicht?

6) Werden er lessen getrokken uit het advies van het Vast Comité I inzake het aangeven van verlies van geclassificeerde gegevens en/of persoonsgegevens? Zijn er richtlijnen uitgevaardigd om dit systematisch aan te geven aan de gerechtelijke autoriteiten, gezien het opportuniteitsoordeel aan het Openbaar Ministerie toekomt en niet aan de ADIV zelf? Kan dit uitvoerig worden toegelicht?

Réponse reçue le 16 juillet 2012 :

Antwoord ontvangen op 16 juli 2012 :

L’honorable membre est prié de trouver ci-dessous la réponse à ses questions:

1. La Commission Parlementaire d’Accompagnement du Comité Permanent de Contrôle offre, par son système de réunions et d’invitations des ministres concernés, un forum adéquat pour débattre des rapports du Comité Permanent R. En ce qui concerne la Sûreté de l'État, l’honorable membre est prié de se référer à la ministre de la Justice. Le cadre légal pour le traitement d’informations sensibles concerne plusieurs départements et nécessite donc une approche interdépartementale. Au Service général du renseignement et de la sécurité (SGRS), onze cas de vol ou perte sont répertoriés depuis 2007 (sept en Belgique, le reste à l’étranger), avec une nette tendance à la baisse depuis les nombreux cas de l’année 2007 mentionnés dans le rapport du Comité Permanent R. La plupart concernaient des vols ou pertes d’informations ou de matériel classifiés.

2. En ce qui concerne la Sécurité de l'État, l’honorable membre doit s'adresser au ministre de la Justice. Le règlement IF 5 relatif à la sécurité au sein des Forces armées ne prévoit pas que des données non classifiées soient cryptées ou sécurisées. Bien entendu, toutes les prescriptions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel sont respectées.

3. Lorsque l’incident de sécurité concerne des données personnelles collectées dans le cadre d’enquêtes de sécurité préalables à la délivrance d’une habilitation, une attestation ou un avis de sécurité, il est indiqué d’avertir la personne dont les données pourraient être compromises. Une directive au sein du SGRS est le moyen le plus indiqué à cette fin.

Quand il s’agit d’informations collectées dans le cadre des autres missions du SGRS, avertir les personnes dont les données seraient compromises pourrait nuire aux opérations en cours dans lesquelles ces données personnelles apparaissent.

Si la compromission met en danger une personne, celle-ci sera avertie et des mesures seront prises pour limiter les risques.

4. Sous réserve de l’impact budgétaire et en tenant compte du nombre de véhicules qui sont utilisés par le SGRS, je ne peux que réagir positivement à la proposition d’équiper les véhicules du SGRS avec un dispositif de sécurisation des informations et du matériel sensibles et/ou classifiés. Jusqu’à présent, toutes les divisions sont équipées de porte-documents qui ferment à clef, disponibles dans la chaîne militaire.

5. Une plainte a été déposée par le SGRS au Parquet pour un seul des trois vols en raison du fait qu’une enquête interne avait révélé qu’il y était question d’une négligence grave : documents laissés visibles dans une voiture avec une fenêtre ouverte alors que la voiture était laissée sans surveillance. La plainte a été introduite sur base de l’article 11 de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. Cet article précise que le titulaire d’une habilitation de sécurité qui, dans l’exercice de ses fonctions, utilise ou laisse utiliser des informations, documents ou données, ou du matériel classifiés, de manière inappropriée sera, même si cette utilisation est la conséquence d’une négligence, pour autant qu’elle soit grave, puni d’un emprisonnement et/ou d’une amende. Dans les autres cas, une plainte a été déposée auprès de la police locale par les membres du personnel victimes de vol.

6. Sur base de l’article 29 du Code d’instruction criminelle, le SGRS est (comme toute autre autorité) obligé d’informer les autorités judiciaires chaque fois qu’il a connaissance d’un crime ou d’un délit. Le règlement IF 5 relatif à la sécurité au sein des Forces armées renvoie implicitement à cette disposition lorsqu’il prévoit que chaque incident à caractère judiciaire doit être porté à la connaissance des autorités judiciaires. L’obligation de l’article 29 ne s’applique cependant que dans la mesure où l’autorité a connaissance de l’existence d’un délit ou d’un crime. Une simple présomption de l’existence d’un délit ou d’un crime n’est pas suffisante.

Het geachte lid wordt verzocht hierna het antwoord te willen vinden op de door hem gestelde vragen:

1. De Parlementaire Begeleidingscommissie van het Vast Comite van Toezicht biedt met zijn gebruikelijke vergadermodus en gebeurlijke uitnodiging van de betrokken ministers een gepast forum voor de detailbespreking van de verslagen van het Vast Comite I. Voor wat betreft de Veiligheid van de Staat dient het Geachte Lid zich te wenden tot de minister van Justitie. Het wettelijk kader voor het omgaan met gevoelige informatie belangt meerdere departementen aan en vergt dus een interdepartementale benadering. Bij de Algemene Dienst Inlichting en Veiligheid (ADIV) kunnen elf gevallen van diefstal of verlies worden gemeld vanaf 2007 (zeven in Belgie, de rest in het buitenland), met duidelijk sterk dalende trend sedert de vele gevallen van dat jaar 2007 besproken in het verslag van het Vast Comité I. Het betrof veelal diefstal of verlies van geclassificeerde informatie of geclassificeerd materiaal.

2. Voor wat betreft de Veiligheid van de Staat dient het geachte lid zich te wenden tot de minister van Justitie. Het reglement IF 5 met betrekking tot de veiligheid binnen de Krijgsmacht voorziet niet dat niet- geclassificeerde gegevens moeten versleuteld of beveiligd worden waarbij, wel te verstaan, de voorschriften van de wet van 8 december 1992 met betrekking tot de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens moeten gerespecteerd worden.

3. Wanneer het veiligheidsincident betrekking heeft op persoonsgegevens verzameld in het kader van de veiligheidsonderzoeken voorafgaand aan de aflevering van een veiligheidsmachtiging, een veiligheidsattest of een veiligheidsadvies is het aangewezen de persoon waarop deze gecompromitteerde gegevens betrekking hebben, in te lichten. Een interne richtlijn binnen de ADIV is het meest aangewezen middel.

Wanneer het gaat om informatie afkomstig uit de andere opdrachten van de ADIV, zouden de lopende operaties kunnen geschaad worden als men de personen die voorkomen in die operaties zou inlichten dat hun persoonsgegevens gecompromitteerd zijn.

Indien de compromittering een persoon (bijvoorbeeld een bron) in gevaar brengt, zal die verwittigd worden en maatregelen zullen genomen worden om de risico’s tot een minimum te beperken.

4. Met enige reserve ten opzichte van de budgettaire impact en rekening houdend met het aantal voertuigen dat door de ADIV gebruikt wordt, kan ik alleen maar positief reageren op het voorstel om de voertuigen van de ADIV uit te rusten met een dispositief ter beveiliging van gevoelige en/of geclassificeerde informatie en materialen. Tot op heden werden alle divisies uitgerust met slotvaste aktetassen die in de militaire keten voorhanden waren.

5. De aangifte bij het Parket door de ADIV gebeurde slechts bij één van de drie diefstallen omdat een intern onderzoek uitgewezen had dat hier van grove nalatigheid sprake was: documenten zichtbaar in de wagen laten liggen met het venster open terwijl de wagen onbeheerd werd achtergelaten. De aangifte gebeurde op basis van de bepalingen van artikel 11 van de wet van 11 December 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen. Dit artikel stelt dat de houder van een veiligheidsmachtiging die geclassificeerde informatie, documenten, materieel in de uitoefening van zijn functie op een niet-geëigende wijze aanwendt of laat aanwenden, zelfs als is dit het gevolg van een nalatigheid, voor zover deze ernstig is, wordt gestraft met correctionele straffen (veroordeling en/of geldboete). Wat de andere vermelde diefstallen betreft, werd door de bestolen personeelsleden klacht neergelegd bij de plaatselijke politiediensten.

6. Op grond van artikel 29 van het Wetboek van Strafvordering is de ADIV (net als elke andere overheid) verplicht om aangifte te doen aan de gerechtelijke overheden telkens zij kennis hebben van een misdaad of wanbedrijf. Het reglement IF 5 betreffende de veiligheid binnen de Krijgsmacht verwijst impliciet naar deze bepaling waar het voorziet dat ieder incident met gerechtelijk karakter ter kennis moet gebracht worden van de gerechtelijke overheden. De verplichting van artikel 29 ontstaat echter slechts in de mate de overheid kennis heeft van het bestaan van een misdaad of wanbedrijf. Een louter vermoeden van het bestaan van een misdaad of wanbedrijf is niet voldoende.