SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
27 octobre 2021 27 oktober 2021
________________
Question écrite n° 7-1396 Schriftelijke vraag nr. 7-1396

de Tom Ongena (Open Vld)
van Tom Ongena (Open Vld)

à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique
aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing
________________
Drones - Police - Espionnage - Acteurs étrangers - Vie privée - Chiffres et tendances Drones - Politie - Spionage - Buitenlandse actoren - Privacy - Cijfers en tendensen 
________________
statistique officielle
drone
espionnage
Chine
protection de la vie privée
protection des données
autorisation de vente
sensibilisation du public
officiële statistiek
drone
spionage
China
eerbiediging van het privé-leven
gegevensbescherming
verkoopvergunning
bewustmaking van de burgers
________ ________
27/10/2021Verzending vraag
(Einde van de antwoordtermijn: 25/11/2021)
25/11/2021Antwoord
27/10/2021Verzending vraag
(Einde van de antwoordtermijn: 25/11/2021)
25/11/2021Antwoord
________ ________
Aussi posée à : question écrite 7-1395 Aussi posée à : question écrite 7-1395
________ ________
Question n° 7-1396 du 27 octobre 2021 : (Question posée en néerlandais) Vraag nr. 7-1396 d.d. 27 oktober 2021 : (Vraag gesteld in het Nederlands)

Il ressort d'une étude de la plateforme Investico que les drones utilisés par le Rijkswaterstaat et la police néerlandais sont très peu fiables quant à la sécurité des données (https://amp.nos.nl/artikel/2399774 chinese drones van nederlandse politie en rijkswaterstaat mogelijk onveilig.html?__twitter_impression=true&s=08).

Ces drones sont en effet fabriqués en Chine. Dans de nombreux cas, ils seraient capables de transmettre secrètement des données aux autorités chinoises. Selon certains communiqués, il serait possible, via des 'portes dérobées' ('backdoors'), d'installer un logiciel sur les téléphones des utilisateurs du drone.

Ces soupçons ont suffi pour que le ministère néerlandais de la Défense n'utilise plus les drones produits par l'entreprise chinoise Da Jiang Innovations (DJI). Il arrive en effet souvent que les données ne soient pas protégées. Bien que l'entreprise prétende le contraire et cite différentes études concluant que les données des drones sont bel et bien sécurisées, les experts néerlandais de la sécurité affirment qu'il n'en est rien.

Les images filmées par ces drones sont envoyées vers des serveurs dont on ne connaît pas toujours l'origine. La police admet qu'elle ne peut garantir que les images n'arrivent pas sur des serveurs chinois. Cela a des implications importantes: conformément à la législation chinoise, la société concernée, DJI, doit toujours être en mesure de mettre les données à la disposition des autorités chinoises. Selon The Hague Centre for Strategic Studies, qui étudie les drones et la sécurité des données, les inquiétudes pour la sécurité sont donc justifiées.

C'est pourquoi ce centre estime qu'il est également risqué que des organisations sensibles utilisent des systèmes technologiques qu'elles n'ont pas elles-mêmes conçus. La Chine est tout particulièrement un concurrent stratégique dont les conceptions idéologiques et les intérêts économiques sont diamétralement opposés aux nôtres. Cela signifie qu'elle n'est pas forcément animée des meilleures intentions à l'égard de ses clients occidentaux.

Il y a quelque temps, la Chine a déjà été exclue de l'installation des réseaux 5G en divers endroits d'Europe. En septembre encore, la Lituanie appelait à jeter les smartphones chinois. Un logiciel de censure serait installé sur certains modèles, de même que des 'portes dérobées' qui mettraient en péril la sécurité.

En ce qui concerne le caractère transversal de la question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

Je souhaiterais donc poser les questions suivantes.

1) Nos services de sécurité, notre police ou d'autres services utilisent-ils actuellement des drones de la marque chinoise 'Da Jiang Innovations'? Si tel est le cas, a-t-on conscience du risque sécuritaire inhérent à ces appareils? De combien de drones s'agit-il précisément? Nos services de sécurité se sont-ils déjà débarrassés des appareils incriminés? Si non, nos services utilisent-ils des drones ou d'autres équipement fabriqués par des firmes chinoises similaires?

2) Projette-t-on d'acheter à l'avenir des drones ou d'autres appareils de fabrication chinoise pour nos services publics ou de sécurité? Si tel est le cas, pourquoi envisage-t-on encore l'acquisition d'appareils chinois alors que l'on sait qu'ils présentent un risque pour notre sécurité?

3) Les drones susmentionnés sont-ils encore en vente libre en Belgique? Attire-t-on suffisamment l'attention sur le risque sécuritaire qui y est lié? Des règles à ce sujet sont-elles en préparation? En quoi consistent-elles et comment veillera-t-on à leur application?

4) Nos services de sécurité, services publics ou d'autres instances utilisent-ils d'autres appareils encore dont les images ou données sont envoyées vers des serveurs dont la localisation est inconnue ou qui se situent dans des pays comme la Chine et la Russie?

5) Nos services de sécurité ou d'autres services utilisaient-ils précédemment des appareils qui, pour les raisons susmentionnées, ont été mis hors service? Si oui, de quels appareils s'agit-il? Quel est leur nombre? Quels sont les services concernés?

6) Nos services de sécurité, notre police ou d'autres services consultent-ils une check-list de sécurité avant d'acheter de nouveaux appareils de ce type? Si non, pourquoi ces check-lists n'existent-elles pas encore? Si oui, contiennent-elles des critères relatifs aux appareils en provenance de Chine?

7) Dans quelle mesure l'emploi de drones chinois constitue-t-il un risque non seulement pour les services de sécurité et l'appareil de l'État, mais aussi pour des services et entreprises chargés de la gestion du fonctionnement structurel du pays (centrales nucléaires, centrales électriques, routes et circulation, aéroports, etc.)? Ces services et entreprises ont-ils déjà été informés des dangers que présente l'utilisation de tels drones? Pour quelle raison ont-ils été informés ou pas?

8) Quelle est l'ampleur du risque lié aux drones susmentionnés pour le consommateur moyen? Est-il nécessaire de mener une campagne d'information à ce sujet? Comment le consommateur moyen peut-il se prémunir?

9) Les détaillants belges ont-ils déjà été informés des risques sécuritaires liés à l'utilisation de ces drones? Pour quelle raison ont-ils été informés ou pas? Peut-on interdire la vente de ces appareils à court, moyen et long terme? Pour quelle raison peut-on l'interdire ou pas?

 

Uit een onderzoek van het platform Investico, blijkt dat de drones die de Nederlandse Rijkswaterstaat en politie gebruiken erg onbetrouwbaar op vlak van dataveiligheid (https://amp.nos.nl/artikel/2399774-chinese-drones-van-nederlandse-politie-en-rijkswaterstaat-mogelijk-onveilig.html?__twitter_impression=true&s=08).

Deze drones zijn namelijk van Chinese makelij. In veel gevallen zouden ze data in het geheim kunnen doorsluizen naar de Chinese overheid. Zo zijn er al berichten dat er via zogenaamde 'backdoors' software geïnstalleerd kan worden op de telefoons van degenen die de drone gebruiken.

Voor het Nederlandse ministerie van Defensie is dat reden geweest om de drones van het Chinese Da Jiang Innovations (DJI) niet meer te gebruiken. De data zijn namelijk vaak niet afgeschermd. Hoewel het bedrijf het tegendeel beweert en verwijst naar verschillende onderzoeken die concluderen dat de dronedata wel veilig zijn, zeggen Nederlandse veiligheidsexperts dat hier niets van waar is.

De beelden van deze drones worden weggeschreven naar servers waarvan men niet altijd de origine kent. De politie geeft ook toe dat ze niet kunnen garanderen dat de beelden niet terechtkomen op Chinese servers. Dit heeft verregaande implicaties: het bedrijf in kwestie, DJI, moet in navolging van de Chinese wetgeving de data altijd ter beschikking kunnen stellen aan de Chinese overheid. Volgens The Hague Centre for Strategic Studies, dat onderzoek doet naar drones en dataveiligheid, zijn de zorgen over de veiligheid dan ook terecht.

Daarom dat ze het ook een risico vinden dat gevoelige organisaties technologiesystemen gebruiken die ze niet zelf hebben ontworpen. China in het bijzonder is een strategische concurrent, met sterk tegengestelde ideologische opvattingen en andere economische belangen. Dit wil zeggen dat ze niet noodzakelijk het beste voorhebben met hun Westerse klanten.

Eerder werd China al op verschillende plaatsen in Europa bij de bouw van 5G-netwerken uitgesloten. Litouwen riep in september nog op om Chinese smartphones weg te gooien. Naar verluidt zouden er op bepaalde modellen censuursoftware staan en achterdeurtjes die de veiligheid in gedrang zouden brengen.

Wat betreft transversaal karakter: De verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota integrale veiligheid en het nationaal veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een interministeriële conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale Gewestaangelegenheid waarbij de rol van de gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Worden er binnen onze veiligheidsdiensten, de politie of andere diensten op dit moment gebruik gemaakt van drones van het Chinese merk 'Da Jiang Innovations'? Indien dat het geval is, is men zich bewust van het inherente veiligheidsrisico dat dit met zich meebrengt? Over hoeveel drones gaat het precies? Hebben onze veiligheidsdiensten de bewuste apparatuur reeds verwijderd? Indien nee, gebruiken onze diensten drones of andere materialen van soortgelijke Chinese fabrikanten?

2) Zijn er plannen om in de toekomst drones of andere apparatuur te kopen van Chinese makelij voor onze overheids- of veiligheidsdiensten? Indien dat het geval is, waarom overweegt men nog de aankoop van Chinese apparatuur als men weet dat dergelijke apparatuur een veiligheidsrisico vormt?

3) Worden de bovengenoemde drones nog vrij verkocht in België? Wordt er volgens u voldoende gewezen op het veiligheidsrisico hiervan? Zijn hierover regels in de maak? Wat houden deze in en hoe zullen ze worden gehandhaafd?

4) Wordt er nog andere apparatuur gebruikt bij onze veiligheidsdiensten, overheid of andere instanties waarvan de beelden of data worden weggeschreven naar servers op onbekende locaties of locaties in landen als China of Rusland?

5) Waren er eerder apparaten die omwille van de bovenstaande reden werden verwijderd uit de werking binnen onze veiligheidsdiensten of andere diensten? Zo ja, welke, hoeveel en binnen welke dienst?

6) Werken onze veiligheidsdiensten, politie en andere diensten met een veiligheidschecklist bij de aankoop van nieuwe dergelijke apparatuur? Indien nee, waarom bestaan deze checklists nog niet? Indien, ja staan er criteria in omtrent apparatuur uit China?

7) Naast de veiligheidsdiensten en het staatsapparaat, in hoeverre vormt het gebruik van Chinese drones een gevaar bij diensten en bedrijven die de structurele werking van het land beheren (kerncentrales, elektriciteitscentrales, wegen & verkeer, luchthavens,…)? Zijn deze diensten en bedrijven reeds ingelicht over de gevaren die het gebruik van dergelijke drones met zich meebrengt? Waarom wel/ waarom niet?

8) Hoe groot is het gevaar van bovengenoemde Chinese drones voor de gemiddelde consument? Is het nodig dat hierover een informatiecampagne wordt gelanceerd? Hoe kan de gemiddelde consument zich hiertegen wapenen?

9) Zijn de Belgische retailers reeds ingelicht over de veiligheidsgevaren die het gebruik van deze drones met zich meebrengt? Waarom wel/ waarom niet? Kan men de verkoop hiervan verbieden op zowel lange, korte als middellange termijn? Waarom wel/niet?

 
Réponse reçue le 25 novembre 2021 : Antwoord ontvangen op 25 november 2021 :

1) Sur les 114 drones immatriculés appartenant à l'État, 85 sont de la marque DJI, soit 75 %. En ce qui concerne les drones de la Sécurité civile, les données provenant des caméras ou autres payloads sont stockées localement et non pas via un cloud (chinois ou non). Les données de vol sont réceptionnées au moyen d'une tablette sur laquelle est installée une application du fabricant DJI, mais cette tablette est uniquement utilisée à cette fin et ne contient aucun autre logiciel de sorte qu'aucune autre information n'est accessible. La tablette se connecte via la 4G et directement à Internet. La tablette n'a donc pas accès au réseau de l'entreprise.

La flotte de drones utilisés par la Police Fédérale est enregistrée sur la liste des drones d’états compte 18 drones de la marque chinoise DJI, et 1 drone d’une autre marque chinoise. De plus, 2 télécommandes de marque DJI sont utilisées pour le contrôle de deux drones de fabrication européenne. Tous ces appareils, ainsi que leurs caractéristiques, sont enregistrés dans la liste de drones dits « d’État », tenue par le Service public fédéral (SPF) Intérieur.

Les risques liés à l’utilisation de drones DJI, et plus généralement des drones de fabrication chinoise, font actuellement l’objet d’une évaluation au sein de la Police Fédérale. Dans ce cadre, des contacts ont été pris avec les services de renseignement belges.

Selon les résultats intermédiaires de l’analyse de risque, il n’est pas nécessaire pour l’instant de mettre complètement hors service ces appareils, mais des mesures techniques spécifiques seront prises à très court terme pour atténuer les risques, et particulièrement la sauvegarde des données de vol (coordonnées géographiques, photographies, enregistrements vidéo) exclusivement dans l’espace de stockage interne du drone, tandis que l’utilisation des services « Cloud » du fabriquant sera rigoureusement exclue. D’autre part, il apparaît déjà que certaines missions sensibles ne pourront plus être effectuées au moyen de drones de fabrication chinoise.

2) Chaque achat est effectué sur la base d'un cahier des charges dans lequel tous les aspects sont examinés, dont la sécurité. Aucun achat ne sera fait auprès d'un fournisseur qui ne répond pas aux exigences en la matière.

La livraison de cinq drones supplémentaires de marque DJI est prévue prochainement au bénéfice de différents services de la Police Fédérale. Une évaluation est en cours pour vérifier s’il est possible de remplacer l’achat planifié d’un de ces drones DJI par l’achat d’un drone équivalent de fabrication européenne, et d’ensuite comparer les qualités et les capacités de cet appareil avec les drones chinois.

Plus largement, la Police Fédérale a entamé l’élaboration d’une politique d’utilisation des drones qui rassemblera les bonnes pratiques développées suite aux expériences opérationnelles et techniques acquises par différents services, et qui ne manquera pas d’intégrer les conclusions de l’évaluation des risques mentionnée au point 1 dans les critères de choix du matériel et dans les procédures opérationnelles.

3) Les drones de la marque DJI sont encore en vente libre. Leur part sur le marché de la consommation atteint même 94 %.

4) Depuis l'instauration du RGPD, les cahiers des charges reprennent systématiquement une clause relative au stockage de données en dehors de l'UE. Les données de vol des drones ne constituent pas des données à caractère personnel, mais la clause RGPD protège également contre d'autres violations de la sécurité des données.

5) Non.

6) Depuis l'instauration du RGPD, les cahiers des charges reprennent systématiquement une clause relative au stockage de données en dehors de l'UE. Les données de vol des drones ne constituent pas des données à caractère personnel, mais la clause RGPD protège également contre d'autres violations de la sécurité des données.

7-8-9) Cette question parlementaire ne relève pas de mes compétences, mais de celles du vice-premier ministre et ministre de l'Économie et du Travail.

1) Van de 114 ingeschreven staatsdrones zijn er 85 van het merk DJI. Dit is 75 %. Wat betreft de drones van de Civiele Veiligheid worden de gegevens komende van de camera of andere payloads lokaal opgeslagen en niet via een (al dan niet Chinese) cloud. De vluchtgegevens worden ontvangen via een tablet waarop een app van de fabrikant DJI zelf draait, maar deze tablet wordt enkel hiervoor gebruikt en bevat geen andere software zodat er geen toegang is tot andere informatie. De tablet maakt verbinding via 4G en rechtstreeks naar internet. De tablet heeft dus geen toegang tot het bedrijfsnetwerk.

De vloot van drones gebruikt door de Federale Politie telt 18 drones van het Chinese merk DJI, en 1 drone van een ander Chinees merk. Bovendien worden 2 afstandsbedieningen van het merk DJI gebruikt voor de controle van twee drones van Europese makelij. Al deze toestellen, evenals hun karakteristieken, zijn geregistreerd in de dronelijst « overheid » van de FOD Binnenlandse Zaken.

De risico’s verbonden aan het gebruik van drones DJI, en in het algemeen van drones van Chinese makelij, maken tegenwoordig het voorwerp uit van een evaluatie binnen de Federale Politie. In dit raam werden contacten opgenomen met de Belgische inlichtingendiensten.

Volgens de tussentijdse resultaten van de risicoanalyse is het op het ogenblik niet nodig die apparaten volledig buiten dienst te stellen, maar technische, specifieke maatregelen zullen op zeer korte termijn genomen worden om de risico’s te verminderen, en in het bijzonder het exclusief bewaren van vluchtgegevens (geografische coördinaten, foto’s, video-opnames) in de interne opslagplaats van de drone terwijl het gebruik van “Clouddiensten” van de fabrikant, categoriek uitgesloten zijn. Anderzijds is het reeds zo dat bepaalde gevoelige opdrachten door middel van drones van Chinese makelij niet meer uitgevoerd zullen mogen worden.

2) Elke aankoop wordt gedaan op basis van een lastenboek waarbij alle aspecten bekeken worden, waaronder ook veiligheid. Bij een leverancier die op dit vlak niet voldoet zal ook niet aangekocht worden.

De levering van vijf bijkomende drones van het merk DJI is binnenkort voorzien, ten bate van verschillende diensten van de Federale Politie. Er is een evaluatie aan de gang om na te kijken of het mogelijk is de geplande aankoop van één van die DJI-drones te vervangen door de aankoop van een gelijkwaardige drone van Europese makelij, en daarna de kwaliteiten en capaciteiten van dat apparaat te vergelijken met Chinese drones.

Ruimer gezien, is de Federale Politie gestart met de uitwerking van een gebruiksbeleid van drones. Deze zal goede praktijken, ontwikkelt naar aanleiding van operationele ervaringen en verworven technieken door verschillende diensten bevatten. Ook de integratie van de evaluatieconclusies met betrekking tot de vermelde risico’s onder punt 1 zal niet ontbreken bij de keuzecriteria van het materiaal en de operationele procedures.

3) De drones van het merk DJI worden nog vrij verkocht. Op de consumentenmarkt hebben zij zelfs een aandeel van 94 %.

4) Sinds de invoering van de GDPR wordt in de lastenboeken steeds een clausule opgenomen i.v.m. het opslaan van gegevens buiten de EU. Bij de vluchtgegevens van de drones gaat het dan wel niet om persoonsgegevens, maar de GDPR-clausule beschermt ook tegen andere inbreuken op de dataveiligheid.

5) Neen.

6) Sinds de invoering van de GDPR wordt in de lastenboeken steeds een clausule opgenomen i.v.m. het opslaan van gegevens buiten de EU. Bij de vluchtgegevens van de drones gaat het dan wel niet om persoonsgegevens, maar de GDPR-clausule beschermt ook tegen andere inbreuken op de dataveiligheid.

7-8-9) Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot de bevoegdheid van de vice-eersteminister en minister van Economie en Werk.