SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
2 juin 2022 2 juni 2022
________________
Question écrite n° 7-1655 Schriftelijke vraag nr. 7-1655

de Tom Ongena (Open Vld)

van Tom Ongena (Open Vld)

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, des Institutions culturelles fédérales, adjoint au Premier ministre

aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, de Federale Culturele Instellingen, toegevoegd aan de Eerste minister
________________
Données en ligne - Adresses mail - Vie privée - Boutiques en ligne - Chiffres et tendances Online gegevens - E-mailadressen - Privacy - Webshops - Cijfers en tendensen 
________________
données personnelles
commerce électronique
adresse internet
protection des données
médias sociaux
persoonlijke gegevens
elektronische handel
internetadres
gegevensbescherming
sociale media
________ ________
2/6/2022Verzending vraag
(Einde van de antwoordtermijn: 7/7/2022)
7/7/2022Antwoord
2/6/2022Verzending vraag
(Einde van de antwoordtermijn: 7/7/2022)
7/7/2022Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 7-1654 Ook gesteld aan : schriftelijke vraag 7-1654
________ ________
Question n° 7-1655 du 2 juin 2022 : (Question posée en néerlandais) Vraag nr. 7-1655 d.d. 2 juni 2022 : (Vraag gesteld in het Nederlands)

Une étude à grande échelle menée par la KULeuven, l'Université de Radboud et l'Université de Lausanne a montré que des milliers de sites web surveillent quand un internaute remplit un formulaire en ligne, mais ne l'envoie pas réellement. Ils lisent en fait les données du formulaire sans le consentement de l'utilisateur (cf. https://www.hln.be/internet/~a1bfef2a).

Les sites web transfèrent les adresses mail, à l'insu des utilisateurs, à des tiers spécialisés dans le suivi des internautes. Ils essaient ainsi de savoir quels sites web l'internaute visite, afin d'en établir un profil individuel et de lui envoyer des publicités davantage ciblées.

Après que l'un des chercheurs a découvert la technique sur un site web, l'équipe a commencé à étudier 100 000 des sites web les plus utilisés sur internet. Les chercheurs ont trouvé 1 844 sites web transférant des données d'utilisateurs européens et 2 950 sites web le faisant avec des données d'utilisateurs américains (cf. https://www.hln.be/internet/~a1bfef2a).

La liste comprend par exemple la boutique en ligne Shopify, la chaîne hôtelière Marriott et plusieurs sites d'information américains tels que FoxNews et USA Today. Plus près de chez nous, les chercheurs ont également trouvé le site web du grossiste en électroménagers Vanden Borre. Dans cinquante-deux cas, des mots de passe ont également été transmis à des tiers.

Ces pourcentages peuvent paraître faibles, mais il s'agit de sites comptant des dizaines de millions d'utilisateurs.

La recherche montre que Meta (Facebook) et TikTok, en tant qu'entreprises qui font du traçage de données, collectent également des informations sur les utilisateurs via d'autres sites web. Au total, l'équipe a trouvé 8 438 sites web américains et 7 379 sites web européens qui ont potentiellement envoyé des données à Meta, ainsi que 154 sites web américains et 174 sites web européens qui transfèrent des données vers TikTok.

Quant au caractère transversal de la question écrite, la lutte contre la cybercriminalité et la cybersécurité constituent l'une des dix priorités du Plan national de sécurité (PNS) 2016 2019. Ce document, publié tous les quatre ans par les ministres de la Sécurité et de l'Intérieur et de la Justice, est le fil conducteur du travail de la police. En outre, l'un des thèmes transversaux concernant le plan de sécurité est l'amélioration de l'approche policière de la cybercriminalité, en prenant en compte l'évolution d'internet, les innovations et les nouvelles technologies. Il s'agit donc d'une matière transversale partagée avec les Régions. Ainsi, le gouvernement bruxellois a mis en place un Centre régional de cybersécurité.

Je voudrais donc poser les questions suivantes :

1) Comment réagissez-vous à ces fuites de données à la suite desquelles des formulaires complétés sur des sites web, mais non envoyés, sont transmis à des tiers à l'insu de l'internaute ? Cela concerne-t-il également des sites web belges ou des données de citoyens belges ? Pouvez-vous expliciter votre réponse et indiquer quelles mesures vous comptez prendre ?

2) Avez-vous déjà enregistré des plaintes de victimes ou d'autres personnes ou entreprises qui ont subi des dommages à cause de telles failles de sécurité ? Si oui, combien, pendant quelle période et à combien s'élevaient les dommages subis ? Des personnes ont-elles été arrêtées ou condamnées à des amendes ? Si oui, combien et quelles ont été les peines infligées ?

3) Les sites belges qui présentent de telles failles sont-ils au courant ? Si ce n'est pas le cas, pourquoi pas, et où devraient-ils se renseigner à propos de ces failles ? Si oui, combien de gestionnaires de site avez-vous déjà contactés à ce sujet ?

4) Pourriez-vous dresser la liste des sites pour lesquels ce problème spécifique de sécurité est encore plus sensible selon vous ? Pourriez-vous également préciser pourquoi et comment informer le plus rapidement possible les gestionnaires de site ?

5) Selon vous, comment les données issues de ces fuites pourraient-elles être utilisées à mauvais escient ? Y a-t-il des secteurs qui, selon vous, sont plus vulnérables que d'autres à de telles fuites ?

 

Uit een grootschalig onderzoek van de KULeuven, Universiteit Radboud en de Universiteit van Lausanne, blijkt dat duizenden websites meekijken als men een online formulier invult, maar het toch niet daadwerkelijk verzendt. Zonder de toestemming van de gebruiker, leest de website de gegevens (cf. https://trendstop.knack.be/nl/ontop/ondernemen/duizenden-websites-volgen-mee-als-je-online-e-mailadres-invult-1068-1492848.aspx).

De websites sturen de e-mailadressen, zonder medeweten van de gebruikers, door naar derde partijen die gespecialiseerd zijn in het volgen van internetgebruikers. Zij proberen op die manier te achterhalen welke websites iemand allemaal bezoekt, om een individueel profiel te kunnen samenstellen en gerichtere advertenties op iemand los te laten.

Nadat één van de onderzoekers de techniek bij één website ontdekte, startte het team een onderzoek naar 100 000 van de meest gebruikte websites op het Internet. De onderzoekers vonden 1 844 websites die data van Europese gebruikers doorstuurden en 2 950 websites die dat doen met gegevens van Amerikaanse gebruikers (cf. https://www.hln.be/internet/duizenden-websites-volgen-mee-als-je-online-e-mailadres-invult~a1bfef2a/).

Uit de lijst komen bijvoorbeeld de webshop Shopify, hotelketen Marriott en enkele Amerikaanse nieuwswebsites zoals FoxNews en USA Today. Dichter bij huis vonden de onderzoekers ook de website van elektrogroothandel Vanden Borre. In tweeënvijftig gevallen werden ook paswoorden doorgesluisd naar derde partijen.

De percentages mogen dan laag blijken, het zijn sites die tientallen miljoenen gebruikers tellen.

Ook Meta (Facebook) en TikTok verzamelen als «tracking» bedrijf informatie van gebruikers via andere websites, blijkt uit het onderzoek. In totaal vond het team 8 438 Amerikaanse en 7 379 Europese websites die mogelijk gegevens naar Meta stuurden, en 154 Amerikaanse en 174 Europese websites die naar TikTok sluisden.

Wat het transversaal karakter van de schriftelijke vraag betreft: cybercrime en cybersecurity is één van de tien prioriteiten van het Nationaal Veiligheidsplan (NVP) 2016-2019. Dit document wordt om de vier jaar door de ministers van Veiligheid en Binnenlandse Zaken en van Justitie gepubliceerd en is de leidraad van de politiewerking. Daarnaast is één van de transversale thema's inzake het Veiligheidsplan het aanscherpen van de politionele aanpak van de informaticacriminaliteit, daarbij rekening houdend met de ontwikkelingen van het Internet, innovatie en nieuwe technologieën. Het betreft dus een transversale aangelegenheid met de Gewesten. Zo heeft de Brusselse regering een gewestelijk Centrum voor cyberveiligheid opgericht.

Graag had ik dan ook volgende vragen voorgelegd:

1) Hoe reageert u op deze datalekken waarbij niet verzonden maar ingevulde webformulieren op websites zonder medeweten van de gebruiker aan derde partijen worden bezorgd? Betreft dit tevens Belgische websites of gegevens van landgenoten? Kan u toelichten en meedelen hoe hiertegen kan worden opgetreden?

2) Zijn er reeds klachten binnengekomen van gedupeerden of andere personen of bedrijven die schade hebben ondervonden door dergelijke veiligheidslekken? Zo ja, hoeveel, in welke periode en hoeveel bedroeg de geleden schade? Werden er personen gearresteerd of boetes uitgeschreven? Zo ja hoeveel en wat bedroegen de straffen?

3) Worden Belgische sites die dergelijke gebreken vertonen ook geïnformeerd hieromtrent? Zo neen, waarom niet en waar moeten zij dergelijke informatie inwinnen? Zo ja, hoeveel sitebeheerders heeft u reeds hierover gecontacteerd?

4) Kan u meedelen bij welke sites volgens u dit specifieke veiligheidsprobleem nog gevoeliger ligt? Kan u ook de reden meedelen waarom en hoe men het beste zo snel mogelijk de sitebeheerders hiervan op de hoogte brengt?

5) Hoe zouden de data die uit dergelijke lekken voortkomen misbruikt kunnen worden volgens u? Zijn er sectoren volgens u die kwetsbaarder zijn voor dergelijke lekken dan andere?

 
Réponse reçue le 7 juillet 2022 : Antwoord ontvangen op 7 juli 2022 :

1) Sauf exceptions prévues dans la règlementation sur la protection des données (RGPD), aucun traitement de données à caractère personnel réalisé sans consentement d’une personne concernée n’est permis. Dans la mesure où l’Autorité de protection des données (APD) n’a jusqu’à présent pas été contactée à ce sujet, nous ne pouvons pas savoir si des sites web belges ou les données de citoyens belges sont concernés par ce phénomène.

Quant aux mesures à prendre pour contrer cette pratique, cela dépendra de la qualification à lui donner au sens du RGPD. L’APD part du principe qu’il s’agit d’une technique spécifique, distincte des formes plus courantes de suivi (telles que les cookies). En ce qui concerne ces dernières techniques, l’APD a déjà pris diverses mesures (https://www.autoriteprotectiondonnees.be/professionnel/themes/cookies). En ce qui concerne la technique qui fait l’objet de cette question, en revanche, l’APD n’a aucune indication que les entreprises ou services relevant de son autorité de surveillance l’utilisent. La question se pose de savoir s’il s’agit d’une «fuite de données» au sens de l’article 4, paragraphe 12, du RGPD. Cela dépendra en grande partie du fait que les opérateurs de ces sites soient conscients de cette pratique. S’ils n’en sont pas conscients, il est possible qu’il y ait eu une violation de données au sens de l’article 4, 12), du RGPD. S’ils en sont conscients (et éventuellement (aident à) mettre en œuvre cette pratique eux-mêmes), il s’agit probablement plus d’un cas de traitement illicite de données à caractère personnel (plutôt que d’une fuite de données), en raison d’une possible violation des articles 5 et 6 du RGPD.

2) L’APD m’informe qu’elle n’a pas encore reçu de plaintes concernant ce phénomène.

3) Du point de vue du RGPD, les administrateurs du site sont les premiers responsables de la prévention ou de la suppression de ces pratiques. Toutefois, l’APD peut fournir des informations (par exemple sur son site Internet) sur les défis liés au RGPD. À la lumière des réponses fournies aux questions 1) et 2), il s’agit d’une question sur laquelle l’APD ne peut pas encore communiquer.

4) Comme expliqué précédemment, cette pratique n’a jusqu’à présent pas été rapportée à l’APD (cf. réponse aux questions 1) & 2)). En attendant d’en savoir plus sur l’ampleur exacte de cette pratique, je conseille évidemment aux gestionnaires de sites web de rester attentifs aux collaborations qu’ils nouent pour s’occuper de leurs sites.

5) De prime abord, de nombreux abus sont envisageables, tels que des atteintes au caractère définitif, la diffusion de données personnelles plus largement que nécessaire, la perte de contrôle par les personnes concernées sur leurs données et donc éventuellement l’impossibilité d’exercer concrètement leurs droits, l’enrichissement de ces données avec d’autres informations sur la personne concernée afin de créer un profil de cette dernière (et par exemple envoyer des publicités ciblées), etc.

1) Op enkele uitzonderingen na, waarin de verordening gegevensbescherming (AVG) voorziet, is geen verwerking van persoonsgegevens zonder toestemming van de betrokkene toegelaten. Aangezien de Gegevensbeschermingsautoriteit (GBA) nog niet over deze kwestie is gecontacteerd, kunnen wij niet weten of Belgische websites of de gegevens van Belgische burgers door dit fenomeen worden getroffen.

De maatregelen die moeten worden genomen om deze praktijk tegen te gaan, zullen afhangen van de kwalificatie die eraan moet worden gegeven in de zin van de AVG. De GBA gaat ervan uit dat dit een specifieke techniek is, die verschilt van meer gebruikelijke vormen van tracking (zoals cookies). Wat deze laatste technieken betreft, heeft de Gegevensbeschermingsautoriteit reeds verschillende maatregelen genomen (https://www.gegevensbeschermingsautoriteit.be/professioneel/thema-s/cookies).

Wat de techniek betreft waarop deze vraag betrekking heeft, heeft de Gegevensbeschermingsautoriteit echter geen aanwijzingen dat bedrijven of diensten die onder haar toezichthoudende autoriteit vallen, daarvan gebruik maken. De vraag rijst of dit een «datalek» is in de zin van artikel 4, lid 12, van de AVG. Dit zal grotendeels afhangen van de vraag of de exploitanten van deze sites zich van deze praktijk bewust zijn. Als zij er niet van op de hoogte zijn, is het mogelijk dat er een inbreuk in de zin van artikel 4, lid 12, van de AVG heeft plaatsgevonden. Als zij ervan op de hoogte zijn (en deze praktijk mogelijk zelf (helpen) uitvoeren), is er waarschijnlijk eerder sprake van onrechtmatige verwerking van persoonsgegevens (dan van een datalek), als gevolg van een mogelijke schending van de artikelen 5 en 6 AVG.

2) De Gegevensbeschermingsautoriteit deelt mij mee dat zij nog geen klachten over dit verschijnsel heeft ontvangen.

3) Vanuit het oogpunt van de AVG zijn sitebeheerders in de eerste plaats verantwoordelijk voor het voorkomen of verwijderen van deze praktijken. De Gegevensbeschermingsautoriteit kan echter wel informatie verstrekken (bijvoorbeeld op haar website) over de uitdagingen in verband met de AVG. In het licht van de antwoorden op de vragen 1) en 2) is dit een kwestie waarover de GBA nog geen mededelingen kan doen.

4) Zoals hierboven uiteengezet, is deze praktijk tot dusver niet gemeld aan de Gegevensbeschermingsautoriteit (zie antwoord op vragen 1) & 2)). Totdat we meer weten over de precieze omvang van deze praktijk, zou ik websitebeheerders uiteraard aanraden voorzichtig te zijn met de samenwerkingsverbanden die zij aangaan om voor hun sites te zorgen.

5) Op het eerste gezicht zijn tal van misbruiken denkbaar, zoals inbreuken op de finaliteit, verspreiding van persoonsgegevens op grotere schaal dan nodig is, verlies van controle door de betrokkenen over hun gegevens en dus mogelijk de onmogelijkheid om hun rechten in de praktijk uit te oefenen, verrijking van deze gegevens met andere informatie over de betrokkene om een profiel van hem op te stellen (en bijvoorbeeld gerichte reclame te sturen), enz.