SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2022-2023 Zitting 2022-2023
________________
31 janvier 2023 31 januari 2023
________________
Question écrite n° 7-1885 Schriftelijke vraag nr. 7-1885

de Els Ampe (Open Vld)
van Els Ampe (Open Vld)

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, adjoint au Premier Ministre
aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, toegevoegd aan de Eerste Minister
________________
TikTok - Risques pour la sécurité - Vie privée - Piratage - Espionnage - Chine - Chiffres et tendances TikTok - Veiligheidsrisico's - Privacy - Hacking - Spionage - China - Cijfers en tendensen 
________________
médias sociaux
Chine
espionnage
protection de la vie privée
piratage informatique
sociale media
China
spionage
eerbiediging van het privé-leven
computerpiraterij
________ ________
31/1/2023Verzending vraag
(Einde van de antwoordtermijn: 2/3/2023)
2/3/2023Antwoord
31/1/2023Verzending vraag
(Einde van de antwoordtermijn: 2/3/2023)
2/3/2023Antwoord
________ ________
Aussi posée à : question écrite 7-1883
Aussi posée à : question écrite 7-1884		 Aussi posée à : question écrite 7-1883
Aussi posée à : question écrite 7-1884
________ ________
Question n° 7-1885 du 31 janvier 2023 : (Question posée en néerlandais) Vraag nr. 7-1885 d.d. 31 januari 2023 : (Vraag gesteld in het Nederlands)

De nouvelles recherches ont révélé que le navigateur intégré à l'application TikTok avait la capacité de surveiller certains types d'activité des utilisateurs sur les sites Web externes auxquels il accède (cf. https://www.cnet.com/tech/services and software/TikToks in app browser can monitor your keystrokes researcher says/).

D'après des recherches publiées récemment par Felix Krause, chercheur en logiciels basé à Vienne, lorsque les utilisateurs de TikTok accèdent à un site Web via un lien dans l'application TikTok, l'application insère un code dans le site Web qui permet à TikTok de surveiller certaines activités comme les frappes au clavier et ce que les utilisateurs tapent sur ce site (cf. https://krausefx.com/blog/announcing inappbrowsercom see what javascript commands get executed in an in app browser).

Cela pourrait permettre à TikTok de capturer des informations personnelles sur les utilisateurs telles que des numéros de carte de crédit et des mots de passe, bien que l'entreprise affirme ne pas le faire. L'application est capable d'insérer le code et de modifier les sites Web pour permettre cette surveillance car les sites sont ouverts dans le navigateur intégré de TikTok, plutôt que dans un navigateur standard comme Chrome ou Safari.

TikTok, qui est la propriété de l'entreprise chinoise d'Internet ByteDance, a déclaré que le rapport de M. Krause était «inexact et trompeur» et que la fonction en question était utilisée pour «le débogage, le dépannage et la surveillance des performances» (cf. https://www.nytimes.com/2022/08/19/technology/TikTok browser tracking.html).

Pour sa part, le Sénat américain a approuvé à l'unanimité l'exclusion de l'appli populaire TikTok des téléphones professionnels des fonctionnaires gouvernementaux américains. Selon l'initiateur du texte de loi, l'appli chinoise est «un cheval de Troie pour le Parti communiste chinois».

Aux États-Unis, la crainte est grande que TikTok et sa société mère ByteDance puissent partager des informations d'utilisateurs américains avec les autorités chinoises. Le directeur du Federal Bureau of Investigation (FBI), Christopher Wray, a déjà mis en garde contre le fait que les entreprises chinoises sont légalement tenues de partager des informations si le gouvernement chinois le requiert.

Des sources proches du dossier ont confié à l'agence de presse Bloomberg que le gouvernement américain avait déjà tenté de conclure avec TikTok un accord qui devait fournir des garanties de sécurité supplémentaires en ce qui concerne le stockage des données des utilisateurs. La conclusion de cet accord a échoué, le ministère de la Justice s'y étant opposé. Reste aussi à savoir dans quelle mesure un tel accord peut effectivement protéger les données des utilisateurs américains contre les abus (cf. https://www.ad.nl/tech/amerikaanse senaat unaniem ambtenaren mogen geen tiktok meer op hun telefoon hebben~a72ffa42/).

En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

J'aimerais dès lors vous poser les questions suivantes :

1) Nos services de sécurité et spécialistes des technologies de l'information vous ont-ils déjà communiqué des éléments indiquant que l'application chinoise TikTok pourrait présenter des risques majeurs pour la sécurité ? Si oui, combien de signalements avez-vous reçus, à quelle période et quelle suite leur a été réservée ? Quelles sont les mesures qui ont été prises ? Dans la négative, pour quelle raison ?

2) Aux États-Unis, des dispositions sont en cours d'élaboration en vue d'interdire l'utilisation de l'application précitée à tous les fonctionnaires. Selon vous, est-il opportun ou non d'envisager des mesures similaires pour nos propres fonctionnaires ? Pouvez-vous expliciter votre réponse ?

3) Seriez-vous éventuellement favorable à une interdiction ou à une restriction de l'utilisation de cette application par les personnes qui travaillent dans des secteurs stratégiquement sensibles, comme le personnel des centrales nucléaires, les fonctionnaires, les personnes chargées du maintien de l'ordre, les militaires, le personnel ferroviaire, le personnel hospitalier, les gestionnaires des réseaux d'électricité et d'eau, etc. ? Pourquoi êtes-vous / n'êtes-vous pas favorable à une telle mesure ? Si vous y êtes favorable, comment encadreriez-vous une telle restriction ? Si pas, quelle en est la raison ?

4) Pouvez-vous préciser s'il existe déjà des directives à l'attention de nos fonctionnaires, responsables politiques, personnes en charge du maintien de l'ordre, etc. en ce qui concerne l'utilisation d'applications connues pour être potentiellement dangereuses ou pour représenter un risque accru en termes de failles de sécurité ? Existe-t-il une liste de telles applications ? Si oui, combien d'applications sont concernées ? Quelles autres mesures sont prises par nos fonctionnaires et autres pour éviter qu'ils soient victimes, à leur insu, de fuites de données par le biais d'applications dont la sécurité ne serait pas garantie ? Une distinction est-elle faite entre les téléphones privés et les téléphones professionnels ?

5) Combien de nos pouvoirs et services publics utilisent l'application précitée dans le cadre de leur communication officielle ? Pourriez-vous en établir la liste ? Quelles garanties les services concernés ont-ils que cela ne les expose pas à un espionnage mené par le Parti communiste chinois (PCC) ?

6) S'il devait s'avérer que TikTok a effectivement collecté de manière illicite des informations relatives à des Belges, comment pourriez-vous veiller à ce qu'elles soient supprimées par TikTok ? Quelle est notre capacité d'action à cet égard ?

7) Pourriez-vous, si possible, répertorier combien de fois la Belgique a déjà déposé plainte contre TikTok ou ByteDance pour des atteintes au respect de la vie privée ? Pourriez-vous ventiler ce chiffre par année, en précisant le résultat de la plainte ?

 

De in-app browser van TikTok heeft de mogelijkheid om bepaalde soorten gebruikersactiviteiten te monitoren op de externe websites die ermee worden bezocht, zo blijkt uit nieuw onderzoek (cf. https://www.cnet.com/tech/services-and-software/TikToks-in-app-browser-can-monitor-your-keystrokes-researcher-says/).

Volgens een recentelijk gepubliceerd onderzoek van Felix Krause, een in Wenen gevestigde softwareonderzoeker, kan TikTok, wanneer gebruikers van TikTok via een link in de TikTok-app een website bezoeken, code in de website invoegen waarmee TikTok activiteiten zoals toetsaanslagen en wat gebruikers op die site aantikken kan monitoren (cf. https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser).

Daardoor zou TikTok persoonlijke gebruikersinformatie zoals creditcardnummers en wachtwoorden kunnen buitmaken, hoewel het bedrijf beweert dat het dat niet doet. De app kan de code invoegen en de websites aanpassen om die controle mogelijk te maken omdat de sites worden geopend in TikTok's in-app browser, in plaats van in een standaard browser zoals Chrome of Safari.

In een verklaring zei TikTok, dat eigendom is van het Chinese internetbedrijf ByteDance, dat het rapport van de heer Krause «onjuist en misleidend» was en dat de functie werd gebruikt voor «debugging, probleemoplossing en prestatiebewaking» (cf. https://www.nytimes.com/2022/08/19/technology/TikTok-browser-tracking.html).

De Amerikaanse Senaat heeft intussen ook unaniem ingestemd met het weren van de populaire app TikTok van de werktelefoons van Amerikaanse overheidsfunctionarissen. Volgens de initiatiefnemer van het wetsvoorstel is de Chinese app «een Trojaans paard voor de Chinese Communistische Partij».

Er is veel vrees in de Verenigde Staten dat TikTok en moedermaatschappij ByteDance informatie van Amerikaanse gebruikers zouden kunnen delen met Chinese autoriteiten. De directeur van de Federal Bureau of Investigation (FBI) Christopher Wray waarschuwde eerder al dat Chinese bedrijven bij wet verplicht zijn om, als de Chinese overheid dat wil, informatie te delen.

De Amerikaanse regering heeft al geprobeerd een overeenkomst te sluiten met TikTok. Die moest voor extra veiligheidswaarborgen zorgen voor de opslag van gebruikersgegevens, melden insiders aan persbureau Bloomberg. Die overeenkomst is mislukt nadat het ministerie van Justitie deze had tegengehouden. Ook is het maar de vraag in hoeverre de overeenkomst de data van Amerikaanse gebruikers daadwerkelijk kan beschermen tegen misbruik (cf. https://www.ad.nl/tech/amerikaanse-senaat-unaniem-ambtenaren-mogen-geen-tiktok-meer-op-hun-telefoon-hebben~a72ffa42/).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Zijn er reeds signalen binnengekomen van onze veiligheidsdiensten of IT (informatietechnologie)-specialisten die wijzen op mogelijke grote veiligheidsgevaren van de Chinese app TikTok? Zo ja, hoeveel, in welke periode en wat werd met deze oproep gedaan? Welke maatregelen werden genomen? Zo neen, waarom niet?

2) In de Verenigde Staten is men reeds volop bezig met de voorbereidingen voor het bannen van het gebruik van deze specifieke app voor alle overheidsfunctionarissen. Waarom wel of niet zijn soortgelijke acties voor onze overheidsfunctionarissen wenselijk?

3) Bent u eventueel te vinden voor een gebruiksverbod of -beperking van deze app voor personen die in strategisch gevoelige sectoren werken, zoals kerncentralepersoneel, ambtenaren, ordehandhavers, militairen, treinpersoneel, ziekenhuispersoneel, verantwoordelijken voor stroom- en waternetten, enz.? Waarom wel? Waarom niet? Indien wel, hoe zou u een dergelijke beperking omkaderen? Indien niet, zou u kunnen specifiëren waarom niet?

4) Kan u meedelen of er reeds richtlijnen bestaan voor onze overheidsfunctionarissen, politici, ordehandhavers en dergelijke omtrent het gebruik van apps waarvan geweten is dat ze potentieel gevaarlijk zijn, of een grotere kans hebben voor veiligheidslekken? Bestaat er een lijst van dergelijke apps? Indien ja, hoeveel staan er hierop? Welke andere maatregelen worden genomen door onze functionarissen en dergelijke om te voorkomen dat ze ongewild data lekken via potentieel onveilige apps? Wordt er een onderscheid gemaakt tussen privételefoons en werktelefoons?

5) Hoeveel van onze overheden en overheidsdiensten maken gebruik van deze app voor officiële communicatie? Zou u dit kunnen oplijsten? Welke garantie hebben dergelijke diensten dat ook zij mede hierdoor niet bespioneerd worden door de Communistische Partij van China (CPC)?

6) Indien later zou blijken dat TikTok daadwerkelijk ongeoorloofd informatie van Belgen zou hebben verzameld, op welke wijze kan u erop toezien dat TikTok deze verwijdert? In hoeverre heeft men de slagkracht hiertoe?

7) Zou u kunnen oplijsten, indien mogelijk, hoeveel keren België reeds klacht heeft ingediend tegenover Tiktok of ByteDance omtrent priacyovertredingen? Zou u dit per jaar kunnen uitsplitsen, tezamen met het resultaat dat voortvloeide uit deze klacht?

 
Réponse reçue le 2 mars 2023 : Antwoord ontvangen op 2 maart 2023 :

1) Au regard des craintes exprimées par plusieurs pays et institutions internationales à l’égard de l’application chinoise TikTok, j’ai demandé au Center for Cybersecurity Belgium (CCB) de me communiquer rapidement un rapport de l’état de la situation.

Ce document sera par la suite soumis au Conseil national de sécurité. Pour rappel, la cybersécurité dépend directement du premier ministre Alexander De Croo.

2) & 3) Le rapport que j’ai demandé au CCB a une portée générale mais se concentre plus particulièrement sur les fonctionnaires qui traitent des données sensibles.

En outre, il convient de noter que chaque administration est bien sûr responsable de l’évaluation des risques liés à la vie privée et à la sécurité et en particulier en ce qui concerne les produits et services TIC (technologies de l’information et de la communication) qu’elle utilise ou met à disposition.

4) Je n’ai pas connaissance de directives générales destinées aux fonctionnaires, aux hommes politiques, aux agents des forces de l’ordre et autres, concernant l’utilisation d’applications connues pour être plus susceptibles de présenter des failles de sécurité.

Toutefois, le CCB fournit des conseils généraux sur l’utilisation sécurisée des applications. Ce conseil général, qui était également le thème de la dernière campagne de Safeonweb, est le suivant:

– n’utilisez que des applications et des programmes sécurisés. N’installez que des applications provenant d’un magasin d’applications de confiance ou d’un vendeur officiel. N’installez jamais une application provenant d’une source inconnue;

limitez l’accès aux applications au strict nécessaire;

supprimez les applications que vous n’utilisez pas et vérifiez régulièrement les données utilisées par vos applications pour détecter tout trafic inapproprié.

Plus de conseils pour une utilisation sûre des appareils mobiles: https://www.safeonweb.be/fr/securisez-vos-appareils-mobiles.

5) Je ne dispose pas des données nécessaires pour fournir une telle liste. Pour ma part, je n’ai jamais téléchargé sur mon téléphone l’application TikTok.

6) L’Autorité de protection des données comme régulateur peut faire respecter le règlement général sur la protection des données (RGPD) et la loi vie privée. Toutefois, dans le cas particulier de TikTok / ByteDance, il convient d’attirer l’attention sur le fait que c’est l’Autorité irlandaise de protection des données qui agit en tant qu’autorité de contrôle principale, compte tenu du mécanisme de guichet unique prévu par le RGPD. Une enquête est actuellement en cours par l’Autorité irlandaise de protection des données concernant TikTok. L’APD suit de près cette enquête.

7) À l’exception de l’assistance de l’Autorité de protection des données dans certains dossiers concernant des demandes de personnes concernées (principalement liées à la suppression de données personnelles), l’Autorité de protection des données n’a pas déposé de plainte contre TikTok ou ByteDance concernant des violations de la vie privée.

Depuis décembre 2020, TikTok ayant son siège en Irlande, le mécanisme de guichet unique introduit par le RGPD s’applique désormais. L’Autorité irlandaise de protection des données fait donc office d’autorité de contrôle principale.

L’autorité irlandaise a annoncé l’ouverture de deux enquêtes sur TikTok en septembre 2021, portant sur la conformité aux exigences du RGPD concernant le traitement des données des enfants et les transferts de données vers la Chine. L’APD belge suit de près l’évolution de ces affaires relatives au traitement des données par TikTok. Elle a toujours plaidé pour une approche européenne coordonnée à l’égard de TikTok et estime que le mécanisme de guichet unique reste crucial pour une application harmonisée du RGPD.

1) Gezien de bezorgdheid die verschillende landen en internationale instellingen hebben geuit over de Chinese applicatie TikTok, heb ik het Center for Cybersecurity Belgium (CCB) gevraagd mij snel een verslag over de situatie te bezorgen.

Dit document zal vervolgens worden voorgelegd aan de Nationale Veiligheidsraad (NV). Ter herinnering, cyberveiligheid valt onder de rechtstreekse bevoegdheid van de eerste minister, Alexander De Croo.

2) & 3) Het verslag dat ik aan het CCB heb gevraagd heeft een algemene draagwijdte maar met een bijzondere aandacht voor overheidsfunctionarissen die met gevoelige gegevens omgaan.

Daarnaast moet erop gewezen worden dat elke administratie natuurlijk verantwoordelijk voor de beoordeling van privacy- en veiligheidsrisico’s en in het bijzonder ten opzichte van de ICT-producten en -diensten die ze gebruikt of ter beschikking stelt.

4) Ik ben niet op de hoogte van algemene richtsnoeren voor ambtenaren, politici, ordehandhavers en anderen over het gebruik van toepassingen waarvan bekend is dat zij vatbaarder zijn voor veiligheidsinbreuken.

Het CCB geeft echter wel algemeen advies over het veilige gebruik van toepassingen. Dit algemene advies, dat ook het thema was van de laatste Safeonweb-campagne, luidt als volgt:

–gebruik alleen veilige applicaties en programma’s. Installeer alleen applicaties van een vertrouwde applicatiewinkel of officiële leverancier. Installeer nooit een toepassing van een onbekende bron;

– beperk de toegang tot toepassingen tot het noodzakelijke;

– verwijder toepassingen die u niet gebruikt en controleer regelmatig de gegevens die door uw toepassingen worden gebruikt op ongepast verkeer.

Meer tips voor veilig gebruik van mobiele apparaten: https://www.safeonweb.be/nl/beveilig-mobiele-toestellen.

5) Ik beschik niet over de nodige gegevens om een dergelijke oplijsting te verschaffen. Zelf heb ik de applicatie TikTok nooit op mijn telefoon gedownload.

6) De Gegevensbeschermingsautoriteit (GBA) kan als toezichthouder de algemene verordening gegevensbescherming (AVG) en de Privacywet handhaven. In het specifieke geval van TikTok / ByteDance moet er echter op worden gewezen dat het de Ierse Gegevensbeschermingsautoriteit is die als Ierse Data Protection Commission (DPC) optreedt, gezien het éénloketsysteem waarin de AVG voorziet. Momenteel is er een onderzoek lopende bij de DPC betreffende TikTok. De GBA volgt dit onderzoek nauw op.

7) Met uitzondering van de bijstand van de GBA in enkele gevallen betreffende verzoeken van betrokkenen (voornamelijk in verband met de verwijdering van persoonsgegevens), heeft de GBA geen klachten ingediend tegen TikTok of ByteDance in verband met privacyschendingen.

Aangezien TikTok zijn hoofdkantoor in Ierland heeft, is sinds december 2020 het door de AVG ingevoerde éénloketsysteem van toepassing. De DPC treedt dus op als leidende toezichthoudende autoriteit.

De Ierse autoriteit heeft aangekondigd in september 2021 twee onderzoeken naar TikTok in te stellen, die gericht zijn op de naleving van de vereisten van de AVG met betrekking tot de verwerking van gegevens van kinderen en de doorgifte van gegevens naar China. De GBA volgt de ontwikkeling van deze zaken betreffende de gegevensverwerking door TikTok op de voet. Zij heeft altijd gepleit voor een gecoördineerde Europese aanpak van TikTok en is van mening dat het éénloketsysteem cruciaal blijft voor een geharmoniseerde toepassing van de AVG.