SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2022-2023 Zitting 2022-2023
________________
6 mars 2023 6 maart 2023
________________
Question écrite n° 7-1914 Schriftelijke vraag nr. 7-1914

de Tom Ongena (Open Vld)

van Tom Ongena (Open Vld)

au premier ministre

aan de eerste minister
________________
Universités - Données des étudiants - Violation de la vie privée - Plateformes technologiques étrangères - Utilisation - Services publics - Incidents - Chiffres et tendances Universiteiten - Studentengegeven - Privacyschending - Buitenlandse techplatformen - Gebruik - Overheidsdiensten - Incidenten - Cijfers en tendensen 
________________
université
protection de la vie privée
informatique en nuage
intégrité scientifique
indépendance économique
étudiant
sécurité des systèmes d'information
protection des données
traitement des données
universiteit
eerbiediging van het privé-leven
cloudcomputing
onderzoeksintegriteit
economische onafhankelijkheid
student
informatiebeveiliging
gegevensbescherming
gegevensverwerking
________ ________
6/3/2023Verzending vraag
(Einde van de antwoordtermijn: 6/4/2023)
6/3/2023Verzending vraag
(Einde van de antwoordtermijn: 6/4/2023)
________ ________
Ook gesteld aan : schriftelijke vraag 7-1915
Ook gesteld aan : schriftelijke vraag 7-1916
Heringediend als : schriftelijke vraag 7-2206
Ook gesteld aan : schriftelijke vraag 7-1915
Ook gesteld aan : schriftelijke vraag 7-1916
Heringediend als : schriftelijke vraag 7-2206
________ ________
Question n° 7-1914 du 6 mars 2023 : (Question posée en néerlandais) Vraag nr. 7-1914 d.d. 6 maart 2023 : (Vraag gesteld in het Nederlands)

Malgré les mises en garde d'experts, les trois quarts des données des étudiants néerlandais sont stockées dans les centres de données des entreprises technologiques américaines Microsoft et Amazon (le cloud). C'est ce qui ressort d'une étude internationale. L'utilisation du cloud par les universités est controversée car elle met en péril la vie privée des étudiants. En outre, les universités peuvent devenir dépendantes économiquement des entreprises technologiques.

Les chercheurs ont analysé l'utilisation du cloud depuis 2015. Cette année-là, environ 25 % des données des étudiants se trouvaient dans le cloud; aujourd'hui, il s'agit de 75 %. En plus des données que constituent les résultats des étudiants et leurs données personnelles, des données de recherches et des systèmes d'enseignement numériques sont également stockés dans le cloud.

L'augmentation est singulière, d'autant plus que depuis un certain temps déjà, des professeurs d'université et des experts de la cybersécurité jugent inopportun de laisser des entreprises commerciales soumises à la législation américaine gérer les données personnelles d'étudiants et de collaborateurs. Il est ainsi possible qu'un service d'enquête américain exige de consulter des données privées néerlandaises.

La dépendance commerciale peut limiter la liberté de choix des universités. Le passage d'un service à un autre est en effet coûteux en temps et en argent. L'ACM, l'Autorité néerlandaise chargée des consommateurs et des marchés, est elle aussi très critique à cet égard. Celui qui stocke des données dans le cloud ne peut quasiment pas en sortir.

Le monde universitaire a déjà tiré la sonnette d'alarme précédemment. En 2019, les recteurs ont mis en garde contre le risque que les «big tech» fassent un usage abusif des données des étudiants et des enseignants sur le marché publicitaire. L'année dernière, dix-neuf professeurs ont eux aussi lancé un cri d'alarme, suivis, cet été, par l'Académie royale néerlandaise des sciences.

L'étude a été réalisée par Tobias Fiebig, de l'institut allemand d'informatique Max Planck, et par Martina Lindorfer, de l'Université technique de Vienne. Tous deux craignent que cette tendance soit préjudiciable à l'intégrité scientifique.

M. Fiebig juge cette attitude «naïve»: les entreprises technologiques promettent en fait de ne pas abuser de vos données tant que vous vous trouvez dans une position où vous n'avez en fait pas la possibilité de refuser qu'elles le fassent. Et pourtant, les universités choisissent plus souvent d'acheter des services auprès d'entreprises technologiques que de développer elles-mêmes ces services. Et ce, alors que la science a jadis été pionnière du développement d'une infrastructure numérique (cf. https://fd.nl/samenleving/1454238/studentgegevens ondanks kritiek massaal in de amerikaanse cloud gezet).

En ce qui concerne le caractère transversal de la question écrite: les Communautés sont autonomes en matière d'enseignement, mais les exigences minimales pour la délivrance des diplômes restent une compétence de l'autorité fédérale. Les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence transversale partagée avec les Régions, ces dernières intervenant surtout dans le volet préventif.

Je souhaiterais vous poser les questions suivantes.

1) Comment, selon vous, peut-on réduire le risque de violation de la vie privée, d'espionnage et de perte d'autonomie stratégique si l'on est de toute façon contraint d'utiliser les services cloud de pays qui ne sont pas membres de l'Union européenne (UE)?

2) Nos services de sécurité ont-ils déjà indiqué qu'il est risqué de stocker des données dans le cloud offert par des entreprises «big tech» étrangères? Pouvez-vous donner une estimation du pourcentage de risque supplémentaire que représente l'utilisation des services cloud de pays tels que la Chine, la Russie ou l'Iran? Les services cloud de ces pays sont-ils utilisés par des instituts ou services publics de notre pays? Si oui, à quelles fins? Quels sont ces services utilisateurs? Pouvez-vous préciser en quoi le risque lié aux services cloud de ces pays diffère de celui que représentent ceux des États-Unis?

3) Nos universités ou hautes écoles ont-elles déjà formulé des plaintes à ce sujet ou bien dispose-t-on d'indications selon lesquelles certaines entreprises «big tech» offrant des services cloud dérobent des informations, violent les règles de protection de la vie privée ou portent atteinte à l'intégrité scientifique? Si oui, combien de cas a-t-on recensés ces quatre dernières années? Quelle en était l'origine? Quelles étaient les parties impliquées? Quelle en a été l'issue?

4) Dans quelle mesure nos services de sécurité dispensent-ils des conseils en matière de respect de la vie privée et de sécurité (économique) aux établissements d'enseignement qui utilisent de tels services cloud?

5) Pouvez-vous indiquer combien de services publics utilisent les services cloud de fournisseurs américains? Quels sont les services concernés et à quelles fins utilisent-ils ces services cloud? Existe-t-il des directives relatives aux données sensibles et au recours à ces services cloud?

6) Y a-t-il déjà eu des incidents avec des fournisseurs de services cloud qui ont porté atteinte à l'intégrité (scientifique) des utilisateurs? Combien d'incidents de ce type a-t-on recensés ces quatre dernières années? Quelle en était l'origine? Quelles étaient les parties impliquées? Quel a été le résultat final?

7) Pouvez-vous dire si des projets sont en préparation afin de proposer des alternatives aux services cloud des entreprises technologiques américaines? Si oui, quelles sont les motivations de ces projets? Quel est le délai prévu? Qui sera associé à ces projets? Dans quels services ces projets seront-ils mis en œuvre? À combien le coût de ces projets est-il estimé?

 

Ondanks waarschuwingen van experts staat driekwart van alle Nederlandse studentgegevens opgeslagen bij datacenters van de Amerikaanse techbedrijven Microsoft en Amazon (de «cloud»). Dat blijkt uit een internationale studie. Het cloudgebruik door universiteiten is omstreden, omdat de privacy van studenten in het geding is. Ook kunnen universiteiten economisch afhankelijk worden van de techbedrijven.

De onderzoekers bekeken het cloudgebruik vanaf 2015. Toen stond zo'n 25 % van de studentendata in de «cloud», nu is dat 75 %. Naast die data, zoals studieprestaties en persoonsgegevens, zijn ook onderzoeksgegevens en digitale lessystemen in de «cloud» opgeslagen.

De toename is opmerkelijk, omdat hoogleraren en cyberexperts het al langer onwenselijk noemen dat persoonlijke data van zowel studenten als medewerkers worden beheerd door commerciële bedrijven die onder Amerikaanse wetgeving vallen. Hiermee zou een Amerikaanse opsporingsdienst inzage in Nederlandse privégegevens kunnen opeisen.

De commerciële afhankelijkheid kan universiteiten beperken in hun vrije keuzes. Overschakelen van de ene service naar de andere is tijdrovend en duur. Ook de marktautoriteit ACM (Autoriteit Consument en Markt) is hier kritisch over. Wie data opslaat in de «cloud», komt er bijna niet uit.

De universitaire wereld sloeg eerder alarm. In 2019 waarschuwden de rectoren dat data van studenten en docenten door «big tech» misbruikt kunnen worden op de advertentiemarkt. Vorig jaar slaakten negentien hoogleraren eveneens een noodkreet, net als deze zomer de Koninklijke Nederlandse Akademie van wetenschappen (KNAW).

De studie is uitgevoerd door Tobias Fiebig van het Duitse Max Planck Instituut voor Informatica, en Martina Lindorfer van de Technische Universiteit in Wenen. Zij vrezen dat de trend de wetenschappelijke integriteit ondermijnt.

Onderzoeker Fiebig noemt dit «naïef»: «De techbedrijven zeggen in feite: we beloven geen misbruik van jou te maken, zolang je maar in een positie komt waar je niet kunt weigeren als we dat wel doen.» Toch kiezen universiteiten er vaker voor diensten in te kopen bij techbedrijven, in plaats van die zelf te ontwikkelen. Terwijl de wetenschap ooit pionier was in het opzetten van een digitale infrastructuur (cf. https://fd.nl/samenleving/1454238/studentgegevens-ondanks-kritiek-massaal-in-de-amerikaanse-cloud-gezet).

Wat betreft het transversaal karakter van de schriftelijke vraag: de Gemeenschappen zijn autonoom op het vlak van onderwijs, maar de minimale vereisten voor de aflevering van diploma's blijven een aangelegenheid van de federale overheid. De verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus ook een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Hoe kunnen volgens u het risico op privacyschending, spionage en een verlies van strategische autonomie geminimaliseerd worden, indien men toch gebruik (moet) maken van dergelijke cloudservices van landen die geen lid zijn van de Europese Unie (EU)?

2) Zijn er reeds signalen binnengekomen van onze veiligheidsdiensten die aangeven dat er gevaren verbonden zijn aan opslag bij dergelijke buitenlandse "Big tech»-cloudaanbieders? Kan u procentueel inschatten hoeveel groter het gevaar is als men gebruik maakt van cloudservices van landen zoals China, Rusland of Iran? Zijn er instituten of overheidsdiensten die gebruikmaken van cloudservices van deze landen? Indien ja, waarvoor? En welke diensten? Kan u meedelen waarin het gevaar verschilt met dat van dergelijke services van de Verenigde Staten?

3) Zijn er reeds klachten binnengekomen van onze universiteiten of hogescholen of zijn er indicaties waaruit blijkt dat bepaalde «big tech»-cloudaanbieders informatie stelen, de privacyregels niet naleven of de wetenschappelijke integriteit ondermijnen? Indien ja, hoeveel in de jongste vier jaar? Wat was de aanleiding? Wie waren de betrokken partijen? Wat was de afloop hiervan?

4) In hoeverre krijgen de onderwijsinstellingen die gebruik maken van dergelijke cloudservices adviezen van onze veiligheidsdiensten over privacy en (economische) veiligheid?

5) Kan u duiden hoeveel overheidsdiensten gebruikmaken van de cloudservices van Amerikaanse providers? Van welke diensten en voor welke doeleinden? Zijn er richtlijnen over gevoelige data en het gebruik van deze cloudservices?

6) Zijn er reeds incidenten geweest met Amerikaanse cloudproviders waarbij de (wetenschappelijke) integriteit van de gebruikers ondermijnd werd? Hoeveel van dergelijke incidenten vonden er de jongste vier jaar plaats? Wat was de aanleiding? Wie waren de betrokken partijen? Wat was het uiteindelijke resultaat?

7) Kan u meedelen of er plannen in de steigers staan om alternatieven voor cloudoplossingen van Amerikaanse techbedrijven in gebruik te nemen? Indien ja, wat zijn de achterliggende redenen hiervoor? Wat is de geplande termijn? Wie zal hierbij betrokken worden? Bij welke diensten zal dit gebeuren? Wat is de geraamde kostprijs?