|
|
Serveurs externes - Informatique en nuage - Services de recherche américains - Patriot Act - Lois sur la vie privée - Politique
sécurité des systèmes d'information
centre serveur
États-Unis
données personnelles
réseau informatique
protection de la vie privée
protection des données
service secret
| 23/10/2012 | Envoi question |
| 24/7/2013 | Rappel |
| 13/12/2013 | Requalification |
| 2/1/2014 | Réponse |
Aussi posée à : question écrite 5-7188
Requalifiée en : demande d'explications 5-4522
De plus en de consommateurs et d'entreprises utilisent le « nuage » pour stocker des données sur des serveurs externes. Cela paraît pratique pour pouvoir disposer d'une sauvegarde accessible par les utilisateurs partout dans le monde. Mais le propriétaire n'est pas le seul à pouvoir y accéder facilement. Une enquête réalisée par l'Institut du droit de l'information (IviR) aux Pays-Bas révèle en tout cas que les services de recherche américains ont très facilement accès à ces données Le Patriot Act offre à ces services des possibilités renforcées d'enquêter dans le « nuage », notamment sur des informations concernant des non-Américains. Selon les enquêteurs, la loi donne aux non-Américains beaucoup moins de droits qu'aux Américains. Même si l'on opère à partir du territoire belge ou européen, on n'est, par définition, pas protégé par les lois belges ou européennes sur la protection de la vie privée ou par d'autres réglementations. Même si une affaire n'a qu'un lien ténu avec les États-Unis, il y a, selon le Patriot Act, obligation de fournir l'information.
D'où les questions suivantes :
1) Le ministre est-il au courant des résultats de l'enquête réalisée par l'Institut pour le droit de l'information (IviR) ? Est-il exact que les services de recherche américains peuvent avoir plus facilement accès aux données des utilisateurs étrangers (et donc belges) de l'informatique en nuage qu'on ne l'avait pensé jusqu'ici ?
2) Est-il exact que les services de recherche américains peuvent plus facilement consulter les données des ressortissants étrangers que celles des Américains et que les lois belges et européennes sur la protection de la vie privée n'ont aucune valeur à cet égard ? Le ministre pense-t-il comme moi que le manque d'égard dont fait l'objet la confidentialité des données des non-Américains aux États-Unis est très problématique ?
3) De quelle manière l'utilisateur belge de l'informatique en nuage est-il protégé et le ministre juge-t-il cette protection efficace ? Le ministre juge-t-il les pratiques des États-Unis contraires à la loi belge ? Dans l'affirmative, entreprendra-t-il des actions pour mettre fin à cette situation ?
4) L'autorité belge utilise-t-elle l'informatique en nuage pour stocker des données ? Dans l'affirmative, le ministre juge-t-il ces données suffisamment protégées et tient-on suffisamment compte des risques qui y sont liés ?
5) Le ministre a-t-il une idée de la quantité de données de citoyens, autorités et entreprises belges en possession des États-Unis ? Notre pays est-il informé par les autorités américaines lorsqu'elles consultent des données sur des ressortissants, entreprises et autorités belges par le biais des serveurs en nuage ? Ou le ministre reconnaît-il qu'il y a très peu de transparence en la matière ?
6) S'est-il déjà concerté à ce sujet avec ses collègues américains et européens ? Dans la négative, est-il disposé à le faire ?
7) Le ministre est-il disposé à demander à la commission sur la protection de la vie privée de faire rapport sur les questions juridiques, de vie privée et de sécurité où des problèmes peuvent apparaître à la suite de l'utilisation de services liés à l'informatique en nuage ?
8) Selon le Comité R, notre pays n'a pas de politique globale en matière de sécurité de l'information. Contrairement à ses voisins, la Belgique ne dispose d'aucun organe chargé de protéger les systèmes d'information. La compétence est répartie entre les divers services publics fédéraux qui ne coordonnent pas leurs efforts. Le ministre estime-t-il que l'autorité belge dispose d'une connaissance et d'une mise à jour suffisantes en matière de sécurité de l'information (numérique) ? Dans la négative, est-il d'accord sur le fait qu'il faut investir d'urgence dans ce domaine ?
En ce qui concerne la question 7, la Commission pour la protection de la vie privée, m’a communiqué les éléments suivants :
« Elle est consciente des enjeux et des risques liés au phénomène de plus en plus croissant du « cloud computing » (informatique en nuage).
Le recours au « cloud computing » soulève un certain nombre de difficultés au regard du respect de la législation relative à la protection des données à caractère personnel.
Concernant la sécurité, le « cloud » génère de nouveaux risques, tant du côté du prestataire que du côté du client, notamment au niveau de la pérennité des données. Il est donc nécessaire de s’assurer que ces nouveaux risques sont maîtrisés avant de choisir une solution de cloud. »
Le « cloud computing » est un enjeu important qui concerne également les administrations du Royaume pour les données qu’elles traitent.
Il existe un risque potentiel de fuites de données (data breach) tant lors du traitement des données sur les propres serveurs que dans le cloud. La Commission de la protection de la vie privée signale toutefois que le cloud introduit un nouveau risque, à savoir la possibilité pour les autorités étrangères de consulter ces données et de les demander en fonction de leur propre législation.
Si des données publiques sont traitées dans le cloud, le facteur de risque fondamental réside dans le fait que ces données peuvent perdre leur souveraineté. D'autres pays sont équipés pour entrer en possession de données informatiques mais aussi pour retracer des communications électroniques, les localiser ou en prendre connaissance et en identifier les utilisateurs. La finalité poursuivie est dans la plupart des cas le respect de la loi ou la lutte contre le terrorisme. Mais d'autres finalités publiques sont parfois visées qui augmentent le risque de consultation abusive. Les affaires PRISM et XKeyscore (programmes de surveillance de masse américains) ont révélé l'importance insoupçonnée du nombre d'accès des autorités américaines aux données de grands fournisseurs de données de la société de l'information américaine.
C'est la raison pour laquelle la Commission exhorte les services publics à faire preuve de prudence vis-à-vis des cloud providers ou fournisseurs étrangers qui sont établis à l'étranger et qui doivent rendre des comptes à des autorités étrangères. Elle déconseille en tous les cas de stocker dans le cloud des données sensibles concernant la sécurité nationale et l'économie.
La Commission de la protection de la vie privée estime que chaque service public qui place des traitements de données dans le cloud doit d'abord soumettre ces données à une analyse de risque pour ce qui concerne leur nature et leur degré de sensibilité.
Pour les questions 4 et 8, je renvoie l’honorable membre à mon homologue, le ministre de l’Économie.
Pour le surplus (questions 1, 2, 3, 5, 6), je renvoie l’honorable membre à monsieur Hendrik Bogaert, Secrétaire d'Etat à la Fonction publique et à la Modernisation des Services publics, compétent pour les autres questions.