|
|
Universités - Données des étudiants - Violation de la vie privée - Plateformes technologiques étrangères - Utilisation - Services publics - Incidents - Chiffres et tendances
université
protection de la vie privée
informatique en nuage
intégrité scientifique
indépendance économique
étudiant
sécurité des systèmes d'information
protection des données
traitement des données
| 6/3/2023 | Envoi question (Fin du délai de réponse: 6/4/2023) |
| 5/4/2023 | Réponse |
Aussi posée à : question écrite 7-1914
Aussi posée à : question écrite 7-1915
Malgré les mises en garde d'experts, les trois quarts des données des étudiants néerlandais sont stockées dans les centres de données des entreprises technologiques américaines Microsoft et Amazon (le cloud). C'est ce qui ressort d'une étude internationale. L'utilisation du cloud par les universités est controversée car elle met en péril la vie privée des étudiants. En outre, les universités peuvent devenir dépendantes économiquement des entreprises technologiques.
Les chercheurs ont analysé l'utilisation du cloud depuis 2015. Cette année-là, environ 25 % des données des étudiants se trouvaient dans le cloud; aujourd'hui, il s'agit de 75 %. En plus des données que constituent les résultats des étudiants et leurs données personnelles, des données de recherches et des systèmes d'enseignement numériques sont également stockés dans le cloud.
L'augmentation est singulière, d'autant plus que depuis un certain temps déjà, des professeurs d'université et des experts de la cybersécurité jugent inopportun de laisser des entreprises commerciales soumises à la législation américaine gérer les données personnelles d'étudiants et de collaborateurs. Il est ainsi possible qu'un service d'enquête américain exige de consulter des données privées néerlandaises.
La dépendance commerciale peut limiter la liberté de choix des universités. Le passage d'un service à un autre est en effet coûteux en temps et en argent. L'ACM, l'Autorité néerlandaise chargée des consommateurs et des marchés, est elle aussi très critique à cet égard. Celui qui stocke des données dans le cloud ne peut quasiment pas en sortir.
Le monde universitaire a déjà tiré la sonnette d'alarme précédemment. En 2019, les recteurs ont mis en garde contre le risque que les «big tech» fassent un usage abusif des données des étudiants et des enseignants sur le marché publicitaire. L'année dernière, dix-neuf professeurs ont eux aussi lancé un cri d'alarme, suivis, cet été, par l'Académie royale néerlandaise des sciences.
L'étude a été réalisée par Tobias Fiebig, de l'institut allemand d'informatique Max Planck, et par Martina Lindorfer, de l'Université technique de Vienne. Tous deux craignent que cette tendance soit préjudiciable à l'intégrité scientifique.
M. Fiebig juge cette attitude «naïve»: les entreprises technologiques promettent en fait de ne pas abuser de vos données tant que vous vous trouvez dans une position où vous n'avez en fait pas la possibilité de refuser qu'elles le fassent. Et pourtant, les universités choisissent plus souvent d'acheter des services auprès d'entreprises technologiques que de développer elles-mêmes ces services. Et ce, alors que la science a jadis été pionnière du développement d'une infrastructure numérique (cf. https://fd.nl/samenleving/1454238/studentgegevens ondanks kritiek massaal in de amerikaanse cloud gezet).
En ce qui concerne le caractère transversal de la question écrite: les Communautés sont autonomes en matière d'enseignement, mais les exigences minimales pour la délivrance des diplômes restent une compétence de l'autorité fédérale. Les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence transversale partagée avec les Régions, ces dernières intervenant surtout dans le volet préventif.
Je souhaiterais vous poser les questions suivantes.
1) Comment, selon vous, peut-on réduire le risque de violation de la vie privée, d'espionnage et de perte d'autonomie stratégique si l'on est de toute façon contraint d'utiliser les services cloud de pays qui ne sont pas membres de l'Union européenne (UE)?
2) Nos services de sécurité ont-ils déjà indiqué qu'il est risqué de stocker des données dans le cloud offert par des entreprises «big tech» étrangères? Pouvez-vous donner une estimation du pourcentage de risque supplémentaire que représente l'utilisation des services cloud de pays tels que la Chine, la Russie ou l'Iran? Les services cloud de ces pays sont-ils utilisés par des instituts ou services publics de notre pays? Si oui, à quelles fins? Quels sont ces services utilisateurs? Pouvez-vous préciser en quoi le risque lié aux services cloud de ces pays diffère de celui que représentent ceux des États-Unis?
3) Nos universités ou hautes écoles ont-elles déjà formulé des plaintes à ce sujet ou bien dispose-t-on d'indications selon lesquelles certaines entreprises «big tech» offrant des services cloud dérobent des informations, violent les règles de protection de la vie privée ou portent atteinte à l'intégrité scientifique? Si oui, combien de cas a-t-on recensés ces quatre dernières années? Quelle en était l'origine? Quelles étaient les parties impliquées? Quelle en a été l'issue?
4) Dans quelle mesure nos services de sécurité dispensent-ils des conseils en matière de respect de la vie privée et de sécurité (économique) aux établissements d'enseignement qui utilisent de tels services cloud?
5) Pouvez-vous indiquer combien de services publics utilisent les services cloud de fournisseurs américains? Quels sont les services concernés et à quelles fins utilisent-ils ces services cloud? Existe-t-il des directives relatives aux données sensibles et au recours à ces services cloud?
6) Y a-t-il déjà eu des incidents avec des fournisseurs de services cloud qui ont porté atteinte à l'intégrité (scientifique) des utilisateurs? Combien d'incidents de ce type a-t-on recensés ces quatre dernières années? Quelle en était l'origine? Quelles étaient les parties impliquées? Quel a été le résultat final?
7) Pouvez-vous dire si des projets sont en préparation afin de proposer des alternatives aux services cloud des entreprises technologiques américaines? Si oui, quelles sont les motivations de ces projets? Quel est le délai prévu? Qui sera associé à ces projets? Dans quels services ces projets seront-ils mis en œuvre? À combien le coût de ces projets est-il estimé?
1) Le risque de violation de la vie privée est malheureusement bien réel. Par exemple, le risque spécifique est connu des agences gouvernementales qui demandent l’accès à des données personnelles à ces big tech sur la base de réglementations nationales. Les États-Unis et la Chine ont tous deux des réglementations qui permettent aux agences gouvernementales d’accéder aux données personnelles des citoyens belges ou européens.
Il s’agit donc d’appliquer les mesures de sécurité les plus strictes, d’effectuer une analyse d’impact sur la protection des données et de suivre les recommandations du Comité européen de protection des données.
La question de la minimisation du risque d’espionnage et de perte d’autonomie stratégique est évidemment aussi une question géopolitique à laquelle les services de renseignement doivent répondre.
2) Il manque un inventaire des types de cloud utilisés par les services publics. Le Center for Cybersecurity Belgium (CCB) m’informe qu’il ne dispose pas de telles informations. En outre, chaque service public est responsable de cet inventaire. Pour plus d’information, je vous renvoie à la Sûreté de l’État (VSSE) et au Service général du renseignement et de sécurité (SGRS).
3) Ni le CCB ni l’Autorité de protection des données (APD) disposent d’informations à ce sujet.
4) Je vous renvoie à la VSSE.
5) Pour répondre à cette question, il faudrait dresser un inventaire des types de services de cloud utilisés par les services publics. Actuellement, nous ne disposons pas de ces informations.
6) Je vous renvoie à la réponse à la question 3). Par ailleurs, la plupart des fournisseurs américains de services cloud fournissent des statistiques sur le nombre de fois où ils mettent des informations sur des citoyens belges ou européens à la disposition de ces agences gouvernementales sur la base d’une demande émanant d’une agence gouvernementale américaine en général, et des agences chargées de l’application de la loi et de la sécurité nationale en particulier.
Dans les rapports d’incidents cybernétiques que le CERT (Cyber Emergency Response Team, CCB) reçoit, le CCB m’informe qu’ils n’ont pas d’information sur des incidents qui portent spécifiquement atteinte à l’intégrité scientifique. Le CERT offre un soutien technique et des conseils sur les incidents signalés par les universités afin de limiter l’impact d’un incident. Le CCB considère que seules les universités peuvent savoir si l’incident porte atteinte à l’intégrité scientifique.
7) En ce qui concerne les services publics fédéraux, comme solution alternative à un certain nombre de services en nuage d’entreprises (américaines), nous disposons du G-CLOUD belge, du nuage communautaire du gouvernement et des solutions de technologies de l’information et la communication (TIC) dans le cadre du programme SECaaS du service public fédéral Stratégie et Appui (SPF BOSA) (SECaaS signifie «Security as a Service»).
Il convient de souligner que certains composants des solutions cloud des entreprises technologiques américaines permettent aussi de développer des applications de manière très rentable, avec la protection nécessaire des données à caractère personnel, en particulier grâce à des techniques de cryptage appropriées et à une gestion interne des clés. Il s’agit des plateformes dites IaaS et PaaS. C’est surtout avec les plateformes SaaS, où le fournisseur de services cloud a un accès direct aux données personnelles, que la question de la protection des données se pose.