Commissievergadering op 24 september 2025

Madame la ministre, bien que les achats de véhicules Tesla soient en chute libre en Belgique, notamment pour des raisons géopolitiques et en réaction aux frasques de son PDG Elon Musk, il n’en reste pas moins que près de 21 000 Tesla sont immatriculées en Belgique. L’une des fonctionnalités de ces véhicules pose problème pour la protection de la vie privée et constitue une infraction au regard du Règlement général sur la protection des données (RGPD). Je veux parler ici du "mode Sentinelle".

Pour résumer, même lorsqu’elles sont stationnées, les caméras extérieures de la voiture continuent à tourner. Or, il est interdit de filmer l’espace public. Le concessionnaire Tesla ou le propriétaire d’une Tesla serait dans l’obligation d’afficher un pictogramme prévenant les personnes qu’elles seraient susceptibles d’être filmées – un pictogramme que nous voyons collé sur extrêmement peu de véhicules. Or, sans ce pictogramme, le ou la propriétaire s’expose à des amendes qui peuvent aller jusqu’à 20 millions d’euros. Dans la pratique, les amendes sont très rares.

En dehors de ces violations au RGPD se pose aussi la question de l’accès aux images enregistrées: sont-elles limitées aux propriétaires ou peuvent-elles remonter jusqu’au siège de Tesla? À ce sujet, je suis effaré d’apprendre que l'entreprise précise que seules les images filmées à l’intérieur de l’habitacle ne lui sont pas transmises. Pour les caméras extérieures utilisées en mode Sentinelle, Tesla affirme laisser le choix à ses clients de partager ou non leurs données (dont les séquences vidéo) avec l’entreprise qui ne les utiliserait que pour améliorer ses services.

Chaque véhicule Tesla est une potentielle caméra de surveillance pour une entreprise étrangère dont le PDG s’est vu être le bras droit de Trump, dans une forme d’hybridation public-privé qui doit évidemment attirer toute notre attention. Nous ne pouvons pas laisser ces faits sans réponse.

Madame la ministre, pourrais-je connaître votre retour sur ce mode Sentinelle actif dans les véhicules Tesla? Confirmez-vous que cette fonctionnalité viole plusieurs législations, à commencer par le RGPD?

Je vous remercie pour votre réponse, madame la ministre. Effectivement, j'estime qu'il s'agit d'un sujet important au regard de la protection de la vie privée. De plus, ce mode Sentinelle, à titre personnel, me pose question. Cela reste mon problème même si, comme vous l’aurez compris, je n’ai pas de Tesla. Vous dites que l’APD est claire, et que notre loi nationale est explicite, notamment avec cette loi caméras de 2007 qui interdit l’utilisation de caméras dans l’espace public. Je suis donc content d’entendre que vous avez interpellé votre collègue, le ministre de l’Intérieur, pour évaluer si ce mode Sentinelle est en contradiction avec la loi caméras. C'est le cas, selon vous. Je partage votre position, mais il s'agit bien de votre interprétation. Cela me porte à croire que, parmi ce duo du ministre de l’Intérieur et vous-même, une des deux parties partage mon sentiment. Je ne doute pas que vous prendrez les mesures qui s’imposent si jamais vos avis convergent, et que ce mode Sentinelle est en infraction avec les règles européennes ou avec la législation nationale.

Mevrouw de minister, in Nederland was er een datalek bij een laboratorium dat verantwoordelijk is voor een bevolkingsonderzoek naar baarmoederhalskanker. Zeer gevoelige persoonsgegevens, in casu medische gegevens, namen, adressen, testuitslagen van deelnemers en zelfs rijksregisternummers werden gestolen. De gestolen gegevens maken diverse vormen van misbruik door hackers mogelijk. Ongeveer 850.000 Nederlanders werden getroffen en inmiddels hebben 68.000 vrouwen zich gemeld voor een gezamenlijke schadeclaim. Niet alleen doet die zaak de wenkbrauwen fronsen; ze wekt ook de vrees voor een herhaling ervan in België.

Mevrouw de minister, kan zo'n datalek ook in België gebeuren? Welke garanties bieden Belgische overheidsdiensten onze burgers in verband met de opslag van hun persoonlijke gegevens? Welke beveiligingsmaatregelen gelden ten opzichte van externe organisaties die bijvoorbeeld bevolkingsonderzoeken organiseren? Hebt u hierover overleg gehad met bijvoorbeeld de data protection officer van het Belgische federale e-Healthplatform?

Dank u voor uw antwoord, mevrouw de minister. Het gaat inderdaad over de bescherming van de privacy en het vertrouwen in de instellingen. Maar het gaat ook over schade. We zijn daarom erg benieuwd naar de schadeclaims in Nederland. In ons land zijn nog niet veel cases van schadeclaims bekend, maar ik vrees dat die er wel zullen komen, als er aan het huidige tempo data worden gelekt. Persoonsgegevens worden op allerlei manieren gestolen en vervolgens wordt het door identiteitsdiefstal heel gemakkelijk om mensen op te lichten. Dat blijft dus een belangrijk aandachtspunt. Ik heb ook goed genoteerd dat een lek binnen 72 uur bij de GBA gemeld moet worden. Dat komt in mijn volgende vraag ook terug. Ik vrees dat dat in veel gevallen niet binnen die korte termijn gebeurt. Ten slotte kijk ik samen met u uit naar de voorgestelde aanpassingen van de privacywet, die van 2018 dateert, als ik mij niet vergis. De vorige directie van de GBA gaf in april al aan dat de privacywet een evaluatie en aanscherping verdient. Ik hoop dat u daar snel werk van maakt.

In ons land zijn er nog geen datalekken van medische gegevens op grote schaal, zoals in Nederland. Deze zomer hebben we echter wel over datalekken mogen vernemen bij Belfius, Orange en KBC. Het gaat ook niet om kleine organisaties, wel om organisaties die beschikken over zeer veel en soms ook gevoelige informatie. Een KBC-bedrijfsklant heeft niet alleen zijn eigen transactiegegevens ontvangen, maar ook die van andere klanten. Bij Orange was het een computerhacker die gegevens van maar liefst 850.000 klanten buitmaakte. Bij Belfius waren 4.000 klanten betrokken bij een incident. Het ging om 4.000 klanten die een verkeerde brief ontvingen, waarbij rekeninguittreksels van andere klanten zaten.

Mevrouw de minister, welke gevolgen zijn er reeds gegeven aan de recente datalekken? Hoe verklaart u het gebrek aan data-encryptie bij dergelijke grote organisaties? Kunt u toelichting geven bij de lopende onderzoeken van de Gegevensbeschermingsautoriteit? In het geval van Orange werd het lek pas na drie weken gecommuniceerd – of kwam het pas na drie weken in de media – wat ver verwijderd is van de 72 uur waar we het net over hadden.

Zijn er sancties indien een melding te laat wordt gedaan bij de GBA? KBC deed er bovendien alles aan om het incident buiten de media te houden en ook de fout van Belfius kwam pas meer dan een maand na de feiten in de media. Wordt er ook opgetreden tegen deze laattijdige communicatie of tegen pogingen om dergelijke datalekken uit de openbaarheid te houden? Worden er controles uitgevoerd om soortgelijke incidenten te vermijden? Wordt er proactief gewerkt door de GBA of andere instanties om grote organisaties zoals Belfius, Orange en KBC te controleren? Gaat u bijkomende maatregelen treffen en kunnen de slachtoffers op compensatie rekenen? Ik ben benieuwd.

Mevrouw de minister, ik kijk uit naar de conclusies van de GBA, die vervolgens op haar website gepubliceerd zullen worden. U meldde dat het verplicht is om binnen de 72 uur aangifte te doen bij de GBA en om dit aan de betrokkenen te melden indien er een hoog risico is. Hoog risico is natuurlijk een vaag begrip. Als er persoonsgegevens gestolen worden bij een bank, houdt dit steeds een hoog risico in. Wij hebben vastgesteld dat als die betrokkenen vervolgens naar de pers willen stappen, zij onder druk worden gezet en er deurwaarders worden gestuurd om hen af te raden hun verhaal te doen. Dat is een praktijk die wij ook zouden moeten veroordelen. Met betrekking tot de gegevens die bij Orange gestolen zijn, ik ben blij te horen dat Orange maatregelen heeft genomen zodat er geen simswapping kan plaatsvinden, maar die klantengegevens zijn ondertussen wel gewoon te koop op het darkweb. Het is bijzonder onrustwekkend te horen dat het in het geval van Orange niet ging om menselijke fouten, maar om organisatorische tekortkomingen. Dat is een teken dat er daar iets serieus mis is. Ten slotte, u zegt opnieuw dat de Privacywet geëvalueerd moet worden. Wij blijven daarnaar uitkijken. Er zal echter ook proactief gewerkt moet worden om grote organisaties te controleren en te testen. Mensen, medewerkers, iedereen moet gesensibiliseerd worden op een proactieve manier om hier niet ten prooi aan te vallen.

Mevrouw de minister, kleine ondernemingen vallen niet onder de NIS 2-richtlijn die bedrijven verplicht hun cyberwaakzaamheid te verhogen, terwijl ook kleine bedrijven alsmaar vaker het slachtoffer worden van cyberaanvallen.

Volgens het Centrum voor Cybersecurity zou tweestapverificatie bijvoorbeeld een absolute minimummaatregel moeten zijn, maar veel kleine bedrijven maken daar onvoldoende gebruik van. Onderzoek van een cyberverzekeraar toont bovendien aan dat de grote meerderheid van de Belgische kmo’s onvoldoende maatregelen neemt om hun digitale veiligheid te waarborgen.

Welke maatregelen zult u nemen om ook kleinere bedrijven bewust te maken van hun digitale kwetsbaarheid?

Op welke steun kunnen die ondernemingen en zelfstandigen daarvoor rekenen?

Hebt u daarover overleg gehad, bijvoorbeeld met uw collega bevoegd voor kmo en middenstand?

Bedankt voor uw antwoord, mevrouw de minister. Bewustmakingscampagnes zijn zeker waardevolle initiatieven om burgers en ondernemingen, in het bijzonder kleine ondernemingen, te informeren. We moeten echter meer doen om het publiek wakker te schudden. Het is niet de vraag of een onderneming gehackt zal worden, maar wanneer dat zal gebeuren. Dat blijkt duidelijk uit de cijfers. Bedrijven zijn kwetsbaar voor afpersing. Nog bij het begin van afgelopen week moesten we vaststellen hoe een toeleverancier van de luchthaven van Zaventem werd afgeperst om systemen vrij te geven of de diefstal van persoonsgegevens te voorkomen. Over dergelijke gevallen wordt veel te weinig gecommuniceerd. Als er wel informatie over de bedragen die in dergelijke gevallen moeten worden betaald, beschikbaar zou zijn, zou dat sensibiliserend werken. Het zou andere ondernemingen kunnen doen inzien welke enorme risico's zij lopen bij een aanval door hackers. Daarom denk ik dat, naast bewustmakingscampagnes, ook veel meer over de hacks en de daaruit voortvloeiende schade moet worden gecommuniceerd. Dan zullen er veel meer bedrijven en personen bewust worden van het gevaar. Ik hoop dat u de nodige stappen zult nemen om hacking uit de taboesfeer te halen en te communiceren over de gevolgen ervan.

Madame la ministre, comme c'est une matière quelque peu technique, et afin de faire gagner du temps à tout le monde, je m'en réfère à ma question telle que déposée par écrit.

Madame la ministre, la proposition de règlement européen CSAM qui vise à lutter contre la diffusion de contenus pédopornographiques suscite beaucoup de questionnements.

Pour être synthétique, le CSAM mettrait en place un système qui obligerait les plateformes à scanner les contenus échangés en amont de leur diffusion en ligne – que ces plateformes soient cryptées ou non. À l'heure actuelle, la réglementation est axée sur le retrait de contenus une fois identifiés. Le CSAM cherche à renverser la balance en s'attaquant directement à la source de la personne qui serait sur le point de partager une image à caractère pédopornographique.

Par quelle technique? Celle du "client-side scanning", une technique qui consiste à analyser le contenu d'un message sur l'appareil de l'utilisateur avant qu'il ne soit envoyé. Dans un article du 20 septembre dernier publié sur le site de la RTBF, j'apprends que le texte est actuellement discuté au sein des États membres de l'UE et prévoit un garde-fou qui permettrait de rallier les actuels opposants au texte. Ce garde-fou, c'est la mise en place d'un centre d'expertise européen qui servirait de cadre à l'application de la législation.

Madame la ministre, j'en viens à mes questions qui sont multiples.

Tout d'abord, quelle est la position de la Belgique sur la dernière version du CSAM? A-t-elle fait l'objet d'un consensus au sein des entités fédérées ? Quelles évaluations la Belgique a-t-elle remise le 12 septembre dernier, date-butoir de l'analyse de cette dernière version?

Ensuite, je lis que les plateformes devraient vérifier si des photos ou vidéos issues de bases de données contenant des contenus pédopornographiques déjà identifiés circulent sur leurs réseaux et, le cas échéant, d'en bloquer la diffusion: quelles sont ces bases de données? Depuis quand existent-elles? Qui les alimente et les contrôle?

Troisièmement, ce "EU Centre" qui serait un garde-fou fonctionnerait comme centre de tri et donc comme intermédiaire: a-t-on une idée de l'enveloppe budgétaire que ce centre réclamerait ainsi que ses ressources humaines? Où se situerait-il?

Enfin, quel rôle jouerait l'IBPT en cas de mise en vigueur de ce CSAM à l'heure où l'institution est déjà surchargée de travail (IA Act, DSA, etc.)?

Madame la ministre, je vous remercie pour cette réponse à une question importante.

J'entends que la position définitive de la Belgique n'est pas encore pleinement arrêtée. Même si vous intervenez en troisième ligne en tant que ministre chargée du Numérique, comme vous l'avez rappelé, après les ministres de l'Intérieur et de la Justice, il me semblait intéressant d'obtenir votre éclairage. Une question identique sera donc également posée à vos deux collègues.

J'entends, par ailleurs, ce petit regret que certaines informations qui circulent soient erronées et je le souligne. Tout comme vous, j'estime qu'il faut trouver une solution qui maintienne l'équilibre entre la protection des enfants et la liberté individuelle, qui nous est chère. Merci d'avoir fait le point sur ce dossier.