| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||||||
| ________ | ________ | ||||||||||||
| Session 2016-2017 | Zitting 2016-2017 | ||||||||||||
| ________ | ________ | ||||||||||||
| 15 décembre 2016 | 15 december 2016 | ||||||||||||
| ________ | ________ | ||||||||||||
| Question écrite n° 6-1203 | Schriftelijke vraag nr. 6-1203 | ||||||||||||
de Martine Taelman (Open Vld) |
van Martine Taelman (Open Vld) |
||||||||||||
au ministre des Finances, chargé de la Lutte contre la fraude fiscale |
aan de minister van Financiën, belast met de Bestrijding van de fiscale fraude |
||||||||||||
| ________ | ________ | ||||||||||||
| Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur - Secret bancaire - Vente de données client à des tiers - Autorisation explicite - Cybercriminalité - Risque | Richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt - Bankgeheim - Verkoop van klantengegevens aan derden - Expliciete toestemming - Cybercrime - Risico | ||||||||||||
| ________ | ________ | ||||||||||||
| monnaie électronique activité bancaire établissement de crédit contrôle bancaire données personnelles secret bancaire protection de la vie privée banque centrale Financial Services and Markets Authority criminalité informatique |
elektronisch betaalmiddel bankactiviteit kredietinstelling bankcontrole persoonlijke gegevens bankgeheim eerbiediging van het privé-leven centrale bank Financial Services and Markets Authority computercriminaliteit |
||||||||||||
| ________ | ________ | ||||||||||||
|
|
||||||||||||
| ________ | ________ | ||||||||||||
| Ook gesteld aan : schriftelijke vraag 6-1204 | Ook gesteld aan : schriftelijke vraag 6-1204 | ||||||||||||
| ________ | ________ | ||||||||||||
| Question n° 6-1203 du 15 décembre 2016 : (Question posée en néerlandais) | Vraag nr. 6-1203 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands) | ||||||||||||
Le niveau du salaire, l'hypothèque ou une visite chez le psychologue : à partir du mois de janvier 2018, des tiers suivront les données bancaires privées d'un titulaire de compte, à moins que celui-ci ne notifie clairement son opposition à la banque qui pourra dorénavant vendre ses données à d'autres entreprises. D'après la nouvelle réglementation européenne (la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE, appelée directive PSD2), les banques seront bientôt obligées de vendre les données de paiement de leurs clients à des tiers si ceux-ci en font la demande et ont obtenu l'agrément nécessaire. Le client doit également donner son accord, chaque fois que des données de paiement doivent être transmises à des tiers. Ces dispositions légales sont assorties d'un certain nombre de conditions : il faut préciser à qui les données sont vendues, quelles données de paiement sont fournies et à quelles fins elles sont vendues. Un consommateur doit à chaque fois pouvoir marquer son refus. Je suis très sceptique quant à cette mesure. Les expériences du passé nous apprennent que cette autorisation est souvent noyée parmi toute une série d'autres, et que dès lors, le client ne fait pas un choix délibéré. De plus, un titulaire de compte ne se rend pas toujours compte des secrets qu'il/elle divulgue. Les assureurs automobiles seront particulièrement intéressés de savoir que le client a acheté de l'alcool. Les assureurs vie manifesteront un intérêt particulier pour la consommation de tabac ou la prise de certains médicaments. Par ailleurs, toutes ces données peuvent conduire au vol d'identité. Il semblerait que les banques soient, d'après la nouvelle directive DSP2, elles-mêmes tenues de vendre ces données. L'Autoriteit Financiële Markten (AFM-autorité néerlandaise de régulation des marchés financiers) craint que les données de paiement ne soient utilisées de manière abusive et qu'une nouvelle loi européenne ne donne lieu à une augmentation de la cybercriminalité. Du fait de cette loi, appelée PSD2, les banques seront bientôt obligées de partager les données de paiement des clients avec des tiers - pour autant que le client donne son autorisation. D'après Reinier Pollmann de l'AFM, ces données de paiement peuvent permettre aux entreprises de développer d'excellents services pour les consommateurs mais elles peuvent également avoir des conséquences extrêmement déplaisantes. Reinier Pollmann dit également que le contrôle sur ces services est actuellement trop fragmenté. Les clients courent dès lors le risque de voir leurs données de paiement utilisées de manière abusive. La loi vise à encourager l'innovation et à élargir la concurrence. Et c'est ce qui semble se produire, d'après l'autorité néerlandaise de contrôle: De nombreuses entreprises fintech (technologies financières) sont déjà prêtes actuellement à affronter la concurrence avec les banques et à offrir des services que seules les banques pouvaient offrir au départ. Pensez aux applications relatives aux investissements, aux cahiers de comptes ménagers en ligne, aux nouveaux modes de paiement et aux conseils hypothécaires, disponibles sans que vous ayez à encoder des données. Toutes les parties qui veulent utiliser ces données doivent d'abord demander une autorisation à la banque. Le système est organisé correctement aux Pays-Bas. Mais il s'agit d'une législation européenne et une autorisation peut donc être demandée dans n'importe quel pays européen. D'après l'autorité de contrôle, les cybercriminels préféreront le faire au départ de Chypre ou de Malte. C'est pourquoi le politique doit réfléchir à la manière de mieux organiser ce contrôle. Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019, et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif . J'aimerais obtenir une réponse aux questions suivantes : 1) Que pensez-vous de la position de l'autorité néerlandaise de contrôle des banques selon laquelle la directive DSP2 envisagée entraîne certains risques de cybercriminalité et que le politique doit réfléchir à la manière de mieux organiser ce contrôle ? 2) Avez-vous déjà reçu un avis de la Banque nationale de Belgique (BNB), de la Commission de la protection de la vie privée ou de l'Autorité des services et marchés financiers (FSMA) sur les risques que comporte la directive DSP2 proposée en matière de cybercriminalité et de vol d'identité ? 3) Pouvez-vous préciser qui assurera l'ensemble du contrôle sur tous les « fournisseurs de services » qui achèteront les données bancaires des clients dans le but de diffuser des annonces et de mener d'autres actions commerciales ? Dans la négative, comment pouvez-vous garantir le contrôle ? |
De hoogte van je loon, je hypotheek, of een bezoek aan de psycholoog ; vanaf januari 2018 zullen derden meekijken naar de privébankgegevens. Tenzij de rekeninghouder duidelijk nee zegt tegen de bank die zijn gegevens straks aan andere bedrijven door kan verkopen. Onder nieuwe Europese regelgeving (de richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van richtlijn 97/5/EG, de zogenaamde PSD2 richtlijn) zijn banken straks verplicht betaalgegevens van hun klanten te verkopen aan derden als die daarom vragen. Die partijen hebben daar wel een vergunning voor nodig. Ook moet de klant hier toestemming voor geven, iedere keer dat de betaalgegevens in andere handen overgaan. Dat is wettelijk vastgelegd onder een aantal voorwaarden : aan wie de gegevens worden verkocht, welk deel van de betaalgegevens worden geleverd en voor welk doel ze worden verkocht. Ook moet een consument altijd nee kunnen zeggen. Ik ben bijzonder huiverachtig ten opzicht van deze maatregel. Ervaringen uit het verleden leren ons dat deze toestemming dikwijls bedolven zit onder een rits andere voorwaarden waardoor de klant dit niet bewust kiest. Bovendien beseft een gebruiker van een bankrekening niet welke geheimen hij / zij prijsgeeft. Autoverzekeraars zullen bijzondere interesse hebben in de aankopen van alcohol door de gebruiker. Levensverzekeraars zullen bijzondere interesse vertonen in tabaksgebruik of bepaalde medicatie die genomen wordt. Bovendien kunnen al deze gegevens leiden tot identiteitsdiefstal. Naar verluidt zouden banken een volgens de nieuwe DSP2 richtlijn zelfs verplicht worden om deze gegevens te verkopen. De Nederlandse toezichthouder Autoriteit Financiële Markten (AFM) is bang dat betaalgegevens misbruikt zullen worden en dat er meer cybercriminaliteit komt door een nieuwe Europese wet. Door die wet, PSD2 genoemd, zijn banken straks verplicht betaalgegevens van klanten te delen met andere partijen - mits de klant daar toestemming voor geeft. « Met die betaalgegevens kunnen bedrijven prachtige diensten voor ons consumenten ontwikkelen, maar daar kunnen ze ook hele nare dingen mee doen », zegt Reinier Pollmann van toezichthouder AFM. Het toezicht op die diensten is nu te versnipperd, zegt hij. Dus lopen klanten gevaar dat hun betaalgegevens worden misbruikt. De wet is bedoeld om innovatie te stimuleren en de concurrentie te verbreden. En dat lijkt te gebeuren, zegt de Nederlandse toezichthouder : « Nu al staan talloze fintech-bedrijven klaar om de concurrentie met banken aan te gaan en diensten aan te bieden die eerst alleen banken konden aanbieden. Denk aan beleggingsapps, online huishoudboekjes, nieuwe betaalmanieren en hypotheekadvies zonder dat je daarvoor gegevens hoeft in te sturen. Alle partijen die de data willen gebruiken moeten eerst een bankvergunning aanvragen. Dat is in Nederland goed geregeld. Maar het is een Europese wet, dus kan in elk Europees land een vergunning worden aangevraagd. » « Cybercriminelen zullen er dan eerder voor kiezen om dat op Cyprus of Malta te doen », vertelt de toezichthouder. Daarom moet de politiek erover nadenken hoe dat toezicht beter kan worden geregeld. Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft dus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik. Graag had ik hieromtrent dan ook een antwoord gekregen op de volgende vragen : 1) Hoe reageert u op het standpunt van de Nederlandse bankentoezichthouder dat de vooropgestelde DSP2 richtlijn bijzondere risico's inhoudt wat betreft cybercriminaliteit en dat « de politiek erover moet nadenken hoe dat toezicht beter kan worden geregeld » ? 2) Heeft u reeds een advies bekomen van de Nationale Bank van België (NBB), de Privacycommissie of het Autoriteit voor financiële diensten en markten (FSMA) over de risico's van deze vooropgestelde DSP2 richtlijn wat betreft cybercriminaliteit en identiteitsdiefstal ? 3) Kunt u zeer gedetailleerd meedelen wie de hele controle gaat uitvoeren op alle zogenaamde « dienstverleners » die de bankgegevens van klanten gaan opkopen met het oog op advertenties en andere commerciële acties ? Zo neen, hoe kunt u dan het toezicht garanderen ? |