COMMISSION DE L'ÉCONOMIE, DE LA PROTECTION DES CONSOMMATEURS ET DE L'AGENDA NUMERIQUE

La réunion publique de commission est ouverte à 13 h 37 et présidée par M. Albert Vicaire.

De openbare commissievergadering wordt geopend om 13.37 uur en voorgezeten door de heer Albert Vicaire.

01 Gedachtewisseling over de digitale portefeuille en toegevoegde vragen van

- Erik Gilissen aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen, de Culturele Instel.) over "myID.be®" (55031818C)

- Erik Gilissen aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen, de Culturele Instel.) over "Digitale overheidsdiensten" (55031819C)

- Gilles Vanden Burre aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen, de Culturele Instel.) over "Het myID-project en de evaluatie van de itsme-app" (55031887C)

- Michael Freilich aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen, de Culturele Instel.) over "myID.be" (55031899C)

- Leslie Leoni aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen, de Culturele Instel.) over "itsme en myID" (55031912C)

01 Échange de vues sur le portefeuille digital et questions jointes de

- Erik Gilissen à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments, des Instit. Culturelles) sur "myID.be®" (55031818C)

- Erik Gilissen à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments, des Instit. Culturelles) sur "Les services publics numériques" (55031819C)

- Gilles Vanden Burre à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments, des Instit. Culturelles) sur "Le projet myID et l'évaluation de l'application itsme" (55031887C)

- Michael Freilich à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments, des Instit. Culturelles) sur "myID.be" (55031899C)

- Leslie Leoni à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments, des Instit. Culturelles) sur "Les applications itsme et myID" (55031912C)

01.01 Mathieu Michel, secrétaire d'État: Monsieur le président, chers collègues, parmi les éléments d'accès au portefeuille digital dont nous avons déjà débattu, un certain nombre d'échanges ont eu lieu concernant "itsme". Aujourd'hui, nous aurons l'occasion de discuter de l'objectif du portefeuille digital et de l'ensemble de ce qui compose l'ambition qui est poursuivie à travers lui.

Ik begin met een vaststelling. Gezien de institutionele complexiteit van ons land hebben de burgers behoefte aan vereenvoudiging. We moeten hun leven vereenvoudigen en hen centraal stellen in wat we 'de gebruikerservaring' kunnen noemen. Daartoe moeten wij hun een universeel instrument aanbieden dat bestaat uit een reeks eenvoudige, toegankelijke en veilige toepassingen, naar het voorbeeld van bijvoorbeeld Apple Experience of Microsoft Experience.

Dit instrument is de digitale portefeuille. Het bestaat uit bouwstenen die identiteit, communicatie, attesten, administratieve procedures en persoonsgegevens garanderen. Dit project is gebaseerd op twee gezamenlijke visies en twee duidelijke juridische contexten. In de eerste plaats is dat identificatie met de Europese eIDAS-verordening, die de elektronische identificatie regelt door strenge normen vast te leggen. Deze verordening zet echter de deur open voor authenticatie, zoals bijvoorbeeld morgen Apple of Google, die ook oplossingen ontwikkelen op het vlak van digitale authenticatiesleutels.

De même, la législation belge, au travers de l'arrêté royal du 22 octobre 2017, fixe les conditions, la procédure et les conséquences de l'agrément des services d'identification électronique pour applications publiques. C'est d'ailleurs via cet arrêté royal que "itsme" est utilisé pour les services administratifs. Plus récemment, c'est aussi via cet arrêté royal qu'un autre opérateur privé a eu accès ce service: l'application myID dont nous avons entendu parler la semaine dernière.

Ten tweede is er de digitale beveiliging met de NIS2-verordening. Gezien de realiteit van cyberaanvallen en de daarmee samenhangende risico's legt deze verordening de ontwikkelaars een zeer hoog beveiligingsniveau op. Ten slotte zijn er voor de interoperabiliteit en de vereenvoudiging van de procedures de Single Digital Gateway voor het Europese niveau en de only once-wet, de wet op de dienstenintegratoren of de eBoxwet voor het Belgische niveau.

Over de digitale portefeuille heb ik een kleine video ter uitleg.

Op de schermen in de zaal wordt een promotiefilmpje voor de digitale portefeuille getoond.

Une vidéo promotionnelle sur le portefeuille digital est diffusée sur les écrans en salle.

Comme je l'énonçais dans mon introduction, ce portefeuille digital est une suite d'applications, à l'image de ce qu'on peut retrouver dans les applications de type Office et d'autres. On retrouve en fait un certain nombre de composants dans cette application.

La carte d'identité virtuelle, qui relève de la fonction régalienne de l'État, connecte l'individu à sa responsabilité dans le monde numérique, comme son identité réelle dans le monde réel. Elle est reconnue dans le monde réel, c'est-à-dire que vous pouvez montrer votre carte d'identité sur votre smartphone; elle sera reconnue dans le monde réel mais également dans le monde virtuel. Voilà pour les cartes d'identité.

L'autre outil est un outil de communication. C'est la e-box, qui fournit une plateforme standardisée pour la communication entre les acteurs du système. Cette communication aura l'avantage d'être bidirectionnelle, avec les institutions, et de permettre une véritable discussion entre le citoyen ou les entreprises et les institutions publiques.

La valeur de recommandé pourra y être attachée. Une reconnaissance implicite du mandat de réception sera aussi intégrée afin de garantir l'envoi de ces messages en recommandé. Toutefois, cet outil doit encore se concrétiser légalement au travers de la future loi e-box. Je pense que vous êtes bien placés pour le savoir.

Les procédures pourront être introduites au travers d'un système de e-locket - un guichet numérique unique sur base de standards et de procédures génériques en cours de développement. Ce processus pourra se faire de manière interinstitutionnelle et transfrontalière et se base sur le modèle européen du Single digital gateway que nous sommes en train d'implémenter sur un certain nombre de procédures en Belgique.

De digitale portefeuille zal ook het delen van alle certificaten of attesten onder de controle van de gebruiker samenbrengen en mogelijk maken, zoals rijbewijs, paspoort en diploma. Ten slotte krijgt de gebruiker via MyData toegang tot zijn persoonlijke gegevens en kan hij zelf bepalen welke functies en gegevens in het systeem beschikbaar zijn, waarbij hij een overzicht krijgt van welke informatie gedeeld is en met wie en waarom.

Voilà les intentions sur lesquelles nous travaillons. Tout d'abord, nous veillons à garantir un très haut niveau de sécurité. Sur le plan de la cybersécurité et dans l'approche des bases de données, nous nous référons aux plus hauts standards imposés à ces développements. Les bases de données sont décentralisées et placées sous la responsabilité des partenaires du projet.

Du point de vue du timing, nous nous trouvons dans une phase de beta-testing de façon confidentielle. Autrement dit, nous sommes en train de tester les serveurs. Nous en espérons une mise à la disposition des citoyens dans le courant 2023 sous une forme évolutive. Cela signifie que plusieurs procédures se succéderont au cours de la mise en service de ce portefeuille.

J'en viens à la question de l'inclusion.

Ik wil sommigen hier ook geruststellen dat de portefeuille een keuze en geen verplichting is. Om iedereen in zijn keuze te ondersteunen konden al enkele tientallen agenten van de overheidsdiensten dankzij de Connectoo-opleidingen worden opgeleid om de zwakste digitale gebruikers bij te staan.

Il y a donc vraiment une dynamique importante en matière d'inclusion digitale. Je le répète: utiliser ce portefeuille digital n'est pas une obligation, mais évidemment un choix, qui s'accompagne d'un travail important en matière de fracture digitale.

Enfin, pour conclure, au niveau du budget du portefeuille digital, le budget de l'administration des transformations digitales est affecté en partie aux outils qui sont déjà présentés aujourd'hui. Il y a une réorientation des crédits existants, auxquels on doit rajouter un financement du plan de relance de 10 millions d'euros. Il s'agit d'un soutien one shot pour l'ensemble du projet et la digitalisation des administrations dans toute une série de procédures qui restent à développer. C'est également un soutien accordé au FAS (Federal Authentification System) ainsi qu'à eBox pour son évolution, pour un montant de 3 millions d'euros par an.

Voilà, rapidement présenté, le portefeuille digital. La Belgique est, comme on le sait, un pays complexe. La mise en oeuvre de cet outil m'apparaît essentielle pour simplifier la vie du citoyen. Ce n'est pas à lui de supporter la complexité de nos institutions. Nous proposons ici un outil qui permettra de lui simplifier la vie.

Je ferai une dernière remarque avant de conclure. Le portefeuille digital est techniquement composé d'un certain nombre de blocs qui seront mis totalement gratuitement à disposition de tous les projets de développement d'applications des institutions publiques. Ce qui veut dire que les blocs que nous construisons ici pourront être réutilisés sur le site internet d'une commune, sur l'application d'une province ou encore d'une Région. Ce que nous construisons aujourd'hui est une méthodologie commune pour proposer un outil simple d'utilisation pour nos citoyens. Je vous remercie.

Le président: Merci, monsieur le secrétaire d'État. Je vais passer la parole aux membres dans l'ordre des familles politiques.

01.02 Michael Freilich (N-VA): Mijnheer de staatssecretaris, mijn vragen zullen over myID gaan. Wij kregen immers pas vandaag voor het eerst een presentatie over de digitale portefeuille. We zullen dat de komende dagen rustig verder bekijken.

Wij hebben gezien dat myID vorige week woensdag met veel fanfare in de pers werd aangekondigd. Twee dagen later werd myID vanwege technische redenen al offline gehaald. Daar heb ik natuurlijk wel vragen over.

U zei zelf al dat het heel belangrijk is dat we voor onze digitale identiteit een heel hoog niveau van veiligheid hanteren. Die veiligheid is primordiaal als het gaat over de aanmelding bij verschillende applicaties. Men kan via itsme en in de toekomst via myID geld overmaken van de ene rekening naar de andere. Men kan inloggen bij de bank. Men kan als minister bijvoorbeeld ook inloggen in bepaalde applicaties om toegang tot bestanden te hebben. Men kan zich voorstellen als arts en een aantal procedures gaan opstellen. De identificatie van de gebruiker moet dus op het hoogste niveau worden beveiligd.

Als ik zie dat deze nieuwe speler na twee dagen al offline wordt gehaald, dan stel ik mij daarover toch vragen. Wie heeft myID dan gecertificeerd? Gebeurde dat door een bevoegde instantie, vooraleer de FOD BOSA die in gebruik heeft genomen?

Ik heb begrepen dat myID niet bij een CAB, een conformity assessment body, is gepasseerd. Dat gebeurde wel voor itsme, maar niet voor myID. De vraag is waarom dat niet is gebeurd. Waarom legt u de lat op de grond, ook al mag dat volgens het Belgische KB? Waarom stelt u niet dezelfde vereisten aan myID als aan itsme?

Itsme heeft twee jaren aan de registratie en de certificering moeten werken. Weet u hoelang dat voor myID heeft geduurd? Klopt het dat dit maar drie maanden geduurd heeft?

Volgens onze informatie hebben zogenaamde white hat hackers, mensen die in opdracht van u of van de overheid moeten nagaan of een systeem veilig is, gezien dat ze na enkele luttele pogingen, na een paar uurtjes werken, dat systeem konden hacken en identiteiten konden overnemen.

Is dat effectief wat er gebeurd is? Als dat zo is, hebt u dan geen screening laten uitvoeren van dit programma, bijvoorbeeld door het Centrum voor Cybersecurity België? Hebt u op voorhand aan het CCB gevraagd wat zij denken van dit nieuwe procedé myID? Zo ja, wanneer was dat precies en wat was hun antwoord? Indien dat niet het geval was, waarom niet?

U zegt dat er een koninklijk besluit is dat toegang geeft tot itsme en myID, maar dan is de fundamentele vraag wie verantwoordelijk is voor dat koninklijk besluit. Dat bent u. U kunt beslissen hoe wij te werk zullen gaan. Andere landen in Europa werken met een openbare aanbesteding, een concessie, waarbij men bekijkt wie als beste uit de bus komt, wie een bepaald niveau van veiligheid kan garanderen zonder dat men de burger moet vragen om verschillende programma's te downloaden.

U hebt zelf ook aangehaald dat Apple en Google binnenkort met eigen authenticatiemethodes komen. Apple en Google werken daaraan. In ons land hebben we al een dergelijk systeem, namelijk itsme. Wij mogen daar fier op zijn en we moeten dat exporteren. Het zou toch bijzonder jammer zijn als we achteraf zouden horen dat we eigenlijk opnieuw afhankelijk zijn van een buitenlandse techreus. Voor één keer hebben we iets in handen waarnaar de rest van Europa met afgunst kijkt, en wat doen wij? We zullen anderen toelaten om deze markt kapot te concurreren.

Dat is volgens mij niet de juiste visie. We mogen als land fier zijn op de technologie die hier werd ontwikkeld en die bijzonder veilig is. Ik heb het even online nagekeken. In al de jaren dat itsme bestaat, kan ik nergens terugvinden dat er ooit een grote hack van het programma is gebeurd. Ik kan niet terugvinden dat itsme onveilig is. Wat gebeurt er nu? Men komt met myID en het duurt nog geen 24 uur voor het al offline wordt gehaald omdat het onveilig is.

Ik stel mij dus de vraag waarom u niet kiest voor een methode zoals in het buitenland, door te werken met een concessie, waarna we de authenticatieprocedure aan één welbepaalde speler toekennen. Ik heb u horen spreken over een monopolie, over ervoor zorgen dat de markt open is en wat er gebeurt als in de toekomst de Chinezen komen en een bedrijf overnemen. Itsme is in handen van de FPIM. Ik denk dat wij de grootste aandeelhouder daarvan zijn, met 60 %. Dat betekent dat de veiligheid van itsme in uw eigen handen ligt, in de handen van deze regering. Als u de sleutels bijhoudt, dan gaat u het natuurlijk niet verkopen.

Wij hebben hier een programma dat afgunst opwekt in de rest van Europa. Het is een ontwikkeling van eigen bodem, superveilig. Wat doen wij nu? Wij stellen dat open en proberen het kapot te maken. Ik vind dat een bijzonder foute manier van denken.

Ik hoop dat u alsnog mee de kar wilt trekken om het op een andere manier te doen. Laten wij van itsme, een Belgische pionier waarvan de overheid een grote aandeelhouder is, een Europees succes maken. Laten wij dat naar andere Europese landen brengen. Laten wij ervoor zorgen dat wij Google en Apple kunnen tonen hoe het moet. Het werkt immers reeds goed in ons land.

Ik hoop dat u mij duidelijke antwoorden kunt verschaffen op al deze vragen.

01.03 Gilles Vanden Burre (Ecolo-Groen): Monsieur le secrétaire d'État, je vous remercie pour cette présentation. Vous avez présenté l'ensemble du projet de portefeuille digital de manière succincte mais nous aurons l'occasion d'y revenir.

Il est important de pouvoir offrir un service simple pour nos concitoyens par rapport à l'administration. Ce service est basé sur le digital et le numérique et est inclusif – il ne laisse pas certains de côté. On sait que le fossé en termes d'applications digitales est encore grand au sein de notre société. Il y a une série de personnes qui n'ont pas ou trop peu accès à internet et au numérique. Il faut y être attentif mais on doit pouvoir offrir des services d'accès de qualité à l'administration pour simplifier la vie de nos concitoyens et simplifier aussi la structure et la complexité de l'administration.

Sur le principe, nous soutenons évidemment la démarche. Nous avons eu de nombreuses auditions sur le sujet et nous avons souvent pris des exemples dans d'autres pays européens. Nous nous y retrouvons quant à l'objectif poursuivi, avec cette attention particulière pour les publics plus fragiles au niveau de l'accessibilité numérique.

J'ai plusieurs questions s'agissant de la méthodologie de l'outil présenté, notamment au sujet de la complémentarité avec "itsme", avec parfois une impression de double emploi. "Itsme" est une application qui a été développée sous le gouvernement précédent, dans un partenariat public/privé. Force est de constater qu'elle fonctionne bien et qu'elle est très répandue au sein de la population. Je pense qu'on est au-dessus de 90 % de citoyens qui sont en capacité de l'utiliser.

Monsieur le secrétaire d'État, a-t-on une évaluation de l'application "itsme", qui est majoritairement entre les mains de la SFPI? Peut-on éventuellement améliorer les choses, peut-être en mettant d'autres outils en place?

Quelle est la complémentarité? Quel est le raisonnement par rapport à ce qui existe déjà, à savoir "itsme" qui est vue dans la publication sur le sujet comme une application parfois citée en exemple dans d'autres pays européens? Je me posais cette question-là que se posait aussi un des membres de Digital Minds, Laurent Hublet, qui, récemment, a démissionné de ce groupe d'experts qui vous entoure depuis un an. Il s'interrogeait aussi sur les raisons de la mise en place d'une telle application d'accessibilité en plus de "itsme" et alors que celle-ci est déjà présente. Pourriez-vous nous répondre en détail?

Par ailleurs et je reviens à l'autre application qui a effectivement été lancée de manière très visible dans les médias, il y a une grosse semaine, myID, et qui a été retirée assez rapidement à la suite de problèmes. Quels ont été le processus et les balises avant son lancement? Quelles ont été les check and balances qui ont été faites pour accepter qu'elle fournisse ce service-là? C'est une application d'un prestataire privé, certes, mais quelles ont été les procédures mises en place? Que s'est-il passé? En effet, je n'ai pas d'information sur les raisons de son retrait rapide. S'agit-il d'une décision de l'entreprise elle-même? Est-ce à la suite de problèmes qui ont été identifiés et à la suite d'une demande publique de l'administration et des autorités? Que s'est-il vraiment passé?

En termes d'activité numérique et d'accessibilité des données personnelles, la sécurité doit constituer un enjeu majeur, que ce soit pour des transferts d'argent ou pour des vérifications d'identité. Nous sommes extrêmement interpellés et préoccupés par ce qu'il s'est passé avec cette application-là. Quelle est la procédure? Comment a-t-elle été validée? Pensez-vous mettre en place à terme un système de concession renouvelable, avec une série d'applications qui soumettraient des offres et qu'on devrait renouveler? Ou finalement, au fur et à mesure des demandes, les laissera-t-on se faire concurrence? Quelle est la vision à ce sujet car, en ce moment, ce n'est pas tout à fait clair et cela pose de grandes questions en termes de sécurité numérique? Je voulais donc aussi vous entendre à ce sujet-là, monsieur le secrétaire d'État.

01.04 Christophe Lacroix (PS): Monsieur le président, j'interviens en lieu et place de ma collègue Leslie Leoni retenue chez elle pour des raisons familiales et médicales.

Monsieur le secrétaire d'État, permettez-moi, tout d'abord, de vous remercier pour votre présentation.

Un choix a été fait sous le gouvernement précédent. Ainsi, une loi a permis à l'État de faire appel à des opérateurs privés pour permettre l'accès sécurisé à des applications numériques et à des opérations gouvernementales.

Je peux vous dire que ce n'était pas tout à fait le choix premier du Parti Socialiste. En effet, selon nous, la sécurisation des données personnelles des citoyens valait bien la peine d'un investissement public et valait bien la peine que cela ne soit pas "concédé" à des opérateurs privés.

Cela étant, la loi a été votée. "itsme" s'est amplement développée et son usage est devenu très courant. Cette application privée, créée par les banques, les opérateurs de télécommunications, est donc très utilisée, notamment en matière d'identification de paiement. Mais elle est également utilisée par les administrations pour que les citoyens puissent accéder à des documents administratifs.

C'est la raison pour laquelle j'ai apprécié votre positionnement sur le portefeuille digital et sur la base d'un choix. Toutefois, "itsme", c'était aussi un choix. Cependant, à partir du moment où vous en avez besoin pour vous identifier dans certains secteurs liés aux activités bancaires, le choix est déjà conduit pour vous amener à confier l'ensemble de vos données via "itsme".

Par ailleurs, pour obtenir un Covid Safe Ticket, il fallait aussi des connexions avec "itsme". Je dois vous avouer ici que pour obtenir mon Covid Safe Ticket, il a fallu que je m'y reprenne à plusieurs reprises. J'ai été confronté à des bugs, comme c'est le cas quand on recourt à n'importe quel système de ce type. Il n'en reste pas moins vrai que cela génère un stress chez les personnes plus vulnérables. Nous avons déjà eu l'occasion de discuter et d'aborder le cas de nos pères respectifs qui sont de la même génération et qui ont des réflexes assez semblables. Mais même au niveau des personnes plus jeunes, plus aguerries, il subsiste une vulnérabilité numérique. D'ailleurs, la Fondation Roi Baudouin et l'Université de Louvain ont démontré que pas loin de 40 % de la population wallonne étaient en situation non pas de fracture numérique, mais de vulnérabilité numérique. On sait utiliser une application numérique pour faire un virement, pour lire un mail, mais au-delà, cela devient beaucoup plus compliqué. Il y a donc un stress lié à la question de savoir si on va pouvoir obtenir le document dont on a besoin.

Ce choix, qui se trouve à la base du système que vous présupposez – en tout cas en ce qui concerne "itsme" –, n'a pas été garanti, mais bien induit. Par conséquent, je souhaiterais que vous me précisiez comment le choix du citoyen va pouvoir s'exprimer en toute liberté. Il y a en effet des résistants au numérique – et pour de bonnes raisons. Ce sont parfois des gens qui défendent leur indépendance et leur liberté, préférant recourir au format papier, sans que cela reflète nécessairement une option idéologique. Il en va de même pour l'accès à l'argent liquide. Il importe de préserver la liberté de choix des citoyens. Je suis socialiste, vous êtes évidemment libéral. J'aimerais donc vous entendre au sujet de cet aspect fondamental de la notion de liberté.

S'agissant de la sécurité, on nous dit que "itsme" présente toutes les garanties. Il est exact que, jusqu'à présent, nous n'avons pas entendu d'écho relatif à un détournement des données de nos concitoyens. Il n'en reste pas moins vrai que tout système numérique est vulnérable, à tel point que, dans le cas d'élections, il peut être manipulé par des puissances étrangères. Nous vivons dans un contexte de menace hybride, de cyberattaques, etc. Dès lors, quelles sont les conditions précises de sécurité qui encadrent votre projet de portefeuille numérique? Ce dispositif est-il résilient et capable de résister au phénomène des menaces hybrides et des cyberattaques?

Je rejoins mes collègues à propos du projet myID. It was not a good idea, dirais-je. Vous avez annoncé cette application avec tambour et trompettes. Mon collègue Freilich nous dit avoir lu un communiqué de presse. Pour ma part, je ne l'ai pas vu. Peut-être suis-je moins numérique et réactif que lui. En tout cas, si l'on veut visiter le site, on s'aperçoit que le service est désactivé. Est-il temporairement indisponible? Avez-vous déjà pu en évaluer le fonctionnement? L'État a-t-il contribué au projet?

S'agissant du "itsme" 100 % public, donc du portefeuille digital, quelle plus-value la création de cet outil public apporte-t-elle? Je précise que cela ne nous pose aucun problème de principe. Est-il complémentaire ou concurrent? Comme dans tout débat, l'opportunité d'un système est sujette à critique. Toujours est-il que, dans sa lettre de démission du groupe Digital Minds, Laurent Hublet indique que cette décision engendrera des coûts substantiels d'intégration dans toutes les PME du secteur. J'aimerais donc vous entendre à ce sujet.

J'aimerais vous entendre également au sujet des discussions en cours. L'idée est de faire de "itsme" une porte d'entrée au digital wallet du gouvernement. Quelles sont les discussions sur le soutien de la Société Fédérale de Participations et d'Investissement (SFPI), qui est actionnaire? Par ailleurs, quelle est la structure des coûts?

J'en viens à la méthodologie commune. Lors de votre exposé, vous avez dit que le portefeuille digital sera un plus pour les citoyens, et qu'il peut être utilisé en lien avec les applications communales, régionales, provinciales, etc. Je vous crois sans aucun doute, et je ne doute pas de vos propos. Néanmoins, je constate que de nombreux portefeuilles numériques existent. Par exemple, les notaires ont mis en place un portefeuille numérique très intéressant, qui s'appelle Izimi. C'est un espace sécurisé. De plus, c'est le notaire qui est responsable de la sécurisation. C'est un officier de l'État, ne l'oublions pas. C'est un environnement sécurisé pour toute une série de documents, y compris les passeports, les contrats d'assurance, les actes notariés. Même les diplômes peuvent être déposés dans ce coffre-fort numérique.

En fait, ma question porte sur la méthodologie de base. Face à toutes les initiatives qui sont prises par l'État, par le secteur privé, par les notaires, et sans doute par d'autres, en tant que secrétaire d'État en charge de la matière, comment êtes-vous le centralisateur et le porteur de l'innovation, tout en évitant une "lasagne numérique" importante?

Enfin, je vais aller un peu plus loin que la question de Mme Leoni. Ces matières m'intéressent. J'y travaille et j'y ai notamment travaillé au Conseil de l'Europe en matière de discrimination créée par l'intelligence artificielle. J'ai explicité tout à l'heure la vulnérabilité numérique. Des citoyens et citoyennes, pour une question d'âge, une question de diplôme ou une question de formation ne sont pas à l'aise face au numérique. C'est mon cas. Je vous le dis tout de go. D'abord, la substance et la philosophie numériques ne m'intéressent pas. J'aime bien les livres, respirer leur parfum. Je suis un vieux conservateur, sûrement. Un socialiste conservateur, cela existe.

Dans ma fonction de bourgmestre, j'ai pu apercevoir qu'on a mis en place, avec les Espaces Publics Numériques, des écrivains du numérique, ceux qui font les démarches à la place des citoyens pour se connecter et obtenir le bon document.

Je souhaite vous interroger plus largement et plus philosophiquement sur la question des facilités numériques, à l'instar des facilités linguistiques. On ne va pas raviver un débat communautaire mais les facilités linguistiques ont été mises en place pour que le citoyen qui fait face à une situation qu'il n'a pas choisie, notamment le tracé de la frontière linguistique, puisse toujours être servi dans sa langue. Ne serait-il pas aussi opportun de développer, avec les différents niveaux de pouvoir et les financements nécessaires, cette notion de facilités numériques dans le sens où je vous l'exprime de façon très brève?

Voici donc quelques questions qui vont un peu dans tous les sens, monsieur le secrétaire d'État. Je vous prie de m'en excuser mais il s'agit d'un sujet majeur pour lequel nous n'aurons pas fini de nous interroger sur ses différentes applications dans les semaines, mois et années à venir.

01.05 Erik Gilissen (VB): Mijnheer de staatssecretaris, ik dank u voor uw presentatie over de digitale portefeuille. Ik heb enkele vragen en er zullen er waarschijnlijk nog volgen nadat we die digitale portefeuille verder hebben bekeken.

Door de goedkeuring van myID.be bestaat er nu naast itsme een tweede authenticatiemiddel waarmee burgers zich kunnen aanmelden op websites, platformen en applicaties van de overheid. Er bestaat nu dus een tweede sleutel die wordt aangeboden door een privépartner, U2U Consult, een bedrijf dat zich specialiseert in authenticatie en toegangsbeheer.

De activatie en het gebruik van de myID-applicatie is tijdelijk niet mogelijk. Er zitten blijkbaar nog gaten in de beveiliging van die sleutel, ondanks dat die toepassing als onderdeel van de erkenningsprocedure een veiligheidsaudit door een extern bedrijf onderging. MyID.be moet daarom nu aanvullende analyses laten uitvoeren en de nodige maatregelen nemen om de goede werking van zijn diensten te garanderen. In de tussentijd is myID.be niet beschikbaar om in te loggen op de overheidsapplicaties. Die app werd intussen wel al 2.000 keer geactiveerd. Gelukkig werden er geen ernstige incidenten geregistreerd, maar dat had net zo goed wel het geval kunnen zijn.

Hoe zult u dergelijke incidenten in de toekomst voorkomen? Zullen de veiligheidsprocedures herbekeken worden? Zal er een onafhankelijke screening gebeuren, misschien door het CCB? De itsme-applicatie werd grotendeels door de overheid gefinancierd. De overheid is ook aandeelhouder van itsme. Is de overheid ook aandeelhouder van U2U Consult? Bestaat er een link tussen die twee, zijn er financiële tussenkomsten geweest ten gunste van dat bedrijf?

Met de goedkeuring van myID komt er een einde aan het monopolie van itsme. Komen er nog dergelijke applicaties aan die authenticatie op de overheidsplatformen toestaan, als concurrentie voor itsme? Is het niet de taak van de overheid om correcte persoonsidentificatie mogelijk te maken en de veiligheid daarvan te verzekeren? Is het verantwoord om daarvoor afhankelijk te zijn van een privébedrijf?

U hebt het daarnet ook over de eIDAS-verordening gehad, die de lidstaten verplicht een digitale portefeuille of European Digital Identity Wallet beschikbaar te stellen volgens de Europese specificaties. Die portefeuille krijgt de vorm van een app op de smartphone, zou in 2023 worden geïmplementeerd en moet de integratie van verschillende overheidsprocedures en -gegevens binnen publieke of privétoepassingen mogelijk maken. Hij zou ook toegang geven tot onlinediensten in andere lidstaten. Welke procedures zullen de veiligheid van de app garanderen? Hoe zult u mogelijke incidenten en problemen trachten te voorkomen?

De identiteitsapp itsme is sinds kort ook beschikbaar voor jongeren vanaf 16 jaar. Voorheen was dat minimum 18 jaar. Voortaan kunnen jongeren dus ook een account aanmaken via hun bank. Een account aanmaken via de elektronische identiteitskaart is echter blijkbaar niet mogelijk, omdat het handtekeningcertificaat op de eID nog nodig is om de registratie bij itsme te bevestigen. Pas vanaf de leeftijd van 18 jaar wordt dat certificaat geactiveerd. Komt er daarvoor een oplossing? Zal het in de toekomst wel mogelijk zijn voor jongeren vanaf 16 jaar? Een en ander lijkt mij immers tegenstrijdig te zijn. Zult u die tegenstrijdigheid trachten weg te werken?

De Digital Minds-expertengroep heeft in februari 2022 een plan met tien digitale prioriteiten voorgesteld. De strategie die daarbij werd voorgesteld, werd niet publiek gemaakt en werd blijkbaar ook niet overgenomen in uw beleidsnota, die straks aan bod zal komen.

Enkele van uw beslissingen druisen in feite in tegen de strategie die de expertengroep had voorgesteld. Uit onvrede daarover is een lid van die expertengroep, Laurent Hublet, opgestapt, volgens een artikel uit De Tijd van 12 november laatstleden. Bovendien is dat niet het eerste lid dat ontslag neemt.

Mijnheer de staatssecretaris, waarom bent u afgeweken van de door de expertengroep voorgestelde strategie? Kunt u het door de expertengroep voorgelegde plan aan ons ter beschikking stellen?

Tot slot wil ik het nog hebben over de digitale overheidsdiensten. De overheid digitaliseert, maar stelt daarbij het gebruiksgemak van de burger niet altijd centraal. In de pers vernemen wij dan ook geregeld klachten van gebruikers van overheidsdiensten. De digitale overheid organiseert zich per overheidsdienst, wat zorgt voor versnippering, terwijl ze georganiseerd zou moeten zijn rond de burger.

Aan de bron van ontoegankelijke overheidsdiensten liggen vaak oude, analoge processen die worden omgezet naar digitale toepassingen. Eigenlijk moeten die processen en zaken helemaal opnieuw bekeken worden. Zij moeten worden getransformeerd met het gebruiksgemak van de burger als uitgangspunt. Als dat niet gebeurt, dan zal de digitale kloof alleen nog groter worden.

Mijnheer de staatssecretaris, vindt u dat de loutere omzetting van complexe analoge processen volstaat om door te gaan met de digitalisering van een dienst? Hoe zult u tegemoetkomen aan de verzuchtingen van burgers ten aanzien van vaak complexe overheidstoepassingen?

In uw beleidsnota, die straks nog aan bod zal komen, verwijst u naar de ontwikkeling van een virtuele assistent. U hebt het er daarnet ook al over gehad. Wanneer zal die actief zijn en wat is de stand van zaken daaromtrent?

01.06 Denis Ducarme (MR): Monsieur le président, je voulais tout d'abord remercier le secrétaire d'État, au-delà de la vidéo qu'il nous a présentée, de faire entrer un peu de musique dans ce Parlement. C'est quelque chose de suffisamment rare pour que cela soit souligné. Par ailleurs, si vous avez quelques vieux livres sur vos étagères, l'anniversaire de M. Lacroix est le 22 décembre. Ne vous en privez pas, vous lui ferez plaisir!

J'en reviens au portefeuille digital. C'est évidemment un dossier majeur. Se joue ici le fait, monsieur le secrétaire d'État, que nous rentrions ou pas dans la modernité. En effet il est important de le dire. Certains collègues ont posé des questions dans ce cadre. La modernité ou du moins le portefeuille digital est-elle une obligation? Non. Nous sommes évidemment des libéraux et ce qui est important est naturellement de laisser au citoyen le choix de rentrer ou non dans le digital. Ce portefeuille digital n'est pas une obligation. Prendre cette voie ou pas sera laissé au choix du citoyen.

Je ne vais pas répéter ce qui a déjà été dit de manière extrêmement brillante par les collègues aujourd'hui. Je ne vais pas prolonger pour le plaisir. Mais je souhaiterais vous interroger sur quelques éléments. Ceci a peut-être un côté plus technique, mais cela m'intéresse. Quand vous regardez mon téléphone, c'est la même chose que quand vous regardez le vôtre. Voyez-vous le nombre d'applications qu'ils contiennent? On ne s'y retrouve pas. Comme vous voyez, pour ce qui me concerne, il y a sept pages d'applications. À un moment donné, le consommateur ou le citoyen est noyé dans les applications. La question qui m'importe à ce sujet est de connaître votre vision pour le portefeuille digital belge, mais aussi au-delà. En ce sens, je sais, compte tenu de la lecture attentive que j'ai eue de votre note de politique générale, que vous planchez également sur le Single Digital Gateway. J'imagine évidemment que le portefeuille digital belge trouverait sa place dans ce Single Digital Gateway, qui doit simplifier la vie du citoyen et du consommateur.

C'est ma première question. Se retrouve-t-on dans une logique de rassemblement d'un certain nombre de données?

Deuxièmement, on sait que tout cela repose sur une volonté européenne, sur une obligation européenne bienvenue que chacun des États membres rencontre cet objectif. La question qui se pose est naturellement celle de l'interopérabilité. En cette matière, pourriez-vous nous dire où en est l'état de la question? Peut-on déjà l'évaluer? Y aura-t-il la possibilité pour le citoyen belge, avec ce portefeuille digital, d'utiliser celui-ci quand il sera en déplacement à l'étranger?

Troisièmement, il y a un point important. Je suis surpris qu'il n'ait pas été mis en avant par l'excellent collègue socialiste Lacroix. Cela va-t-il coûter quelque chose au citoyen? C'est une question légitime. L'utilisation de ce service constituera-t-il un coût supplémentaire pour le citoyen? Cela me semble un élément important quand on voit le coût de la vie aujourd'hui. Je ne vais pas vous faire un schéma: inflation, facture énergétique, etc.

Le quatrième point et ce n'est pas le moins important, vous y avez fait allusion dans votre exposé, c'est la question de la sécurité. À ce stade, on voit apparaître tous les jours, et sans doute de manière encore plus forte depuis le début de la guerre entre la Russie et l'Ukraine, des informations relatives aux attaques informatiques.

C'est la question de la cybersécurité. Et on sait qu'on a tout de même pas mal de retard en Belgique. Il faut le reconnaître. Je pense que ce sera un frein pour un certain nombre de citoyens que de rentrer ainsi leurs données dans un portefeuille digital. Il y a bien entendu toujours les questions de vie privée. On sait qu'on y est attentif. Mais, comme on l'a encore vu récemment dans le cadre d'attaques qui ont visé des hôpitaux, un certain nombre de données des patients ont pu être capturées par des hackers, qu'ils soient indépendants ou dépendants d'États - russe, chinois ou autres. Ce sont souvent les mêmes qui produisent les attaques.

Avons-nous vraiment tous les apaisements du point de vue de la sécurité? Avons-nous confronté, dans le cadre de la mise en place de ce portefeuille digital belge, le système qui va être mis en place avec les meilleurs hackers qui soient? C'est effectivement souvent ainsi qu'on fonctionne aujourd'hui, monsieur le secrétaire d'État. Quand on veut tester l'efficacité d'un système sur le plan de la sécurité, on le confronte à un certain nombre d'attaques.

Je ne vous cache pas que l'aspect sécurité retient particulièrement mon attention car je crois qu'il va retenir de plus en plus l'attention du citoyen et du consommateur.

01.07 Roberto D'Amico (PVDA-PTB): Monsieur le président, monsieur le secrétaire d'État, on a appris la semaine dernière la démission de M. Laurent Hublet qui quitte le groupe Digital Minds que vous avez mis en place. Parmi les causes de son départ, M. Hublet évoque le coût élevé de la mise en place de l'application myID lancée le 9 novembre et qui se veut être une alternative à "itsme".

Dans un premier temps, j'avais cru comprendre qu'il s'agissait d'une alternative publique à "itsme", qui a été développé par le privé. Finalement, il s'agit plutôt d'une application public/privé. Pouvez-vous nous en dire un peu plus à ce sujet?

Pouvez-vous nous rappeler le coût de cette application? Quel montant a été versé à l'entreprise U2U Consult pour le développement? N'était-il pas possible de développer une telle application en collaboration avec les chercheurs et programmeurs de nos universités publiques?

01.08 Kathleen Verhelst (Open Vld): Mijnheer de staatssecretaris, ik juich de invoering van de digitale portefeuille zeker toe. Overigens was het een goede presentatie.

Ik ben ten zeerste tevreden dat er werk wordt gemaakt van vereenvoudiging voor de burgers, maar neem alstublieft mee in uw nota dat er altijd gecheckt moet worden of het ook om een vereenvoudiging voor de ondernemers gaat. De digitale portefeuille moet inderdaad iedereen kunnen dienen.

Voorts is veiligheid primordiaal.

U hebt onderstreept dat het iedereen vrijstaat om gebruik te maken van de digitale portefeuille. Het is dan wel belangrijk dat wie daarvan gebruikmaakt informatie, bijvoorbeeld aan een bank, niet opnieuw moet geven. Het only-onceprincipe moet van toepassing zijn en wie gebruikmaakt van de digitale portefeuille moet degenen die informatie opvragen daarnaartoe kunnen verwijzen. Met andere woorden, de digitale portefeuille moet gebruikt kunnen worden in beide richtingen.

Mag ik concluderen uit uw presentatie dat u werkt met een componentgebaseerde benadering in plaats van met een monolithische all-in-one-app?

Denkt u er ook aan het Rijksregister te koppelen aan een digitale-identificatiepartner?

01.09 Mathieu Michel, secrétaire d'État: Monsieur le président, avant toute chose, il importe de resituer un certain nombre d'éléments car la matière est complexe techniquement parlant. Cela a d'ailleurs été rappelé par les amoureux des livres.

Lorsqu'on parle du portefeuille digital, de la carte d'identité virtuelle, d'eBox, d'un coffre-fort numérique comme Izimi ou d'une clé numérique d'identification, on ne parle pas de la même chose.

Si j'ai préféré aborder la question de "itsme" dans le cadre d'un réflexion plus globale, c'est parce que je voulais vous expliquer le rôle de "itsme" par rapport à un projet comme le portefeuille digital.

La grande différence entre le portefeuille digital et "itsme", c'est que cette application est un outil d'identification qui est la clé pour prouver son identité. Mais "itsme" n'est pas votre identité. L'identité, c'est qui vous êtes dans le Registre national, c'est votre carte d'identité, ce que n'est pas "itsme". Cette différence est très importante. Quand on l'a saisie, on comprend que quand on travaille dans le portefeuille digital, sur la carte d'identité, c'est bien de cette dernière dont il est question. La carte d'identité, on ne va pas la chercher au Delhaize ou au Carrefour. Elle est délivrée par l'administration communale.

J'ai bien compris qu'il existait une confusion entre le rôle d'une carte d'identité et le rôle d'un outil qui permet d'authentifier la carte d'identité.

Par ailleurs, les coffres-forts numériques sont un outil qui permet de maintenir un certain nombre de documents.

Aujourd'hui, on s'inscrit dans un cadre beaucoup plus général qui est totalement en conformité avec le développement de l'agenda numérique européen. Cet élément est important dans la mesure ou, qu'on le veuille ou non, cet agenda numérique européen va nous impacter via notamment la directive eIDAS ou encore la directive NIS2

Il faut revenir un peu en arrière, en 2017, pour bien comprendre le choix formé par notre pays, comme cela a été rappelé. Il n'a pas consisté à opter pour un marché public en vue d'atteindre une solution dans laquelle l'État deviendrait propriétaire. Le choix a consisté à reconnaître que plusieurs opérateurs défendaient de bonnes idées, de sorte qu'il a été décidé que, pour l'authentification, un arrêté royal devait être pris en vue de fixer les conditions dans lesquelles une société privée peut accéder au Federal Authentication System, donc aux données des citoyens pour autoriser leur accès au dispositif. Cet aspect est essentiel, parce que nous ne devons pas tout confondre. En tout cas, aucune décision n'a été prise pour organiser un marché public afin de désigner "itsme" comme application d'authentification pour toute la durée de vie de la Belgique. Ce n'est pas le choix qui a été opéré. À ce stade, je ne le juge pas. Nous avons opté pour un arrêté royal déterminant un cadre dans lequel une société – quelle qu'elle soit, et pour autant qu'elle respecte les conditions et les standards fixés – peut accéder, comme "itsme", à cette fonction.

Je dois dissiper une autre confusion en précisant que myID n'entretient aucun lien avec l'État, de quelque façon que ce soit. Ce n'est pas BOSA qui a commandé cet outil, pas plus que moi. C'est seulement une entreprise privée qui a identifié un marché qui lui correspondait et qui a souhaité se conformer à l'arrêté royal de 2017. La question qui était alors posée se formulait en ces termes: sommes-nous propriétaires de cette solution et exerçons-nous un pouvoir régalien d'authentification ou bien, au contraire, considérons-nous que le marché de l'authentification doit rester libre? L'arrêté royal a opté pour le maintien de l'ouverture du marché. Nous nous sommes ensuite rendu compte que, jusqu'à la semaine dernière, "itsme" était resté seul dans cette dynamique pour le grand public.

Si nous avions fait le choix d'être propriétaires de notre application, c'est-à-dire d'avoir la maîtrise totale sur l'authentification, il eût fallu faire un marché public, avec un cahier des charges bien spécifique, et identifier un opérateur. D'autres pays ont fait ce choix. Ils ont décidé d'être propriétaires de l'ensemble du processus jusqu'au bout.

Aujourd'hui, que se passe-t-il? Le cadre européen évolue. Même pour ceux qui n'aiment pas le digital, quand on parle des métavers, du Web3, de la digitalisation du monde, une question essentielle se pose: c'est la sécurité. Il y a la sécurité des infrastructures et la cybersécurité, mais aussi la fracture digitale et l'utilisation des outils digitaux. La question de la cybersécurité se pose au niveau des infrastructures, mais aussi au niveau de la sécurité de l'identité.

C'est pourquoi des travaux européens très importants touchent non seulement à la sécurité des outils informatiques et des infrastructures (directive NIS2), mais aussi à l'identification (eIDAS).

Le cadre européen eIDAS sur l'identification est un agenda qui nous est soumis. C'est-à-dire que la Belgique suit l'agenda digital européen. Monsieur Freilich, il a été question de l'arrêté royal et du choix de préserver l'un ou l'autre acteur. eIDAS ouvre le jeu. Il y a quelques années, certains grands acteurs de l'identification n'ont pas fait de démarches particulières pour être agréés en Belgique sur un territoire de 11 millions d'habitants. On sait aujourd'hui que des acteurs considèrent que le territoire européen et les standards européens sont beaucoup plus évidents pour eux pour développer leur outil et la reconnaissance en question. Cet élément nous semble important.

Fondamentalement, l'important pour nous, dans ce Parlement ou au gouvernement, et certainement quand on parle d'inclusion digitale, dans ce contexte de l'arrêté royal, de eIDAS et de la directive NIS2, notre responsabilité est de garantir à tout prix que le citoyen puisse accéder aux institutions publiques.

Que ce soit de façon privée ou de façon publique, notre job est de mettre en place des outils digitaux auxquels le citoyen pourra avoir accès. S'il y a des procédures digitales pour accéder à sa pension ou pour demander une carte pour un handicap, nous devons faire en sorte que l'accès au service public soit garanti. C'est ce sur quoi nous travaillons.

Lorsqu'on travaille sur le portefeuille digital, il ne s'agit pas de choisir l'une ou l'autre méthode d'authentification, il s'agit de dire que l'accès soit garanti. Aujourd'hui, l'accès est garanti par "itsme". Aujourd'hui, l'accès est garanti par le boîtier CSAM, le lecteur de carte.

La semaine passée, la société myID s'est dit qu'elle voulait aussi garantir les choses. C'est le choix de la société. Demain, ce sera peut-être Google ou Apple. Mon obsession est de garantir l'accès et tant que l'accès est garanti, je n'ai pas de problème.

En tant que secrétaire d'État à la Digitalisation, il est dur d'entendre que je suis la personne qui n'aime pas "itsme". Mais je suis un grand fan de istme! Je suis un grand fan de toutes ces startup qui développent des projets innovants, qui ont développé des marchés qui ont du sens, et singulièrement d'une société qui avait un vrai leadership dans le cadre de cet arrêté royal et qui a été utilisée notamment dans la crise covid. On a eu de la chance d'avoir ce genre de société, qui a répondu à l'appel de l'arrêté royal pour simplifier la vie des gens, pour sortir de la fracture digitale un certain nombre de personnes, dont les parents de M. Lacroix et les miens.

Derrière cela, un certain nombre d'autres sociétés ont pu se développer – notamment dans la fintech – grâce à cette authentification. C'est essentiel et important.

En ce qui concerne les questions qui ont été posées, même si la SFPI a des participations dans "itsme", même si "itsme" respecte l'arrêté royal, cela ne fait pas de "itsme" une institution de l'État, cela ne fait pas de "itsme" une solution qui est propriété de l'État. Je ne ferai pas de commentaire mais ce n'est pas cela.

Aujourd'hui, l'État a 20 % de participation dans la SFPI. Par ailleurs, il y a d'autres acteurs qui sont eux-mêmes des entités dans lesquelles l'État a des participations, Proximus par exemple, qui ont aussi une participation dans "itsme" mais aujourd'hui, la participation de la SFPI ne donne strictement aucun droit immédiat à l'État par rapport à la gestion, ni à la souveraineté, ni à des choix stratégiques de "itsme". C'est un élément qu'on doit clairement avoir dans le viseur lorsqu'on parle de cette institution pour laquelle j'ai le plus grand respect et la plus grande fierté. C'est un élément qui me semblait important mais il faut bien comprendre aussi que "itsme" interagit dans cet arrêté royal.

Sur myID, on est bien face à une société privée qui n'a rien à voir, je le répète, avec l'État fédéral, et qui a suivi les conditions de l'arrêté royal pour déposer sa candidature. L'arrêté royal a été respecté dans le timing et dans les procédures d'agrément pour cette société, de la même façon et dans les mêmes conditions que "itsme" a été validée à l'époque. Il y a deux choses qu'il est intéressant et important d'avoir en tête. Le premier élément, ce sont les délais officiels de traitement de la demande. On est sur quelques mois, me semble-t-il. Je dois vérifier. Deuxième chose, ce sont les contacts préalables qu'il y a pu y avoir entre myID et l'administration pour bien comprendre les agréments et ce genre de choses, comme il y a eu des contacts préalables avec "itsme" en son temps. À ma connaissance aujourd'hui, l'ensemble des procédures qui ont conduit à la reconnaissance de "itsme" sont les mêmes qui ont conduit à la reconnaissance de myID. Quand myID a été mise en ligne, il y a effectivement eu une démarche spontanée du Centre pour la cybersécurité qui a attaqué ou testé myID. Il nous a informés qu'il y avait des éléments qui pouvaient constituer une faille de sécurité. Je ne peux pas en dire plus sur la nature de ces éléments mais dès la connaissance de ce fait, on a directement déconnecté myID pour repasser une série de tests. Je pense que c'est la meilleure façon de fonctionner.

Par rapport à l'ensemble des processus de myID, lorsqu'on dépose le dossier, il faut un audit externe de sécurité sur le produit. Un audit est réalisé par BOSA. Il y a toute une série de démarches très spécifiques et bien définies dans l'arrêté royal. Je peux vous envoyer cela par écrit. Les deux structures ont été soumises au même type de rigueur.

Je reviens sur le portefeuille digital et sur les aspects très importants qui ont été évoqués par certains d'entre vous et qui concernent l'inclusion. Effectivement, lorsqu'on développe un projet de cette nature, premièrement cela doit être un choix. Ce n'est donc pas une obligation. Tout est fait pour permettre à chacun de choisir s'il veut ou non utiliser ce portefeuille digital. Mais si quelqu'un veut l'utiliser et n'a pas la compétence digitale pour le faire, on doit tout faire pour l'accompagner, augmenter ses compétences digitales, d'où le travail réalisé avec Connectoo, qui est un projet qui vise à avoir, partout sur le territoire, des personnes capables d'aider nos citoyens à déverrouiller leurs compétences digitales de base. C'est quelque chose qui, pour moi, est vraiment essentiel. C'est d'ailleurs un des premiers projets sur lesquels nous avons travaillé.

Une question a été posée sur le portefeuille digital et je pense qu'il est important d'y répondre. M. Ducarme disait qu'il espérait que cela ne coûterait rien au citoyen. Non, ce service sera évidemment complètement gratuit. Au contraire, j'ai envie de dire que l'utilisation du portefeuille digital sera une source importante d'économies, tant pour le citoyen que pour les entreprises.

Je pense simplement à un dossier qui est cher à M. Freilich. Nous avons eu l'occasion d'échanger en bonne intelligence sur ce dossier. Il s'agit de la eBox. Donner la valeur de recommandé à la eBox permettra, rien qu'en tenant compte du coût d'un envoi recommandé par rapport au coût d'un message eBox, de passer de 8 euros l'envoi à 2 euros. Rien que cela est une économie substantielle pour le citoyen, pour nos entreprises mais aussi pour l'État. Pensez à toutes les procédures qu'on va pouvoir mettre en œuvre dans ce portefeuille digital. On est vraiment dans une logique qui vise à simplifier les choses.

Toujours dans cette logique d'inclusion, nous avons eu l'occasion de voir le nombre d'applications présentes sur l'écran du GSM de M. Ducarme. L'idée, derrière ce projet, n'est pas d'imposer une nouvelle application. En effet, derrière notre stratégie, ce sont en réalité des composants que nous développons. Ils pourront servir à n'importe quelle commune. Si demain la ville d'Anvers, par exemple, dispose d'une application de citoyens, et qu'elle veut prendre nos modules pour les connecter à son application, tant mieux. Cela veut dire que le citoyen anversois préférera peut-être avoir son application d'Anvers, de la même façon que le citoyen du Brabant wallon préférera avoir son application du Brabant wallon, et ne devra pas multiplier les applications, puisque nous construisons justement des blocs qui peuvent être utilisés dans ce processus.

J'en viens à un autre questionnement important qui touche un peu à la discussion sur les logiciels d'authentification. C'est tout ce qui est sécurité, la sécurité dans ce développement-là. Je pense qu'il y a là deux éléments bien distincts que nous devons identifier.

Il y a, d'une part, la sécurité de l'application en tant que telle, dans son développement. Cette application doit être la plus sûre possible et il est évident qu'on s'appuie sur des standards. Je vous citais tout à l'heure la directive NIS2 qui définit des standards qui nous permettent de garantir que cette application, dans sa construction, soit au plus haut niveau de sécurité connu à l'heure actuelle, avec évidemment la précaution de se dire qu'on ne peut jamais être convaincu à 200 % qu'un logiciel est inviolable. Le problème se pose demain comme il se pose aujourd'hui. À l'instant où je vous parle, on est toujours en vulnérabilité potentielle car on ne peut jamais être sûr d'une nouvelle attaque. C'est quelque chose auquel il faut être très attentif.

D'autre part, il y a la sécurité d'accès à l'application, c'est-à-dire l'identification des individus. Je ne reviens pas sur l'ensemble des discussions sur l'arrêté royal ou la directive eIDAS.

Enfin, j'aborderai le timing d'implémentation. Comme les questions ont été dans beaucoup de directions, n'hésitez pas à me revenir si vous souhaitez avoir d'autres précisions. Aujourd'hui, on est en avance par rapport aux directives européennes dont on parle. C'est probablement un des éléments qui induit un peu de confusion sur un certain nombre de choses. Aujourd'hui, nous suivons de très près eIDAS et NIS2 et les développements que nous faisons aujourd'hui nous mettent en avance par rapport à d'autres pays européens. C'est une bonne chose car, quand on prend le classement DESI, on a perdu du temps. On a perdu des places notamment du fait que nos outils digitaux en termes de gouvernance et d'administration publique ont pris du retard. Ce faisant, ce projet de portefeuille digital, mais surtout toute la complexité et la quantité des composants qu'il y a derrière, nous permettra, sans aucun problème, dans les prochains mois et prochaines années, de reprendre l'avance perdue ces dernières années. J'en suis très heureux.

Sur le portefeuille digital, je vous disais que le Beta Testing est en cours. Nous devrions pouvoir le mettre à la disposition de nos concitoyens dans le courant de l'année 2023.

Monsieur le président, j'ai ainsi tenté de répondre le mieux possible aux questions.

Le président: Monsieur le secrétaire d'État, je vous remercie. Chers collègues, pour vos répliques, je vous demanderai de respecter un timing plus serré que tout à l'heure. Essayez de vous en tenir à un maximum de deux ou trois minutes. Merci d'avance.

01.10 Michael Freilich (N-VA): Mijnheer de staatssecretaris, u stelt dat de keuze over de manier waarop wij met dergelijke applicaties zouden werken, gemaakt werd in 2017, eraan toevoegend: "Ce n'est pas le choix qui a été fait; on a décidé à marché libre." Dat klopt. Vandaag zijn we echter 2022 en u bent aan de macht. U beseft ongetwijfeld dat we in een andere wereld leven, een wereld waarin cyberveiligheid veel belangrijker is geworden en waarin eigen departementen zoals Defensie en Binnenlandse Zaken al verschillende keren werden aangevallen en gehackt. We kunnen het risico niet nemen om dergelijke belangrijke, cruciale elementen van onze identificatie over te laten aan een brede markt, waar iedereen toegang tot heeft.

U bent wel in staat om te zeggen dat we het anders zullen doen. Uw verwijzing naar 2017 is volgens mij niet voldoende. De tijden veranderen. Als staatssecretaris moet u uw visie dus aanpassen, u baserend op de erkenning dat de keuze van destijds vandaag niet meer actueel is. Ik vraag u dus nog altijd om dat te herbekijken en ik hoop dat de feiten ons geen gelijk geven. Daarop lijkt het alvast wel.

"Il faut s'assurer que le citoyen peut accéder aux services publics. C'est le plus important. Le citoyen doit accéder aux services publics", zegt u. Ik ga daarmee niet akkoord. Er is namelijk nog een belangrijker gegeven: il faut s'assurer qu'on a la securité! Daarmee begint het. Als de veiligheid niet gegarandeerd is, valt alles als een kaartenhuisje ineen.

U zegt dat het CCB na de lancering zelf een demarche heeft gedaan, omdat het begreep dat het niet veilig is. Waar zijn we dan mee bezig? Waarom hebt u het CCB niet op voorhand gevraagd om dat te checken?

U zegt ook dat u de Europese eIDAS-verordening volgt. Dat is niet waar. Mijnheer de staatssecretaris, het KB van 2017 is veel lakser dan de Europese regelgeving. Immers, wat zegt het KB van 2017?

Men vraagt niet dat men een certificering heeft van een CAB. Deloitte of een andere firma kan kijken naar de procedures en daar een goedkeuring voor geven, maar een CAB, een conformity assessment body, is veel strenger. CAB's zullen effectief ook pen testing doen: kijken of het systeem veilig is voor penetratie door hackers. Dat doet dit KB niet. Opnieuw kiezen wij hier voor een veel lager veiligheidsniveau. U kunt zeggen Europa te volgen, maar nee: het KB is veel lakser dan Europa. Dat noopt mij toch tot de conclusie dat we hier slecht bezig zijn.

Het feit dat het CCB op een vrijdagochtend besluit om het systeem eens te testen en na anderhalf uur ziet dat het zo lek is als een zeef, waardoor men heel het systeem offline moet zetten, roept bij mij heel serieuze vragen op. Dit betreft de veiligheid van onze burgers, de veiligheid van identificatie. Men zal nu heel snel proberen om een aantal dingen te patchen, maar zo werkt het niet. Vandaar mijn vraag om alsnog over te gaan tot een andere manier van werken, een andere filosofie, met security first.

01.11 Roberto D'Amico (PVDA-PTB): Monsieur le secrétaire d'État, je vous remercie pour les explications que vous nous avez données. J'ai bien compris les nuances qui existent.

Toutefois, je voudrais revenir sur l'arrêté royal qui permet à des sociétés privées de présenter un projet d'identification. Cet arrêté n'interdit pas l'État de mandater, par exemple, des universités publiques pour que celles-ci travaillent sur un projet d'identification. Je sais qu'il ne s'agit pas d'une idée libérale mais vous aviez quand même la possibilité de mandater une université. Je voudrais simplement savoir pourquoi vous ne l'avez pas fait.

01.12 Mathieu Michel, secrétaire d'État: Je me réfère effectivement au choix qui a été fait en 2017. Mais vous avez raison de dire que nous sommes en 2022.

Selon moi, l'arrêté royal de 2017 a été bien fait. Il a été prévu de l'améliorer. J'entends votre suggestion. Impliquer le Centre pour la Cybersécurité Belgique plus tôt dans le processus a du sens.

J'ai parlé de notre rôle. Permettre l'accès aux citoyens à ces services publics est évidemment une priorité. Cela n'exclut évidemment pas la sécurité. Monsieur Freilich, nous avons d'ailleurs passé beaucoup de temps, dans cette commission, à parler de cette sécurité qui est essentielle. Toutefois, en termes de sécurité, à quel type de standards l'arrêté royal fait-il référence? Il fait référence aux standards européens, aux standards eIDAS.

J'entends ce que vous dites. On a effectivement une société qui fonctionne. Pourquoi continue-t-on à ouvrir? En fait, les standards européens construisent la souveraineté digitale européenne, la défense européenne en matière de cybersécurité. Monsieur Freilich, c'est quoi la défense européenne en matière de cybersécurité? C'est NIS2, c'est eIDAS. Derrière cela, il y a des acteurs comme ENISA, etc.

La réflexion que nous avons est très importante parce que nous partageons énormément de choses. J'ai eu l'occasion de m'en rendre compte dans les discussions que nous avons eues en commission. La sécurité est, en tout cas, essentielle. Néanmoins, il ne faut pas penser que c'est la Belgique seule qui va fixer les standards de cybersécurité. Nous devons donc prendre le meilleur de chacun. "itsme" est, aujourd'hui, l'application la plus sécurisée qu'on peut imaginer en Europe. C'est ce que tout le monde s'accorde à dire.

Nous devons donc nous appuyer sur "itsme" pour nourrir une véritable souveraineté numérique européenne. J'en suis convaincu. Il n'empêche, et c'est ma lecture, que nous devons rester dans un agenda européen. Quand on parle de cybersécurité, je suis convaincu que nous réussissons ce que nous ne sommes pas parvenus à atteindre sur le plan de la Défense, par exemple. Il est essentiel de maintenir ce fil conducteur. Tant que nous pourrons avoir des entreprises sur notre territoire qui sont des leaders sur le marché, c'est ainsi que nous devrons travailler.

Il importe donc de préciser qu'il est essentiel de donner l'accès aux citoyens en gardant le plus haut niveau de sécurité possible. C'est ce à quoi nous nous attelons.

01.13 Michael Freilich (N-VA): Pour faciliter un dialogue direct, je répliquerai en français.

Vous me dites qu'il faut travailler dans le système européen. C'est juste. Mais savez-vous que "itsme" a été agréé et certifié par un CAB (Conformity Assessment Bodies), de sorte qu'il peut offrir son produit dans toute l'Union européenne, contrairement à myID? Il importe que vous le compreniez.

Aujourd'hui, myID n'a pas subi les examens demandés par les Européens en termes de cybersécurité. Vous me parlez toujours du cadre européen, mais nous nous situons en dessous de ses standards. myID ne peut toujours pas offrir son produit dans le reste de l'Union européenne. Pourquoi? Parce que l'arrêté royal est beaucoup moins strict que ce qui est requis par l'Union. Comme la question de la sécurité est primordiale, nous devons hisser le niveau à cet égard.

Le président: Monsieur le secrétaire d'État, désirez-vous répondre? (Non)

L'incident est clos.

Het incident is gesloten.

L'échange de vues se termine à 15 h 01.

De gedachtewisseling eindigt om 15.01 uur.