Objet

La présente page est consacrée aux dispositions de la loi du 13 juin 2005 relative aux communications électroniques (ci-après la loi télécom) et de ses mesures d’exécution qui sont relatives à la fourniture par les opérateurs aux autorités (principalement les autorités judiciaires) de données (données d’identification, métadonnées ou contenu des communications). Le respect de ces dispositions est contrôlé par l’IBPT. Cette page n’aborde pas les obligations qui résultent d’autres lois comme le Code d’instruction criminelle ou la loi du 30 novembre 1998 organique des services de renseignement et de sécurité, dont le respect n’est pas contrôlé par l’IBPT.

Comme le non-respect des dispositions contrôlées par l’IBPT en la matière peut être sanctionné pénalement, les infractions à ces dispositions seront en principe constatées par des officiers de police judiciaire (de l’IBPT) et la procédure d’infraction sera mise en œuvre soit par le Conseil de l’IBPT soit par le procureur du Roi (voir article 21/1 de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges).

Réseaux privés et services non accessibles au public

L’article 9, § 7, de la loi télécom contient des délégations au Roi concernant les fournisseurs de réseaux privés de communications électroniques ou de services de communications électroniques qui ne sont pas accessibles au public, qui ne sont pas des opérateurs au sens de la loi télécom. À ce jour, cet article n’a pas été  mis en œuvre.

Opérateurs

Notion d’opérateur 

L’article 2, 11°, de la loi télécom définit un opérateur comme « une personne ou entreprise qui fournit un réseau public de communications électroniques ou un service de communications électroniques accessible au public ». 
Les opérateurs doivent se notifier auprès de l’IBPT à l’exception des opérateurs qui fournissent des services de communications interpersonnelles non fondés sur la numérotation (généralement appelés « OTT », voir article 9, § 1er, de la loi télécom).

Identification des utilisateurs finaux 

Les opérateurs doivent identifier leurs abonnés (méthodes d’identification directe) ou doivent permettre aux autorités de les identifier (méthodes d’identification indirecte).

L’article 127, § 10, de la loi télécom comprend la liste exhaustive des méthodes d’identification indirecte qui sont admises. La loi télécom ne comprend pas de liste de méthodes d’identification directe admises mais bien des données et documents d’identification. L’arrêté royal du 27 novembre 2016 relatif à l’identification de l’utilisateur final de services de communications électroniques publics mobiles fournis sur la base d’une carte prépayée comprend une liste exhaustive des méthodes d’identification directe mais cette liste est uniquement applicable pour l’identification des utilisateurs de cartes prépayées.

Les opérateurs qui offrent des services payants peuvent mettre en œuvre toutes les méthodes d’identification (directe ou indirecte), à l’exception des méthodes d’identification indirecte suivantes :

  • La conservation « en exécution de l'article 126 et pendant les délais prévus par cet article, [de] l'adresse IP ayant servi à la souscription au service de communications électroniques ou à son activation, [de] l'adresse IP à la source de la connexion et [des] données qui doivent être conservées avec ces adresses » (article 127, § 10, 1°) ; 
  • La collecte et la conservation du « numéro de téléphone de l'abonné attribué dans le cadre d'un service de communications électroniques payant pour lequel un opérateur doit identifier l'abonné conformément au présent article » (article 127, § 10, 2°, la mise en place de cette méthode est cependant autorisée pour les hotspots Wi-Fi des opérateurs).

Les opérateurs qui offrent des services gratuits ne peuvent mettre en œuvre que les méthodes d’identification indirecte.

Le cadre légal applicable est le suivant :

  • l’article 127 de la loi télécom
  • l’arrêté royal du 27 novembre 2016 relatif à l’identification de l’utilisateur final de services de communications électroniques publics mobiles fournis sur la base d’une carte prépayée ; l’article 19 de cet arrêté royal a été exécuté par l’arrêté royal du 24 février 2017 portant désignation du service de police visé à l’article 19, § 1er, alinéa 2, 2°, de l’arrêté royal du 27 novembre 2016 et par une série d’arrêtés ministériels (voir rubrique « Disposition légales et réglementaires en matière de sécurité » «  Interception légale » sur cette page).

Documents pertinents

  • Décision du 14 janvier 2020 concernant le non-respect par Proximus des règles relatives à l’identification des utilisateurs finals de cartes prépayées
  • Décision du 14 janvier 2020 concernant le non-respect par Telenet des règles relatives à l’identification des utilisateurs finals de cartes prépayées
  • Décision du 24 avril 2019 concernant le non-respect par Lycamobile de la législation relative à l’identification des utilisateurs finals de cartes prépayées
  • Version non confidentielle de la décision du 15 juin 2018 visant l’imposition de mesures prévues à l’article 21 de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges à Lycamobile dans le cadre de l’identification des utilisateurs finals de cartes prépayées
  • Décision du 6 avril 2018 concernant la prolongation d’une mesure provisoire imposée à Lycamobile dans la décision du 30 mars 2018 dans le cadre de l’identification des utilisateurs finals de cartes prépayées
  • Décision du 30 mars 2018 imposant des mesures provisoires à Lycamobile dans le cadre de l’identification des utilisateurs finals de cartes prépayées
  • Note de l’IBPT à destination des opérateurs concernant la loi du 1er septembre 2016 et l’arrêté royal « cartes prépayées » du 27 novembre 2016
  • Consultation du 11 octobre 2016 concernant les conditions d’utilisation de l’IPV4/CGN
  • FAQ de l’IBPT sur les obligations des opérateurs en matière d’identification des utilisateurs finals de services de communications électroniques accessibles au public

Conservation des données d’identification et des métadonnées de communications électroniques

Les opérateurs doivent conserver des données d’identification et des métadonnées pour les besoins des autorités, comme prévu dans les dispositions suivantes :

Pour ce qui concerne la conservation ciblée sur base géographique, c’est le service NTSU (National Technical et Tactical Support Unit) des unités spéciales de la Police Fédérale (ci-après le NTSU) qui est chargé de communiquer aux opérateurs la carte des zones à couvrir.

L’emploi de la cryptographie 

L’emploi de la cryptographie était auparavant réglé dans l’article 48 de la loi télécom.

Il est actuellement réglé dans l’article 107/5 de la loi télécom, qui se lit comme suit :

«  Art. 107/5. § 1er. Afin de favoriser la sécurité numérique, l'utilisation de la cryptographie est libre dans les limites prévues aux paragraphes 2 à 4.
   § 2. Le recours à la cryptographie ne peut pas empêcher les communications d'urgence, en ce compris l'identification de la ligne appelante ou la fourniture des données d'identification de l'appelant.
   § 3. Le recours à la cryptographie, utilisée par un opérateur, visant à garantir la sécurité des communications, ne peut pas empêcher l'exécution d'une demande ciblée d'une autorité compétente, dans les conditions prévues par la loi, dans le but d'identifier l'utilisateur final, de repérer et localiser des communications non accessibles au public.
   § 4. L'utilisation de la cryptographie par un opérateur étranger, dont l'utilisateur final ou l'abonné est situé sur le territoire belge, ne peut pas empêcher l'exécution d'une demande d'une autorité compétente telle que visée aux paragraphes 2 et 3.
   Toute clause contractuelle prise par les opérateurs faisant obstacle à l'exécution de l'alinéa 1er est interdite et nulle de plein droit.
» 

L’article 107/5 a été modifié pour la dernière fois par la loi du 20 juillet 2022 relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités.

La collaboration avec les autorités

L’article 127/1 de la loi télécom fixe le cadre général de la fourniture aux autorités des données d’identification et des métadonnées conservées par les opérateurs. Pour qu’une autorité puisse obtenir d’un opérateur ces données, elle doit non seulement répondre à une finalité de l’article 127/1 mais elle doit également pouvoir se reposer sur une norme législative formelle de sa propre législation (par exemple le Code d’instruction criminelle). La présente page n’aborde pas ces normes législatives formelles.

L’article 127/1, § 5, de la loi télécom prévoit que le ministre des télécoms fait publier au Moniteur belge une circulaire qui comprend une liste des autorités belges qui sont habilitées à obtenir d'un opérateur des données conservées en vertu des articles 122, 123, 126, 126/1, 126/3 et 127 de la même loi (circulaire en cours de rédaction).

Sur base de l’article 127/1, les opérateurs doivent fournir à l’IBPT des statistiques sur les demandes des autorités qui portent sur les données conservées en vertu des articles 122, 123, 126, 126/1, 126/3 et 127 de la loi télécom. L’IBPT demandera ces statistiques aux opérateurs dans la mesure où il ne peut pas les obtenir via la plateforme d’échange « TANK » du service NTSU.

L’IBPT ne dispose pas d’information sur le nombre de requêtes des différentes autorités (en particulier les autorités judiciaires et les services de renseignement et de sécurité) qu’un opérateur qui rentre sur le marché belge va recevoir.

Documents pertinents

La Cellule de coordination

L’article 127/3 prévoit que chaque opérateur doit constituer une Cellule de coordination, chargée de fournir aux autorités légalement habilitées, à leur demande, des données de communications électroniques. 

L’arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques (exécution de la loi télécom et du Code d’instruction criminelle) prévoit que cette cellule doit être établie en Belgique et être joignable 24/7.

Selon l’article 127/3 de la loi télécom et l’arrêté royal du 9 janvier 2003 précité, les membres de la Cellule de coordination doivent obtenir un avis de sécurité positif de l’Autorité nationale de sécurité (ANS). Ce même article prévoit que l’autorité administrative compétente en la matière est le ministre de la Justice (tâche effectuée en pratique par la Sûreté de l’Etat). 

L’opérateur introduit la demande d’avis de sécurité auprès de la Sûreté de l’Etat via son officier de sécurité. L’opérateur qui ne dispose pas d’un officier de sécurité peut s’adresser aux officiers de sécurité de l’IBPT pour introduire cette demande d’avis. 

Chaque opérateur télécom doit introduire et mettre à jour sur la plate-forme unifiée de notification les coordonnées de sa cellule. Cette même plateforme permet aux autorités compétentes d’accéder aux coordonnées de la cellule de coordination.

L’officier de sécurité

L’article 127/3 de la loi télécom prévoit que le Roi détermine pour les opérateurs autres que ceux qui disposent déjà d'un officier de sécurité en raison d'autres activités que la Cellule de coordination, les catégories d'opérateurs qui sont dispensés de l'obligation de désigner un tel officier, en fonction du nombre de demandes reçues de la part des autorités judiciaires, ainsi que les règles qui s'appliquent en l'absence d'un tel officier (arrêté royal en cours de rédaction).

L’article 13/1 de la « la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité » indique que les officiers de sécurité sont chargés :  :

   « a) d'une part, de l'application et du contrôle de la politique en matière de sécurité et de la protection de l'information classifiée ou, d'autre part, du suivi des attestations de sécurité ou des avis de sécurité ;

   b) du suivi, en particulier pour la mention des éléments relatifs aux personnes qui ont reçu un avis de sécurité, une attestation de sécurité, ou une habilitation de sécurité, et qui peuvent mener à une révision de cet avis de sécurité, attestation de sécurité, ou de cette habilitation de sécurité. »

Les moyens techniques 

Le service NTSU a mis en place une plateforme d’échange (« TANK ») pour l’automatisation de certaines demandes des autorités judiciaires et des services de renseignement et de sécurité. Cette plateforme permet aussi aux opérateurs de renvoyer leurs réponses. Les opérateurs qui ont des questions sur cette plateforme peuvent contacter le NTSU par e-mail

Cadre légal applicable

  • la loi du 13 juin 2005 relative aux communications électroniques (en particulier les articles 127/1 et 127/3) ;
  • la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • l’arrêté royal du 12 octobre 2010 déterminant les modalités de l'obligation de collaboration légale en cas de demandes concernant les communications électroniques par les services de renseignement et de sécurité (exécution de la loi télécom et de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité) ;
  • l’arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques (exécution de la loi télécom et du Code d’instruction criminelle) ; 
  • l'arrêté ministériel du 9 juillet 2020 portant exécution de l'article 6, § 3, alinéa 2, et de l'article 10bis, alinéa 2, de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques ; 
  • l'arrêté ministériel du 16 juillet 2020 portant exécution de l'article 6, alinéa 2, et de l'article 8, § 3, alinéa 3, de l'arrêté royal du 12 octobre 2010 déterminant les modalités de l'obligation de collaboration légale en cas de demandes concernant les communications électroniques par les services de renseignement et de sécurité.

Inscription Newsletter

Pour recevoir des alertes via e-mail, indiquez votre adresse e-mail et votre ou vos centre(s) d’intérêt.

L’IBPT traite ces deux ou trois données personnelles (adresse e-mail (éventuellement vos nom et prénom) et centres d’intérêt) afin de vous transmettre ces messages ; il sera mis fin au traitement et vos données seront effacées si un jour vous vous désinscrivez. En savoir plus sur les cookies ou sur la protection de vos données.

Vous devrez confirmer votre inscription. Vous pourrez vous désinscrire ou adapter votre profil à tout moment via le lien de désinscription, ou en nous contactant à l’adresse webmaster@ibpt.be.

Indiquez votre adresse e-mail et votre ou vos centre(s) d’intérêt :

Vers le haut