Le législateur a adopté une loi le 20 juillet 2022 relative à la collecte et à la conservation des données d’identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités. Cette loi apporte une série de modifications ou de compléments d’informations à des législations antérieures relatives à ce domaine. Petit tour des modifications.
Utilisation de la cryptographie
La loi du 20 juillet 2022 modifie la loi du 13 juin 2005 relative aux communications électroniques. Elle régit l’emploi de la cryptographie – autrefois libre – qui est désormais soumis à certaines limites :
Le recours à la cryptographie ne peut pas empêcher la bonne exécution des communications d'urgence notamment en ce qui concerne l’identification des données de l’appelant.
Le recours à la cryptographie dans un but de sécurisation des communications ne peut pas empêcher une autorité compétente d’obtenir des informations en vue d’identifier un utilisateur et de repérer et localiser des communications non accessibles au public.
L’autorité compétente est en droit d’obtenir des informations auprès d’un opérateur étranger usant de la cryptographie si l’utilisateur et/ou abonné réside sur le territoire belge.
Une clause contractuelle faisant obstacle à ces limites sera nulle de plein droit.
Détection de fraudes et utilisation malveillant des réseaux
Désormais, les opérateurs sont autorisés à prendre des mesures appropriées leur permettant de détecter les fraudes et utilisation malveillantes sur leurs réseaux et services afin que les utilisateurs finaux ne subissent pas de préjudice. Cependant, les opérateurs ne peuvent pas prendre connaissance du contenu des communications.
Lorsqu’ils sont face à des circonstances atteignant un certain seuil de gravité, les opérateurs pourront prendre des mesures tels que le blocage d’éléments d’identification de la communication électronique (numéros, URLs, adresses IP notamment) ou la désactivation complète/partielle de certains services ou équipements.
Secret des communications, traitement des données et protection de la vie privée
En principe, les opérateurs doivent supprimer les données de trafic concernant les abonnés ou utilisateurs dès qu’elles ne sont plus nécessaires pour la transmission de la communication. Cependant, il est désormais possible pour les opérateurs de conserver et traiter les données de trafic dans un but de facturation et de payements d’interconnexion.
De plus, afin de permettre d’établir une fraude ou une utilisation malveillante du réseau et ainsi identifier l’auteur de celles-ci, l’opérateur peut :
| • | Conserver pendant 4 mois, à partir de la date de la communication, les données de trafic nécessaires. Celles-ci comprennent les identifiants de l’origine et de la destination de la communication, les heures et dates de début et fin de la communication ainsi que la localisation des équipements terminaux des parties à la communication. Afin de résoudre un cas de fraude ou d’utilisation malveillante spécifique, ce délai de 4 mois pourra être prorogé. |
| • | Conserver pendant 12 mois, à partir de la communication, le numéro de téléphone à l’origine de la communication, l’adresse IP, l’horodatage et le port utilisé ainsi que les dates et heures de la communication entrante afin d’identifier l’auteur de la communication. Afin de traiter un cas d’utilisation malveillante spécifique, ce délai de 12 mois pourra être prorogé. |
Sécurité et bon fonctionnement des réseaux
Les opérateurs pourront également conserver et traiter les données de trafic nécessaires en vue d’assurer la sécurité et le bon fonctionnement de leurs réseaux et services de communications électroniques. De cette manière, ils pourront détecter une éventuelle atteinte à cette sécurité et identifier son origine. Cette conservation de données aura une durée de 12 mois. Ce délai est prorogé en cas d’atteinte spécifique à la sécurité du réseau. De plus, les opérateurs peuvent transmettre ces données aux autorités compétentes.
Les opérateurs de réseaux mobiles peuvent désormais conserver et traiter les données de localisation d’un abonné ou d’un utilisateur dans certains cas, notamment :
| • | quand c’est nécessaire pour le bon fonctionnement et la sécurité du réseau ou du service. Dans ce cas, la conservation des données n’excèdera pas 12 mois sauf en cas d’atteinte spécifique à la sécurité du réseau ; |
| • | quand c’est nécessaire pour détecter ou analyser une fraude ou une utilisation malveillante du réseau. Dans ce cas, la conservation des données n’excèdera pas 4 mois sauf en cas de fraude ou d'utilisation malveillante spécifique ; |
| • | quand les données ont été rendues anonymes ; |
| • | quand le traitement s'inscrit dans le cadre de la fourniture d'un service faisant usage de données de trafic ou de localisation ; |
| • | quand cela est nécessaire afin de répondre à une obligation légale. |
Régulateur du secteur
L’article 15 de la loi du 15 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges, qui avait été autrefois abrogé par la loi du 16 mars 2015, est rétabli. Celui-ci prévoit désormais que, pour le bon déroulement de l’exercice de ses fonctions, l’Institut belge des services postaux et des télécommunications puisse exiger d’un opérateur de répondre à une demande de données d’identification ou à une demande de métadonnées. Cette demande devra être préalablement autorisée par l’APD, sauf en cas d’urgence dûment justifiée.
Les métadonnées devront être anonymisées ou pseudonymisées sauf si cela ne permet pas à l’Institut de rencontrer l’objectif poursuivi.
L’Institut peut désormais exiger qu’un opérateur lui permette de consulter une base de données afin de contrôler le respect, par cet opérateur, de ses obligations légales en matière de secret des communications, traitements des données et protection de la vie privée.
Code d’instruction criminelle
Un nouvel article 39 quinquies est désormais inséré dans le Code d’instruction criminelle. Ainsi, lorsqu’il existe des indices sérieux qu’une infraction peut donner lieu à un emprisonnement correctionnel principal d’un an ou à une peine plus lourde, le procureur du Roi peut ordonner la conservation de certaines données de trafic de moyens de communications. Cet ordre sera donné à l’opérateur d’un réseau de communications électroniques et à toute personne mettant à disposition, sur le territoire belge un service consistant à transmettre des signaux via des réseaux de communication électronique. La conservation de ces données ne peut excéder 6 mois sauf prorogation écrite.
Personnes disparues
La nouvelle loi modifie également la loi du 5 août 1992 sur la fonction de police. A présent, dans le cas d’une mission d’assistance à personne en danger et de recherche de personnes dont la disparition est inquiétante et dont l’intégrité physique est en danger imminent, un officier de police judiciaire de la Cellule Personnes disparues de la police fédérale peut demander à obtenir des données relatives aux communications électroniques de la personne disparue.
Cette réquisition est adressée par l’officier de police judiciaire à l’opérateur d’un réseau de communications électroniques ou à toute personne mettant à disposition, sur le territoire belge, d’un service consistant à transmettre des signaux via des réseaux de communications électroniques.
Services de renseignement et de sécurité
La loi du 30 novembre 1998 organique des services de renseignement et de sécurité est modifée par la loi du 20 juillet 2022.
Désormais, les services de renseignement et de sécurité peuvent requérir le concours d’un opérateur de réseaux de communications électroniques ou à un fournisseur de services de communications électroniques pour procéder à la conservation des données de trafic et de localisation de moyens de communications électroniques. Les données ne pourront être conservées que pour une durée de six mois à compter de la réquisition avec possibilité de prolongation.
Les services de renseignement et de sécurité tiennent un registre de toutes les réquisitions de conservation.
Lorsqu’il existe une menace grave, actuelle et prévisible pour la sécurité nationale, les services de renseignement et de sécurité peuvent requérir le concours des opérateurs d'un réseau de communications électroniques et des fournisseurs d'un service de communications électroniques afin de procéder à la conservation généralisée et indifférenciée des données de trafic et de localisation de moyens de communications électroniques.
Le délai de conservation des données ne peut excéder 6 mois à compter de la date de la communication mais peut être prolongé.
Enfin, pour mener à bien leurs missions, les services de renseignement et de sécurité peuvent procéder au repérage de données de trafic de moyens de communication électronique et à la localisation de l’origine ou de la destination de communications électroniques.
Secteur financier
La loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers subit aussi quelques modifications.
En cas d’opérations d’initiés, de divulgation illicite d’informations privilégiées ou de manipulations de marché, l’auditeur de la FSMA (autorité des services et marchés financiers) peut ordonner à l'opérateur d'un réseau de communications électroniques ou à toute personne qui met à disposition, sur le territoire belge, un service qui consiste à transmettre des signaux via des réseaux de communications électroniques de conserver les données risquant d’être supprimées ou rendues anonymes.
La conservation concerne les données de trafic de moyens de communications électroniques à partir desquels ou vers lesquels des communications électroniques ont été faites ainsi que la localisation de l'origine ou de la destination de ces communications électroniques.
Sécurité publique
La loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique est modifiée par la nouvelle loi.
Désormais, le CSIRT national (centre national de réponse aux incidents de sécurité informatique) peut, lorsque cela s’avère strictement nécessaire à la réalisation de ses tâches, obtenir d’un opérateur des données d’identification générée par l’utilisation d’un service de communications électroniques. Les raisons pouvant motiver cette demande par le CSIRT national sont notamment la prévention de menaces graves contre la sécurité publique, l’examen de défaillances de la sécurité des réseaux, la prévention, la recherche et la détection d’infractions commises en ligne.
Lorsque le CSIRT national adresse une demande de métadonnées de communications électroniques, un contrôle préalable est exercée par l’APD (autorité de protection des données). Ce contrôle sera réalisé ultérieurement en cas de situation urgente dûment justifiée.
Le CSIRT veille à informer les personnes physiques concernées de l’accès à leurs données de communications électroniques dès le moment où le risque de compromettre le bon déroulement de ses tâches sera inexistant.
Denrées alimentaires et autres produits
La dernière modification touche la loi du 24 janvier 1977 relative à la protection de la santé des consommateurs en ce qui concerne les denrées alimentaires et les autres produits.
Il est désormais prévu que les membres du personnel du SPF Santé publique, Sécurité de la chaine alimentaire et Environnement puissent identifier les personnes physiques/morales sur la base de leur numéro de téléphone ou de l’adresse IP à la source de la communication électronique.
Pour ce faire ils peuvent, sur requête motivée et après approbation du chef du service Inspection Produit, demander à obtenir des documents et des données d’identification à l’opérateur d’un réseau de communications électroniques et à toute personne offrant sur le territoire belge un service consistant à transmettre des signaux via des réseaux de communications électroniques. On vise notamment le fournisseur d’un service de communications électroniques.
