La présente page est consacrée aux dispositions de la loi du 13 juin 2005 relative aux communications électroniques (ci-après la loi télécom) et de ses mesures d’exécution qui sont relatives à la fourniture par les opérateurs aux autorités (principalement les autorités judiciaires) de données (données relatives aux abonnés, métadonnées ou contenu des communications).
L’article 2, 11°, de la loi télécom définit un opérateur comme « une personne ou entreprise qui fournit un réseau public de communications électroniques ou un service de communications électroniques accessible au public ». Les opérateurs doivent se notifier auprès de l’IBPT à l’exception des opérateurs qui fournissent des services de communications interpersonnelles non fondés sur la numérotation (généralement appelés « OTT », voir article 9, § 1er, de la loi télécom).
Comme le non-respect des dispositions susmentionnées peut être sanctionné pénalement, les infractions à ces dispositions seront en principe constatées par des officiers de police judiciaire (de l’IBPT) et la procédure d’infraction sera mise en œuvre soit par le Conseil de l’IBPT soit par le procureur du Roi (voir article 21/1 de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges).
L’article 9, § 7, de la loi télécom contient des délégations au Roi concernant les fournisseurs de réseaux privés de communications électroniques ou de services de communications électroniques qui ne sont pas accessibles au public. À ce jour, cet article n’a pas été mis en œuvre.
Cette page n’aborde pas les obligations qui résultent d’autres lois comme le Code d’instruction criminelle ou la loi du 30 novembre 1998 organique des services de renseignement et de sécurité, dont le respect n’est pas contrôlé par l’IBPT.
Identification des utilisateurs finaux
Les opérateurs doivent identifier leurs abonnés (méthodes d’identification directe) ou doivent permettre aux autorités de les identifier (méthodes d’identification indirecte).
L’article 127, § 10, de la loi télécom comprend la liste exhaustive des méthodes d’identification indirecte qui sont admises. La loi télécom ne comprend pas de liste de méthodes d’identification directe admises mais bien des données et documents d’identification. L’arrêté royal du 27 novembre 2016 relatif à l’identification de l’utilisateur final de services de communications électroniques publics mobiles fournis sur la base d’une carte prépayée comprend une liste exhaustive des méthodes d’identification directe mais cette liste est uniquement applicable pour l’identification des utilisateurs de cartes prépayées.
Les opérateurs qui offrent des services payants peuvent mettre en œuvre toutes les méthodes d’identification (directe ou indirecte), à l’exception des méthodes d’identification indirecte suivantes :
- La conservation « en exécution de l'article 126 et pendant les délais prévus par cet article, [de] l'adresse IP ayant servi à la souscription au service de communications électroniques ou à son activation, [de] l'adresse IP à la source de la connexion et [des] données qui doivent être conservées avec ces adresses » (article 127, § 10, 1°) ;
- La collecte et la conservation du « numéro de téléphone de l'abonné attribué dans le cadre d'un service de communications électroniques payant pour lequel un opérateur doit identifier l'abonné conformément au présent article » (article 127, § 10, 2°). La mise en place de cette méthode est cependant autorisée pour les hotspots Wi-Fi des opérateurs).
Les opérateurs qui offrent des services gratuits ne peuvent mettre en œuvre que les méthodes d’identification indirecte.
Le cadre légal applicable est le suivant :
- Article 127 de la loi télécom ;
- Arrêté royal du 27 novembre 2016 relatif à l’identification de l’utilisateur final de services de communications électroniques publics mobiles fournis sur la base d’une carte prépayée ;
- Arrêté ministériel du 19 décembre 2016 autorisant la méthode d'identification proposée par Telenet Group conformément à l'article 19, § 1er, alinéa 2, 2°, de l'arrêté royal du 27 novembre 2016 relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur base d'une carte prépayée ;
- Arrêté ministériel du 19 décembre 2016 autorisant la méthode d’identification proposée par Scarlet Belgium conformément à l’article 19, § 1er, alinéa 2, 2°, de l’arrêté royal du 27 novembre 2016 relatif à l’identification de l’utilisateur final de services de communications électroniques publics mobiles fournis sur base d’une carte prépayée ;
- Arrêté royal du 24 février 2017 portant désignation du service de police visé à l’article 19, § 1er, alinéa 2, 2°, de l’arrêté royal du 27 novembre 2016 ;
- Arrêté ministériel du 8 mai 2017 autorisant la méthode d'identification proposée par Carrefour Belgium S.A. conformément à l'article 19, § 1er, alinéa 2, 2°, de l'arrêté royal du 27 novembre 2016 relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur base d'une carte prépayée ;
- Arrêté ministériel du 31 août 2017 désignant en tant qu'autorité publique l'Office des étrangers du SPF Intérieur conformément à l'article 9, alinéa 2, de l'arrêté royal du 27 novembre 2016 relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée ;
- Arrêté ministériel du 22 décembre 2017 autorisant la méthode d'identification proposée par Lycamobile SPRL conformément à l'article 19, § 1er, alinéa 2, 2°, de l'arrêté royal du 27 novembre 2016 relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur base d'une carte prépayée ;
- Arrêté ministériel du 24 juin 2019 autorisant la méthode d’identification proposée par Unleashed S.A. conformément à l’article 19, § 1er, alinéa 2, 2°, de l’arrêté royal du 27 novembre 2016 relatif à l’identification de l’utilisateur final de services de communications électroniques publics mobiles fournis sur base d’une carte prépayée ;
- Arrêté ministériel du 9 février 2023 autorisant Telenet Group à utiliser la méthode de comparaison faciale « Onfido » pour identifier ses abonnés ;
- Arrêté ministériel du 13 mars 2023 autorisant Proximus à utiliser une méthode de comparaison faciale pour identifier ses abonnés.
Documents pertinents
- Décision du 14 janvier 2020 concernant le non-respect par Proximus des règles relatives à l’identification des utilisateurs finals de cartes prépayées
- Décision du 14 janvier 2020 concernant le non-respect par Telenet des règles relatives à l’identification des utilisateurs finals de cartes prépayées
- Décision du 24 avril 2019 concernant le non-respect par Lycamobile de la législation relative à l’identification des utilisateurs finals de cartes prépayées
- Version non confidentielle de la décision du 15 juin 2018 visant l’imposition de mesures prévues à l’article 21 de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges à Lycamobile dans le cadre de l’identification des utilisateurs finals de cartes prépayées
- Décision du 6 avril 2018 concernant la prolongation d’une mesure provisoire imposée à Lycamobile dans la décision du 30 mars 2018 dans le cadre de l’identification des utilisateurs finals de cartes prépayées
- Décision du 30 mars 2018 imposant des mesures provisoires à Lycamobile dans le cadre de l’identification des utilisateurs finals de cartes prépayées
- Note de l’IBPT à destination des opérateurs concernant la loi du 1er septembre 2016 et l’arrêté royal « cartes prépayées » du 27 novembre 2016
- Consultation du 11 octobre 2016 concernant les conditions d’utilisation de l’IPV4/CGN
- FAQ de l’IBPT sur les obligations des opérateurs en matière d’identification des utilisateurs finals de services de communications électroniques accessibles au public
Conservation des données relatives aux abonnés et des métadonnées
Les opérateurs doivent conserver des données relatives aux abonnés et des métadonnées pour les besoins des autorités, comme prévu dans les dispositions suivantes :
- Articles 2, 74°, 91 à 93, 126 à 126/3 et 127 /2 de la loi télécom;
- Arrêté ministériel du 30 mars 2023 portant exécution de l'article 126/3, § 1er, de la loi du 13 juin 2005 relative aux communications électroniques en vue de l'adoption de la liste des arrondissements judiciaires et des zones de police soumises à l'obligation de conservation ainsi que la durée de conservation ;
- Arrêté royal du 4 octobre 2023 relatif à la conservation de données par les opérateurs de communications électroniques pour les autorités conformément aux articles 126 à 126/3 de la loi du 13 juin 2005 relative aux communications électroniques et aux statistiques sur la communication de ces données aux autorités;
- Arrêté royal du 16 novembre 2023 portant exécution de l'article 126/3, § 2, de la loi du 13 juin 2005 relative aux communications électroniques en vue de la confirmation du niveau de menace sur l'ensemble du territoire ;
- Arrêté ministériel du 28 mars 2024 portant exécution de l’article 126/3, § 1, de la loi du 13 juin 2005 relatives aux communications électroniques en vue de l’adoption de la liste des arrondissements judiciaires et des zones de police soumises à l’obligation de conservation ainsi que la durée de conservation.
Pour ce qui concerne la conservation ciblée sur base géographique, c’est le service NTSU (National Technical et Tactical Support Unit) des unités spéciales de la Police Fédérale (ci-après le NTSU) qui est chargé de communiquer aux opérateurs la carte des zones à couvrir.
L’emploi de la cryptographie
L’emploi de la cryptographie était auparavant réglé dans l’article 48 de la loi télécom.
Il est actuellement réglé dans l’article 107/5 de la loi télécom, qui se lit comme suit :
« Art. 107/5. § 1er. Afin de favoriser la sécurité numérique, l'utilisation de la cryptographie est libre dans les limites prévues aux paragraphes 2 à 4.
§ 2. Le recours à la cryptographie ne peut pas empêcher les communications d'urgence, en ce compris l'identification de la ligne appelante ou la fourniture des données d'identification de l'appelant.
§ 3. Le recours à la cryptographie, utilisée par un opérateur, visant à garantir la sécurité des communications, ne peut pas empêcher l'exécution d'une demande ciblée d'une autorité compétente, dans les conditions prévues par la loi, dans le but d'identifier l'utilisateur final, de repérer et localiser des communications non accessibles au public.
§ 4. L'utilisation de la cryptographie par un opérateur étranger, dont l'utilisateur final ou l'abonné est situé sur le territoire belge, ne peut pas empêcher l'exécution d'une demande d'une autorité compétente telle que visée aux paragraphes 2 et 3.
Toute clause contractuelle prise par les opérateurs faisant obstacle à l'exécution de l'alinéa 1er est interdite et nulle de plein droit. »
L’article 107/5 a été modifié pour la dernière fois par la loi du 20 juillet 2022 relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités.
La fourniture de données aux autorités
L’article 127/1 de la loi télécom fixe le cadre général de la fourniture aux autorités des données relatives aux abonnés et des métadonnées conservées par les opérateurs. Pour qu’une autorité puisse obtenir d’un opérateur ces données, elle doit non seulement répondre à une finalité de l’article 127/1 mais elle doit également pouvoir se reposer sur une norme législative formelle de sa propre législation (par exemple le Code d’instruction criminelle). La présente page n’aborde pas ces normes législatives formelles.
L’article 127/1, § 5, de la loi télécom prévoit que le ministre des Télécoms fait publier au Moniteur belge une circulaire qui comprend une liste des autorités belges qui sont habilitées à obtenir d'un opérateur des données conservées en vertu des articles 122, 123, 126, 126/1, 126/3 et 127 de la même loi (circulaire en cours de rédaction).
Sur base de l’article 127/1, les opérateurs doivent fournir à l’IBPT des statistiques sur les demandes des autorités qui portent sur les données conservées en vertu des articles 122, 123, 126, 126/1, 126/3 et 127 de la loi télécom. L’IBPT demandera ces statistiques aux opérateurs dans la mesure où il ne peut pas les obtenir via la plateforme d’échange « TANK » du service NTSU.
L’IBPT ne dispose pas d’information sur le nombre de requêtes des différentes autorités (en particulier les autorités judiciaires et les services de renseignement et de sécurité) qu’un opérateur qui rentre sur le marché belge va recevoir.
La Cellule de coordination
L’article 127/3 prévoit que chaque opérateur doit constituer une Cellule de coordination, chargée de fournir aux autorités légalement habilitées, à leur demande, des données de communications électroniques.
L’arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques (exécution de la loi télécom et du Code d’instruction criminelle) prévoit que cette cellule doit être établie en Belgique et être joignable 24/7.
Selon l’article 127/3 de la loi télécom et l’arrêté royal du 9 janvier 2003 précité, les membres de la Cellule de coordination doivent obtenir un avis de sécurité positif de l’Autorité nationale de sécurité (ANS). Ce même article prévoit que l’autorité administrative compétente en la matière est le ministre de la Justice (tâche effectuée en pratique par la Sûreté de l’Etat).
L’opérateur introduit la demande d’avis de sécurité auprès de la Sûreté de l’Etat via son officier de sécurité. L’opérateur qui ne dispose pas d’un officier de sécurité peut s’adresser aux officiers de sécurité de l’IBPT pour introduire cette demande d’avis.
Chaque opérateur télécom doit introduire et mettre à jour sur la plate-forme unifiée de notification les coordonnées de sa cellule. Cette même plateforme permet aux autorités compétentes d’accéder aux coordonnées de la cellule de coordination.
L’officier de sécurité
L’article 127/3 de la loi télécom prévoit que le Roi détermine pour les opérateurs autres que ceux qui disposent déjà d'un officier de sécurité en raison d'autres activités que la Cellule de coordination, les catégories d'opérateurs qui sont dispensés de l'obligation de désigner un tel officier, en fonction du nombre de demandes reçues de la part des autorités judiciaires, ainsi que les règles qui s'appliquent en l'absence d'un tel officier.
L’article 13/1 de la « loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité » indique que les officiers de sécurité sont chargés :
« a) d'une part, de l'application et du contrôle de la politique en matière de sécurité et de la protection de l'information classifiée ou, d'autre part, du suivi des attestations de sécurité ou des avis de sécurité ;
b) du suivi, en particulier pour la mention des éléments relatifs aux personnes qui ont reçu un avis de sécurité, une attestation de sécurité, ou une habilitation de sécurité, et qui peuvent mener à une révision de cet avis de sécurité, attestation de sécurité, ou de cette habilitation de sécurité. »
Les moyens techniques
Le service NTSU a mis en place une plateforme d’échange (« TANK ») pour l’automatisation de certaines demandes des autorités judiciaires et des services de renseignement et de sécurité. Cette plateforme permet aussi aux opérateurs de renvoyer leurs réponses. Les opérateurs qui ont des questions sur cette plateforme peuvent contacter le NTSU par e-mail.
La circulaire de la Ministre des Télécommunications et les fiches des autorités
En cliquant sur ce lien, vous pouvez consulter la circulaire de la Ministre des Télécommunications du 1er mars 2024 concernant la fourniture par les opérateurs aux autorités belges compétentes de données conservées en vertu des articles 122, 123, 126, 126/1 et 127 de la loi du 13 juin 2005 relative aux communications électroniques.
L’annexe à cette circulaire comprend la liste des autorités belges qui ont déclaré être légalement habilitées à obtenir d’un opérateur des données conservées en vertu d’un des articles précités.
Des informations complémentaires à cette annexe se trouvent dans les fiches des autorités suivantes :
- les autorités judiciaires ;
- la Cellule des personnes disparues de la police fédérale ;
- les services de renseignement et de sécurité (la Sûreté de l'État et le Service Général du Renseignement et de la Sécurité) ;
- l’Autorité belge de la Concurrence (ABC) ;
- l’Autorité des services et marchés financiers (FSMA) ;
- le SPF Santé publique, Sécurité de la Chaîne alimentaire et Environnement ;
- le Service de médiation pour les télécommunications ;
- les services d’inspection du SPF Économie ;
- l’Institut belge des services postaux et des télécommunications (IBPT) ;
- le Centre pour la Cybersécurité Belgique (CCB) ;
- la Direction générale Statistique – Statistics Belgium du SPF Économie, PME, Classes moyennes et Énergie (Statbel).
Ces fiches ont été rédigées par ces autorités. L’IBPT n’est donc pas responsable pour le contenu de ces fiches (sauf pour sa propre fiche).
Les fiches indiquent à quel type d’entreprise l’autorité peut adresser sa requête. Si ces fiches font référence à la notion d’opérateur, alors il s’agit de cette notion au sens de l’article 2, 11°, de la loi du 13 juin 2005 relative aux communications électroniques (« une personne ou entreprise qui fournit un réseau public de communications électroniques ou un service de communications électroniques accessible au public »).
Certaines fiches font référence à la notion d’opérateur de réseaux de communications électroniques et de fournisseur de services de communications électroniques, qui sont des notions plus larges que la notion d’opérateur au sens de la loi précitée.
Cadre légal applicable
- la loi du 13 juin 2005 relative aux communications électroniques (en particulier les articles 127/1 et 127/3) ;
- la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ;
- l’arrêté royal du 12 octobre 2010 déterminant les modalités de l'obligation de collaboration légale en cas de demandes concernant les communications électroniques par les services de renseignement et de sécurité (exécution de la loi télécom et de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité) ;
- l’arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques (exécution de la loi télécom et du Code d’instruction criminelle) ;
- l'arrêté ministériel du 9 juillet 2020 portant exécution de l'article 6, § 3, alinéa 2, et de l'article 10bis, alinéa 2, de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques ;
- l'arrêté ministériel du 16 juillet 2020 portant exécution de l'article 6, alinéa 2, et de l'article 8, § 3, alinéa 3, de l'arrêté royal du 12 octobre 2010 déterminant les modalités de l'obligation de collaboration légale en cas de demandes concernant les communications électroniques par les services de renseignement et de sécurité.
Documents pertinents
- Communication du NTSU vers les opérateurs
- Informations statistiques relative à la conservation des données pour 2018
- Statistiques sur la transmission des données par les opérateurs aux autorités compétentes pour 2017
- Informations statistiques relative à la conservation des données pour 2016
- Informations statistiques relative à la conservation des données pour 2014 et 2015
- Brochure informative publiée le 26 octobre 2017 relative aux obligations de collaboration avec les autorités judiciaires