27 NOVEMBRE 2016. - Arrêté royal relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée
RAPPORT AU ROI
Sire,
Généralités
Le présent projet d'arrêté royal vise à exécuter l'article 127, § 1er, de la loi du 13 juin 2005 relative aux communications électroniques (ci-après la « LCE »), spécifiquement en ce qui concerne l'identification des utilisateurs de cartes prépayées de services de communications électroniques mobiles. Ce projet s'inscrit dans les mesures visant à lutter contre le terrorisme et à lutter contre la traite des êtres humains. Il fait suite à la modification de l'art. 127 par la loi du 1er septembre 2016 portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité (ci-après la loi du 1er septembre 2016).
Il fixe des obligations à charge des utilisateurs de ces cartes, à charge des entreprises concernées (les « opérateurs belges et étrangers ») qui fournissent par l'intermédiaire de ces cartes des services de communications mobiles, des canaux de vente de services de communications électroniques et des fournisseurs de service d'identification.
-
Prise en compte de l'avis de la Commission pour la protection de la vie privée n° 54/2015 du 16 décembre 2015
La loi du 1er septembre 2016, à l'état de projet de loi, a fait l'objet de l'avis n° 54/2015 du 16 décembre 2015 de la Commission pour la protection de la vie privée (ci-après la CPVP). Une partie des recommandations de cette Commission trouvent à s'appliquer dans le cadre de la mesure d'exécution de l'art. 127 susmentionné et non dans le corps de l'article même.
Dans son avis, la CPVP indique ce qui suit : « sur le plan pratique, l'obligation d'identification soulève de nombreuses questions. La Commission se demande quelles en seront les modalités concrètes. L'obligation d'identification contraint les opérateurs et leurs sous-traitants qui vendent des cartes prépayées -donc en l'occurrence chaque supermarché, épicerie, magasin d'électronique, ...-à enregistrer l'identité des acheteurs de telles cartes. Qui le fera ? Comment cela se passera-t-il ? Quelles données seront enregistrées ? Comment les données seront-elles conservées et transférées ? Qui sera le responsable du traitement ? Ce dernier disposera-t-il d'un conseiller en sécurité ? Qui contrôlera cette collecte de données ? Comment l'obligation d'information sera-t-elle remplie ? Ces points devraient être clarifiés dans les arrêtés d'exécution. ».
Il convient d'emblée de souligner que la réponse à la plupart de ces questions figure dans la législation récemment adoptée : d'une part, la loi du 29 mai 2016 concernant la collecte et la conservation de données dans le secteur des communications électroniques (ci-après la loi du 29 mai 2016) et, d'autre part, la loi du 1er septembre 2016.
Ainsi, la loi en vigueur (art. 127) stipule qui fera l'identification (à savoir l'opérateur avec, le cas échéant, l'aide d'un tiers) et comment, ce que le présent projet d'arrêté royal précise.
L'article 127 de la LCE désigne le responsable du traitement, à savoir l'opérateur ou le fournisseur au sens de l'article 126, § 1er, alinéa 1er, de la loi. L'article 126/1 de la LCE prévoit l'instauration auprès de chaque entreprise concernée qui doit conserver des données, d'un préposé à la protection des données à caractère personnel. L'article 126/1, § 3, indique que « le préposé à la protection des données veille à ce que [...] le fournisseur ou l'opérateur ne collecte et conserve que les données qu'il peut légalement conserver ». Par ailleurs, le non-respect de l'article 127 de la LCE et de ses arrêtés d'exécution est sanctionné pénalement (voir l'article 145 de la LCE). Par conséquent, après la rédaction d'un procès-verbal par un officier de police judiciaire, c'est à l'IBPT ou au procureur du Roi qu'il conviendra de poursuivre l'infraction (voir l'article 148 de la LCE). Le non-respect des articles 126 et 126/1 est également sanctionné pénalement (voir l'article 145 de la LCE). Les articles 126 et 126/1 confient par ailleurs certaines missions à la CPVP.
Enfin, pour ce qui concerne l'obligation d'information, l'article 9, § 1er, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel prévoit ce qui suit :
Art. 9. § 1er. Le responsable du traitement ou son représentant doit fournir à la personne concernée auprès de laquelle il obtient les données la concernant et au plus tard au moment où ces données sont obtenues, au moins les informations énumérées ci-dessous, sauf si la personne concernée en est déjà informée :
a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;
b) les finalités du traitement;
c) l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing;
d) d'autres informations supplémentaires, notamment :
- les destinataires ou les catégories de destinataires des données,
- le caractère obligatoire ou non de la réponse ainsi que les conséquences éventuelles d'un défaut de réponse,
- l'existence d'un droit d'accès et de rectification des données la concernant;
sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont obtenues, ces informations supplémentaires ne sont pas nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données;
e) d'autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la commission de la protection de la vie privée.
.
Dès lors que nul n'est censé ignorer la loi, la personne concernée est censée avoir été informée de ces différents éléments par la publication de l'article 127 et du présent projet d'arrêté royal.
-
Prise en compte de l'avis de la CPVP n° 54/2016 du 21 septembre 2016
En réponse au point 8 de l'avis, il est précisé que la méthode d'identification est en effet conservée car elle est un élément utile dans le cadre des enquêtes des services de police et des services de renseignement et de sécurité.
Dans son avis, aux points 13 et 14, la CPVP indique que l'arrêté royal doit limiter sa finalité à l'identification du porteur de la carte et demande que l'arrêté royal impose aux opérateurs de prendre les mesures nécessaires pour limiter l'accès aux données à un nombre restreint de personnes qui sont chargées de cette mission.
L'article 1er de l'arrêté royal a été adapté pour préciser sa finalité. Les dispositions légales déjà existantes permettent de répondre à la remarque de la CPVP pour le reste.
En effet, l'article 127, § 1er, tel que modifié par la loi du 1er septembre 2016, prévoit expressement que « Les données et documents d'identification collectés sont conservés conformément à l'article 126, § 3, alinéa 1er. ».
Cela signifie donc que les données d'identification collectées conformément au présent arrêté royal sont soumis à l'article 126 de la loi.
Or, l'article 126, § 2, contient la liste des autorités qui peuvent demander d'accèder aux données conservées. En pratique, ce seront surtout les autorités judiciaires, les services de renseignement et de sécurité, le Service de médiation pour les télécommunications (en vue de l'identification de la personne ayant effectué une utilisation malveillante d'un réseau ou d'un service de communications électroniques) et les services d'urgence offrant de l'aide sur place (que ce soit dans le cadre d'un appel d'urgence faisant suite à une situation de détresse ou dans le cadre d'un appel malveillant vers les services d'urgence), qui demanderont l'accès aux données d'identification collectées conformément au présent arrêté royal.
De plus, l'article 126, § 2, interdit aux opérateurs d'utiliser les données collectées conformément au présent arrêté royal à des fins commerciales.
Le présent arrêté royal n'interdit cependant pas la collecte de données d'identification à des fins commerciales mais cette collecte suit ses propres règles.
Finalement, lorsque la demande d'accès aux données conservées n'est pas automatisée, cet accès devra obligatoirement avoir lieu par l'intermédiaire de la Cellule de coordination de l'opérateur, comme l'article 126, § 4, de la LCE le prévoit, ce qui répond au point 27 de l'avis.
Le point 16 de l'avis (suppression du numéro de la puce de la carte d'identité électronique) a été suivi.
S'agissant des points 17 à 19 (rapport entre le présent projet et le projet d'arrêté royal portant exécution de l'art. 126 de la LCE en matière de conservation des données), il peut être précisé que les deux arrêtés feront l'objet d'un alignement ultérieur afin d'être rendus compatibles.
Dans le point 20 de l'avis, la CPVP suggère d'ajouter l'interdiction pour le commerçant qui participe à l'identification de stocker les données d'identification. Or cette interdiction figure déjà dans l'art. 127, § 1er, al. 5. de la LCE, qui dispose ce qui suit : « Le canal de vente de services de communications électroniques ne conserve pas de données ou de documents d'identification, qui sont transmis à l'opérateur, au fournisseur visé à l'article 126, § 1er, alinéa 1er ou à l'entreprise fournissant un service d'identification. ».
Au point 24 de son avis, la CPVP recommande de préciser dans le contenu de l'arrêté en projet de lui soumettre le futur projet d'arrêté fixant la procédure d'approbation par le Service public fédéral Technologie de l'Information et de la Communication d'une application Internet similaire à celle qui permet l'accès à une application digitale des pouvoirs publics. Ce projet-là sera également soumis à la CPVP.
La CPVP demande au point 26 s'il n'est pas possible de conserver dans une base de données distincte les données qui sont conservées en vertu de l'article 126 du projet.
Ceci afin de limiter autant que possible les risques de l'accès fonctionnel.
Il convient de rappeler ce qui a été exposé dans le...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI