Loi relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités, de 20 juillet 2022
CHAPITRE 1er. - Disposition générale
Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.
CHAPITRE 2. - Modifications de la loi du 13 juin 2005 relative aux communications électroniques
Art. 2. A l'article 2 de la loi du 13 juin 2005 relative aux communications électroniques, modifié en dernier lieu par la loi du 17 février 2022, les modifications suivantes sont apportées:
-
les 5/5° et 5/6° sont insérés, rédigés comme suit:
"5/5° "une fraude": un acte malhonnête fait dans l'intention de tromper en contrevenant à la loi, aux règlements ou au contrat et de se procurer ou de procurer à autrui un avantage illicite au préjudice de l'opérateur ou de l'utilisateur final, commis par le biais de l'utilisation d'un service de communications électroniques;
5/6° "utilisation malveillante du réseau ou du service": utilisation du réseau ou du service de communications électroniques afin d'importuner son correspondant ou de provoquer des dommages;";
-
à la place du 74°, annulé par l'arrêt n° 57/2021 de la Cour constitutionnelle, il est inséré un 74° rédigé comme suit:
"74° "appels infructueux": toute communication au cours de laquelle un appel a été transmis mais est resté sans réponse ou a fait l'objet d'une intervention de la part du gestionnaire du réseau;";
-
l'article est complété par les 91°, 92° et 93°, rédigés comme suit:
"91° "données de communications électroniques": le contenu et les métadonnées de communications électroniques;
-
"contenu de communications électroniques": le contenu échangé au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de documents vidéo, d'images et de son;
-
"métadonnées de communications électroniques": les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l'échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d'en déterminer l'origine et la destination ainsi que les données relatives à la localisation de l'appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l'heure, la durée et le type de communication.".
Art. 3. L'article 107/5 de la même loi, inséré par la loi du 21 décembre 2021, est remplacé par ce qui suit:
"Art. 107/5. § 1er. Afin de favoriser la sécurité numérique, l'utilisation de la cryptographie est libre dans les limites prévues aux paragraphes 2 à 4.
§ 2. Le recours à la cryptographie ne peut pas empêcher les communications d'urgence, en ce compris l'identification de la ligne appelante ou la fourniture des données d'identification de l'appelant.
§ 3. Le recours à la cryptographie, utilisée par un opérateur, visant à garantir la sécurité des communications, ne peut pas empêcher l'exécution d'une demande ciblée d'une autorité compétente, dans les conditions prévues par la loi, dans le but d'identifier l'utilisateur final, de repérer et localiser des communications non accessibles au public.
§ 4. L'utilisation de la cryptographie par un opérateur étranger, dont l'utilisateur final ou l'abonné est situé sur le territoire belge, ne peut pas empêcher l'exécution d'une demande d'une autorité compétente telle que visée aux paragraphes 2 et 3.
Toute clause contractuelle prise par les opérateurs faisant obstacle à l'exécution de l'alinéa 1er est interdite et nulle de plein droit.".
Art. 4. Dans le titre IV, chapitre III, section 1re, sous-section 7, de la même loi, il est inséré un article 121/8, rédigé comme suit:
"Art. 121/8. § 1er. Sans prendre connaissance du contenu des communications, les opérateurs prennent les mesures appropriées, proportionnées, préventives et curatives, compte tenu des possibilités techniques les plus récentes, de manière à détecter les fraudes et utilisations malveillantes sur leurs réseaux et services et éviter que les utilisateurs finaux ne subissent un préjudice ou ne soient importunés.
Le Roi peut préciser les mesures à prendre par les opérateurs en vertu de l'alinéa 1er.
L'Institut a le pouvoir de donner des instructions contraignantes, y compris des instructions concernant les délais d'exécution, en vue de l'application du présent paragraphe.
§ 2. Lorsque cela se justifie au regard de la gravité des circonstances, qui doivent être examinées au cas par cas, les mesures appropriées visées au paragraphe 1er, alinéa 1er, peuvent comprendre notamment:
- des mesures au niveau du réseau, tels que le blocage des numéros, de services, des URLs, de noms de domaine, d'adresses IP ou de tout autre élément d'identification de la communication électronique;
- des mesures au niveau de l'utilisateur final, telles que la désactivation complète ou partielle de certains services ou équipements.".
Art. 5. A l'article 122 de la même loi, modifié en dernier lieu par la loi du 21 décembre 2021, les modifications suivantes sont apportées:
-
dans le paragraphe 1er, l'alinéa 2 est abrogé;
-
dans le paragraphe 2, les modifications suivantes sont apportées:
a) l'alinéa 1er est remplacé par ce qui suit:
"Par dérogation au paragraphe 1er, et dans le seul but d'établir les factures des abonnés ou d'effectuer les paiements d'interconnexion, les opérateurs peuvent conserver et traiter les données de trafic nécessaires à cette fin.";
b) dans l'alinéa 2, les mots "de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel" sont remplacés par les mots "du RGPD et de la loi du 30 juillet 2018";
c) dans l'alinéa 3, le mot "énumérées" est remplacé par le mot "visées";
-
dans le paragraphe 3, les modifications suivantes sont apportées:
a) dans l'alinéa 1er, 2°, les mots "la manifestation de volonté libre, spécifique et basée sur des informations par laquelle l'intéressé ou son représentant légal accepte que des données relatives au trafic se rapportant à lui soient traitées" sont remplacés par les mots "le consentement au sens de l'article 4, 11), du RGPD";
b) dans l'alinéa 1er, 3°, les mots "de manière simple" sont remplacés par les mots "facilement et à tout moment";
c) dans l'alinéa 2, les mots "de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel" sont remplacés par les mots "du RGPD et de la loi du 30 juillet 2018";
-
le paragraphe 4 est remplacé par ce qui suit:
" § 4. Par dérogation au paragraphe 1er, de manière à pouvoir prendre les mesures appropriées visées à l'article 121/8, § 1er, de permettre d'établir la fraude ou l'utilisation malveillante du réseau ou du service ou d'identifier son auteur et son origine, et pour autant qu'il les traite ou les génère dans le cadre de la fourniture de ce réseau ou de ce service, l'opérateur:
-
conserve, dans le cadre de la fourniture d'un service de communications interpersonnelles et pendant quatre mois à partir de la date de la communication, les données de trafic nécessaires à ces fins parmi les données de trafic suivantes:
- l'identifiant de l'origine de la communication;
- l'identifiant de la destination de la communication;
- les dates et heures précises de début et de fin de la communication;
- la localisation des équipements terminaux des parties à la communication au début et à la fin de la communication;
-
conserve pendant douze mois à partir de la date de la communication les données de trafic suivantes relatives aux communications entrantes dans le cadre de la fourniture de services de communications interpersonnelles afin d'identifier l'auteur de la communication:
- le numéro de téléphone à l'origine de la communication entrante, ou;
- l'adresse IP ayant servi à l'envoi de la communication entrante, l'horodatage et le port utilisé, et;
- les dates et heures précises du début et de fin de la communication entrante;
-
conserve les données visées au 1° qui sont relatives à une fraude spécifique identifiée ou une utilisation malveillante du réseau spécifique identifiée le temps nécessaire à son analyse et à sa résolution, le cas échéant au-delà du délai de quatre mois visé au 1° ;
-
conserve les données de trafic visées au 2° et relatives à une utilisation malveillante spécifique du réseau, le temps nécessaire au traitement de cette dernière, le cas échéant au-delà du délai de douze mois visé au 2° ;
-
traite les données de trafic nécessaires à ces fins, en ce compris, lorsque c'est nécessaire, les données visées au paragraphe 2.
Par dérogation au paragraphe 1er, de manière à pouvoir prendre les mesures appropriées visées à l'article 121/8, § 1er, de permettre d'établir la fraude ou l'utilisation malveillante du réseau ou du service ou d'identifier son auteur et son origine, l'opérateur peut conserver et traiter d'autres données que celles visées à l'alinéa 1er considérées nécessaires à ces fins.
Le Roi peut préciser et étendre, par arrêté délibéré en Conseil des ministres et après avis de l'Institut et de l'Autorité de protection des données, les données de trafic dont la conservation doit être considérée comme nécessaire pour la poursuite des finalités prévues au présent paragraphe.
En cas de fraude présumée ou d'utilisation malveillante présumée, les opérateurs peuvent transmettre aux autorités compétentes toutes les données légalement conservées en relation avec la fraude présumée ou l'utilisation malveillante présumée.";
-
il est inséré un paragraphe 4/1 rédigé comme suit:
" § 4/1. Par dérogation au paragraphe 1er, les opérateurs peuvent conserver et traiter les données de trafic qui sont nécessaires pour assurer la sécurité et le bon fonctionnement de leurs réseaux et services de communications électroniques, et en particulier pour détecter et analyser une atteinte potentielle ou réelle à cette sécurité, en ce compris identifier l'origine de cette atteinte.
Les opérateurs peuvent les conserver pour une durée de douze mois à partir de la date de la communication.
Les opérateurs peuvent conserver les données...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI