20 JUILLET 2022. - Loi relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités

CHAPITRE 1er. - Disposition générale

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

CHAPITRE 2. - Modifications de la loi du 13 juin 2005 relative aux communications électroniques

Article 2. A l'article 2 de la loi du 13 juin 2005 relative aux communications électroniques, modifié en dernier lieu par la loi du 17 février 2022, les modifications suivantes sont apportées:

1° les 5/5° et 5/6° sont insérés, rédigés comme suit:

"5/5° "une fraude": un acte malhonnête fait dans l'intention de tromper en contrevenant à la loi, aux règlements ou au contrat et de se procurer ou de procurer à autrui un avantage illicite au préjudice de l'opérateur ou de l'utilisateur final, commis par le biais de l'utilisation d'un service de communications électroniques;

5/6° "utilisation malveillante du réseau ou du service": utilisation du réseau ou du service de communications électroniques afin d'importuner son correspondant ou de provoquer des dommages;";

2° à la place du 74°, annulé par l'arrêt n° 57/2021 de la Cour constitutionnelle, il est inséré un 74° rédigé comme suit:

"74° "appels infructueux": toute communication au cours de laquelle un appel a été transmis mais est resté sans réponse ou a fait l'objet d'une intervention de la part du gestionnaire du réseau;";

3° l'article est complété par les 91°, 92° et 93°, rédigés comme suit:

"91° "données de communications électroniques": le contenu et les métadonnées de communications électroniques;

92° "contenu de communications électroniques": le contenu échangé au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de documents vidéo, d'images et de son;

93° "métadonnées de communications électroniques": les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l'échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d'en déterminer l'origine et la destination ainsi que les données relatives à la localisation de l'appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l'heure, la durée et le type de communication.".

Article 3. L'article 107/5 de la même loi, inséré par la loi du 21 décembre 2021, est remplacé par ce qui suit:

"Art. 107/5. § 1er. Afin de favoriser la sécurité numérique, l'utilisation de la cryptographie est libre dans les limites prévues aux paragraphes 2 à 4.

§ 2. Le recours à la cryptographie ne peut pas empêcher les communications d'urgence, en ce compris l'identification de la ligne appelante ou la fourniture des données d'identification de l'appelant.

§ 3. Le recours à la cryptographie, utilisée par un opérateur, visant à garantir la sécurité des communications, ne peut pas empêcher l'exécution d'une demande ciblée d'une autorité compétente, dans les conditions prévues par la loi, dans le but d'identifier l'utilisateur final, de repérer et localiser des communications non accessibles au public.

§ 4. L'utilisation de la cryptographie par un opérateur étranger, dont l'utilisateur final ou l'abonné est situé sur le territoire belge, ne peut pas empêcher l'exécution d'une demande d'une autorité compétente telle que visée aux paragraphes 2 et 3.

Toute clause contractuelle prise par les opérateurs faisant obstacle à l'exécution de l'alinéa 1er est interdite et nulle de plein droit.".

Article 4. Dans le titre IV, chapitre III, section 1re, sous-section 7, de la même loi, il est inséré un article 121/8, rédigé comme suit:

"Art. 121/8. § 1er. Sans prendre connaissance du contenu des communications, les opérateurs prennent les mesures appropriées, proportionnées, préventives et curatives, compte tenu des possibilités techniques les plus récentes, de manière à détecter les fraudes et utilisations malveillantes sur leurs réseaux et services et éviter que les utilisateurs finaux ne subissent un préjudice ou ne soient importunés.

Le Roi peut préciser les mesures à prendre par les opérateurs en vertu de l'alinéa 1er.

L'Institut a le pouvoir de donner des instructions contraignantes, y compris des instructions concernant les délais d'exécution, en vue de l'application du présent paragraphe.

§ 2. Lorsque cela se justifie au regard de la gravité des circonstances, qui doivent être examinées au cas par cas, les mesures appropriées visées au paragraphe 1er, alinéa 1er, peuvent comprendre notamment:

• des mesures au niveau du réseau, tels que le blocage des numéros, de services, des URLs, de noms de domaine, d'adresses IP ou de tout autre élément d'identification de la communication électronique;

• des mesures au niveau de l'utilisateur final, telles que la désactivation complète ou partielle de certains services ou équipements.".

Article 5. A l'article 122 de la même loi, modifié en dernier lieu par la loi du 21 décembre 2021, les modifications suivantes sont apportées:

1° dans le paragraphe 1er, l'alinéa 2 est abrogé;

2° dans le paragraphe 2, les modifications suivantes sont apportées:

"Par dérogation au paragraphe 1er, et dans le seul but d'établir les factures des abonnés ou d'effectuer les paiements d'interconnexion, les opérateurs peuvent conserver et traiter les données de trafic nécessaires à cette fin.";

3° dans le paragraphe 3, les modifications suivantes sont apportées:

4° le paragraphe 4 est remplacé par ce qui suit:

" § 4. Par dérogation au paragraphe 1er, de manière à pouvoir prendre les mesures appropriées visées à l'article 121/8, § 1er, de permettre d'établir la fraude ou l'utilisation malveillante du réseau ou du service ou d'identifier son auteur et son origine, et pour autant qu'il les traite ou les génère dans le cadre de la fourniture de ce réseau ou de ce service, l'opérateur:

1° conserve, dans le cadre de la fourniture d'un service de communications interpersonnelles et pendant quatre mois à partir de la date de la communication, les données de trafic nécessaires à ces fins parmi les données de trafic suivantes:

• l'identifiant de l'origine de la communication;

• l'identifiant de la destination de la communication;

• les dates et heures précises de début et de fin de la communication;

• la localisation des équipements terminaux des parties à la communication au début et à la fin de la communication;

2° conserve pendant douze mois à partir de la date de la communication les données de trafic suivantes relatives aux communications entrantes dans le cadre de la fourniture de services de communications interpersonnelles afin d'identifier l'auteur de la communication:

• le numéro de téléphone à l'origine de la communication entrante, ou;

• l'adresse IP ayant servi à l'envoi de la communication entrante, l'horodatage et le port utilisé, et;

• les dates et heures précises du début et de fin de la communication entrante;

3° conserve les données visées au 1° qui sont relatives à une fraude spécifique identifiée ou une utilisation malveillante du réseau spécifique identifiée le temps nécessaire à son analyse et à sa résolution, le cas échéant au-delà du délai de quatre mois visé au 1° ;

4° conserve les données de trafic visées au 2° et relatives à une utilisation malveillante spécifique du réseau, le temps nécessaire au traitement de cette dernière, le cas échéant au-delà du délai de douze mois visé au 2° ;

5° traite les données de trafic nécessaires à ces fins, en ce compris, lorsque c'est nécessaire, les données visées au paragraphe 2.

Par dérogation au paragraphe 1er, de manière à pouvoir prendre les mesures appropriées visées à l'article 121/8, § 1er, de permettre d'établir la fraude ou l'utilisation malveillante du réseau ou du service ou d'identifier son auteur et son origine, l'opérateur peut conserver et traiter d'autres données que celles visées à l'alinéa 1er considérées nécessaires à ces fins.

Le Roi peut préciser et étendre, par arrêté délibéré en Conseil des ministres et après avis de l'Institut et de l'Autorité de protection des données, les données de trafic dont la conservation doit être considérée comme nécessaire pour la poursuite des finalités prévues au présent paragraphe.

En cas de fraude présumée ou d'utilisation malveillante présumée, les opérateurs peuvent transmettre aux autorités compétentes toutes les données légalement conservées en relation avec la fraude présumée ou l'utilisation malveillante présumée.";

5° il est inséré un paragraphe 4/1 rédigé comme suit:

" § 4/1. Par dérogation au paragraphe 1er, les opérateurs peuvent conserver et traiter les données de trafic qui sont nécessaires pour assurer la sécurité et le bon fonctionnement de leurs réseaux et services de communications électroniques, et en particulier pour détecter et analyser une atteinte potentielle ou réelle à cette sécurité, en ce compris identifier l'origine de cette atteinte.

Les opérateurs peuvent les conserver pour une durée de douze mois à partir de la date de la communication.

Les opérateurs peuvent conserver les données visées à l'alinéa 1er relatives à une atteinte spécifique à la sécurité du réseau pendant la durée nécessaire pour la traiter, le cas échéant au-delà du délai de douze mois visé à l'alinéa 2.

En cas d'atteinte à la sécurité de leurs réseaux et services de communications électroniques, les opérateurs peuvent transmettre aux autorités compétentes toutes les données légalement conservées en relation avec l'atteinte à la sécurité de leurs réseaux et services de communications électroniques.";

6° il est inséré un paragraphe 4/2 rédigé comme suit:

" § 4/2. Par dérogation au paragraphe 1er, les opérateurs conservent et traitent les données de trafic nécessaires pour répondre à une obligation imposée par une norme législative formelle, pour la durée requise à cette fin.";

7° le paragraphe 5 est remplacé par ce qui suit:

" § 5. Les données énumérées dans le présent article ne peuvent être traitées que par les personnes chargées par l'opérateur de la facturation ou de la gestion du trafic, du traitement des demandes de renseignements des abonnés, de la lutte contre les fraudes ou l'utilisation malveillante du réseau, de la sécurité du réseau, du respect de ses obligations légales, du marketing des services de communications électroniques propres ou de la fourniture de services qui font usage de données de trafic ou de localisation et par les membres de sa Cellule de coordination visée à l'article 127/3.";

8° dans le paragraphe 6, les mots "L'Institut" sont remplacés par les mots "L'Institut, le Service de médiation pour les télécommunications,".

Article 6. A l'article 123 de la même loi, modifié en dernier lieu par la loi du 21 décembre 2021, les modifications suivantes sont apportées:

1° le paragraphe 1er est remplacé par ce qui suit:

" § 1er. Sans préjudice de l'application du RGPD et de la loi du 30 juillet 2018, les opérateurs de réseaux mobiles ne peuvent conserver et traiter de données de localisation autres que les données relatives au trafic se rapportant à un abonné ou un utilisateur final que dans les cas suivants:

1° lorsque cela est nécessaire pour le bon fonctionnement et la sécurité du réseau ou du service, les données étant conservées maximum douze mois à partir de la date de la communication, sauf en cas d'atteinte spécifique à la sécurité du réseau nécessitant de prolonger la conservation des données concernées au-delà de ce délai;

2° lorsque cela est nécessaire pour détecter ou analyser les fraudes ou l'utilisation malveillante du réseau, les données étant conservées maximum quatre mois à partir de la date de la communication, sauf en cas de fraude ou d'utilisation malveillante spécifique nécessitant de prolonger la conservation des données concernées au-delà de ce délai;

3° lorsque les données ont été rendues anonymes;

4° lorsque le traitement s'inscrit dans le cadre de la fourniture d'un service qui fait usage de données de trafic ou de localisation;

5° lorsque le traitement est nécessaire pour répondre à une obligation imposée par une norme législative formelle.";

2° dans le paragraphe 2, dans le 2°, les mots "la manifestation de volonté libre, spécifique et basée sur des informations par laquelle l'intéressé ou son représentant légal accepte que des données de localisation se rapportant à lui soient traitées" sont remplacés par les mots "le consentement au sens de l'article 4, 11), du RGPD";

3° dans le paragraphe 4, l'alinéa 1er est remplacé par ce qui suit:

"Les données visées au présent article ne peuvent être traitées que par des personnes qui travaillent sous l'autorité de l'opérateur ou du tiers qui fournit le service qui fait usage de données de trafic ou de localisation, ou par la Cellule de coordination de l'opérateur visée à l'article 127/3.".

Article 7. L'article 125, § 2, de la même loi, abrogé par l'article 3 de la loi du 29 mai 2016, annulé lui-même par l'arrêt n° 57/2021 de la Cour constitutionnelle, est abrogé.

Article 8. L'article 126 de la même loi, remplacé par l'article 5 de la loi du 30 juillet 2013, annulé lui-même par l'arrêt n° 84/2015 de la Cour constitutionnelle, et par l'article 4 de la loi du 29 mai 2016, annulé lui-même par l'arrêt n° 57/2021 de la Cour constitutionnelle, est remplacé par ce qui suit:

"Art. 126. § 1er. Sans préjudice du RGPD et de la loi du 30 juillet 2018, les opérateurs qui offrent aux utilisateurs finaux des services de communications électroniques, ainsi que les opérateurs fournissant les réseaux de communications électroniques sous-jacents qui permettent la fourniture de ces services, conservent les données suivantes, pour autant qu'ils les traitent ou les génèrent dans le cadre de la fourniture de ces réseaux ou services:

1° le numéro de Registre national ou un numéro équivalent, le nom et le prénom de l'utilisateur final qui est une personne physique ou la dénomination de l'abonné qui est une personne morale;

2° l'alias éventuel choisi par l'utilisateur final lors de la souscription au service ou de l'activation du service;

3° les coordonnées de l'abonné qui ont été fournies lors de la souscription au service, notamment son numéro de téléphone, son adresse e-mail et son adresse postale;

4° la date et l'heure de la souscription au service et de l'activation du service et les éléments permettant de déterminer le lieu à partir duquel cette souscription et cette activation ont été effectuées, à savoir notamment:

• l'adresse physique du point de vente où la souscription ou l'activation ont eu lieu, ou;

• l'adresse physique du point de terminaison du réseau ayant servi à la souscription ou à l'activation, ou;

• l'adresse IP ayant servi à la souscription ou à l'activation ainsi que le port source de la connexion et l'horodatage, ou;

• dans le cadre d'un réseau téléphonique mobile, la localisation géographique de l'équipement terminal qui a permis la souscription ou l'activation au moyen d'un numéro de téléphone;

5° l'adresse physique de livraison du service;

6° l'adresse de facturation du service et les données relatives au type et au moyen de paiement, à la date des paiements, et la référence de l'opération de paiement en cas de paiement en ligne;

7° le service principal et les services annexes que l'abonné peut utiliser;

8° la date à partir de laquelle ces services peuvent être utilisés, la date de la première utilisation de ces services et la date de fin de ces services;

9° en cas de transfert de l'identifiant de l'abonné, tel son numéro de téléphone, l'identité de l'opérateur qui transfère l'identifiant et l'identité de l'opérateur auquel l'identifiant est transféré et la date à laquelle le transfert est effectué;

10° le numéro de téléphone attribué;

11° l'adresse de messagerie principale et les adresses de messagerie employées comme alias;

12° l'identité internationale d'abonné mobile, "International Mobile Subscriber Identity", en abrégé "IMSI";

13° l'identifiant permanent d'abonnement, "Subscription Permanent Identifier", en abrégé "SUPI";

14° l'identifiant caché d'abonnement, "Subscription Concealed Identifier", en abrégé "SUCI";

15° l'adresse IP à la source de la connexion, l'horodatage de l'attribution ainsi que, en cas d'utilisation partagée d'une adresse IP de l'utilisateur final, les ports qui lui ont été attribués;

16° l'identifiant de l'équipement terminal de l'utilisateur final, ou lorsque l'opérateur ne le traite pas ou ne le génère pas, l'identifiant de l'équipement qui est le plus proche de cet équipement terminal, à savoir notamment:

• l'identité internationale d'équipement mobile, "International Mobile Equipment Identity", en abrégé "IMEI";

• l'identifiant permanent de l'équipement, "Permanent Equipment Identifier", en abrégé "PEI";

• l'adresse du contrôleur d'accès au réseau, "Media Access Control address", en abrégé "MAC";

17° les autres identifiants relatifs à l'utilisateur final, à l'équipement terminal ou à l'équipement le plus proche de cet équipement terminal, qui résultent de l'évolution technologique et qui sont déterminés par le Roi, pour autant que cet arrêté soit confirmé par la loi dans les six mois suivant la publication de cet arrêté.

Les opérateurs ne doivent pas conserver les adresses MAC visées à l'alinéa 1er, 16°, troisième tiret, pour les services de communications électroniques qu'ils offrent uniquement à des entreprises ou à des personnes morales.