publié le 05 août 2020
Arrêté ministériel portant exécution de l'article 6, § 3, alinéa 2, et de l'article 10bis, alinéa 2, de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques
9 JUILLET 2020. - Arrêté ministériel portant exécution de l'article 6, § 3, alinéa 2, et de l'article 10bis, alinéa 2, de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques
CONSEIL D'ETAT, section de législation Avis 66.672/4 du 25 novembre 2019 sur un projet d'arrêté ministériel `portant exécution de l'article 6, § 3, alinéa 2, et de l'article 10bis, alinéa 2, de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques' Le 24 octobre 2019, le Conseil d'Etat, section de législation, a été invité par le Ministre de l'Agenda numérique, des Télécommunications et de la Poste, chargé de la Simplification administrative, de la Lutte contre la fraude sociale, de la Protection de la vie privée et de la Mer du Nord à communiquer un avis, dans un délai de trente jours, sur un projet d'arrêté ministériel `portant exécution de l'article 6, § 3, alinéa 2, et de l'article 10bis, alinéa 2, de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques'.
Le projet a été examiné par la quatrième chambre le 25 novembre 2019.
La chambre était composée de Martine BAGUET, président de chambre, Bernard BLERO et Wanda VOGEL, conseillers d'Etat, Sébastien VAN DROOGHENBROECK, assesseur, et Charles-Henri VAN HOVE, greffier assumé.
Le rapport a été présenté par Anne VAGMAN, premier auditeur .
La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Wanda VOGEL. L'avis, dont le texte suit, a été donné le 25 novembre 2019.
Compte tenu du moment où le présent avis est donné, le Conseil d'Etat attire l'attention sur le fait qu'en raison de la démission du Gouvernement, la compétence du ministre se trouve limitée à l'expédition des affaires courantes. Le présent avis est toutefois donné sans qu'il soit examiné si le projet relève bien de la compétence ainsi limitée, la section de législation n'ayant pas connaissance de l'ensemble des éléments de fait que le ministre peut prendre en considération lorsqu'il doit apprécier la nécessité d'arrêter ou de modifier une disposition réglementaire.
Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 2°, des lois `sur le Conseil d'Etat', coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.
Sur ces trois points, le projet appelle les observations suivantes.
FORMALITES PREALABLES 1. Plusieurs formalités préalables ont été accomplies à des dates anciennes, à savoir le 2 avril 2014 en ce qui concerne l'avis n° 27/2014 de la Commission de la protection de la vie privée, le 16 septembre 2014 pour l'avis de l'IBPT, la période du 18 juillet au 31 aout 2016 pour la consultation publique organisée par l'IBPT, et la notification du 26 juillet 2016 à la Commission européenne - qui n'a donné lieu à aucune réaction de la Commission. L'accomplissement d'une formalité préalable à une date de loin antérieure à la saisine de la section de législation ne constitue pas en soi une difficulté.
Elle peut toutefois poser problème lorsque, entre l'accomplissement de la formalité et la saisine de la section de législation et à fortiori de l'adoption du texte projeté, les circonstances de droit ou de fait ont changé ou présentent le risque de s'être modifiées. 2.1. En l'espèce, les dates d'accomplissement de deux formalités requises s'avèrent problématiques, pour les motifs suivants. 2.2. S'agissant de l'avis de la Commission de la protection de la vie privée, il y a lieu d'avoir égard au fait que le cadre juridique en matière de protection de la vie privée a fondamentalement été modifié, que ce soit au niveau européen, par l'adoption du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 `relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)' ou au niveau de droit interne, par l'adoption de la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer `portant création de l'Autorité de protection des données' et l'adoption de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer `relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel', dont l'article 280 a abrogé la loi du 8 décembre 1992 `relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel'.
La comparaison des instruments juridiques européens et internes abrogés avec les instruments juridiques qui leur ont succédé montre que la modification du cadre juridique ainsi intervenue s'avère fondamentale et ne présente donc pas un caractère purement formel qui se limiterait, par exemple, à substituer simplement l'Autorité de protection des données instituée par la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer à la Commission de la protection de la vie privée créée par les articles 23 et suivants de la loi du 8 décembre 1992.
Dans ce contexte, dès lors que l'article 36, paragraphe 4, du règlement (UE) 2016/679, combiné avec l'article 2 de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer, prévoit une obligation de consulter l'autorité de contrôle, en l'occurrence l'Autorité de protection des données visée dans la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer, dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement, il convient de soumettre le texte en projet pour avis à l'Autorité de protection des données. 2.3. La consultation publique tenue du 18 juillet 2016 au 31 aout 2016 a suscité certaines réactions.
Il résulte des informations transmises par le délégué que certaines dispositions de l'arrêté en projet y ont été insérées à la suite d'observations formulées par un opérateur déterminé, à l'occasion de cette consultation publique, observations qui reposent sur des aspects éminemment techniques.
Sous réserve des observations particulières qui seront faites ci-après à propos des dispositions ainsi ajoutées au projet originaire, la question se pose de savoir, dans un secteur où la technologie évolue de manière extrêmement rapide, si, d'une part, les observations faites à l'occasion d'une consultation publique réalisée plus de trois ans avant la saisine de la section de législation demeurent d'actualité, et si, d'autre part, le texte en projet n'appellerait pas d'autres observations que celles formulées il y a plus de trois ans.
Sauf à l'auteur du projet d'être en mesure de démontrer que cette question, en ses deux branches, appelle une réponse négative, il convient de tenir une nouvelle consultation publique1.
EXAMEN DU PROJET PREAMBULE 1. Les dispositions légales ou réglementaires qui constituent le fondement juridique d'un arrêté réglementaire doivent être mentionnées avec l'ensemble de leurs modifications encore en vigueur et en précisant s'il s'agit d'une insertion ou d'une modification2. Les alinéas 1er à 3 seront complétés en conséquence. 2. L'article 6 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer `portant des dispositions diverses concernant la simplification administrative' dispose comme suit : « § 1er.Chaque membre du gouvernement procède, dans les conditions fixées par le Roi par arrêté délibéré en Conseil des ministres, à l'analyse d'impact visée à l'article 5 des avant-projets de loi et des projets d'arrêtés royaux ou ministériels qui relèvent de sa compétence et pour lesquels l'intervention du Conseil des ministres est requise par une disposition légale ou réglementaire. § 2. Chaque membre du gouvernement peut procéder à l'analyse d'impact visée à l'article 5 des avant-projets de loi, des projets d'arrêtés royaux ou ministériels, des circulaires et des décisions qui relèvent de sa compétence et pour lesquels l'intervention du Conseil des ministres n'est pas requise, dans les mêmes conditions que celles visées au § 1er ».
Il en résulte que seuls les arrêtés pour lesquels l'intervention du Conseil des ministres est requise par une disposition légale ou réglementaire, doivent faire l'objet d'une analyse d'impact.
Tel n'est pas le cas de l'arrêté ministériel en projet.
Par conséquent, l'analyse d'impact réalisée en l'espèce n'étant pas une formalité obligatoire, elle n'a pas à être mentionnée au préambule sous la forme d'un visa mais peut l'être sous la forme d'un considérant.
Le préambule sera revu en conséquence.
DISPOSITIF Article 1er Au paragraphe 2, in fine, de l'accord du délégué, le mot « calendrier » sera omis.
Article 3 1. L'article 3 de l'arrêté en projet est rédigé comme suit : « L'article 1er n'est pas applicable aux centrales fonctionnant comme réseau numérique à intégration de services (RNIS), ni aux services mobiles qui utilisent ces centrales pour la configuration de groupes fermés d'utilisateurs, d'un opérateur d'un réseau de communications électroniques ou d'un fournisseur d'un service de communications électroniques. Pour les plateformes d'interception d'e-mails, ces opérateurs et ces fournisseurs mettent en place la mémoire tampon en fonction des possibilités techniques conformes aux standards ETSI et en concertation avec le NTSU-CTIF ».
Cette disposition prévoit donc deux régimes dérogatoires à celui prévu par l'article 1er du projet.
Il appartient à l'auteur du projet d'être en mesure d'établir les motifs susceptibles de justifier raisonnablement, au regard du principe d'égalité et de non-discrimination, ces deux dérogations au régime général mis en place par l'article 1er du projet. 2. Sur ce point, il ressort des explications communiquées par le délégué que le régime mis en place par le premier alinéa de l'article 3 a été introduit pour tenir compte de la demande d'un opérateur qui, dans sa lettre du 31 aout 2016 à l'IBPT, a exposé : « Bovendien, stelt zich de vraag of deze aanpassingen ook in onze oude systemen moeten doorgevoerd worden : - Zo gebruiken we vandaag voor PTSN en R4 mobile diensten een klassieke E1 verbinding naar de autoriteiten waarvoor geen buffering voorzien is.Pas na de migratie VoIP zouden we ook buffering kunnen voorzien voor spraakdiensten. De oude systemen zullen dus geen buffering voorzien. Gezien de hoge betrouwbaarheid van de E1 verbindingen, is een buffering volgens ons niet noodzakelijk ».
Quant au régime mis en place par le second alinéa de l'article 3, selon le délégué, il a été introduit pour tenir compte de la demande du même opérateur qui, dans sa lettre du 31 aout 2016 à l'IBPT a fait valoir : « Bovendien, stelt zich de vraag of deze aanpassingen ook in onze oude systemen moeten doorgevoerd worden : [...] - Verder beschikken we voor e-mail over een oud niet-ETSI platform en een nieuwe ETSI compliant platform. Het oude platform zullen we op termijn afbouwen en zullen we dus niet voorzien van buffering ».
Toujours selon les explications du délégué : 1° « Les opérateurs et les fournisseurs des services d'email sont dépendants des possibilités techniques des réseaux et fournisseurs sous-jacents qui supportent leurs services d'email.Ainsi, ils ne contrôlent pas certaines limitations techniques qui en résultent » ; 2° « Vanwege de zeer brede variatie aan interceptiesystemen en de technische complexiteit ervan is een generieke verwoording beter om de problematiek met de operator [te] kunnen regelen.Elke meer specifieke beschrijving van werking, protocollen of andere technische omstandigheden, houdt immers een risico in dat bepaalde gevallen worden vergeten en dat net in die gevallen NTSU-CTIF niet in de mogelijkheid zou zijn om de samenwerkingswijze overeen te komen met de operator ». 3. Faute d'une connaissance particulière des aspects éminemment techniques relevant de la matière des communications électroniques qu'envisage le projet d'arrêté et des données concrètes à prendre en considération, et n'ayant par ailleurs pas la possibilité juridique d'organiser un débat contradictoire à ce sujet, la section de législation ne peut que prendre acte des explications données, sans pouvoir se prononcer de manière tranchée sur la pertinence et l'admissibilité juridique des systèmes dérogatoires prévus par l'article 3 du projet. Il convient toutefois à tout le moins d'insister sur le fait qu'une disposition ne peut être insérée dans un texte de nature réglementaire pour le seul motif que cette insertion répondrait à la demande d'un opérateur. Encore l'auteur du projet doit-il lui-même avoir apprécié la réalité, en fait, des éléments invoqués par l'opérateur, ainsi que la pertinence, l'opportunité et la nécessité de l'insertion de la disposition concernée.
L'article 3 sera réexaminé à la lumière de cette observation.
Article 4 Dans la logique de la disposition à l'examen, l'article 3 du projet devrait entrer en vigueur à la même date que l'article 1er.
L'article 4 sera revu et complété en conséquence.
Le greffier, Le président, Charles-Henri VAN HOVE Martine BAGUET _______ Notes (1) Voir, sur le caractère obligatoire de cette consultation, l'article 14 de la directive 2002/20/CE du Parlement européen et du Conseil du 7 mars 2002 `relative à l'autorisation de réseaux et de services de communications électroniques' (directive « autorisation »), appelé à être remplacé par les articles 18 et 19 de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 `établissant le code des communications électroniques européen' (délai de transposition expirant le 21 décembre 2020 - articles 124 et 125 de la directive (UE) 2018/1972). (2) Principes de technique législative - Guide de rédaction des textes législatifs et réglementaires, www.raadvst-consetat.be, onglet « Technique législative », recommandation n° 27.c) et formules F 3-2-1 à F 3-2-8. 9 JUILLET 2020. - Arrêté ministériel portant exécution de l'article 6, § 3, alinéa 2, et de l'article 10bis, alinéa 2, de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques Le Ministre des Télécommunications et le Ministre de la Justice, Vu le Code d'instruction criminelle, l'article 88bis remplacé par la loi du 10 juin 1998Documents pertinents retrouvés type loi prom. 10/06/1998 pub. 15/08/1998 numac 1998022534 source ministere des affaires sociales, de la sante publique et de l'environnement Loi modifiant les lois coordonnées du 19 décembre 1939 relatives aux allocations familiales pour travailleurs salariés fermer et modifié par les lois du 27 décembre 2012, du 5 février 2016, du 29 mai 2016, du 25 décembre 2016 et du 5 mai 2019 et l'article 90quater remplacé par la loi du 25 décembre 2016 ;
Vu la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques, l'article 127, § 1er, alinéa 1er, 2°, modifié par les lois du 4 février 2010 et du 27 mars 2014 ;
Vu l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques, l'article 6, § 3, alinéa 2 et l'article 10bis alinéa 2, insérés par l'arrêté royal du 8 février 2011 ;
Vu l'avis de la Commission de la protection de la vie privée n° 27/2014 donné le 2 avril 2014 ;
Vu l'avis de l'Institut belge des services postaux et des télécommunications, donné le 16 septembre 2014 ;
Vu la consultation publique tenue du 18 juillet 2016 au 31 août 2016 ;
Vu la notification du 26 juillet 2016 à la Commission européenne conformément à la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information ;
Vu les avis des Inspecteurs des Finances, donnés le 22 novembre 2017 et le 7 février 2019 ;
Considérant qu'une analyse d'impact de la réglementation conforme aux articles 6 et 7 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses concernant la simplification administrative a été réalisée le 25 février 2019 ;
Vu l'accord du Ministre du budget, donné le 22 juillet 2019 ;
Vu l'avis 66.672/4 du Conseil d'Etat, donné le 25 novembre 2019, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973 ;
Vu l'avis de l'Autorité de protection des données n° 25/2020 donné le 13 mars 2020, Arrêtent :
Article 1er.§ 1er. Pour éviter la perte de données et en cas d'interruption, pour quelque raison que ce soit, de la transmission vers le service NTSU-CTIF des données demandées par l'autorité judiciaire compétente sur la base des articles 88bis ou 90ter du Code d'instruction criminelle, les opérateurs de réseaux de communications électroniques et les fournisseurs de services de communications électroniques veillent à ce qu'elles soient temporairement conservées dans une mémoire tampon, telle que définie dans les normes TS 102 232-5, B.1, b.3) et b.4), TS 101 331, point 3.1 et point 4.2, b, 3 et 4 et TS 102 232-1, point 6.3.3 de l'Institut européen des normes de télécommunication (ci-après ETSI).
Les données sont conservées dans la mémoire tampon jusqu'à leur transmission réussie vers le service NTSU-CTIF. § 2. Conformément aux normes TS 101 331, 4.2. b) et TS 102 232-1, point 6.3.3., et TS 102 232-1, B.6, R24 de l' ETSI, l'opérateur de réseaux de communications électroniques ou le fournisseur de services de communications électroniques veille à ce que la capacité de la mémoire tampon soit au moins trois fois la capacité nécessaire pour le stockage d'une heure de débit moyen des flux de données visés au paragraphe 1er de l'opérateur ou du fournisseur vers le NTSU-CTIF lors de l'année précédente.
Lorsqu'aucun flux de données n'a été envoyé au NTSU-CTIF l'année précédente, l'opérateur ou le fournisseur prend en compte l'année la plus récente pendant laquelle des flux de données lui ont été envoyés.
Lorsque l'interruption de la transmission des données visée au paragraphe 1er mène à un dépassement de la capacité de la mémoire tampon, l'opérateur de réseaux de communications électroniques ou le fournisseur de services de communications électroniques conserve en mémoire tampon les données des heures les plus récentes avant la fin de l'interruption. § 3. Conformément aux normes TS 101 331, point 4.5, b) et TS 101 331, 4.5, a), de l'ETSI, avant que les opérateurs de réseaux de communications électroniques ou les fournisseurs de services de communications électroniques n'apportent de nouveaux services sur le marché ou ne modifient les services existants, ils veillent à ce que la capacité de leur mémoire tampon soit dimensionnée de façon suffisante pour pouvoir satisfaire aux exigences prévues au paragraphe 2.
Art. 2.§ 1er. Conformément à la norme TS 101 331, point 4.2, e) et à la note 5 de la norme TS 101 331, 4.2, e) de l'ETSI, afin d'éviter la transmission de données non pertinentes au service NTSU-CTIF de manière à ce que seules les données demandées par l'autorité judiciaire compétente conformément aux articles 88bis ou 90ter du Code d'instruction criminelle lui soient transmises, chaque opérateur de réseau de communications électroniques et chaque fournisseur d'un service de communications électroniques est techniquement à même de filtrer le flux de données vers le service NTSU-CTIF et met tout en oeuvre pour ne pas lui envoyer les flux qui ne font pas l'objet du réquisitoire. § 2. Conformément aux normes TS 101 331, point 4.2, e) et TS 102 232-1 point F.4 de l'ETSI, ce filtrage s'opère sur la base des différents services de communications électroniques qu'il fournit à ses utilisateurs et sur la base des ports de communications pour les flux de données.
A la demande du service NTSU-CTIF, l'opérateur du réseau de communications électroniques ou le fournisseur de services de communications électroniques ajuste les filtres au niveau des ports de communications conformément à la norme TS 101 331, point 4.2, e) de l'ETSI. Conformément à la norme TS 101 331, point 4.2, b) de l'ETSI et lorsque le réquisitoire de l'autorité judiciaire compétente concerne un service de communications électroniques qui est accessible via des ports de communications différents, l'opérateur du réseau de communications électroniques ou le fournisseur de services de communications électroniques transmet au service NTSU-CTIF le flux de données complet relatif à ces ports.
Lors du filtrage du flux de communications, les opérateurs d'un réseau de communications électroniques ou les fournisseurs d'un service de communications électroniques ne peuvent prendre connaissance du contenu des communications, comme stipulé dans la norme TS 101 331, point 4.2, b), 5) de l'ETSI. Lorsqu'il n'est techniquement pas possible de filtrer le flux de communications sans prendre connaissance du contenu, l'opérateur du réseau de communications électroniques ou le fournisseur de services de communications électroniques transmet au service NTSU-CTIF le flux de données complet. § 3. Conformément aux normes TS 101 331, point 4.2, e) et TS 102 232-1, point F.4 de l'ETSI, l'interception d'e-mails entrants se fait après l'éventuel filtrage anti-spam offert par l'opérateur d'un réseau de communications électroniques ou le fournisseur d'un service de communications électroniques.
Art. 3.L'article 1er n'est pas applicable aux centrales fonctionnant comme réseau numérique à intégration de services (RNIS), ni aux services mobiles qui utilisent ces centrales pour la configuration de groupes fermés d'utilisateurs, d'un opérateur d'un réseau de communications électroniques ou d'un fournisseur d'un service de communications électroniques.
Pour les plateformes d'interception d'e-mails, ces opérateurs et ces fournisseurs mettent en place la mémoire tampon en fonction des possibilités techniques conformes aux standards ETSI et en concertation avec le NTSU-CTIF.
Art. 4.Les articles 1er et 3 entrent en vigueur le premier jour du mois qui suit l'expiration d'un délai de 12 mois prenant cours le jour suivant la publication du présent arrêté au Moniteur belge.
Bruxelles, le 9 juillet 2020.
Le Ministre des Télécommunications, Ph. DE BACKER Le Ministre de la Justice, K. GEENS