3 MAI 2024. - Arrêté royal portant modification de l'arrêté royal du 27 novembre 2016 relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée

RAPPORT AU ROI Sire, GENERALITES La décision du gouvernement de mettre fin à l'anonymat des utilisateurs finaux de cartes prépayées a été mise en oeuvre par l'adoption : - de la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer portant modification de l'article 127 de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité (ci-après la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer), et ; - de l'arrêté royal du 27 novembre 2016 relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée (ci-après l'AR « cartes prépayées »).

Par son arrêt n° 158/2021 du 18 novembre 2021, la Cour constitutionnelle a annulé l'article 2 de la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer en ce que cet article « ne détermine pas les données d'identification qui sont collectées et traitées et les documents d'identification qui entrent en considération ».

Dans ce même arrêt, la Cour constitutionnelle « maintient les effets de la disposition annulée jusqu'à l'entrée en vigueur d'une norme législative qui énumère ces données d'identification et ces documents d'identification et au plus tard jusqu'au 31 décembre 2022 inclus ».

La norme législative qui énumère ces données d'identification et ces documents d'identification a été adoptée par la loi du 20 juillet 2022Documents pertinents retrouvés type loi prom. 20/07/2022 pub. 08/08/2022 numac 2022015454 source service public federal justice Loi relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités type loi prom. 20/07/2022 pub. 26/09/2022 numac 2022015582 source service public federal finances Loi relative au statut et au contrôle des sociétés de bourse et portant dispositions diverses type loi prom. 20/07/2022 pub. 05/08/2022 numac 2022204364 source service public federal chancellerie du premier ministre Loi relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité fermer relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités (ci-après la loi conservation des données de 2022).

Par conséquent, l'article 127 de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques (ci-après la loi relative aux communications électroniques) est toujours resté d'application, d'abord tel que modifié par la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer et ensuite tel que modifié par la loi conservation des données de 2022.

Le présent arrêté royal modifie l'arrêté royal « cartes prépayées » en poursuivant les deux objectifs suivants : - suppression dans cet AR des règles qui à la suite de la loi conservation des données de 2022 sont dorénavant reprises dans l'article 127 de la loi relative aux communications électroniques ; - adaptation de cet AR pour refléter les règles et les concepts repris dans la loi relative aux communications électroniques après modifications par la loi du 21 décembre 2021Documents pertinents retrouvés type loi prom. 21/12/2021 pub. 31/12/2021 numac 2021043554 source service public federal economie, p.m.e., classes moyennes et energie Loi portant transposition du code des communications électroniques européen et modification de diverses dispositions en matière de communications électroniques fermer portant transposition du code des communications électroniques européen et modification de diverses dispositions en matière de communications électroniques et par la loi conservation des données de 2022 ; - amélioration de cet arrêté sur base de l'expérience acquise.

Finalement, il est proposé que le contenu de l'AR cartes prépayées ne fasse plus référence à la notion d'« utilisateur final » mais à d'autres notions, à savoir l'« abonné », la personne qui s'identifie auprès de l'opérateur et les personnes qui peuvent utiliser une carte prépayée, et ce pour les raisons suivantes.

Lorsqu'un point de l'avis n° 141/2023 du 29 septembre 2023 de l'Autorité de protection des données sur le projet d'arrêté royal n'a pas été (intégralement) suivi ou nécessite une explication concernant la manière dont il a été traité, la réponse à ce point se trouve soit à la fin du commentaire général des articles, soit à la fin de chaque article concerné.

La notion d'abonné (art. 2, 15°, de la loi relative aux communications électroniques) a été revue par la loi du 21 décembre 2021Documents pertinents retrouvés type loi prom. 21/12/2021 pub. 31/12/2021 numac 2021043554 source service public federal economie, p.m.e., classes moyennes et energie Loi portant transposition du code des communications électroniques européen et modification de diverses dispositions en matière de communications électroniques fermer portant transposition du code des communications électroniques européen et modification de diverses dispositions en matière de communications électroniques. Selon l'article 2, 15°, de la loi relative aux communications électroniques, un « abonné » est « toute personne physique ou morale, autre qu'un opérateur, partie à un contrat avec un opérateur qui fournit des services de communications électroniques accessibles au public, pour la fourniture de tels services ». Comme il résulte des travaux préparatoires de la loi conservation des données de 2022 (Projet de loi relatif à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités, amendement n° 6, Ch., 2021-2022, n° 2572/002 p. 74.), « La notion d'abonné (ou le client de l'opérateur) doit s'entendre au sens large et couvre également les personnes qui souscrivent aux services de l'opérateur à l'aide d'une carte prépayée ou qui souscrivent à un service d'un opérateur qui fournit des services de communications interpersonnelles non fondés sur la numérotation. » Les notions d'abonné (la personne qui conclut le contrat avec l'opérateur), de personne qui s'identifie auprès de l'opérateur et de personne qui utilise la carte prépayée sont plus précises que la notion d'utilisateur final, qui, selon la loi relative aux communications électroniques (voir article 2, 12° et 13° ), vise tant la personne physique ou morale qui utilise un service de communications électroniques accessible au public que celle qui demande un tel service.

Or ce degré de précision est nécessaire pour l'application du présent arrêté.

Aux articles 14 à 18 de l'arrêté cartes prépayées, il n'est plus nécessaire de faire référence aux données à collecter, dès lors qu'elles sont reprises dans l'article 127, § 7, de la loi relative aux communications électroniques.

Vu que le présent arrêté constitue une exécution de la loi relative aux communications électroniques, il vise par « Institut » l'Institut belge des services postaux et des télécommunications.

Aux points 13 à 15 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 13. L'Autorité constate qu'alors que l'intitulé (modifié) de l'arrêté se réfère à « l'utilisateur final », cette notion disparaît du contenu de l'arrêté au profit des notions « d'abonné », de « personne qui s'identifie auprès de l'opérateur » et des « personnes qui peuvent utiliser une carte prépayée ». 14. Le rapport au Roi ne précise pas pourquoi il serait nécessaire de maintenir la notion d'utilisateur final dans l'intitulé, mais justifie la suppression de cette notion dans le corps de l'AR en ces termes : « Les notions d'abonné (la personne qui conclut le contrat avec l'opérateur), de personne qui s'identifie après de l'opérateur et de personne qui utilise la carte prépayée sont plus précises que la notion d'utilisateur final, qui, selon la loi relative aux communications électroniques (voir article 2, 12° et 13° ), vise tant la personne physique ou morale qui utilise un service de communications électroniques accessible au public que celle qui demande un tel service.». 15. L'Autorité estime que l'abandon de la notion d'utilisateur final (y compris dans l'intitulé de l'AR modifié par le projet) se justifie par le fait que l'identification de l'abonné à un service de communications électroniques ne permet pas nécessairement d'identifier l'utilisateur effectif de ce service.» La réponse à ces remarques est la suivante.

Il est correct que la personne physique qui est identifiée par l'opérateur n'est pas nécessairement la personne qui va effectivement utiliser le service de communications électroniques.

Cela n'empêche pas que l'approche suivie puisse être maintenue.

Les articles du projet d'arrêté royal visent différents concepts pour viser différents cas de figure. En effet, de manière générale, le projet d'arrêté vise à assurer l'identification de l'abonné ou de la personne physique qui souscrit au service pour son compte. Une partie de l'article 5 de l'AR cartes prépayées, à savoir l'obligation pour une personne morale de tenir une liste des personnes physiques qui utilisent effectivement une carte prépayée, vise à assurer l'identification de la personne physique qui utilise effectivement la carte prépayée.

L'intitulé du projet d'AR vise les utilisateurs finaux, car cela permet de couvrir, en utilisant des mots succincts, les différents cas de figure visés dans l'arrêté royal.

Aux points 16 et 17 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 16. Afin de justifier le recours à la notion d'abonné, le rapport au Roi cite les travaux préparatoires de la loi de 2022, qui précisent que « la notion d'abonné (ou le client de l'opérateur) doit s'entendre au sens large et couvre également les personnes qui souscrivent aux services de l'opérateur à l'aide d'une carte prépayée ou qui souscrivent à un service d'un opérateur qui fournit des services de communications interpersonnelles non fondés sur la numérotation ». 17. L'Autorité estime à cet égard que la justification mentionnée dans le rapport au Roi ne doit pas (uniquement) se référer aux travaux préparatoires de la loi de 2022, mais à la Convention de Budapest sur la cybercriminalité et à son deuxième protocole additionnel ainsi qu'au considérant 13 de la directive ePrivacy.» La réponse à ces remarques est la suivante.

Dans le cadre de la loi relative aux communications électroniques, il a été choisi de définir le mot « abonné » comme suit : « toute personne physique ou morale, autre qu'un opérateur, partie à un contrat avec un opérateur qui fournit des services de communications électroniques accessibles au public, pour la fourniture de tels services » (article 2, 15° ).

Le projet d'arrêté royal reprend le terme « abonné » car il exécute cette loi et sa terminologie doit donc être conforme à la terminologie de la loi.

Le considérant 13 de la directive "e-privacy" (Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)) prévoit ce qui suit : « La relation contractuelle entre un abonné et un fournisseur de services peut prévoir un paiement périodique ou un versement unique pour le service fourni ou à fournir. Les cartes de prépaiement sont également considérées comme un contrat. » Cela confirme que le mot « abonné » est le mot adéquat.

Au point 11 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 11. Le projet à l'examen est l'occasion pour l'Autorité d'attirer l'attention de la demanderesse sur le fait que, comme le rappelle un récent rapport au Haut-Commissaire des Nations-Unies aux Droits humains, s'inquiétant des menaces que la surveillance fait peser sur les démocraties : « les Etats négligent trop souvent de démontrer l'efficacité des systèmes de surveillance qu'ils mettent en oeuvre ».

Par conséquent, afin d'éviter qu'à l'avenir il puisse être reproché à la Belgique de ne pas démontrer l'efficacité des systèmes de surveillance qu'elle met en oeuvre, l'Autorité estime qu'il convient de prévoir par une disposition du projet que des statistiques seront réalisées par les services de police, aux fins de la publication d'un rapport d'évaluation (selon une périodicité à déterminer dans le projet, mais qui ne devrait pas être inférieure à tous les 3 ans) mettant à tout le moins en évidence la fréquence de consultation des données d'identification et de quel arrondissement judiciaire cette demande d'identification émane. » La réponse à ces remarques est la suivante.

Le NTSU (le National Technical et Tactical Support Unit des unités spéciales de la police fédérale) dispose déjà de chiffres sur l'accès des autorités judiciaires et des services de renseignement et de sécurité aux données d'identification conservées par les opérateurs, sans toutefois pouvoir faire la distinction entre les cartes prépayées et les formules post payées. Etablir des statistiques formelles à une certaine fréquence peut prendre un temps considérable. Or, on ne voit pas l'utilité de ces statistiques formelles, étant donné que les chiffres du NTSU montrent qu'il y a chaque année de nombreuses demandes des autorités judiciaires et des services de renseignement et de sécurité aux opérateurs d'obtenir les données d'identification.

S'il apparaît que c'est nécessaire, une évaluation globale de l'arrêté royal « cartes prépayées » pourrait être effectuée (pas uniquement sur base de statistiques). De la sorte, le rapport d'évaluation répond à une demande.

Au point 11 de son avis, l'Autorité de protection des données formule la remarque suivante : « 11. En outre, l'Autorité estime qu'il convient de prévoir les modalités de consultation, par la personne concernée, des informations relatives aux accès à ses propres données d'identifications, auprès des opérateurs. » La réponse à cette remarque est la suivante.

Les opérateurs conservent certaines données relatives aux utilisateurs finaux, soit en vertu d'une obligation de conservation de données au bénéfice des autorités (voir les articles 126 à 127 de la loi relative aux communications électroniques) soit pour leurs propres besoins ou dans l'intérêt de leurs abonnés (voir en particulier les articles 122 et 123 de la même loi). Les données et documents d'identification des utilisateurs finaux de cartes prépayées ne sont qu'un sous-ensemble de ces données conservées. Dès lors, cela n'aurait pas de sens de prévoir les modalités concrètes de consultation par les personnes concernées des informations de l'opérateur relatives à l'accès des autorités uniquement aux données et documents relatifs à l'identification des utilisateurs finaux de cartes prépayées.

L'article 15 du RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)) prévoit ce qui suit : « 1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes : [...] c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;» (c'est nous qui soulignons).

Ce droit fait l'objet de limitations prévues aux articles 11 et suivants de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Il revient aux opérateurs de déterminer les modalités concrètes de l'exercice de ce droit.

En pratique, pour savoir si les autorités judiciaires ou les services de renseignement et de sécurité ont consulté ses données, la personne concernée peut contacter l'Organe de contrôle de l'information policière (COC, pour ce qui concerne la communication de données aux autorités judiciaires) ou le Comité R (pour ce qui concerne la communication de données aux services de renseignement et de sécurité) ou déposer plainte auprès de l'une de ces deux autorités.

COMMENTAIRE ARTICLE PAR ARTICLE INTITULE DE L'ARRETE

Article 1er L'intitulé de l'arrêté a été modifié pour se conformer à la terminologie de la loi relative aux communications électroniques, qui vise les services de communications électroniques accessibles au public. CHAPITRE 1er. - Champ d'application et définitions Art. 2 L'article 1er, alinéa 2, de l'AR cartes prépayées ne fait plus référence aux « entreprises étrangères » mais à « un numéro de téléphone ou IMSI étranger » et fait référence à « l'accord de l'opérateur », pour se mettre en conformité avec l'article 127, § 1er, alinéa 2, de la loi relative aux communications électroniques. En effet, selon cet article, en cas de distribution de telles ressources en Belgique avec l'accord de l'opérateur étranger, ce dernier devient un opérateur soumis à la législation belge. Par conséquent, les cartes prépayées étrangères distribuées en Belgique doivent être identifiées conformément à la législation belge.

Si l'opérateur étranger n'est pas d'accord avec cette distribution, il s'agit d'une situation illégale et des poursuites pénales sont possibles à l'encontre de la personne qui distribue ses cartes prépayées en Belgique.

Le présent arrêté ne constitue pas une base légale pour distribuer en Belgique des cartes prépayées d'opérateurs étrangers. Cette distribution en Belgique n'est autorisée que dans le respect de la législation (belge et étrangère) applicable.

Par ailleurs, comme l'article 127, § 1er, alinéa 2, de la loi relative aux communications électroniques, l'article 1er, alinéa 2, de l'AR cartes prépayées fait dorénavant référence aux cartes prépayées liées à un numéro de téléphone ou IMSI étranger « distribuées » en Belgique et non plus « vendues » en Belgique, dès lors que certaines organisations ont essayé de se soustraire à l'application de l'arrêté royal « cartes prépayées » en mettant en avant qu'elles n'y vendaient pas de cartes prépayées mais qu'elles les mettaient gratuitement à disposition.

Comme demandé par les opérateurs dans le cadre de la consultation publique, il est précisé que le présent arrêté royal n'est pas applicable aux cartes prépayées utilisées dans le cadre de l'IoT ("Internet of Things" ou l'internet des objets).

Cela signifie que l'opérateur doit identifier ses abonnés qui achètent de telles cartes prépayées ou permettre aux autorités de les identifier, conformément à l'article 127 de la loi relative aux communications électroniques. Les modalités de cette identification n'est pas réglée par le présent arrêté mais est libre.

Par ailleurs, l'article 127, § 11, alinéa 3, de la loi relative aux communications électroniques reste d'application : « L'opérateur qui offre une carte SIM ou toute carte équivalente, destinée à être intégrée dans un véhicule, conserve le numéro de châssis de ce véhicule ainsi que le lien entre ce numéro et le numéro de cette carte. A la demande d'une autorité, l'opérateur ne lui communique que ce numéro de châssis ou le numéro de cette carte. » Restent dans le champ d'application du présent arrêté royal les cartes prépayées liées à des applications IoT qui permettent d'utiliser un service d'accès à internet ou un service de communication interpersonnelle d'un opérateur. En effet, dans ce cas de figure et du point de vue des autorités, il n'y a pas de différence entre un téléphone intelligent et cette application (par exemple embarquée dans un véhicule).

Seuls les articles 5, alinéa 3, 6 et 8, de l'arrêté royal « cartes prépayées » sont applicables en cas de souscription à un service de communications électroniques fourni au moyen d'une carte prépayée pour une personne qui réside dans un centre fermé ou un lieu d'hébergement.

En effet, dans ce cas, l'article 127, § 10, 5°, de la loi relative aux communications électroniques règle déjà la question de l'identification. Il prévoit entre autres que l'opérateur doit collecter et conserver « le nom et le prénom de l'abonné, son numéro de sécurité publique, à savoir le numéro de dossier attribué par l'Office des Etrangers et les coordonnées du centre ou du lieu d'hébergement où la souscription a eu lieu ».

Seul l'article 8 de l'arrêté royal « cartes prépayées » est applicable lorsque la carte prépayée a été achetée pour le compte des services de renseignement et de sécurité, des services de police ou des autorités publiques désignées par arrêté ministériel. Il est en effet nécessaire de protéger les enquêtes effectuées par ces autorités.

Aux points 8 et 23 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 8. En vertu du projet à l'examen, l'AR de 2016 ne portera plus sur l'identification de la personne physique qui demande l'activation d'une carte prépayée, mais « sur les cartes prépayées qui permettent d'utiliser un service de communications électroniques accessible au public ». L'Autorité émet des réserves quant au caractère adéquat de ce libellé, dès lors que le projet ne se limite pas à une règlementation technique des cartes prépayées, mais à encadrer leur activation. » [...] « 23. La nouvelle version de l'art. 1er de l'AR de 2016 ne prévoit plus que l'arrêté porte sur l'identification des personnes demandant l'activation d'une carte prépayée, mais sur les cartes prépayées elles-mêmes. L'Autorité estime cependant que cette formulation a pour effet de scinder l'AR de la mesure qu'il entend préciser ou mettre en oeuvre. » La réponse à ces remarques est la suivante.

Le présent projet d'arrêté n'a pas comme objet de créer un cadre juridique pour l'activation des cartes prépayées. Comme l'arrêté qu'il modifie, il porte sur l'identification des utilisateurs finaux de cartes prépayées avant leur activation.

Afin de répondre à la remarque de l'Autorité de protection des données, les modifications envisagées à l'article 1er de l'arrêté royal « cartes prépayées » ont été adaptées.

Le projet d'arrêté ne fait plus référence à l'identification de la personne physique qui demande l'activation de la carte prépayée, card' autres solutions sont également possibles en pratique. Par exemple, un employé qui agit pour le compte d'une personne morale peut s'identifier auprès d'un opérateur lors de l'achat des cartes prépayées, d'autres employés de cette même personne morale demandant l'activation de ces cartes ultérieurement.

Aux points 26 et 27 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 26. Par dérogation à l'AR modifié, les opérateurs peuvent déterminer librement les modalités d'identification des « abonnés » aux cartes prépayées permettant exclusivement des applications la technologie machine à machine (M2M) ou des applications relatives à l'internet des objets (IoT), pour autant que ces applications ne permettent pas d'utiliser un service d'accès à internet ou un service de communication interpersonnelle d'un opérateur. Cette dérogation est justifiée dans le rapport au Roi par « la demande des opérateurs ». 27. Dans la mesure où l'obligation d'identification reste applicable aux cartes permettant ce type d'applications, il ne fait aucun doute que des données à caractère personnel devront être traitées par des opérateurs pour respecter l'obligation légale à laquelle ils sont soumis.Dans cette optique, dans le respect du principe de minimisation des données, en l'état, cette disposition ne peut en aucun cas permettre aux opérateurs de justifier d'exiger la production d'une carte d'identité officielle, l'accès à des sources authentiques et encore moins la comparaison de données biométriques. » La réponse à ces remarques est la suivante.

Ce n'est que pour les cartes prépayées qu'un arrêté royal détaille les seules méthodes d'identification que les opérateurs peuvent utiliser.

Pour les services qui ne sont pas dans le champ d'application de l'arrêté royal « cartes prépayées », on applique les principes qui se trouvent dans l'article 127 de la loi relative aux communications électroniques.

Cet article prévoit les documents et données d'identification qui doivent être collectés (dont la carte d'identité électronique) et permet d'utiliser la méthode de comparaison faciale de manière automatique (moyennant une série de conditions dans la loi, dont une autorisation ministérielle).

Aux points 18 et 19 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 18. De plus, si la finalité liée à la possibilité de faire le lien entre une carte prépayée et la personne physique à laquelle cette carte a été attribuée peut être considérée comme légitime, l'Autorité ne perçoit pas en quoi elle serait de nature à justifier le traitement des mêmes catégories de données (et en particulier du recours à une comparaison biométrique) lorsqu'il est question de personnes agissant pour le compte d'une personne morale. Il en va d'autant plus ainsi que ladite personne morale est elle-même contrainte de conserver une liste actualisée permettant de faire le lien entre une carte prépayée et la personne physique à laquelle cette carte a été attribuée. 19. L'Autorité estime par conséquent qu'il convient de prévoir qu'à l'égard des personnes agissant pour le compte d'une personne morale, les traitements de données doivent se limiter à une comparaison visuelle entre les statuts ou un mandat ad hoc identifiant la personne habilitée à effectuer un acte juridique au nom de la personne morale et une pièce d'identité.En revanche, sauf à en démontrer le caractère nécessaire et proportionné, la conservation de ces données devra être expressément proscrite. Pour autant que besoin, l'Autorité précise que la comparaison visuelle devra être humaine et non algorithmique. » La réponse à ces remarques est la suivante.

Créer différentes catégories de données traitées selon que l'acheteur est une personne physique qui agit pour une personne morale ou une personne physique qui agit pour elle-même entraine une différence de traitement qui doit pouvoir être justifiée.

Or cette justification fait défaut. En effet, lorsqu'une personne physique demande pour le compte d'une personne morale à un opérateur des cartes prépayées, il est fort probable qu'elle lui demandera un nombre de cartes prépayées plus élevé que lorsqu'une personne physique demande une ou plusieurs cartes prépayées pour elle-même. Par conséquent, lorsqu'une personne physique achète des cartes prépayées pour le compte d'une personne morale, l'impact d'une fraude à l'identité peut être particulièrement important. Il est dans ce cas de figure d'autant plus important d'avoir une certitude sur l'identité de la personne physique qui agit pour le compte de la personne morale.

Le fait que la personne morale doive garder une liste des personnes physiques qui utilisent effectivement les cartes prépayées n'y change rien. En effet, si la personne physique qui demande les cartes prépayées pour le compte de la personne morale est un fraudeur, elle pourrait créer une liste fictive de personnes physiques qui utilisent les cartes prépayées.

L'Autorité de protection des données suggère une certaine méthode d'identification lorsque la personne physique agit au nom d'une personne morale (entre autres la vérification des statuts de la personne morale et d'un mandat ad-hoc). Cependant, cette question a été déjà tranchée dans l'article 127, § 8, de la loi relative aux communications : « Lorsqu'un opérateur fournit à un abonné qui est une personne morale un service de communications électroniques mobile sur la base d'une carte prépayée et qu'il l'identifie par le biais d'une méthode d'identification directe, il collecte et conserve, en respectant les exigences visées aux paragraphes 4 à 7, l'identité civile d'une personne physique qui agit pour le compte de la personne morale. » Par ailleurs, c'est ce même article 127, § 8, qui détermine les données et documents d'identification que l'opérateur doit conserver.

L'article 127, § 5, de la même loi comprend les règles applicables à la méthode de comparaison faciale de manière automatique.

Aux points 20 à 22 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 20. De plus, l'Autorité estime que l'inapplicabilité de l'art. 5 à certaines catégories de personnes concernées (en l'occurrence les collaborateurs des services de police et des services de renseignement) doit être réévaluée ou à tout le moins davantage justifiée. En effet, les mesures visant à lutter contre la criminalité grave et organisée seront facilement contournées par les personnes qu'elles ciblent si des complicités à l'intérieur des organisations chargées de poursuivre ces infractions ne peuvent être identifiées en raison d'un régime dérogatoire trop favorable. Or, comme en témoigne le rapport annuel 2022 de la Police Fédérale, de tels cas de corruption ne sont pas exceptionnels au sein de ce type d'institutions, puisqu' « une trentaine d'enquêtes ont ainsi été ouvertes sur des fonctionnaires (de la police, de la douane, des services publics fédéraux et des administrations locales) soupçonnés de corruption ». 21. Sans préjudice des compétences du COC et du Comité R pour les services qui relèvent de leur compétence exclusive, l'Autorité estime donc qu'il convient de conserver une trace de l'acquisition d'une telle carte pour tout type de personne morale, en ce compris les autorités publiques et de leur appliquer indistinctement l'obligation de principe 16 de conserver une liste actualisée, en interne, permettant de faire le lien entre une carte prépayée et la personne physique à laquelle cette carte a été attribuée.» 22. L'Autorité ne voit pas de raison valable de ne pas également imposer cette obligation aux services de police et de renseignement. Le commentaire de l'art. 2 du projet justifie cette dérogation en précisant qu' « il est en effet nécessaire de protéger les enquêtes effectuées par ces autorités ». L'Autorité comprend cet argument de même que la nécessité de protéger plus largement la sécurité nationale et la sécurité des membres du personnel de certaines autorités commandent de prévoir des mesures dérogatoires. Cependant, si certains services, en ce compris les services de police et de renseignement estiment que les conditions de traitement et de conservation des données prévues par le projet sont susceptibles de constituer un risque pour la sécurité de leurs agents ou la sécurité nationale, l'Autorité estime que ces risques doivent être mentionnés dans le rapport au Roi et que, le cas échéant, il convient de démontrer pourquoi les garanties actuellement prévues devrait être considérées comme de nature à rendre ce risque admissible lorsqu'il s'agit de traiter les données à caractère personnel d'autres personnes concernées 17 . A cet effet, une analyse d'impact relative à la protection des données pourrait être réalisée dès le stade de la rédaction de la présente norme réglementaire. Une telle analyse pourrait en effet permettre d'envisager des moyens présentant à la fois un risque inférieur et un degré d'ingérence moindre, tout en permettant d'atteindre la finalité visée. De tels moyens pouvant éventuellement être généralisés au profit de l'ensemble des catégories de personnes concernées ou à tout le moins aux catégories de personnes qui ont des raisons tout aussi valables de craindre que l'ingérence occasionnée les affecte de manière disproportionnée (par exemple, dans une affaire du type de celle dite des « princesses du Conrad » 18, le système actuellement en vigueur n'aurait-il pas dissuadé les victimes de traite des êtres humains de se procurer un moyen de communication et de contacter des associations d'aide aux victimes, voire les services de secours ?). » La réponse à ces remarques est la suivante.

A juste titre, l'Autorité de protection des données indique que le régime d'exception pour les autorités ne peut pas faciliter la corruption au sein de ces autorités ni des fraudes à l'identité (par exemple une personne se fait passer pour un policier). Cependant, il faut tenir compte de ce qui suit.

Tout d'abord, l'article 127, § 8, de la loi relative aux communications électroniques ne fait pas d'exception pour les autorités qui achètent des cartes prépayées : « Lorsqu'un opérateur fournit à un abonné qui est une personne morale un service de communications électroniques mobile sur la base d'une carte prépayée et qu'il l'identifie par le biais d'une méthode d'identification directe, il collecte et conserve, en respectant les exigences visées aux paragraphes 4 à 7, l'identité civile d'une personne physique qui agit pour le compte de la personne morale. » Ensuite, certaines autorités et certains opérateurs ont convenu de modalités pratiques concernant l'achat par l'autorité de cartes prépayées. L'acquisition de cartes prépayées par les services de sécurité fait partie de leurs méthodes de travail, qui ne peuvent être décrites dans le présent arrêté.

On ne voit pas de raison de changer cette manière de fonctionner, dès lors qu'à ce jour, il n'y a pas de cas rapporté de fraude à l'identité en matière d'achat de cartes prépayées de la part de personnes qui se feraient passer pour des fonctionnaires d'une autorité (par exemple qui se feraient passer pour des policiers) ou de la part de tels fonctionnaires. Les fonctionnaires qui ne respectent pas les règles qui s'appliquent à leur statut peuvent faire l'objet, entre autres, de sanctions disciplinaires.

Pour effectuer leurs missions, il est essentiel que les services de police et les services de renseignement et de sécurité puissent continuer à utiliser des cartes prépayées sans que l'identité des utilisateurs effectifs de ces cartes prépayées ne soit connue des opérateurs et ce, pour la sécurité de leur personnel et la protection de la confidentialité des missions exécutées par ce personnel. Il revient à ces autorités d'organiser la gestion éventuelle d'une liste des utilisateurs effectifs de cartes prépayées, conformément aux cadres juridiques qui leurs sont applicables.

Alors qu'il est possible pour un représentant d'un service de sécurité d'acquérir des cartes prépayées pour les fonctionnaires de ce service, une telle manière de faire n'est pas possible pour des personnes physiques vulnérables. En effet, alors que ces fonctionnaires sont des personnes physiques qui effectuent des prestations pour la personne morale au sens de l'article 5 de l'AR cartes prépayées, ce n'est généralement pas le cas des personnes physiques vulnérables.

Finalement, le fait que ces personnes physiques vulnérables disposent de cartes prépayées ne va pas nécessairement régler tout problème (en particulier si les trafiquants d'êtres humains leur ont confisqué leur téléphone).

Art. 3 Il n'est plus nécessaire de définir « l'entreprise concernée » (ancien 2° ) mais il suffit de se référer à la notion d'opérateur, car l'opérateur étranger qui donne son accord pour la distribution de ses cartes prépayées en Belgique devient un opérateur belge.Le fait de se référer à l'opérateur et non plus à l'entreprise concernée améliore la lisibilité de l'arrêté.

Il n'est plus nécessaire de déterminer dans l'arrêté royal les documents d'identification qui doivent être considérés comme des documents d'identification valides étant donné que ces documents sont énumérés à l'article 127, § 6, de la loi relative aux communications électroniques et que l'article 127, § 5, alinéas 2 et 3 fixent les exigences auxquelles ces documents doivent répondre.

La distinction entre les nouvelles et les anciennes cartes prépayées était nécessaire lors de l'adoption de l'AR cartes prépayées en 2016, mais ne l'est plus actuellement.

Une nouvelle définition est introduite dans l'arrêté royal, à savoir la notion de « personne qui s'identifie ». Il convient de distinguer les hypothèses suivantes pour déterminer cette personne.

Lorsque l'abonné est une personne morale, il convient d'appliquer le paragraphe 8 de l'article 127 de la loi relative aux communications électroniques : « Lorsqu'un opérateur fournit à un abonné qui est une personne morale un service de communications électroniques mobile sur la base d'une carte prépayée et qu'il l'identifie par le biais d'une méthode d'identification directe, il collecte et conserve, en respectant les exigences visées aux paragraphes 4 à 7, l'identité civile d'une personne physique qui agit pour le compte de la personne morale. » Lorsque l'abonné est une personne physique, elle s'identifiera en principe elle-même auprès de l'opérateur.

Des exceptions existent cependant par rapport à ce principe. En effet, l'article 127, § 10, 6°, de la loi relative aux communications électroniques permet à une personne morale de s'identifier auprès de l'opérateur pour le compte d'une personne physique qui éprouve des difficultés pour s'identifier auprès de l'opérateur (par exemple une personne qui est hospitalisée pendant une longue durée, certains résidents de maisons de retraite). Cette personne physique sera la propriétaire de la carte prépayée.

L'opérateur identifiera la personne morale, qui identifiera à son tour l'abonné. Par application de l'article 127, § 8 et § 10, alinéa 2, 2°, l'opérateur identifiera la personne morale en identifiant une personne physique qui agit pour le compte de cette personne morale (et non à l'aide d'un document d'identité appartenant à la personne aidée).

Il devra également collecter certaines informations concernant la personne physique qui est aidée : « 6° en cas de souscription à un service de communications électroniques par une personne morale au nom et pour le compte d'une personne physique qui rencontre des difficultés à effectuer cette souscription, en collectant et conservant la dénomination précise de cette personne morale et, pour ce qui concerne cette personne physique, au minimum son nom, son prénom, son adresse de résidence, lorsqu'elle en dispose, sa date de naissance et le numéro par lequel elle est identifiée, tel un numéro de registre national, ces informations lui étant transmises par cette personne morale. » (article 127, § 10, 6° ). CHAPITRE 2. - Mesures à charge des abonnés

Art. 4 La modification n'appelle pas de commentaires.

Art. 5 La modification n'appelle pas de commentaires.

Art. 6 La distinction entre les nouvelles et les anciennes cartes prépayées était nécessaire lors de l'adoption de l'AR cartes prépayées en 2016, mais ne l'est plus actuellement.

Art. 7.

L'article 5, alinéa 1er, de l'AR cartes prépayées ne fait plus référence à une personne morale qui s'identifie auprès d'un opérateur, étant donné que lorsqu'une personne morale achète des cartes prépayées, l'opérateur doit identifier une personne physique qui agit pour le compte d'une personne morale.

Dans sa contribution à la consultation publique, une association d'opérateurs a formulé plusieurs remarques par rapport à l'article 5, alinéa 2, de l'arrêté royal « cartes prépayées ». Cette disposition prévoit que la personne morale qui achète des cartes prépayées et qui les met à disposition de personnes physiques qui effectuent des prestations pour cette personne morale (par exemple, l'employeur met à disposition de ses employés des cartes prépayées) transmet à l'opérateur au moment de l'activation de la carte prépayée et sur simple demande de l'opérateur sa liste actualisée qui permet de faire le lien entre une carte prépayée et la personne physique à laquelle cette carte a été attribuée.

Une première remarque de l'association d'opérateurs est qu'il serait préférable que l'article 5, alinéa 2 soit supprimé et que la personne morale ait l'obligation de tenir la liste actualisée susmentionnée à la disposition des autorités compétentes.

Cette proposition présente les difficultés suivantes : - Au contraire des opérateurs, les personnes morales susvisées n'ont pas l'obligation d'être joignables 24/24 et 7 sur 7 par la police ; - Au contraire des opérateurs, ces personnes morales n'ont pas d'obligation de donner des coordonnées de contact (entre autres un numéro de téléphone) aux autorités compétentes ; - Les autorités seront mieux aidées en contactant la cellule de coordination de l'opérateur qu'une personne morale susvisée, vu que les autorités et les cellules de coordination se connaissent et communiquent entre elles via des canaux de communication déjà établis (en particulier la plateforme TANK), ce qui n'est pas le cas avec les personnes morales susvisées ; - Des difficultés se posent lorsque la personne morale se trouve à l'étranger ; - La question se pose également de savoir comment la personne morale va vérifier que la demande de l'autorité est authentique (risque que quelqu'un se fasse passer pour un policier ou un magistrat) ; - Le fait que les autorités judiciaires doivent contacter directement la personne morale peut nuire à l'enquête ; la personne morale n'est pas tenue à un devoir de confidentialité comme c'est le cas pour la cellule de coordination de l'opérateur.

Par ailleurs, cette association pose les questions suivantes : - Que se passe-t-il si l'opérateur ne reçoit pas la liste, ou reçoit uniquement une liste partielle ou une liste dépassée ; - Les opérateurs sont-ils censés envoyer des rappels réguliers à leurs clients ? Tout d'abord, la disposition précitée prévoit que la personne morale transmet à l'opérateur la liste en question au moment de l'activation de la carte prépayée et sur simple demande. Il n'est donc pas exigé que la personne morale transmette la liste à l'opérateur chaque fois qu'elle est actualisée.

Ensuite, un opérateur pourrait refuser d'offrir le service ou de continuer à offrir le service si la personne morale ne transmet pas la liste en question.

Finalement, l'opérateur pourrait informer l'IBPT que la personne morale ne respecte pas son obligation telle que prévue dans l'arrêté royal, de sorte qu'un de ses officiers de police judiciaire dresse PV. L'arrêté royal ne prévoit pas que la personne morale visée à l'article 5, alinéa 1er, 6°, doit conserver une liste actualisée des personnes physiques auxquelles elle a remis une carte prépayée, étant donné qu'une telle obligation se trouve déjà à l'article 127, § 10, alinéa 2, 5°, de la loi relative aux communications électroniques.

Dans le cadre de la consultation publique sur le présent arrêté, une association d'opérateurs a demandé si l'hypothèse visée par l'article 5, 5° (céder une carte prépayée à un tiers qui s'est préalablement identifié auprès de l'opérateur) implique un transfert de propriété de la carte prépayée. La réponse à cette question est positive.

Un 7° est ajouté à l'article 5 de l'AR cartes prépayées pour refléter l'article 127, § 10, 6°, de la loi relative aux communications électroniques. Ce dernier article prévoit qu'une personne morale s'identifie auprès d'un opérateur au nom et pour le compte d'une personne physique qui éprouve des difficultés pour s'identifier (ex. résidents d'un home, résidents de longue durée dans un hôpital, etc.).

Pour ce qui concerne les entreprises qui achètent des cartes prépayées pour leur personnel, le lieu de naissance est supprimé étant donné qu'il s'agit d'une donnée d'identification qui n'est plus reprise dans l'article 127, § 7, de la loi relative aux communications électroniques.

Aux points 28 et 29 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 28. L'art. 5 nouveau de l'AR interdit - sauf les cas d'exceptions qu'il énumère - la cession (et la cession ultérieure) d'une carte prépayée active, par une personne qui s'identifie, à une autre personne. 29. Le caractère excessif de cette ingérence est renforcé par l'absence de définition de la « cession ».L'Autorité estime donc qu'il convient à tout le moins d'exclure, dans le rapport au Roi, l'applicabilité de cette disposition à l'usage occasionnel par un tiers. » La réponse à ces remarques est la suivante.

L'article 5 de l'AR cartes prépayées est essentiel. En effet, en l'absence de cet article, une personne pourrait transmettre une carte prépayée à un inconnu sans pouvoir communiquer aux autorités judiciaires, lors d'une enquête, l'identité de la personne à qui la carte prépayée a été transmise. Cela rendrait l'arrêté royal inefficace.

Pour répondre à l'avis de l'Autorité de protection des données, l'article 5 de l'AR vise dorénavant la transmission de cartes prépayées à la place de la cession de ces dernières. La notion de « transmission de la carte » n'est pas définie dans l'arrêté royal pour couvrir les différents cas de figure possibles (par exemple vente de la carte, don de la carte, prêt de la carte).

Une exception supplémentaire pour l'utilisation occasionnelle d'un téléphone d'un tiers comportant une carte prépayée n'a pas été prévue, dès lors qu'il serait difficile de déterminer ce qu'on entend par utilisation occasionnelle et afin d'éviter des abus (ex. dans une prison, prêt d'un téléphone d'une personne à une autre).

Art. 8.

Cette modification n'appelle pas de commentaires. CHAPITRE 3. - Mesures à charge des opérateurs qui fournissent des cartes prépayées

Art. 9.

Cette modification n'appelle pas de commentaires.

Art. 10.

Cette modification n'appelle pas de commentaires.

Art. 11.

Cette modification n'appelle pas de commentaires.

Art. 12.

Cette modification n'appelle pas de commentaires.

Art. 13.

L'article 9, alinéa 1er, implique que l'opérateur doit procéder à l'identification conformément à une des méthodes reprises dans le présent arrêté.

Art. 14.

Cet article est supprimé étant donné qu'en principe un opérateur ne peut pas conserver une copie de l'eID (article 127, § 6, alinéa 4, de la loi relative aux communications électroniques), sauf temporairement en cas de défaillance de son système informatique (voir article 127, § 4, alinéa 3, de la loi relative aux communications électroniques).

Art. 15.

L'article 11, § 1er, de l'AR cartes prépayées a été revu pour préciser ce que l'opérateur et le point de vente doivent faire lorsqu'il est constaté que la carte d'identité belge a été volée ou perdue, est périmée ou non valide ou n'a pas été émise.

Lorsque la carte d'identité belge ne peut être utilisée pour s'identifier et que le titulaire de cette dernière est de bonne foi (par exemple la carte d'identité n'est plus valide), il devra chercher une alternative pour s'identifier (par exemple s'identifier via son passeport belge ou s'identifier via un paiement bancaire en ligne), afin de faire activer la carte prépayée.

L'article 11, § 2, de l'AR cartes prépayées a été revu pour donner des directives plus précises aux opérateurs sur ce qu'ils doivent faire lorsqu'ils constatent une anomalie concernant l'identification ou une identification (potentiellement) frauduleuse.

Lorsque l'identification comporte une anomalie (par exemple, pour une personne déterminée certains champs de la base de données de l'opérateur ne sont pas remplis, une copie de document manque ou l'opérateur retrouve des informations contradictoires dans cette base de données) ou si l'identification pourrait être frauduleuse (sans certitude à ce sujet), l'opérateur devra essayer de résoudre le problème en consultant les données et documents en sa possession (par exemple en consultant la copie du document d'identification conservée).

S'il n'y parvient pas, il devra immédiatement demander à la personne qui s'identifie de s'identifier à nouveau dans le mois. Il n'est pas prévu de couper immédiatement le service car il pourrait apparaître que cette personne est de bonne foi (pas de comportement frauduleux) et que le problème provient de l'(in)action du point de vente ou de l'opérateur.

En revanche, s'il apparaît que l'identification est frauduleuse (par exemple car la copie du document d'identification n'est pas valide ou car une autorité en a informé l'opérateur), l'opérateur devra immédiatement désactiver la carte prépayée.

Il n'y a plus d'obligation de la part des opérateurs d'informer les autorités compétentes de détection d'anomalies ou du caractère incorrect des données, ce qui ne les empêche pas de le faire si cela est pertinent.

Aux points 30 à 32 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 30. La modification de l'art. 11 de l'AR étend la vérification systématique (jusqu'alors limitée au vol et à la fraude) au cas où la carte d'identité belge est connue des autorités publiques comme volée, perdue, périmée, non valide ou n'a pas été émise. 31. L'Autorité estime que le caractère nécessaire et proportionné de cette extension doit être démontré dans le rapport au Roi.A cette occasion, une attention toute particulière devra être accordée à la justification de la vérification du caractère périmé de la carte d'identité. En effet, s'agissant d'une identification et non d'un contrôle de la régularité d'un document (ni des conditions de séjour), la finalité prévue par le projet ne semble pas compatible avec une interdiction absolue d'activation ou avec un signalement aux autorités du caractère périmé de la carte. Lorsqu'une demande l'activation d'une carte prépayée au moyen d'une carte d'identité périmée, l'Autorité estime qu'il convient de prévoir expressément la possibilité de s'identifier au moyen d'autres documents et/ou, du moins en l'absence de doute sur la ressemblance, de prévoir une activation temporaire, d'une durée raisonnable, pour permettre à la personne d'obtenir ou de se procurer le document requis. 32. A défaut d'être en mesure de démontrer le caractère nécessaire et proportionné de cette extension, l'Autorité estime qu'il y a lieu de revenir aux conditions de refus d'activation prévalant jusqu'à présent, à savoir le signalement par les autorités que la carte d'identité utilisée a été volée ou a fait l'objet d'une fraude.» La réponse à ces remarques est la suivante.

D'abord, depuis son adoption, l'arrêté royal « cartes prépayées » prévoit l'obligation pour l'opérateur de faire une vérification de la carte d'identité électronique belge (eID). Cette vérification n'est à ce jour pas possible pour les autres types de document (par exemple un passeport).

Ensuite, en pratique, lorsqu'un opérateur utilise checkdoc, il reçoit un résultat positif (« hit ») ou négatif (no « hit »). Il n'a donc pas d'informations sur la raison qui justifie ce résultat.

Par ailleurs, le changement apporté par le projet d'arrêté royal est qu'il précise dorénavant plus en détail ce qu'on entend par la vérification de l'eID et ce, afin de permettre d'autres outils que checkdoc.be.

De plus, le fait qu'une personne utilise pour s'identifier une eID dont la durée de validité est périmée n'est pas une situation normale, dès lors que tout titulaire d'une eID doit toujours être en possession d'une eID valide. Par conséquent, le fait qu'une personne s'identifie à l'aide d'une eID dont la durée de validité est dépassée est un indice de fraude potentielle (par exemple une personne utilise une ancienne eID d'une autre personne, qui dispose de la nouvelle eID).

L'article 127, § 5, alinéa 2, de la loi relative aux communications électroniques prévoit à cet égard ce qui suit : « § 5. Lorsque l'opérateur identifie l'abonné à l'aide d'un document d'identification, il s'assure : -[...] que la date de validité de ce document n'est pas dépassée au moment de l'identification de l'abonné. » Finalement, si un opérateur refuse d'identifier une personne en raison du fait que la durée de validité de l'eID est périmée, rien n'empêche l'abonné de s'identifier d'une autre manière que la présentation de l'eID (voir les différentes méthodes d'identification dans l'arrêté royal « cartes prépayées »).

Aux points 33 à 36 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 33. Le même article 11, qui prévoyait jusqu'à présent « l'identification fiable » de l'utilisateur, se réfère à présent à la « condition que l'outil informatique puisse être considéré comme fiable ». L'ancienne formulation permettait de rencontrer cette condition de fiabilité en ayant recours à une identification sur base de données commerciales, de checkdoc.be, via paiement électronique ou d'autres méthodes de vérification électroniques. Afin d'éviter tout doute quant à l'interprétation de ce qui peut être considéré comme fiable ou non, l'Autorité estime qu'il convient de préciser les conditions permettant de considérer un outil informatique comme fiable. L'Autorité précise toutefois que ces conditions ne peuvent être strictes au point d'avoir pour effet de privilégier la comparaison biométrique par rapport à d'autres outils. 34. Le dernier alinéa de l'art.11, § 1er nouveau de l'AR dispose que « l'autorisation visée à l'alinéa 1er est accordée après avis de l'Institut, qui se concerte au préalable avec les services de renseignement et de sécurité et le NTSU, à savoir le National Technical et Tactical Support Unit des unités spéciales de la police fédérale ». 35. L'Autorisation en question semble porter le recours à un « autre outil informatique autorisé par le ministre de la Justice et le ministre » (sic), pour la vérification de la carte d'identité du demandeur d'activation.Le commentaire de cet article n'apporte pas d'avantage d'explications. Par comparaison, le commentaire de l'article modifiant l'art. 19 de l'AR (dont le libellé est similaire), précise qu' « il convient notamment d'éviter que cet outil ne récolte des données sur des abonnés et que ces données ne fuitent ensuite vers des pays tiers et ce, dans la mesure où ces dernières risqueraient d'être utilisées, entre autres, à des fins d'espionnage et/ou de recoupement avec d'autres informations. Ceci est particulièrement le cas lorsque les abonnés précités travaillent dans des secteurs sensibles reliés à la sécurité nationale (services de renseignement et de sécurité, services de police, etc.) ». 36. L'Autorité estime qu'une précision similaire doit illustrer le dernier alinéa de l'art.11, § 1er nouveau de l'AR. L'Autorité s'interroge par ailleurs sur le périmètre de la concertation prévue.

En effet, si cette concertation est limitée à l'outil, il convient de démontrer que des tests ont démontré que l'outil autorisé ne présentait aucune faille susceptible d'être exploitée par un utilisateur mal intentionné 20. Si, en revanche, la concertation devait également porter sur les exploitants des points de vente, voire leurs préposés, il conviendrait de démontrer de manière détaillée, en quoi la comparaison de données biométriques, voire la possibilité de lire les données figurant sur les cartes d'identité des citoyens offre un bénéfice à ce point supérieur à l'ingérence dans les droits et libertés des personnes appelées à être les sujets d'une concertation avec les services de renseignement et de sécurité et le NTSU. En d'autres termes, à la lumière des potentielles dérives, il convient de démontrer qu'il est bien adéquat, nécessaire et proportionné, de permettre la vérification de données issues de sources authentiques (et a fortiori de données biométriques) par des préposés d'opérateurs privés. » La réponse à ces remarques est la suivante.

Avant le présent projet d'arrêté royal, checkdoc.be était uniquement mentionné dans le rapport au Roi de l'arrêté royal « cartes prépayées », comme outil que l'opérateur pouvait employer afin d'éviter qu'une personne ne puisse s'identifier de manière frauduleuse avec une eID auprès de l'opérateur.

Avec le présent projet d'arrêté royal et afin d'apporter plus de sécurité juridique, checkdoc.be est dorénavant mentionné dans l'article 11 lui-même. Afin d'assurer une neutralité au niveau des outils de vérification de l'eID, il est prévu que d'autres outils que checdoc.be peuvent être utilisés, pour autant qu'ils soient fiables.

En pratique, ce sont l'IBPT, les services de renseignement et de sécurité et le NTSU qui devront examiner si l'outil est fiable. Il s'agit d'un examen concret sur base d'un outil spécifique. Pour répondre à la remarque de l'Autorité de protection des données, le projet d'arrêté précise dans l'article 11, § 1er, alinéa 3, de l'AR cartes prépayées ce que la fiabilité de l'outil comprend. L'IBPT, les services de renseignement et de sécurité et le NTSU peuvent faire eux-mêmes les tests ou peuvent se baser sur les résultats de test qui auraient été effectués par une autre personne.

Il convient aussi de noter qu'une base de données commerciales ou la conservation d'une preuve de paiement ne sont pas des outils qui permettent de vérifier si l'eID est connue des autorités publiques comme volée ou perdue, périmée, non valide ou n'a pas été émise.

Concernant la méthode de comparaison faciale, il convient de déterminer au cas par cas si elle permet effectivement de le vérifier.

Comme indiqué ci-dessus, l'objectif de la disposition est de permettre l'utilisation d'autres outils que checkdoc.be. En revanche, cette disposition n'a pas pour objectif de favoriser le recours à des outils de comparaison faciale. L'article 11 ne porte pas spécifiquement sur la méthode de comparaison faciale, qui est dorénavant expressément visée à l'article 127, § 5, de la loi relative aux communications électroniques.

Il convient aussi de souligner que c'est le point de vente ou le système de comparaison faciale qui doit appliquer un outil de vérification de l'eID. Le risque de fraude ne vient donc pas de l'abonné.

En pratique, les préposés de l'opérateur utilisent checdoc.be pour vérifier l'eID. Le résultat que ces préposés obtiennent est un résultat positif (« hit ») ou un résultat négatif (no « hit »). Cette information leur permet de déterminer s'ils peuvent ou non admettre l'eID. Au point 38 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 38. L'Autorité constate en outre qu'en l'absence de réidentification, après détection d'une anomalie, l'art. 11, § 2, 3° nouveau dispose que la carte est rendue inutilisable « sauf ordre contraire des autorités judiciaires ou des services de renseignement et de sécurité » et que le § 3 nouveau de ce même article dispose que « lorsque la carte prépayée a déjà été activée et que par la suite l'opérateur constate ou est informé, par exemple par une autorité, que l'identification de la personne qui s'identifie est frauduleuse, il rend immédiatement inutilisable la carte prépayée, sauf ordre contraire reçu des autorités judiciaires ou des services de renseignement et de sécurité ». L'Autorité présume que les mesures techniques et organisationnelles destinées à assurer la sécurité, l'intégrité et le caractère confidentiel des données communiquées par les services de police et de renseignement aux opérateurs téléphoniques sont applicables en l'espèce. Sous cette réserve, l'Autorité n'a pas d'observations à formuler à cet égard. » La réponse à ces remarques est la suivante.

Lorsque les services de renseignement et de sécurité ou les autorités judiciaires signaleront à un opérateur qu'il ne faut pas couper une carte prépayée, malgré une anomalie concernant l'identification de l'abonné lié à cette carte, ils ne devraient pas mentionner la raison de leur injonction, et ce afin d'éviter de dévoiler à l'opérateur des détails sur leur enquête. Ainsi, ils ne devraient pas communiquer à l'opérateur de données à caractère personnel. En revanche, il leur revient de prendre les mesures nécessaires pour que l'opérateur soit assuré qu'il s'agit bien d'un ordre en bonne et due forme d'une autorité judiciaire ou des services de renseignement et de sécurité (et non d'une personne qui se ferait passer pour ces derniers).

Art. 16 L'article 12 précise que les opérateurs doivent conserver des informations sur le type de méthode utilisée pour identifier une personne. L'opérateur doit donc pouvoir indiquer à une autorité selon quelle méthode une personne a été identifiée. Les différentes méthodes se retrouvent dans la section 4 de l'AR cartes prépayées.

L'obligation pour les opérateurs de conserver des informations relatives à l'outil d'identification utilisé pour identifier un abonné se justifie pour les raisons suivantes. D'abord, cela permet de déterminer avec quelle fiabilité l'identification a été effectuée.

Ensuite, lorsqu'il apparait que plusieurs identifications ne sont pas correctes ou pas fiable, cela permet de retrouver l'outil de vérification de l'identité qui a été utilisé pour ces différentes identifications.

Cependant, cette obligation permet bien entendu à un opérateur de changer de fournisseur d'un outil de vérification de l'identité, de mettre fin à un outil (ou de le modifier) ou de développer de nouveaux outils.

La seule information que l'opérateur doit conserver est le type d'outil qui a été utilisé pour identifier l'abonné. Si cet outil est un outil de comparaison faciale, l'arrêté royal ne permet pas à l'opérateur de conserver des données qu'il ne peut pas conserver sur base de l'article 127 de la loi relative aux communications électroniques (en particulier les paramètres biométriques du visage de la personne).

Les alinéas 2 et 3 de l'article 12 de l'AR cartes prépayées sont supprimés étant donné que les règles applicables sont dorénavant reprises respectivement à l'article 127, § 7 et § 4, alinéa 3, de la loi relative aux communications électroniques.

Art. 17 Cette modification n'appelle pas de commentaires.

Art. 18.

Cette modification n'appelle pas de commentaires.

Art. 19 L'obligation pour les opérateurs, lorsqu'ils identifient une personne sur base de l'eID, de collecter le nom et le prénom de cette personne en plus de son numéro de registre national résulte de la loi du 20 juillet 2022Documents pertinents retrouvés type loi prom. 20/07/2022 pub. 08/08/2022 numac 2022015454 source service public federal justice Loi relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités type loi prom. 20/07/2022 pub. 26/09/2022 numac 2022015582 source service public federal finances Loi relative au statut et au contrôle des sociétés de bourse et portant dispositions diverses type loi prom. 20/07/2022 pub. 05/08/2022 numac 2022204364 source service public federal chancellerie du premier ministre Loi relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité fermer relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités (voir article 127, § 7, alinéa 1er, de la loi relative aux communications électroniques).

L'article 48 de la loi du 20 juillet 2022Documents pertinents retrouvés type loi prom. 20/07/2022 pub. 08/08/2022 numac 2022015454 source service public federal justice Loi relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités type loi prom. 20/07/2022 pub. 26/09/2022 numac 2022015582 source service public federal finances Loi relative au statut et au contrôle des sociétés de bourse et portant dispositions diverses type loi prom. 20/07/2022 pub. 05/08/2022 numac 2022204364 source service public federal chancellerie du premier ministre Loi relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité fermer prévoit que « Les opérateurs mettent en oeuvre l'article 127, § 7, de la loi précitée du 13 juin 2005 au plus tard 24 mois après la publication de la présente loi. » La loi du 20 juillet 2022Documents pertinents retrouvés type loi prom. 20/07/2022 pub. 08/08/2022 numac 2022015454 source service public federal justice Loi relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités type loi prom. 20/07/2022 pub. 26/09/2022 numac 2022015582 source service public federal finances Loi relative au statut et au contrôle des sociétés de bourse et portant dispositions diverses type loi prom. 20/07/2022 pub. 05/08/2022 numac 2022204364 source service public federal chancellerie du premier ministre Loi relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité fermer a été publiée au Moniteur belge le 8 août 2022. Il en résulte qu'au plus tard pour le 8 août 2024, les opérateurs doivent correctement appliquer l'article 127, § 7.Pour les identifications effectuées avant cette date, ils peuvent encore se contenter de ne collecter que le numéro de registre national.

Par ailleurs, une personne doit toujours avoir à sa disposition une alternative par rapport à l'outil de comparaison faciale (article 127, § 5, alinéa 4, 2°, de la loi relative aux communications électroniques). Elle peut par exemple demander qu'elle ne soit pas identifiée par cet outil mais par un membre du personnel du point de vente.

Dans ce cas, il reviendra au membre du personnel du point de vente de s'assurer que la personne qui se présente correspond bien à la personne dont la photo est reprise sur le document d'identité. Pour éviter de devoir faire ce contrôle et lorsque la personne présente une carte d'identité électronique belge, le point de vente peut choisir de lui demander d'introduire le code PIN lors de la lecture de cette carte d'identité belge.

Aux points 43 à 44 de son avis, l'Autorité de protection des données formule les remarques suivantes : « 43. Le dernier alinéa du commentaire de l'art. 19 du projet précise que « dans ce cas, il reviendra au membre du personnel du point de vente de s'assurer que la personne qui se présente correspond bien à la personne dont la photo est reprise sur le document d'identité. Pour éviter de devoir faire ce contrôle et lorsque la personne présente une carte d'identité électronique belge, le point de vente peut choisir de lui demander d'introduire le code PIN lors de la lecture de cette carte d'identité belge ». 44. Cet alinéa semble comporter des éléments prescriptifs tout en étant formulé d'une manière permettant « au point de vente » de déterminer discrétionnairement les traitements de données auxquels il sera procédé.Si la demanderesse souhaite la déplacer vers le projet, l'Autorité l'invite à en revoir fondamentalement la formulation et en tenant compte des deux observations fondamentales suivantes : tout d'abord, « éviter de devoir faire ce contrôle », ne peut en aucun cas être une finalité admissible pour un traitement de données à caractère personnel. Et ensuite, pour qu'il y ait une obligation légale au sens de l'article 6.1.c) du RGPD, il faut que le responsable du traitement (à savoir, en l'occurrence les points de vente) n'ait pas le choix de se conformer ou non à l'obligation. » La réponse à ces remarques est la suivante.

Cette explication dans le rapport au Roi ne fait qu'expliquer à nouveau ce qui se trouve dans l'article 127, § 5, de la loi relative aux communications électroniques : « § 5. [...] Lorsque l'opérateur identifie l'abonné à l'aide d'un document d'identification, il met tout en oeuvre pour vérifier: - que ce document est l'original, lisible et présente l'apparence d'authenticité; - que ce document est relatif à la personne identifiée.

Afin d'assurer la fiabilité visée à l'alinéa 1er et d'éviter les fraudes à l'identité, l'opérateur ou le point de vente peut réaliser de manière automatique une comparaison entre les paramètres biométriques sur la photo du document d'identification de l'abonné et ceux de son visage, aux conditions suivantes: [...] Lorsque l'abonné s'identifie à l'aide d'une carte d'identité électronique belge et que l'opérateur n'a pas mis en oeuvre la méthode de comparaison faciale visée à l'alinéa 4, l'opérateur peut demander à l'abonné l'introduction du code PIN. » L'opérateur n'a pas le choix de respecter ou non son obligation de vérification de la fiabilité de l'identification (entre autres vérifier que la personne qui s'identifie correspond à la personne sur le document d'identité). En revanche, il dispose de plusieurs moyens pour y arriver : un contrôle visuel dans un point de vente (vérifier que la personne qui se présente au point de vente correspond à la personne sur le document d'identité), la méthode de comparaison faciale ou demander à la personne qui s'identifie d'introduire le code PIN de l'eID. Art. 20.

Cette modification n'appelle pas de commentaires.

Art. 21 Lors de la consultation publique sur le présent arrêté, une association d'opérateurs a indiqué que les opérateurs devaient être autorisés à utiliser l'outil de comparaison faciale. Il n'est en effet pas cohérent que l'article 127, § 5, de la loi relative aux communications électroniques permette à une entreprise d'obtenir une autorisation ministérielle pour l'utilisation de l'outil de comparaison faciale mais que le présent arrêté royal ne permette pas d'utiliser en pratique cet outil.

Comme l'association des opérateurs l'a indiqué dans sa contribution à la consultation publique, l'outil de comparaison faciale peut être utilisé pour d'autres documents d'identification qu'une carte d'identité électronique belge. C'est d'ailleurs là un de ses avantages.

Art. 22.

Cette modification n'appelle pas de commentaires.

Art. 23 Si un outil, tel que itsme, peut être utilisé pour s'identifier auprès d'une application digitale des pouvoirs publics belges, un même outil doit pouvoir être utilisé par un opérateur pour identifier ses abonnés.

A l'article 16, § 2, alinéa 2, de l'AR cartes prépayées, il n'est plus fait référence à la « décision motivée » du ministre et du ministre de la Justice, et ce pour les raisons suivantes. D'abord, la loi de 29 juillet 1991 relative à la motivation formelle des actes administratifs est déjà applicable en l'espèce. Ensuite, il convient d'éviter que des ministres ne doivent expliquer en détail pourquoi une application est interdite, alors que cette interdiction peut être justifiée par des raisons de sécurité nationale et/ou de défense, ce qui implique qu'une discrétion soit indiquée.

Art. 24 Cette modification n'appelle pas de commentaires.

Art. 25 Cette modification n'appelle pas de commentaires.

Art. 26 L'article 19, § 1er, alinéa 2, de l'AR cartes prépayées exclut dorénavant la méthode de comparaison faciale, étant donné qu'elle est dorénavant réglée à l'article 127, § 5, alinéa 4, de la loi relative aux communications électroniques.

A l'article 19, § 1er, alinéa 2, il est prévu qu'une entreprise fournissant une méthode d'identification peut proposer un outil de vérification de cette identité, qui une fois approuvé est valable pour tous les opérateurs qui l'utilisent.

Pour autoriser une méthode d'identification conformément à l'article 19 de l'arrêté royal « cartes prépayées », il est tenu compte de l'impact de l'outil de vérification de l'identité de l'abonné sur la sécurité nationale.

En effet, il convient notamment d'éviter que cet outil ne récolte des données sur des abonnés et que ces données ne fuitent ensuite vers des pays tiers et ce, dans la mesure où ces dernières risqueraient d'être utilisées, entre autres, à des fins d'espionnage et/ou de recoupement avec d'autres informations. Ceci est particulièrement le cas lorsque les abonnés précités travaillent dans des secteurs sensibles reliés à la sécurité nationale (services de renseignement et de sécurité, services de police, etc.). CHAPITRE 4. - Dispositions finals

Art. 27 Il n'est plus nécessaire de faire référence aux anciennes cartes prépayées ni à la date de mise en oeuvre de check-doc (cette mise en oeuvre était en 2017).

Art. 28 Cette disposition ne nécessite pas de commentaire.

Telles sont, Sire, les principales dispositions de l'arrêté soumis à l'approbation de Votre Majesté.

Nous avons l'honneur d'être, Sire, de Votre Majesté les très respectueux et très fidèles serviteurs, La Ministre des Télécommunications, P. DE SUTTER Le Ministre de la Justice, P. VAN TIGCHELT La Ministre de la Défense, L. DEDONDER

3 MAI 2024. - Arrêté royal portant modification de l'arrêté royal du 27 novembre 2016 relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques, l'article 127 tel que remplacé par la loi du 20 juillet 2022Documents pertinents retrouvés type loi prom. 20/07/2022 pub. 08/08/2022 numac 2022015454 source service public federal justice Loi relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités type loi prom. 20/07/2022 pub. 26/09/2022 numac 2022015582 source service public federal finances Loi relative au statut et au contrôle des sociétés de bourse et portant dispositions diverses type loi prom. 20/07/2022 pub. 05/08/2022 numac 2022204364 source service public federal chancellerie du premier ministre Loi relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité fermer relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités ;

Vu l'analyse d'impact de la réglementation réalisée conformément aux articles 6 et 7 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses en matière de simplification administrative ;

Vu la consultation publique du 21 novembre 2022 au 22 décembre 2023 ;

Vu l'avis de l'Inspecteur des Finances, donné le 13 juin 2023 ;

Vu l'accord de la Secrétaire d'Etat au Budget, donné le 25 juin 2023 ;

Vu l'avis de l'Institut belge des services postaux et des télécommunications, donné le 11 août 2023 ;

Vu l'avis n° 141/2023 de l'Autorité de protection des données, donné le 29 septembre 2023 ;

Vu la demande d'avis dans un délai de 30 jours, prorogé de plein droit et expirant le 4 septembre 2023, adressée au Conseil d'Etat le 19 juillet 2023, en application de l'article 84, § 1, alinéa 1, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973 ;

Considérant l'absence de communication de l'avis dans ce délai ;

Vu l'article 84, § 4, alinéa 2, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973 ;

Vu la consultation du 5 au 12 juillet 2023 du Comité interministériel des Télécommunications et de la Radiodiffusion et la Télévision ;

Vu l'accord du Comité de concertation du 18 juillet 2023 ;

Sur la proposition de la ministre des Télécommunications, du ministre de la Justice, de la ministre de la Défense et de l'avis des ministres qui en ont délibéré en Conseil,

Nous avons arrêté et arrêtons :

Article 1er.Dans l'intitulé de l'arrêté royal du 27 novembre 2016 relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée, le mot public est remplacé par les mots « accessibles au public ».

Art. 2.L'article 1er du même arrêté est remplacé par ce qui suit : «

Article 1er.Le présent arrêté s'applique aux cartes prépayées qui permettent d'utiliser un service de communications électroniques mobile et accessible au public.

Il s'applique aux cartes prépayées liées : - à un numéro de téléphone belge ou à un IMSI belge, ou ; - à un numéro de téléphone étranger ou un IMSI étranger, lorsque les cartes prépayées sont distribuées en Belgique avec l'accord de l'opérateur.

Il ne s'applique pas aux cartes prépayées permettant exclusivement des applications machine à machine (M2M) ou des applications relatives à l'internet des objets (IoT), pour autant que ces applications ne permettent pas d'utiliser un service d'accès à internet ou un service de communication interpersonnelle d'un opérateur.

Seuls les articles 5, alinéa 3, 6 et 8 s'appliquent en cas de souscription à un service de communications électroniques fourni au moyen d'une carte prépayée pour une personne qui réside dans un centre fermé ou un lieu d'hébergement au sens des articles 74/8 et 74/9 de la loi du 15 décembre 1980Documents pertinents retrouvés type loi prom. 15/12/1980 pub. 12/04/2012 numac 2012000231 source service public federal interieur Loi sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers. - Traduction allemande de dispositions modificatives type loi prom. 15/12/1980 pub. 20/12/2007 numac 2007000992 source service public federal interieur Loi sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers. - Traduction allemande de dispositions modificatives fermer sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers, conformément à l'article 127, § 10, 5°, de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques.

Seul l'article 8 s'applique lorsque la carte prépayée a été achetée pour le compte des services de renseignement et de sécurité, des services de police ou des autorités publiques désignées par le ministre. »

Art. 3.A l'article 2 du même arrêté, les modifications suivantes sont apportées : 1° les 2° à 6° sont abrogés ;2° l'article est complété par un 7° rédigé comme suit : « 7° la personne qui s'identifie : la personne physique qui s'identifie auprès de l'opérateur, à savoir : - la personne physique qui est l'abonnée, ou ; - la personne physique qui agit pour le compte de la personne morale qui est l'abonnée, conformément à l'article 127, § 8, de la loi, ou ; - la personne physique qui agit pour le compte de la personne morale qui souscrit à un service de communications électroniques au nom et pour le compte d'une personne physique qui éprouve des difficultés à effectuer cette souscription, conformément à l'article 127, § 10, 6°, de la loi. »

Art. 4.Dans l'intitulé du chapitre 2 du même arrêté, les mots « utilisateurs finaux » sont remplacés par le mot « abonnés ».

Art. 5.A l'article 3 du même arrêté, les modifications suivantes sont apportées : 1° dans l'alinéa 1er, les modifications suivantes sont apportées : a) les mots « L'utilisateur final d'une carte prépayée doit s'identifier » sont remplacés par les mots « La personne qui s'identifie le fait » ;b) les mots « l'entreprise concernée » sont remplacés par les mots « l'opérateur » ;2° l'alinéa 2 est remplacé par ce qui suit : « La personne qui s'identifie est obligée de présenter un document d'identification visé à l'article 127, § 6, de la loi, lorsqu'un tel document est requis conformément aux articles 14 à 19.»

Art. 6.L'article 4 du même arrêté est remplacé par ce qui suit : «

Art. 4.La personne s'identifie au plus tard à l'activation de la carte selon une des méthodes d'identification décrites dans le présent arrêté. »

Art. 7.A l'article 5 du même arrêté, les modifications suivantes sont apportées : 1° dans l'alinéa 1er, les modifications suivantes sont apportées : a) dans la première phrase, les modifications suivantes sont apportées : les mots « La personne physique ou morale qui s'identifie auprès de l'entreprise concernée ne peut céder à un tiers » sont remplacés par les mots « La personne qui s'identifie ne peut transmettre à une autre personne » ;b) le 1° est remplacé par ce qui suit : « à son conjoint, son cohabitant légal ou ses cohabitants inscrits dans la même composition de ménage ;» c) le 2° est remplacé par ce qui suit : « à ses parents, ses grands-parents, ses enfants, ses petits-enfants, ses frères ou ses soeurs, ou à ceux des personnes visées au 1° ;» d) au 5°, les mots « entreprise concernée » sont remplacés par les mots « opérateur » ;e) le 6° est remplacé par ce qui suit : « 6° à la personne physique pour laquelle une personne morale a souscrit à un service de communications électroniques conformément à l'article 127, § 10, 6°, de la loi.» 2° à l'alinéa 2, le mot « le lieu » est remplacé par le mot « le prénom » et les mots « entreprise concernée » sont remplacés par le mot « opérateur » ;3° l'article est complété par un alinéa rédigé comme suit : « Les personnes visées à l'alinéa 1er, 1° à 6°, auxquelles une carte prépayée a été cédée conformément à l'alinéa 1er, ainsi que les personnes qui résident dans un centre fermé ou un lieu d'hébergement au sens des articles 74/8 et 74/9 de la loi du 15 décembre 1980Documents pertinents retrouvés type loi prom. 15/12/1980 pub. 12/04/2012 numac 2012000231 source service public federal interieur Loi sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers. - Traduction allemande de dispositions modificatives type loi prom. 15/12/1980 pub. 20/12/2007 numac 2007000992 source service public federal interieur Loi sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers. - Traduction allemande de dispositions modificatives fermer sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers qui ont reçu une carte prépayée conformément à l'article 127, § 10, 5°, de la loi, ne peuvent céder une carte prépayée active qu'à une personne visée à l'alinéa 1er, 1° à 6°.»

Art. 8.A l'article 6, les modifications suivantes sont apportées : 1° les mots « utilisateur final » sont remplacés par le mot « abonné » ;2° les mots « entreprise concernée » sont remplacés par le mot « opérateur ».

Art. 9.L'intitulé du chapitre 3 du même arrêté est remplacé par ce qui suit : « CHAPITRE 3. - Mesures à charge des opérateurs qui fournissent des cartes prépayées »

Art. 10.Dans le chapitre 3 du même arrêté, l'intitulé de la section 1 est remplacé par ce qui suit : « Section 1. - Dispositions générales »

Art. 11.L'article 7 du même arrêté est remplacé par ce qui suit : «

Art. 7.L'opérateur ne peut activer la carte prépayée qu'après avoir procédé à l'opération d'identification. »

Art. 12.A l'article 8, les modifications suivantes sont apportées : 1° les mots « utilisateur final » sont remplacés par le mot « abonné » ;2° les mots « entreprise concernée » sont remplacés par le mot « opérateur ».

Art. 13.A l'article 9, les modifications suivantes sont apportées : 1° dans l'alinéa 1er, les modifications suivantes sont apportées : a) les mots « entreprise concernée » sont remplacés par le mot « opérateur » ;b) le mot « valide » est remplacé par les mots « décrites dans le présent arrêté » ;c) les mots « physique qui demande l'activation de la carte » sont remplacés par les mots « qui s'identifie ».2° l'alinéa 2 est abrogé.

Art. 14.La section 2 du même arrêté, comportant l'article 10, est abrogée.

Art. 15.L'article 11 du même arrêté est remplacé par ce qui suit : «

Art. 11.§ 1er. Lorsque la personne présente une carte d'identité belge pour s'identifier, l'opérateur vérifie, de manière systématique, avant l'activation de la carte prépayée et à l'aide de l'outil informatique de checkdoc ou d'un autre outil informatique autorisé par le ministre de la Justice et le ministre, si cette carte d'identité est connue des autorités publiques comme volée, perdue, périmée, non valide ou n'a pas été émise.

Si c'est le cas, l'opérateur et le point de vente ne permettent pas l'activation de la carte prépayée sur base de la présentation de la carte d'identité.

L'autorisation visée à l'alinéa 1er n'est accordée qu'à condition que l'outil informatique puisse être considéré comme fiable.

Cette fiabilité est examinée par l'Institut, les services de renseignement et de sécurité et le NTSU, à savoir le National Technical et Tactical Support Unit des unités spéciales de la police fédérale.

Ces derniers examinent : 1° la capacité de l'outil informatique à remplir sa fonction telle que visée à l'alinéa 1er, entre autres sur base de tests qu'ils effectuent ou qui sont effectués par des tiers ;2° la fiabilité du fournisseur de l'outil ;3° le respect des intérêts visés à l'article 12 de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande fermer relative à la classification et aux habilitations, attestations et avis de sécurité pour la sécurité nationale ;4° tout autre élément pertinent sur base du cas d'espèce. L'autorisation visée à l'alinéa 1er est accordée après avis de l'Institut. § 2. Lorsque la carte prépayée a déjà été activée et que l'opérateur constate par la suite une anomalie concernant l'identification de la personne qui s'identifie, telles des données manquantes ou contradictoires ou que l'identification de cette personne pourrait être frauduleuse, il suit la procédure suivante : 1° il procède sans délai à une nouvelle vérification des données d'identification de cette personne, sur base des données et documents à sa disposition ;2° si à la suite de cette nouvelle vérification, il existe toujours un doute sur l'identité exacte de cette personne, il lui demande sans délai de s'identifier à nouveau au plus tard dans le mois qui suit cette demande ;3° lorsque cette personne ne s'est pas identifiée dans ce délai, il rend inutilisable la carte prépayée, sauf ordre contraire des autorités judiciaires ou des services de renseignement et de sécurité. § 3. Lorsque la carte prépayée a déjà été activée et que par la suite l'opérateur constate ou est informé que l'identification de la personne qui s'identifie est frauduleuse, il rend immédiatement inutilisable la carte prépayée, sauf ordre contraire reçu des autorités judiciaires ou des services de renseignement et de sécurité. § 4. Lorsqu'en application des paragraphes 2 et 3, l'opérateur rend inutilisable une carte prépayée, l'abonné n'est pas indemnisé. »

Art. 16.L'article 12 du même arrêté est remplacé par ce qui suit : «

Art. 12.Les opérateurs conservent les informations relatives au type de méthode d'identification utilisée pour chaque identification parmi les méthodes visées à la section 5, tant que les données d'identification doivent être conservées en vertu de l'article 127, § 4, alinéa 4, de la loi.

Lorsque l'opérateur a identifié une personne à l'aide de la méthode visée à l'article 19, il conserve également les informations relatives au type d'outil de vérification de l'identité qui a été utilisé pour l'identifier, pendant le même délai que le délai visé à l'alinéa 1er. »

Art. 17.L'article 13 du même arrêté est remplacé par ce qui suit : «

Art. 13.L'opérateur doit proposer au moins une méthode d'identification visée dans la présente section à la personne qui s'identifie.

Lorsque l'opérateur propose comme méthode d'identification la méthode de comparaison faciale visé à l'article 127, § 5, alinéa 4, de la loi, il propose également une méthode d'identification alternative prévue dans le présent arrêté. »

Art. 18.Dans la section 5 du même arrêté, l'intitulé de la sous-section 1 est remplacé par ce qui suit : « Sous-section 1re. - Présentation à un point de vente d'un document d'identification »

Art. 19.L'article 14 du même arrêté est remplacé par ce qui suit : «

Art. 14.Un opérateur peut identifier une personne lorsqu'elle présente un document d'identification visé à l'article 127, § 6, de la loi à un point de vente visé à l'article 127, § 2, 5°, de la même loi.

Lorsque l'opérateur a été autorisé à mettre en oeuvre un outil de comparaison faciale conformément à l'article 127, § 5, alinéa 4, 1°, de la même loi, il ne peut identifier une personne à l'aide de cet outil qu'avec son consentement.

En cas de présentation d'une carte d'identité électronique belge, lorsque l'outil de comparaison faciale n'est pas utilisé et lorsqu'un membre du point de vente le demande, la personne qui s'identifie doit introduire le code PIN de la carte d'identité électronique. »

Art. 20.Dans la section 5 du même arrêté, l'intitulé de la sous-section 2 est remplacé par ce qui suit : « Sous-section 2. - L'identification à distance à l'aide d'un document d'identification »

Art. 21.A l'article 15 du même arrêté, les modifications suivantes sont apportées : 1° au paragraphe 1er, les modifications suivantes sont apportées : a) l'alinéa 1er est remplacé par ce qui suit : « Art.15. § 1er. Un opérateur peut identifier une personne par la lecture des données de sa carte d'identité électronique. Son identité sera validée après authentification. » ; b) dans l'alinéa 2, au 2°, les mots « de la carte d'identité électronique » sont ajoutés entre les mots « le code PIN » et les mots « doit être introduit » ;2° Le paragraphe 2 est remplacé par ce qui suit : « § 2.Lorsque l'opérateur a été autorisé à mettre en oeuvre un outil de comparaison faciale conformément à l'article 127, § 5, alinéa 4, 1°, de la même loi, il peut identifier une personne à l'aide de cet outil et d'un document d'identification visé à l'article 127, § 6, de la loi. »

Art. 22.Dans la section 5 du même arrêté, l'intitulé de la sous-section 3 est remplacé par ce qui suit : « Sous-section 3. - L'identification à l'aide d'un outil qui permet de s'identifier auprès d'une application numérique des pouvoirs publics belges »

Art. 23.L'article 16 du même arrêté est remplacé par ce qui suit : «

Art. 16.Un opérateur peut identifier une personne lorsqu'elle utilise un outil qui permet de s'identifier auprès d'une application numérique des pouvoirs publics belges.

Le ministre et le ministre de la Justice peuvent, à tout moment, interdire qu'un outil visé à l'alinéa 1er ne soit utilisé pour l'identification des abonnés des opérateurs.

Les données d'identification doivent avoir été transmises à l'opérateur avant l'activation de la carte prépayée. ».

Art. 24.A l'article 17 du même arrêté, les modifications suivantes sont apportées : 1° dans le paragraphe 1er, qui devient le paragraphe unique, les modifications suivantes sont apportées : a) à l'alinéa 1er, les modifications suivantes sont apportées : i) les mots « L'entreprise concernée peut identifier l'utilisateur final » sont remplacés par les mots « L'opérateur peut permettre l'identification d'une personne » ; ii) l'alinéa est complété par les mots : « , en conservant les informations visées à l'article 127, § 10, 3°, de la loi, dont la référence de paiement. » b) dans l'alinéa 2, les modifications suivantes sont apportées : i) dans la première phrase, les mots « d'identification » sont insérés entre les mots « Cette méthode » et les mots « est soumise aux conditions suivantes : » ; ii) dans la version néerlandaise, les modifications suivantes sont apportées : - au 2°, le mot "Wet" est remplacé par le mot "wet" ; - au 3°, le mot « de » entre les mots « uitgevoerd binnen » et « 18 maanden » est supprimé. iii) le 4° est abrogé ; 2° le paragraphe 2 est abrogé.

Art. 25.Dans la sous-section 5 du même arrêté, à l'article 18, les modifications suivantes sont apportées : 1° dans le paragraphe 1er, les modifications suivantes sont apportées : a) le premier alinéa est remplacé par ce qui suit : « Art.18. § 1er. L'opérateur peut identifier une personne en reliant la carte prépayée acquise auprès de cet opérateur à un produit du même opérateur auquel elle a souscrit. » ; b) dans l'alinéa 2, les mots « entreprise concernée » sont remplacés par le mot « opérateur » ;2° dans le paragraphe 2, les mots « entreprise concernée » sont remplacés par le mot « opérateur ».

Art. 26.Dans la sous-section 6 du même arrêté, à l'article 19, les modifications suivantes sont apportées : 1° au paragraphe 1er, les modifications suivantes sont apportées : a) à l'alinéa 1er, les modifications suivantes sont apportées : i) les mots « Lorsque l'utilisateur final » sont remplacés par les mots « L'opérateur peut identifier une personne qui lui » ; ii) les mots « à l'entreprise concernée, cette dernière vérifie l'identité de ce dernier » sont remplacés par les mots « en vérifiant son identité » ; b) dans l'alinéa 2, les modifications suivantes sont apportées : i) dans la première phrase, les mots « d'identification » sont insérés entre les mots « Cette méthode » et les mots « est soumise » ; ii) le 2° est remplacé par ce qui suit : « 2° à la demande d'un opérateur ou d'une entreprise fournissant la méthode d'identification, cette méthode doit être au préalable autorisée par le ministre et le ministre de la Justice, après avis de l'Institut, qui se concerte au préalable avec les services de renseignement et de sécurité et le NTSU, à savoir le National Technical et Tactical Support Unit des unités spéciales de la police fédérale. » ; 2° dans le paragraphe 2, les modifications suivantes sont apportées : a) dans l'alinéa 1er, le mot « Ministre » est chaque fois remplacé par le mot « ministre » ;b) dans l'alinéa 2, les mots « entreprise concernée » sont remplacés par le mot « opérateur » ;c) l'alinéa 3 est remplacé par ce qui suit : « Les critères pris en compte pour l'octroi ou le retrait de l'autorisation sont : - le degré de fiabilité de l'identification obtenue, en tenant compte de l'exactitude, la complétude et la cohérence des données d'identification au moment de l'identification ainsi que la sécurité et de l'intégrité de ces données, et ; - l'impact de l'outil de vérification sur la sécurité nationale. » ; 3° le paragraphe 3 est abrogé.

Art. 27.Dans le chapitre 4 du même arrêté, l'article 20 est abrogé.

Art. 28.Le ministre qui a les Télécommunications dans ses attributions est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, le 3 mai 2024.

PHILIPPE Par le Roi : La Ministre des Télécommunications, P. DE SUTTER Le Ministre de la Justice, P. VAN TIGCHELT La Ministre de la Défense, L. DEDONDER