Etaamb.openjustice.be
Arrêté Royal du 27 novembre 2016
publié le 07 décembre 2016

Arrêté royal relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée

source
service public federal economie, p.m.e., classes moyennes et energie
numac
2016011491
pub.
07/12/2016
prom.
27/11/2016
ELI
eli/arrete/2016/11/27/2016011491/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)
Document Qrcode

27 NOVEMBRE 2016. - Arrêté royal relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée


RAPPORT AU ROI Sire, Généralités Le présent projet d'arrêté royal vise à exécuter l'article 127, § 1er, de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques (ci-après la « LCE »), spécifiquement en ce qui concerne l'identification des utilisateurs de cartes prépayées de services de communications électroniques mobiles. Ce projet s'inscrit dans les mesures visant à lutter contre le terrorisme et à lutter contre la traite des êtres humains. Il fait suite à la modification de l'art. 127 par la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer portant modification de l'article 127 de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité (ci-après la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer).

Il fixe des obligations à charge des utilisateurs de ces cartes, à charge des entreprises concernées (les « opérateurs belges et étrangers ») qui fournissent par l'intermédiaire de ces cartes des services de communications mobiles, des canaux de vente de services de communications électroniques et des fournisseurs de service d'identification. 1. Prise en compte de l'avis de la Commission pour la protection de la vie privée n° 54/2015 du 16 décembre 2015 La loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer, à l'état de projet de loi, a fait l'objet de l'avis n° 54/2015 du 16 décembre 2015 de la Commission pour la protection de la vie privée (ci-après la CPVP).Une partie des recommandations de cette Commission trouvent à s'appliquer dans le cadre de la mesure d'exécution de l'art. 127 susmentionné et non dans le corps de l'article même.

Dans son avis, la CPVP indique ce qui suit : « sur le plan pratique, l'obligation d'identification soulève de nombreuses questions. La Commission se demande quelles en seront les modalités concrètes.

L'obligation d'identification contraint les opérateurs et leurs sous-traitants qui vendent des cartes prépayées -donc en l'occurrence chaque supermarché, épicerie, magasin d'électronique, ...-à enregistrer l'identité des acheteurs de telles cartes. Qui le fera ? Comment cela se passera-t-il ? Quelles données seront enregistrées ? Comment les données seront-elles conservées et transférées ? Qui sera le responsable du traitement ? Ce dernier disposera-t-il d'un conseiller en sécurité ? Qui contrôlera cette collecte de données ? Comment l'obligation d'information sera-t-elle remplie ? Ces points devraient être clarifiés dans les arrêtés d'exécution. ».

Il convient d'emblée de souligner que la réponse à la plupart de ces questions figure dans la législation récemment adoptée : d'une part, la loi du 29 mai 2016Documents pertinents retrouvés type loi prom. 29/05/2016 pub. 18/07/2016 numac 2016009288 source service public federal justice Loi relative à la collecte et à la conservation des données dans le secteur des communications électroniques fermer concernant la collecte et la conservation de données dans le secteur des communications électroniques (ci-après la loi du 29 mai 2016Documents pertinents retrouvés type loi prom. 29/05/2016 pub. 18/07/2016 numac 2016009288 source service public federal justice Loi relative à la collecte et à la conservation des données dans le secteur des communications électroniques fermer) et, d'autre part, la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer.

Ainsi, la loi en vigueur (art. 127) stipule qui fera l'identification (à savoir l'opérateur avec, le cas échéant, l'aide d'un tiers) et comment, ce que le présent projet d'arrêté royal précise.

L'article 127 de la LCE désigne le responsable du traitement, à savoir l'opérateur ou le fournisseur au sens de l'article 126, § 1er, alinéa 1er, de la loi. L'article 126/1 de la LCE prévoit l'instauration auprès de chaque entreprise concernée qui doit conserver des données, d'un préposé à la protection des données à caractère personnel.

L'article 126/1, § 3, indique que « le préposé à la protection des données veille à ce que [...] le fournisseur ou l'opérateur ne collecte et conserve que les données qu'il peut légalement conserver ». Par ailleurs, le non-respect de l'article 127 de la LCE et de ses arrêtés d'exécution est sanctionné pénalement (voir l'article 145 de la LCE). Par conséquent, après la rédaction d'un procès-verbal par un officier de police judiciaire, c'est à l'IBPT ou au procureur du Roi qu'il conviendra de poursuivre l'infraction (voir l'article 148 de la LCE). Le non-respect des articles 126 et 126/1 est également sanctionné pénalement (voir l'article 145 de la LCE). Les articles 126 et 126/1 confient par ailleurs certaines missions à la CPVP. Enfin, pour ce qui concerne l'obligation d'information, l'article 9, § 1er, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel prévoit ce qui suit : «

Art. 9.§ 1er. Le responsable du traitement ou son représentant doit fournir à la personne concernée auprès de laquelle il obtient les données la concernant et au plus tard au moment où ces données sont obtenues, au moins les informations énumérées ci-dessous, sauf si la personne concernée en est déjà informée : a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;b) les finalités du traitement;c) l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing;d) d'autres informations supplémentaires, notamment : - les destinataires ou les catégories de destinataires des données, - le caractère obligatoire ou non de la réponse ainsi que les conséquences éventuelles d'un défaut de réponse, - l'existence d'un droit d'accès et de rectification des données la concernant; sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont obtenues, ces informations supplémentaires ne sont pas nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données; e) d'autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la commission de la protection de la vie privée.».

Dès lors que nul n'est censé ignorer la loi, la personne concernée est censée avoir été informée de ces différents éléments par la publication de l'article 127 et du présent projet d'arrêté royal. 2. Prise en compte de l'avis de la CPVP n° 54/2016 du 21 septembre 2016 En réponse au point 8 de l'avis, il est précisé que la méthode d'identification est en effet conservée car elle est un élément utile dans le cadre des enquêtes des services de police et des services de renseignement et de sécurité. Dans son avis, aux points 13 et 14, la CPVP indique que l'arrêté royal doit limiter sa finalité à l'identification du porteur de la carte et demande que l'arrêté royal impose aux opérateurs de prendre les mesures nécessaires pour limiter l'accès aux données à un nombre restreint de personnes qui sont chargées de cette mission.

L'article 1er de l'arrêté royal a été adapté pour préciser sa finalité. Les dispositions légales déjà existantes permettent de répondre à la remarque de la CPVP pour le reste.

En effet, l'article 127, § 1er, tel que modifié par la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer, prévoit expressement que « Les données et documents d'identification collectés sont conservés conformément à l'article 126, § 3, alinéa 1er. ».

Cela signifie donc que les données d'identification collectées conformément au présent arrêté royal sont soumis à l'article 126 de la loi.

Or, l'article 126, § 2, contient la liste des autorités qui peuvent demander d'accèder aux données conservées. En pratique, ce seront surtout les autorités judiciaires, les services de renseignement et de sécurité, le Service de médiation pour les télécommunications (en vue de l'identification de la personne ayant effectué une utilisation malveillante d'un réseau ou d'un service de communications électroniques) et les services d'urgence offrant de l'aide sur place (que ce soit dans le cadre d'un appel d'urgence faisant suite à une situation de détresse ou dans le cadre d'un appel malveillant vers les services d'urgence), qui demanderont l'accès aux données d'identification collectées conformément au présent arrêté royal.

De plus, l'article 126, § 2, interdit aux opérateurs d'utiliser les données collectées conformément au présent arrêté royal à des fins commerciales.

Le présent arrêté royal n'interdit cependant pas la collecte de données d'identification à des fins commerciales mais cette collecte suit ses propres règles.

Finalement, lorsque la demande d'accès aux données conservées n'est pas automatisée, cet accès devra obligatoirement avoir lieu par l'intermédiaire de la Cellule de coordination de l'opérateur, comme l'article 126, § 4, de la LCE le prévoit, ce qui répond au point 27 de l'avis.

Le point 16 de l'avis (suppression du numéro de la puce de la carte d'identité électronique) a été suivi.

S'agissant des points 17 à 19 (rapport entre le présent projet et le projet d'arrêté royal portant exécution de l'art. 126 de la LCE en matière de conservation des données), il peut être précisé que les deux arrêtés feront l'objet d'un alignement ultérieur afin d'être rendus compatibles.

Dans le point 20 de l'avis, la CPVP suggère d'ajouter l'interdiction pour le commerçant qui participe à l'identification de stocker les données d'identification. Or cette interdiction figure déjà dans l'art. 127, § 1er, al. 5. de la LCE, qui dispose ce qui suit : « Le canal de vente de services de communications électroniques ne conserve pas de données ou de documents d'identification, qui sont transmis à l'opérateur, au fournisseur visé à l'article 126, § 1er, alinéa 1er ou à l'entreprise fournissant un service d'identification. ».

Au point 24 de son avis, la CPVP recommande de préciser dans le contenu de l'arrêté en projet de lui soumettre le futur projet d'arrêté fixant la procédure d'approbation par le Service public fédéral Technologie de l'Information et de la Communication d'une application Internet similaire à celle qui permet l'accès à une application digitale des pouvoirs publics. Ce projet-là sera également soumis à la CPVP. La CPVP demande au point 26 s'il n'est pas possible de conserver dans une base de données distincte les données qui sont conservées en vertu de l'article 126 du projet.

Ceci afin de limiter autant que possible les risques de l'accès fonctionnel.

Il convient de rappeler ce qui a été exposé dans le cadre du commentaire de l'art. 2 de la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer portant modification de l'article 127 de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignements et de sécurité : « Par conséquent, les opérateurs et les fournisseurs visés à l'article 126, § 1er, alinéa 1er, ne peuvent pas utiliser à titre commercial les données d'identification collectées en vertu de l'article 127 de la LCE, qui sont conservées en vertu de l'article 126 de la LCE, mais ils peuvent collecter et conserver à titre commercial des données d'identification d'utilisateurs de cartes prépayées conformément à l'article 122 (applicable si une facture est envoyée) ou la législation générale sur la protection de la vie privée. ».

D'un point de vue technique, la conservation dans une base de données distincte ne garantit en aucune manière un meilleur respect de l'obligation d'accès fonctionnel. Du point de vue du contrôle de l'accès fonctionnel par l'IBPT, peu importe que les données soient conservées séparément ou avec des données commerciales.

Afin de respecter le principe de neutralité technologique, il est donc approprié de ne pas imposer de choix technologique aux opérateurs et aux fournisseurs lorsque cette obligation n'a pas de valeur ajoutée effective. Ce qui importe toutefois, c'est que seuls les membres de la cellule de coordination de l'opérateur aient accès aux données conservées conformément à l'article 126. 3. Prise en compte de l'avis du Conseil d'Etat n° 60.213/4 du 26 octobre 2016 L'avis du Conseil d'Etat a été suivi intégralement. 4. Les sanctions applicables L'article 127, § 5, de la LCE prévoit ce qui suit : « § 5.Les opérateurs et les fournisseurs visés à l'article 126, § 1er, alinéa 1er, déconnectent les utilisateurs finaux qui ne respectent pas les mesures techniques et administratives qui leur sont imposées par le présent article ou par le Roi, des réseaux et services auxquels les mesures imposées s'appliquent. Ces utilisateurs finaux ne sont en aucune manière indemnisés pour la déconnexion. ».

Or la loi du 1er septembre 2016Documents pertinents retrouvés type loi prom. 01/09/2016 pub. 07/12/2016 numac 2016011377 source service public federal economie, p.m.e., classes moyennes et energie Loi portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité fermer impose aux utilisateurs non identifiés des anciennes cartes prépayées l'obligation de s'identifier dans le délai fixé par l'entreprise concernée, délai qui ne peut excéder 6 mois après la publication du présent arrêté royal.

Par conséquent, les utilisateurs finaux qui ne s'identifient pas dans le délai fixé par l'entreprise concernée devront être déconnectés du réseau et des services conformément à l'article 127, § 5, de la LCE. L'article 127, § 4, de la LCE prévoit ce qui suit : « § 4. Si un opérateur ou un fournisseur visé à l'article 126, § 1er, alinéa 1er, ne respecte pas les mesures techniques et administratives qui lui sont imposées par le présent article ou par le Roi, il lui est interdit de fournir le service pour lequel les mesures en question n'ont pas été prises. ».

Par conséquent, une entreprise concernée ne peut plus fournir de services de communications électroniques mobiles à l'aide de cartes prépayées, à partir de l'entrée en vigueur du présent projet d'arrêté royal, si elle n'est pas en mesure d'identifier l'utilisateur final conformément à cet arrêté royal.

Commentaire article par article

Article 1er.Champ d'application Le présent projet d'arrêté royal se limite à l'identification des utilisateurs finaux de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée, dès lors que ces services fournis à l'aide d'un abonnement ne semblent actuellement pas être utilisés de manière importante par les criminels et dès lors que l'identification des utilisateurs de ces services ne pose actuellement pas de problème majeur en pratique.

Ce projet d'arrêté royal s'applique entre autres à l'ensemble des cartes prépayées liées à un MSISDN belge (c'est-à-dire un numéro de téléphone), à un IMSI belge ou aux deux. De manière générale, un IMSI est associé à un numéro de téléphone du même pays. Cependant, cela n'est pas toujours le cas, dès lors qu'il est possible que l'un des deux identifiants soit belge et l'autre étranger, afin, par exemple, de réduire les frais de roaming.

Le présent arrêté royal s'applique également aux cartes prépayées d'entreprises étrangères vendues en Belgique. Par « entreprises étrangères », il faut entendre un « opérateur étranger » qui, comme un « opérateur belge », fournit des réseaux ou des services de communications électroniques mais qui ne doit pas se notifier comme opérateur auprès de l'IBPT et qui n'est donc pas considéré comme un opérateur au sens de la LCE. Une notification à l'IBPT de l'opérateur étranger n'est pas nécessaire car le service de communications électroniques de l'opérateur étranger n'est pas fourni en Belgique mais à l'étranger. C'est l'opérateur belge avec lequel l'opérateur étranger a conclu un accord de roaming qui fournit en Belgique le service de communications électroniques à l'utilisateur final qui a acheté la carte prépayée de l'opérateur étranger.

L'entreprise étrangère est bien entendu libre de s'organiser comme elle l'entend pour respecter le présent arrêté royal (par exemple s'associer à un opérateur belge ou assurer elle-même le respect du présent arrêté royal). La loi du 29 mai 2016Documents pertinents retrouvés type loi prom. 29/05/2016 pub. 18/07/2016 numac 2016009288 source service public federal justice Loi relative à la collecte et à la conservation des données dans le secteur des communications électroniques fermer relative à la collecte et à la conservation des données dans le secteur des communications électroniques prévoit cependant que les données conservées sur base de l'article 126 de la loi (ce qui inclut les données reprises dans le présent arrêté royal) doivent être conservées sur le territoire de l'Union européenne.

La vente de cartes prépayées actives d'entreprises étrangères en Belgique sans identification préalable conformément au présent arrêté royal est donc illégale (voir article 127, § 2, de la loi).

Le présent arrêté royal ne couvre ni la fourniture de Wi-Fi ni les communications « machine to machine ».

Art. 2 Définitions L'arrêté royal définit la notion de document d'identification valide.

Cette notion englobe entre autres le document officiel qui remplace, à titre provisoire, la pièce d'identité (par exemple une carte d'identité) volée ou perdue. La pièce d'identité ainsi que le document officiel provisoire susmentionné ne sont admis comme document d'identification valide que pour autant qu'il s'agisse de l'original (pas de copie autorisée) et pour autant que le document soit lisible et que la date de validité du document ne soit pas expirée.

Cette notion vise entre autres la présentation d'un document autre que la carte d'identité belge et qui reprend le numéro de Registre national. On notera à cet égard que les différents types de cartes d'identité émises en Belgique comportent ce numéro ainsi que l'avertissement-extrait de rôle envoyé par le SPF Finances.

Cette notion vise également le numéro visé à l'article 8, § 1er, 2°, de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale, également appelé le numéro « Bis ». Il s'agit d'un numéro attribué par la Banque Carrefour de la sécurité sociale aux étrangers qui viennent temporairement travailler en Belgique. Ce sont les administrations communales qui sont chargées d'obtenir pour tout travailleur étranger temporaire, lors de son arrivée en Belgique et au début de ses prestations de travail, un numéro d'identification de la part de la Banque Carrefour de la sécurité sociale. Ce numéro se retrouve sur le document remis par l'administration communale à l'intéressé ainsi que sur les documents provenant des mutualités.

Les définitions de la LCE s'appliquent au présent projet d'arrêté (voir entre autres les définitions d' « Institut » à l'article 2, 1°, de la LCE, de « Ministre » à l'article 2, 2°, de la LCE et de « M2M » à l'article 2, 73°, de la LCE).

Art. 3 L'obligation de s'identifier à la demande de l'entreprise concernée Certains opérateurs ont décidé d'inviter tous les utilisateurs finaux qui disposent de cartes déjà activées à la date de l'entrée en vigueur du présent arrêté royal, ou certains d'entre eux, à s'identifier. Si une entreprise concernée souhaite procéder de la sorte, l'utilisateur final ne pourra se retrancher derrière les exceptions prévues à l'article 4, § 1er, alinéa 1er, du projet d'arrêté royal pour refuser de s'identifier.

Art. 4.Le délai fixé pour s'identifier L'arrêté royal définit ce qu'est un utilisateur final d'une ancienne carte prépayée qui n'a pas encore été identifié, conformément à la délégation contenue dans l'article 127, § 3, alinéa 2, de la loi.

Le 19 novembre 2015 est la date à laquelle le gouvernement fédéral a annoncé vouloir mettre fin à l'anonymat pour les cartes prépayées.

Comme, avant le 19 novembre 2015, il n'y avait pas d'obligation pour les utilisateurs finaux de s'identifier pour les cartes prépayées, il n'y a en principe aucune raison que les personnes qui ont librement déclaré à l'entreprise concernée leur identité avant cette date aient menti par rapport à leur identité. Par conséquent, il est présumé qu'ils se sont valablement identifiés. Une identification sur base d'une simple déclaration n'est cependant pas admise pour les cartes achetées le 19 novembre 2015 ou après cette date.

Comme indiqué ci-dessus, une entreprise concernée peut décider d'identifier à nouveau tous les utilisateurs des anciennes cartes prépayées (même ceux qui sont présumés être déjà identifiés). Mais elle peut également se contenter d'identifier uniquement les utilisateurs d'anciennes cartes prépayées qui se sont identifiés sous un nom qui est manifestement incorrect.

Art. 5.La possibilité de céder une carte prépayée à un tiers Lorsque l'acheteur de la carte prépayée est une personne morale (par exemple une société), cette dernière doit tenir une liste à jour de la personne à laquelle la carte prépayée a été attribuée. Si une carte prépayée a été attribuée à plusieurs personnes, cette information devra être reprise dans la liste tenue à jour par la personne morale.

L'entreprise concernée doit par ailleurs conserver l'information que la carte prépayée a été vendue à une personne morale.

Le Conseil d'Etat se demande si l'article 5 du projet d'arrêté royal répond à l'objectif de l'arrêté royal. La réponse est positive car cet article permet aux autorités de retrouver, grâce à l'identité de la personne à laquelle la carte a été attribuée (par exemple un parent), l'identité de l'utilisateur effectif de la carte (par exemple un enfant). En d'autres termes, il est essentiel pour les autorités d'avoir une trace fiable à partir de laquelle elles pourront mener leur enquête.

Art. 6.Le vol ou la perte de la carte prépayée Cet article n'appelle pas de commentaire.

Art. 7 à 9. Principes applicables pour les mesures à charge des entreprises concernées Une entreprise concernée ne peut pas activer une carte prépayée tant que l'utilisateur final n'a pas été dûment identifié.

L'arrêté royal prévoit également que l'entreprise concernée doit rendre inutilisable la carte prépayée après avoir été informée par l'utilisateur du vol ou de la perte de cette carte. Il ne doit donc plus être possible de communiquer avec cette carte. La désactivation de la carte peut se faire ultérieurement, conformément à la pratique actuelle.

Le présent projet d'arrêté royal distingue la collecte de données d'identification, soit prendre connaissance des données d'identification d'une personne, de la vérification de l'identité, soit confronter ces données d'identification à une source fiable d'information apte à les confirmer ou les infirmer (un « document probant »).

Lorsqu'une carte prépayée est achetée par une personne physique ou morale, l'entreprise concernée collecte et vérifie l'identité de la personne physique qui demande l'activation de la carte. Cette demande d'activation peut se faire lors de l'achat de la carte (par exemple dans un point de vente de l'entreprise concernée), de l'offre de cette carte à titre promotionnel (c'est-à-dire une carte offerte sans crédit), ou ultérieurement (par exemple lors de l'identification sur le site Internet de l'entreprise concernée).

Le présent projet d'arrêté royal n'impose pas à l'entreprise concernée de vérifier l'identité de la personne morale qui est l'utilisateur final, ni que la personne physique qui entend représenter la personne morale dispose effectivement des pouvoirs nécessaires pour la représenter. Il n'interdit cependant pas aux entreprises concernées de le faire, dans le respect de la LCE et de la législation relative à la vie privée.

Art. 10.La collecte des données d'identification Une question est de savoir si le point de vente ou l'utilisateur final peut scanner ou copier la photo de l'utilisateur final et le numéro du document ou en faire une photo lorsqu'il scanne la carte d'identité électronique belge, en fait une copie ou une photo et l'envoie à l'entreprise concernée ou au fournisseur de service d'identification.

L'arrêté royal le permet, afin d'éviter des difficultés opérationnelles conséquentes (nécessité de cacher la photo et le numéro de la carte d'identité) et dès lors que le numéro de la carte d'identité permettra d'en vérifier la validité.

Cependant, comme prévu à l'article 12, cette photo sera détruite par l'opérateur ou le fournisseur de service d'identification au plus tard avant l'activation de la carte prépayée.

Ceci n'est pas problématique vu que les services de renseignement et de sécurité et les autorités judiciaires auront accès à cette photo par le biais du registre national.

Art. 11.Les mesures à prendre par l'entreprise concernée afin d'assurer une identification fiable de l'utilisateur final L'arrêté prévoit que les entreprises concernées vérifient, de manière systématique et avant l'activation de la carte prépayée, que la carte d'identité belge n'a pas été volée ou n'a pas fait l'objet d'une fraude.

A l'heure actuelle, les entreprises concernées ne sont pas en mesure d'effectuer ces tests de manière systèmatique. C'est pourquoi les entreprises concernées ont jusqu'au 30 juin 2017 pour mettre en oeuvre un tel système de test. Ce système devra donc obligatoirement être utilisé pour les cartes prépayées achetées à partir du 1er juillet 2017 mais les entreprises concernées sont libres d'utiliser ce système de vérification avant cette date. Les entreprises concernées sont libres quant aux moyens techniques mis en oeuvre pour vérifier que la carte n'a pas été volée ou n'a pas fait l'objet d'une fraude.

Le paragraphe 2 vise le cas où l'entreprise concernée, après avoir activé la carte prépayée, prend conscience que l'identification de l'utilisateur final n'est pas ou plus correcte ou présente une anomalie. L'arrêté royal prévoit qu'elle doit alors prendre les mesures nécessaires.

Il est demandé aux entreprises concernées d'appliquer correctement la méthode d'identification choisie ainsi que les mesures de sécurité nécessaires dans le cadre de ces méthodes. En cas de fraude (par exemple faux documents ou fausses informations), une entreprise concernée ne peut pas être tenue responsable si elle a correctement appliqué cette méthode ainsi que ces mesures.

Art. 12.La conservation de données et de documents d'identification Les données qui peuvent être conservées sont énumérées dans cet article.

Art. 13.Méthodes d'identification Le projet d'arrêté royal décrit un certain nombre de méthodes d'identification qui sont considérées comme valides.

Une entreprise concernée qui fournit un service de communications électroniques mobile sur base d'une carte prépayée doit proposer au moins une méthode d'identification valide de son choix. Elle ne doit donc pas toutes les mettre en oeuvre.

La présente réglementation est par ailleurs sans préjudice de l'article 107, § 2, alinéa 1er, de la LCE. En vertu de cet article, les opérateurs doivent fournir, lors de l'appel d'urgence, aux services d'urgence offrant de l'aide sur place, les données d'identification de l'appelant, ce qui inclut les nom et prénom de l'abonné. Ceci peut impliquer que les opérateurs doivent, si les méthodes d'identification décrites dans le présent projet d'arrêté royal ne le prévoient pas, collecter le nom et le prénom de l'abonné pour pouvoir les transmettre aux services d'urgence au moment de l'appel.

Les différentes méthodes d'identification sont commentées ci-après.

Art. 14.Vérification de l'identité en présence de l'utilisateur final Cette première méthode suppose la présence physique de l'acheteur de la carte prépayée dans un canal de vente de communications électroniques (faisant partie ou non de la structure de l'entreprise concernée).

En cas de lecture de la carte d'identité au magasin (p.ex. dans un magasin de GSM) et si le point de vente le demande, le code PIN doit être introduit. Il est possible qu'un point de vente préfère demander l'introduction de ce code pour ne pas devoir effectuer de contrôle visuel de l'acheteur. Mais un autre point de vente pourrait ne pas demander l'introduction d'un tel code PIN, vu les contraintes que cela implique (connaissance du code PIN, cartes sans code PIN, développements techniques). Dans ce dernier cas, l'absence de code PIN doit être compensée par un contrôle visuel par le point de vente que la personne qui se présente est bien la personne qui est reprise sur le document de la carte d'identité.

Art. 15.L'identification en ligne et la signature électronique par la carte d'identité électronique La lecture de la carte d'identité belge (eID ou carte d'identité belge pour étranger) ou étrangère avec l'introduction d'un code PIN présente un haut degré de fiabilité et constitue par ailleurs une méthode permettant une activation de la carte à distance.

Art. 16.Le fournisseur de service d'identification Un fournisseur de service d'identification est un tiers par rapport à l'utilisateur final, au point de vente et à l'entreprise concernée, qui entre en contact avec l'utilisateur final et qui récolte l'identité de ce dernier et la fournit à l'entreprise concernée.

Comme c'est l'entreprise concernée qui reste responsable de l'identification, c'est elle qui doit récupérer auprès du fournisseur de service d'identification les données d'identification pour les transmettre aux autorités compétentes.

Art. 17.L'opération de paiement en ligne Sur la base de la référence de l'opération de paiement, les autorités compétentes obtiennent les données d'identification auprès de l'institution financière.

Par opération de paiement bancaire spécifique, il faut comprendre que seule une carte prépayée a été achetée ou rechargée à l'aide de cette opération de paiement et ce via une connexion spécifique.

La référence à la Loi antiblanchiment fait en sorte que toutes les institutions financières qui peuvent exécuter des services payants sont visées, et pas uniquement les banques. Toutes ces institutions doivent identifier leurs clients en vertu de la Loi antiblanchiment.

L'utililisateur final doit être à nouveau identifié dans les 18 mois qui suivent l'achat ou la recharge de la carte prépayée en ligne, par exemple via une nouvelle opération de paiement en ligne (recharge de la carte) ou via une autre procédure d'identification prévue dans un autre article du présent arrêté royal. Dans le cas contraire, l'entreprise concernée devra rendre la carte inutilisable.

Art. 18.L'extension ou la migration de produit Une personne peut déjà être cliente d'une entreprise concernée pour un autre produit (par exemple un abonnement à la téléphonie mobile) et avoir été identifiée par l'entreprise concernée pour ce produit. Elle peut alors décider d'acheter en complément une carte prépayée (l'extension de produit) ou de passer du premier produit vers une carte prépayée (la migration de produit).

L'entreprise concernée peut alors établir un lien entre la carte prépayée et le produit déjà acheté par l'utilisateur final.

L'entreprise concernée s'assure, en mettant en place des mesures techniques et opérationnelles, que la personne qui demande l'extension du produit est effectivement la personne identifiée pour ce produit.

Ceci peut être par exemple fait par la présentation d'un document d'identité ou à l'aide du numéro d'identifiant et d'un mot de passe.

La personne qui est le titulaire du produit auquel la carte prépayée est associée doit être la même personne que celle qui demande l'activation de la carte prépayée. Cette méthode ne peut donc pas être utilisée si un enfant demande l'activation de la carte prépayée en se référant à un autre produit souscrit par un parent.

Art. 19 La vérification par un moyen de communication électronique Cette méthode consiste à permettre à l'utilisateur final de transmettre ses données d'identification à l'entreprise concernée. Les entreprises concernées sont encouragées à mettre un certain nombre de canaux à disposition de l'utilisateur final pour permettre la communication de ces données. On pense notamment à une transmission à l'aide d'un formulaire en ligne, par SMS, par e-mail ou en prenant contact par téléphone avec le service helpdesk de l'entreprise concernée.

Il reviendra à l'entreprise concernée qui entend recourir à cette méthode de mettre en avant les éléments qui démontrent sa fiabilité (par exemple envoyer une carte SIM à l'adresse physique de l'utilisateur final, etc.).

Art. 20 Entrée en vigueur Certaines entreprises concernées ne sont pas en mesure, pour des raisons opérationnelles, de désactiver avant l'entrée en vigueur de l'arrêté royal certaines cartes prépayées qu'elles ont activées et qui ont été distribuées dans les canaux de vente avant cette date, de sorte que ces cartes ont déjà été activées alors qu'il n'y a pas encore eu d'identification. Une telle situation n'est pas conforme aux articles 4, § 2, et 7, alinéa 3, de l'arrêté royal, lorsque la carte est vendue après l'entrée en vigueur de l'arrêté royal et est donc une nouvelle carte prépayée. En effet, il résulte de ces articles que pour les nouvelles cartes, l'activation ne peut se faire qu'après identification de l'utilisateur final. Le présent arrêté prend en compte ces difficultés opérationnelles de la manière suivante.

Premièrement, en vertu de l'article 20, alinéa 1er, ces cartes devront être désactivées au plus tard 3 semaines après l'entrée en vigueur de l'arrêté royal.

Deuxièmement, il n'est pas exclu, vu la masse de cartes prépayées à désactiver, que certaines cartes qui doivent être désactivées en vertu de l'article 20, alinéa 1er, ne le soient pas dans les 3 semaines de l'entrée en vigueur de l'arrêté royal. Pour les entreprises concernées, il n'est pas toujours possible de forcer une identification au moment de la vente de la carte lorsque la carte a déjà été activée. L'article 20, alinéa 2, permet de remédier à la situation dans laquelle la nouvelle carte prépayée n'a pas pu être désactivée et l'utilisateur ne s'est pas identifié. Pendant les 3 semaines suivant l'entrée en vigueur de l'arrêté royal, la carte pourra être vendue mais l'utilisateur final devra être dentifié dans les 6 mois de la publication de l'arrêt royal, par analogie avec les règles applicables pour les anciennes cartes prépayées.

Concernant la remarque du Conseil d'Etat relative à l'article 20, alinéa 2, du projet d'arrêté royal (voir commentaires relatifs à l'article 10), il faut rappeler que l'article 127, § 3, de la LCE tel que modifié par la loi du 1er september 2016 vise les cartes prépayées achetées avant l'entrée en vigueur du présent arrêté royal, alors que l'article 20, alinéa 2, du présent arrêté vise les cartes vendues pendant les 3 semaines qui suivent la date d'entrée en vigueur de cet arrêté royal. Il n'est donc pas nécessaire de modifier l'article 20, alinéa 2, pour assurer une cohérence avec l'article 127, § 3, de la LCE. Telles sont, Sire, les principales dispositions de l'arrêté soumis à l'approbation de Votre Majesté.

Nous avons l'honneur d'être, Sire, de Votre Majesté les très respectueux et très fidèles serviteurs, Le Ministre des Télécommunications, A. DE CROO Le Ministre de la Justice K. GEENS

AVIS 60.213/4 DU 26 OCTOBRE 2016 DU CONSEIL D'ETAT, SECTION DE LEGISLATION, SUR UN PROJET D'ARRETE ROYAL `RELATIF A L'IDENTIFICATION DE L'UTILISATEUR FINAL DE SERVICES DE COMMUNICATIONS ELECTRONIQUES PUBLICS MOBILES FOURNIS SUR LA BASE D'UNE CARTE PREPAYEE' Le 6 octobre 2016, le Conseil d'Etat, section de législation, a été invité par le Vice-Premier Ministre et Ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste à communiquer un avis, dans un délai de trente jours, sur un projet d'arrêté royal `relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée'.

Le projet a été examiné par la quatrième chambre le 26 octobre 2016.

La chambre était composée de Pierre Liénardy, président de chambre, Martine Baguet et Bernard Blero, conseillers d'Etat, Sébastien Van Drooghenbroeck et Marianne Dony, assesseurs, et Colette Gigot, greffier.

Le rapport a été présenté par Anne Vagman, premier auditeur .

La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Martine Baguet.

L'avis, dont le texte suit, a été donné le 26 octobre 2016 .

Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 2° , des lois coordonnées sur le Conseil d'Etat, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.

Sur ces trois points, le projet appelle les observations suivantes.

Examen du projet Dispositif Article 1er L'article 1er, alinéa 2, de l'arrêté en projet prévoit que celui-ci s'applique notamment aux « cartes prépayées des entreprises étrangères qui sont vendues en Belgique ».

Le rapport au Roi explique comme suit cette définition du champ d'application du projet : « Le présent arrêté royal s'applique également aux cartes prépayées d'entreprises étrangères vendues en Belgique. Par `entreprises étrangères', il faut entendre un `opérateur étranger' qui, comme un `opérateur belge', fournit des réseaux ou des services de communications électroniques mais qui ne doit pas se notifier comme opérateur auprès de l'IBPT et qui n'est donc pas considéré comme un opérateur au sens de la LCE. Une notification à l'IBPT de l'opérateur étranger n'est pas nécessaire car le service de communications électroniques de l'opérateur étranger n'est pas fourni en Belgique mais à l'étranger. C'est l'opérateur belge avec lequel l'opérateur étranger a conclu un accord de roaming qui fournit en Belgique le service de communications électroniques à l'utilisateur final qui a acheté la carte prépayée de l'opérateur étranger.

L'entreprise étrangère est bien entendu libre de s'organiser comme il l'entend pour respecter le présent arrêté royal (par exemple s'associer à un opérateur belge ou assurer lui-même le respect du présent arrêté royal). La loi du 29 mai 2016Documents pertinents retrouvés type loi prom. 29/05/2016 pub. 18/07/2016 numac 2016009288 source service public federal justice Loi relative à la collecte et à la conservation des données dans le secteur des communications électroniques fermer relative à la collecte et à la conservation des données dans le secteur des communications électroniques prévoit cependant que les données conservées sur base de l'article 126 de la loi (ce qui inclut les données reprises dans le présent arrêté royal) doivent être conservées sur le territoire de l'Union européenne.

La vente de cartes prépayées d'entreprises étrangères en Belgique sans identification conformément au présent arrêté royal est donc illégale (voir article 127, § 2, de la loi) ».

Il en résulte que l'intention est donc de soumettre les opérateurs étrangers à l'arrêté en projet dès lors que leurs cartes prépayées sont vendues en Belgique.

Il convient toutefois de ne pas perdre de vue que l'article 127, § 1er, de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer `relative aux communications électroniques', tel que modifié par le projet de loi adopté le 20 juillet 2016 en séance plénière de la Chambre des représentants (1) et dont l'alinéa 1er du préambule de l'arrêté en projet laisse supposer qu'il aurait été sanctionné et promulgué le 1er septembre 2016, habilite le Roi à prendre des mesures qui s'imposeront aux « opérateurs (2), aux fournisseurs visés à l'article 126, § 1er, alinéa 1er, aux canaux de vente de services de communications électroniques, aux entreprises fournissant un service d'identification ou aux utilisateurs finals ».

L'arrêté en projet ne peut étendre le champ d'application des obligations qu'il contient à des catégories de personnes ou d'entreprises non visées à l'article 127 précité.

Les entreprises étrangères ne peuvent donc se voir imposer d'obligation par ce biais que si elles revêtent par ailleurs l'une des autres qualités énumérées à l'article 127, § 1er, et en cette dernière qualité exclusivement.

Le texte en projet sera revu à la lumière de cette observation.

Article 2 La notion de « carte prépayée » est une notion légale, employée par le législateur à l'article 127 de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer `relative aux communications électroniques'.

Il n'appartient pas au pouvoir exécutif de définir cette notion, à fortiori en élargissant la notion comme tend à le faire le rapport au Roi en visant toute dématérialisation du support physique SIM. Le 5° sera donc omis.

Article 5 1. Dans la logique du texte en projet, les tiers cessionnaires de la carte prépayée doivent pouvoir être identifiés avec le même degré de certitude que l'acquéreur initial.La section de législation se demande si ce dispositif permet d'atteindre cet objectif.

La disposition sera réexaminée à la lumière de cette observation. 2. Au 6°, il convient de mentionner « l'article 9, alinéa 2 » au lieu de « l'article 10, alinéa 2 ». Article 7 Tels que ses alinéas 1er et 2 sont rédigés, l'article 7 du projet peut laisser croire que l'obligation d'identification ne repose que sur les entreprises concernées, alors que l'article 127, § 3, de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer, tel que complété par le projet de loi adopté en séance plénière de la Chambre des représentants le 20 juillet 2016, impose avant tout aux utilisateurs finals non identifiés de cartes prépayées achetées avant l'entrée en vigueur de l'arrêté en projet de s'identifier dans le délai fixé par l'opérateur ou le fournisseur, ce délai ne pouvant excéder six mois après la publication du texte en projet.

L'article 7 sera revu aux fins de mieux assurer sa cohérence avec l'article 127, § 3, de manière qu'il apparaisse comme se combinant avec celui-ci et non pas comme instaurant un régime différent.

La même observation vaut, mutatis mutandis, pour l'article 20, alinéa 2, du projet.

Article 11 Compte tenu des termes de l'habilitation au Roi qui figure à l'article 127, § 1er, de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer, et s'agissant de mesures de nature à porter atteinte au droit au respect de la vie privée et à la protection de ce droit, les notions de « mesures nécessaires » et de « doute » ou de « données d'identification douteuses » ne peuvent être laissées à l'appréciation des entreprises concernées et doivent être précisées dans l'arrêté en projet qui sera complété en conséquence, le cas échéant, en reprenant les explications ou précisions qui figurent dans le rapport au Roi.

Article 12 S'agissant de la nature et de l'objet des données à conserver telles qu'énumérées à l'article 12 du projet, et au regard notamment des points 17 à 19 de l'avis 54/2016 donné le 21 septembre 2016 sur le texte en projet par la Commission de la protection de la vie privée, il convient de prendre acte que, selon le rapport au Roi, l'arrêté royal portant exécution de l'article 126 de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer et le projet à l'examen « feront l'objet d'un alignement ultérieur afin d'être rendus compatibles ». Il est tout aussi essentiel que cet « alignement » intervienne au plus vite, pour les motifs évoqués dans l'avis 54/2016 précité.

Article 19 1. Aux fins de garantir le respect du principe d'égalité et la sécurité juridique, les critères à mettre en oeuvre pour l'octroi de l'autorisation et son retrait, tels que prévus à l'article 19, § 1er, du projet, seront précisés dans le texte en projet. Par ailleurs, s'agissant du retrait de cette autorisation, il va de soi que le respect du principe audi alteram partem s'impose. 2. La question se pose de savoir comment combiner l'article 19, § 2, du projet et l'article 12, alinéa 2, de celui-ci. Le texte en projet sera revu afin d'assurer la cohérence de ces deux dispositions.

Article 20 La date manquante sera complétée, à chacun des alinéas de l'article 20 du projet.

Observation finale Le texte en projet ne comporte aucune disposition fixant la date de son entrée en vigueur.

Dans ce cadre, l'attention est attirée sur le fait que l'arrêté en projet entend procurer exécution à l'article 127, § 1er, de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer, telle que cet article est modifié par un projet de loi adopté en séance plénière de la Chambre des représentants le 20 juillet 2016, dont, comme mentionné ci-avant, l'alinéa 1er du préambule du projet laisse supposer qu'il aurait été sanctionné et promulgué le 1er septembre 2016.

Toutefois, en l'état des textes publiés au Moniteur belge à la date de l'avis, cette loi n'a pas encore fait l'objet de la publication requise et n'est donc pas entrée en vigueur.

L'auteur de l'arrêté en projet veillera à ce que la publication de ce dernier au Moniteur belge n'intervienne pas de sorte qu'il entrerait en vigueur avant la loi précitée. (1) Doc.parl., Chambre, 2015-2016, n° 54-1964/004. (2) A savoir, selon l'article 2, 11°, de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer `relative aux communications électroniques', les personnes « soumise[s] à l'obligation d'introduire une notification conformément à l'article 9 », ce que ne sont précisément pas les opérateurs étrangers, comme l'expose le rapport au Roi. Le greffier, C. Gigot.

Le président, P. Liénardy.

27 NOVEMBRE 2016. - Arrêté royal relatif à l'identification de l'utilisateur final de services de communications électroniques publics mobiles fournis sur la base d'une carte prépayée PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques, l'article 127, § 1er, modifié par la loi du 4 février 2010, du 27 mars 2014, du 29 mai 2016 et du 1er septembre 2016;

Vu l'analyse d'impact de la réglementation réalisée conformément aux articles 6 et 7 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses en matière de simplification administrative;

Vu la consultation publique du 29 mars au 10 avril 2016;

Vu l'avis de l'Inspecteur des Finances, donné le 3, 9 et 11 mai 2016;

Vu l'accord du Ministre du Budget, donné le 12 mai 2016;

Vu l'avis de l'Institut belge des services postaux et des télécommunications, donné le 10 mai 2016;

Vu l'avis n° 54/2016 de la Commission pour la protection de la vie privée, donné le 21 septembre 2016;

Vu la consultation du 13 mai 2016 au 27 mai 2016 du Comité interministériel des Télécommunications et de la Radiodiffusion et la Télévision;

Vu la consultation du Comité de concertation du 6 juillet 2016;

Vu l'avis n° 60.213/4 du Conseil d'Etat, donné le 26 octobre 2016, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973;

Sur la proposition du Ministre des Télécommunications et du Ministre de la Justice;

Nous avons arrêté et arrêtons : CHAPITRE 1er. - Champ d'application et définitions

Article 1er.Le présent arrêté porte sur l'identification de la personne physique qui demande l'activation d'une carte prépayée qui permet d'utiliser un service de communications électroniques public mobile et sur l'identification de la personne physique qui l'utilise.

Il s'applique aux cartes prépayées liées à un numéro de téléphone belge ou à un IMSI belge et aux cartes prépayées des entreprises étrangères qui sont vendues en Belgique.

Il ne s'applique pas aux cartes prépayées permettant exclusivement la technologie M2M.

Art. 2.Pour l'application du présent arrêté royal, il faut entendre par : 1° « loi » : la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques;2° « entreprise concernée » : l'opérateur ou l'entreprise étrangère visée à l'article 126, § 1er, alinéa 1er, de la loi, qui fournit à l'utilisateur final un service de communications électroniques publics mobiles sur la base d'une carte prépayée;3° « méthode d'identification valide » : une des méthodes définies aux articles 14 à 19;4° « document d'identification valide » : la carte d'identité belge ou d'un Etat membre de l'Union européenne, la carte électronique belge pour étrangers, le document reprenant le numéro visé à l'art 8, § 1er, 2°, de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale ou à l'article 2, alinéa 2, de la loi du 8 août 1983 organisant un registre national des personnes physiques ou le passeport international ou le document officiel remplaçant, à titre provisoire, un des documents susmentionnés qui a été perdu ou volé, pour autant que le document d'identification soit original, lisible et valide;5° « nouvelles cartes prépayées » : les cartes prépayées achetées le jour de l'entrée en vigueur du présent arrêté ou après cette date;6° « anciennes cartes prépayées » : les cartes prépayées achetées avant l'entrée en vigueur du présent arrêté. CHAPITRE 2. - Mesures à charge des utilisateurs finaux

Art. 3.L'utilisateur final d'une carte prépayée doit s'identifier chaque fois que l'entreprise concernée le lui demande.

L'utilisateur final est obligé de présenter les documents d'identification valides qui sont le cas échéant requis conformément aux articles 14 à 19.

Art. 4.§ 1er. Les utilisateurs finals non identifiés d'anciennes cartes prépayées sont les utilisateurs finals dont la situation ne correspond à aucune des hypothèses suivantes : 1° le nom, le prénom et la date de naissance de l'utilisateur final ont déjà été collectés et vérifiés par l'entreprise concernée selon une des méthodes d'identification valides avant l'entrée en vigueur du présent arrêté, ou;2° l'utilisateur final a communiqué son nom, son prénom et soit son domicile soit sa date de naissance à l'entreprise concernée avant le 19 novembre 2015, ou;3° la carte prépayée a été achetée ou rechargée à l'aide d'un moyen de paiement électronique conformément à l'article 17. § 2. Pour ce qui concerne les nouvelles cartes prépayées, l'utilisateur final communique son identité à l'entreprise concernée au plus tard à l'activation de la carte selon une des méthodes d'identification valides.

Art. 5.La personne physique ou morale qui s'identifie auprès de l'entreprise concernée ne peut céder à un tiers une carte prépayée active, sauf : 1° à une personne de sa famille, soit ses parents, ses grands-parents, ses enfants, ses petits-enfants, ses frères ou ses soeurs;2° à son conjoint ou une personne avec laquelle une déclaration de cohabitation légale a été effectuée;3° à une personne dont elle est le tuteur;4° à une personne physique qui effectue des prestations pour la personne morale qui a acheté la carte prépayée, pour autant que cette personne morale conserve une liste actualisée permettant de faire le lien entre une carte prépayée et la personne physique à laquelle cette carte a été attribuée;5° à un tiers qui s'est préalablement identifié auprès de l'entreprise concernée;6° lorsque la carte prépayée a été achetée pour le compte des services de renseignement et de sécurité, des services de police ou des autorités publiques désignées par arrêté ministériel conformément à l'article 9, alinéa 2. La liste visée à l'alinéa premier, 4°, comprend au moins le nom, le lieu et la date de naissance de la personne à qui la carte est attribuée. Cette liste est transmise à l'entreprise concernée au moment de l'activation et sur simple demande.

Art. 6.Dans les 24 heures du vol ou de la perte de la carte prépayée, l'utilisateur final en informe l'entreprise concernée. CHAPITRE 3. - Mesures à charge des entreprises concernées Section 1. - Principes

Art. 7.Les entreprises concernées identifient les utilisateurs finals non identifiés, au sens de l'article 4, d'anciennes cartes prépayées, au plus tard 6 mois après la publication du présent arrêté, selon une méthode d'identification valide et à l'aide des données fournies par l'utilisateur final conformément à l'article 127, § 3, alinéa 2, de la loi ou de données à leur disposition.

Elles peuvent demander à tout utilisateur final d'une ancienne carte prépayée de s'identifier.

Pour ce qui concerne les nouvelles cartes prépayées, l'entreprise concernée ne peut activer la carte que pour autant qu'elle ait au préalable identifié l'utilisateur final.

Art. 8.Immédiatement après avoir été informé par l'utilisateur final du vol ou de la perte de sa carte prépayée, l'entreprise concernée rend cette carte inutilisable.

Art. 9.Lorsqu'une carte prépayée est achetée par une personne physique ou morale, l'entreprise concernée collecte et vérifie selon une des méthodes d'identification valides l'identité de la personne physique qui demande l'activation de la carte.

L'alinéa 1er n'est pas applicable aux services de renseignement et de sécurité, aux services de police et aux autorités publiques désignées par arrêté pris par le Ministre et le Ministre de la Justice. Section 2. - La collecte des données d'identification

Art. 10.L'entreprise concernée, le fournisseur d'un service d'identification ou le canal de vente de services de communications électroniques peuvent lire électroniquement la carte d'identité électronique belge, en faire un scan, une photo ou une copie, en ce compris de la photo se trouvant sur cette carte et du numéro de cette carte. Section 3. - La vérification de la fiabilité

des données d'identification

Art. 11.§ 1. Lorsque l'utilisateur final présente une carte d'identité belge pour s'identifier, elle vérifie, de manière systématique, avant l'activation de la carte prépayée, que cette carte d'identité n'a pas été volée ou n'a pas fait l'objet d'une fraude. § 2. Lorsque la carte prépayée a déjà été activée et que l'entreprise concernée constate par la suite une anomalie ou que les données d'identification sont incorrectes, l'entreprise concernée prend sans délai une ou plusieurs des mesures suivantes : 1° elle procède à une nouvelle vérification des données d'identification de l'utilisateur final, le cas échéant en comparant ces données avec d'autres données à sa disposition;2° elle demande à l'utilisateur final de s'identifier à nouveau;3° elle en informe les autorités compétentes. Elle rend inutilisable la carte prépayée lorsque l'utilisateur final ne s'est pas identifié dans le délai qu'elle a fixé. Section 4. - La conservation des données

Art. 12.Les entreprises concernées conservent la méthode d'identification utilisée pour identifier l'utilisateur final tant que les données d'identification de l'utilisateur final peuvent être conservées en vertu de l'article 126 de la loi.

Les données à conserver par l'entreprise concernée sont déterminées en fonction de la méthode d'identification choisie mais comprennent au maximum les données suivantes : 1° le nom et le prénom;2° le sexe;3° la nationalité;4° la date et le lieu de naissance;5° l'adresse du domicile, l'adresse e-mail et le numéro de téléphone;6° le numéro de registre national;7° le numéro du document d'identité, le pays d'émission du document lorsqu'il s'agit d'un document étranger et la date de validité du document;8° les références de l'opération de paiement conformément à l'article 17;9° l'association de la carte prépayée au produit pour lequel l'utilisateur final est déjà identifié conformément à l'article 18;10° la photo de l'utilisateur final, mais uniquement pour les documents autres que la carte d'identité électronique belge. Lorsque la photo se trouvant sur la carte d'identité électronique belge a été transmise à l'entreprise concernée ou au fournisseur d'un service d'identification, ces derniers détruisent cette photo au plus tard avant l'activation de la carte prépayée. Section 5. - Méthodes d'identification

Art. 13.L'entreprise concernée doit proposer au moins une méthode d'identification valide de son choix à l'utilisateur final.

Sous-section 1. - Vérification sur base d'un document d'identification en présence de l'utilisateur final

Art. 14.§ 1er. Lorsque l'utilisateur final s'identifie physiquement, il présente au canal de vente de service de communications électroniques un document d'identification valide. En cas de présentation d'une carte d'identité électronique et lorsque le point de vente le demande, l'utilisateur final doit introduire le code PIN. § 2. En cas de présentation d'une carte d'identité belge, l'entreprise concernée collecte au minimum le numéro de Registre national.

En cas de présentation d'un autre document reprenant le numéro de Registre national ou le numéro visé à l'art 8, § 1er, 2°, de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale, l'entreprise concernée collecte au minimum ce numéro et le numéro de ce document.

Pour les documents sur lesquels ne figure pas le numéro de Registre national ou le numéro visé à l'art 8, § 1er, 2°, de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer, l'entreprise concernée collecte au minimum le pays d'émission, le numéro du document, les nom, prénom, date et lieu de naissance.

Sous-section 2. - L'identification en ligne et la signature électronique par la carte d'identité électronique auprès de l'entreprise concernée

Art. 15.§ 1er. L'utilisateur final peut s'identifier par sa carte d'identité électronique, lorsqu'il se connecte à une application internet de l'entreprise concernée ou transmet à l'entreprise concernée un document signé à l'aide de la signature électronique. Son identification sera validée après authentification.

Cette méthode d'identification est soumise aux conditions suivantes : 1° seules les cartes d'identité électroniques valides sont acceptées;2° le code PIN doit être introduit. § 2. L'entreprise concernée collecte au minimum les données suivantes : 1° pour la carte d'identité électronique belge : au minimum le numéro de registre national;2° pour la carte d'identité électronique étrangère : au minimum le pays d'émission, le numéro du document, les nom, prénom, date et lieu de naissance. Sous-section 3. - Le fournisseur de service d'identification

Art. 16.§ 1er. L'utilisateur final peut s'identifier lorsqu'il se connecte à une application internet ou transmet un document avec sa signature électronique et que son identification est validée auprès d'un fournisseur de service d'identification. § 2. Sous réserve de l'alinéa 2, pour ce qui concerne l'application Internet, une application similaire permettant l'accès à une application digitale des pouvoirs publics doit avoir été approuvée par le Service public fédéral Technologie de l'Information et de la Communication conformément aux règles fixées par le Roi.

Le Ministre et le Ministre de la Justice peuvent, à tout moment et par décision motivée, interdire l'utilisation d'une application Internet d'un fournisseur de service d'identification pour l'identification de l'utilisateur final d'une carte prépayée. § 3. Les données d'identification sont collectées par le fournisseur de service d'identification et transmises à l'entreprise concernée avant l'activation de la carte prépayée.

Sous-section 4. - L'opération de paiement en ligne

Art. 17.§ 1er. L'entreprise concernée peut identifier l'utilisateur final sur la base d'une opération de paiement électronique en ligne spécifique à l'achat ou la recharge de la carte prépayée.

Cette méthode est soumise aux conditions suivantes : 1° l'opération de paiement doit être traitée par un prestataire de services de paiement tel que visé à l'art.I.9. 2°, a), b), c), et d) du Code de droit économique; 2° Le prestataire de services de paiement est soumis à la loi du 11 janvier 1993Documents pertinents retrouvés type loi prom. 11/01/1993 pub. 29/07/2013 numac 2013000488 source service public federal interieur Loi relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. - Traduction allemande de dispositions modificatives type loi prom. 11/01/1993 pub. 27/06/2012 numac 2012000391 source service public federal interieur Loi relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. - Traduction allemande de dispositions modificatives fermer relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme;3° une nouvelle identification doit être effectuée dans les 18 mois qui suivent l'opération de paiement liée à la carte prépayée;4° l'utilisateur final introduit sur un formulaire en ligne de l'entreprise concernée au minimum son nom, son prénom et le lieu et la date de sa naissance. § 2. L'entreprise concernée conserve la référence de l'opération de paiement et les données du formulaire en ligne.

Sous-section 5. - L'extension ou la migration de produit

Art. 18.§ 1er. L'utilisateur final peut s'identifier en reliant la carte prépayée de l'entreprise concernée à un produit de la même entreprise auquel il a souscrit.

L'entreprise concernée s'assure, en mettant en place des mesures techniques et opérationnelles, que la personne qui demande l'extension ou la migration du produit est effectivement la personne identifiée pour ce produit. § 2. L'entreprise concernée conserve pour la carte prépayée toutes les données d'identification collectées pour le produit auquel cette carte est associée.

Sous-section 6. - La vérification par un moyen de communication électronique

Art. 19.§ 1er. Lorsque l'utilisateur final communique par un moyen de communication électronique ses données d'identification à l'entreprise concernée, cette dernière vérifie l'identité de ce dernier au moyen d'un outil de vérification de cette identité.

Cette méthode est soumise aux conditions suivantes : 1° le fournisseur de l'outil de vérification de l'identité doit avoir un siège dans l'Union européenne;2° à la demande d'une entreprise concernée, la méthode d'identification qu'elle propose doit être au préalable autorisée par arrêté pris par le Ministre et le Ministre de la Justice, après concertation avec l'Institut, les services de renseignement et de sécurité et le service de police désigné par le Roi. § 2. L'autorisation visée au paragraphe 1er, alinéa 2, 2°, peut être retirée à tout moment par le Ministre et le Ministre de la Justice.

L'entreprise concernée est entendue avant toute décision de retrait de cette autorisation.

Le critère pris en compte pour l'octroi ou le retrait de l'autorisation est le degré de fiabilité de l'identification obtenue, en tenant compte de l'exactitude, la complétude et la cohérence des données d'identification au moment de l'identification ainsi que la sécurité et de l'intégrité de ces données. § 3. L'entreprise concernée collecte et conserve au moins les nom, prénom, date et lieu de naissance ainsi que le domicile de l'utilisateur final. CHAPITRE 4. - Dispositions finales

Art. 20.En ce qui concerne les nouvelles cartes prépayées qui ont été activées et distribuées aux canaux de vente de services de communications électroniques avant l'entrée en vigueur du présent arrêté et que l'entreprise concernée n'a pas pu, pour des raisons techniques, désactiver avant cette date, les articles 4, § 2 et 7, alinéa 3, entrent en vigueur à l'expiration d'un délai de trois semaines prenant cours le jour après l'entrée en vigueur du présent arrêté .

Pour ces mêmes cartes actives qui sont vendues sans identification préalable entre la date d'entrée en vigueur de cet arrêté royal et la date d'entrée en vigueur fixée à l'alinéa 1er, l'entreprise concernée identifie l'utilisateur final au plus tard le premier jour du mois qui suit l'expiration d'un délai de 6 mois prenant cours le jour suivant la publication du présent arrêté au Moniteur belge.

Les entreprises concernées mettent en oeuvre la vérification systématique visée à l'article 11, § 1er, alinéa 2, au plus tard pour le 30 juin 2017.

Art. 21.Le ministre qui a les Télécommunications dans ses attributions est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, le 27 novembre 2016.

PHILIPPE Par le Roi : Le Ministre des Télécommunications, A. DE CROO Le Ministre de la Justice, K. GEENS

^