Du nouveau pour les opérateurs de communications électroniques
Publié le 29/04/2012 par Thibault Verbiest, Julie KASINSKI
La France vient de parachever la transposition en droit français du « paquet télécom » de 2009. Par un nouveau décret publié le 15 avril 2012 au Journal Officiel, elle cherche à garantir une meilleure sécurité des réseaux ouverts au public et à fournir un meilleur service aux consommateurs.
Le paquet Télécom vise à réguler le secteur des télécommunications dans l’Union européenne notamment en élargissant les compétences des régulateurs nationaux, mais également en renforçant la sécurité des réseaux et les droits des consommateurs.
Le décret n°2012-488 modifiant les obligations des opérateurs de communications électroniques apporte des précisions sur quatre éléments :
- La sécurisation des données personnelles dans les réseaux
- L’obligation d’alerte et d’informations pour les services de secours et/ou en cas de catastrophes
- L’amélioration des droits des utilisateurs
- La communication entre régulateurs
Les points forts du décret
La sécurisation des données personnelles dans les réseaux :
Le décret impose aux opérateurs de communications électroniques d’adopter et de mettre en œuvre une politique de sécurité pour leurs réseaux ouverts au public. Il s’agit de protéger les données collectées et surtout celles à caractère personnel. Les données personnelles devront ainsi être protégées contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisées ou illicites.
L’opérateur est également lié par un devoir d’information auprès de ses clients. A ce titre, il doit rapporter aux abonnés les services disponibles permettant de renforcer la sécurité des communications. De plus, si un risque de violation de la sécurité du réseau apparaît, l’utilisateur doit non seulement pouvoir avoir connaissance de son existence, mais également des solutions pour y remédier.
En cas d’atteinte significative à la sécurité ou pertes d’intégrité, les autorités publiques devront obligatoirement en être informées par une notification.
A noter enfin que pour prévenir et limiter l’impact des cyberattaques sur les systèmes d’information (dont l’indisponibilité serait de nature à compromettre la sécurité de la nation), les opérateurs doivent répondre aux prescriptions de l’autorité nationale de défense des systèmes d’informations.
L’objectif affiché est de prévenir les conséquences des atteintes à la sécurité non seulement pour les utilisateurs, mais également pour les réseaux interconnectés.
L’obligation d’alerte et d’informations dans les situations d’urgence
Les opérateurs auront désormais la charge de fournir aux services de secours les données de localisations dans les situations d’appels d’urgence.
En cas de catastrophes majeures, ils auront pour mission de transmettre des messages d’alertes afin d’informer la population des dangers. L’information qui sera alors transmise par les opérateurs devra répondre à quatre conditions :
- elle sera claire ;
- comparable ;
- actualisée ;
- facilement accessible.
Enfin, le décret prévoit également des dispositions spécifiques pour les personnes handicapées : un accès gratuit aux services d’urgence devra leur être fourni. Cet accès sera équivalent à celui que connaissent l’ensemble des utilisateurs au travers de moyens adaptés à l’handicap de l’utilisateur.
Ces dispositions répondent à la nécessité d’informer l’ensemble de la population de dangers imminents et d’assurer une efficacité et une rapidité d’action des services de secours.
L’amélioration des droits d’utilisateurs
Conformément au cadre réglementaire européen, le décret prend également en considération le consommateur notamment en ce qui concerne le délai de portage des numéros.
Pour rappel, ce dernier correspond, en nombre de jours ouvrables, à l’écart entre l’obtention par l’opérateur receveur de la confirmation de l’éligibilité de la demande de conservation du numéro par l’opérateur donneur et le portage effectif du numéro. Il est désormais établi que ce délai ne pourra pas excéder un jour.
Son respect est obligatoire, sauf en cas d’indisponibilité de l’accès ou de demande expresse de l’abonné.
Si l’opérateur ne respecte pas ce délai, des compensations devront alors être effectuées envers le client. Celles-ci auront été préalablement prévues par les contrats de services de communications électroniques.
La communication entre régulateurs
Le décret cherche enfin à améliorer la cohérence et la communication entre les régulateurs dans le cadre du contrôle des opérateurs exerçant une influence significative sur un marché du secteur des communications électroniques. Ainsi, lorsque l’Autorité de régulation des communications électroniques et des postes (l’ARCEP) décidera de prendre des mesures à l’égard de tels opérateurs, elle devra d’abord consulter la Commission européenne et l’autorité de régulation des communications électroniques, compétente à ce sujet.
Cette consultation s’inscrit dans le mouvement de coopération qui est mise en place entre les régulateurs européens.
La question des voix sur IP (VoIP)
Concernant le champ d’application de présent décret, une question reste en suspens : ces nouvelles obligations s’appliquent-elles au service de communication par internet (VoIP) ?
Le décret s’applique en principe aux utilisateurs et aux professionnels. Ces derniers sont définis comme « les opérateurs du secteur des communications électroniques ». Il reste donc à savoir si le service VoIP entre dans cette catégorie.
Un acte de l’ARCEP, partageant une étude sur le périmètre de la notion d’opérateur de communications électroniques, a été publié en juin 2011. Selon celle-ci, seuls les services « RTP à logiciel »(1) et « logiciel à RTP »(2) peuvent être considérés comme des opérateurs de communications électroniques. Le service de « logiciel à logiciel »(3) en revanche ne répondrait pas à cette définition.
En appliquant cette grille de lecture fournie par l’ARCEP, nous pouvons donc en déduire qu’a priori le décret n°2012-488 ne s’appliquera qu’aux services « RTP à logiciel » et « logiciel à RTP ».
Le respect de ces nouvelles obligations pourrait alors poser problème. En effet, les fournisseurs de VoIP ne sont pas toujours en mesure de déterminer où se situe l’utilisateur final du service. En cas d’appels d’urgence par exemple, ils se trouveraient alors dans l’impossibilité de transmettre les données de localisation aux services de secours. A ce titre, l’ARCEP pourrait alors avoir à prononcer des sanctions.
Un nouveau décret déjà en retard ?
Ce décret a pour but de répondre aux nouvelles implications et préoccupations qui accompagnent le développement du secteur des communications électroniques. Pourtant, il établit déjà le doute quant à son application aux services VoIP. L’ARCEP n’a donné pour l’instant que des éléments de réponse sur la question, sans prendre clairement position. Il n’en reste pas moins que ce décret nous donne déjà l’impression que, concernant le service VoIP, il serait temps pour le régulateur d’actualiser la page.