Transposition du nouveau cadre règlementaire européen des communications électroniques
Par deux décrets en date des 30 mars et 13 avril 2012, le Gouvernement français a finalisé la transposition en droit interne des nouvelles dispositions réglementaires issues de la révision du Paquet Telecom (directives 2009/136/CE et 2009/140/CE du 25 novembre 2009). Ces nouveaux textes comportent un panel de règles visant notamment à encadrer l’organisation du secteur des communications électroniques et à renforcer la sécurité des réseaux et des données des utilisateurs en créant des obligations à la charge des opérateurs.
Dans le cadre de la régulation du marché et des réseaux de communication électronique, des obligations de notification auprès des autorités communautaires ou nationales ont été précisées :
– En application de l’article L.38-2 du Code des postes et communications électroniques (CPCE) permettant à l’ARCEP d’imposer aux opérateurs réputés exercer une « influence significative » sur ce marché des obligations spécifiques de séparation fonctionnelle de leurs activités au sein d’entités indépendantes pour favoriser une concurrence effective, le décret définit les éléments d’information que l’ARCEP doit communiquer à la Commission européenne pour qu’elle examine la compatibilité des propositions de l’ARCEP à la législation européenne encadrant le marché unique ;
– En cas de cession totale ou substantielle des actifs d’un opérateur chargé de fournir les prestations du service universel, cette cession doit être préalablement notifiée auprès de l’ARCEP et du Ministre chargé des communications électroniques ;
– En application de l’article 34bis de la loi Informatique et Libertés, le décret détaille la procédure de notification à la CNIL des violations de la sécurité des traitements de données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques. Le décret prévoit notamment que la notification doit préciser la nature et les conséquences de la violation de données à caractère personnel, les mesures déjà prises ou proposées par le fournisseur de services de communications électroniques pour y remédier et, lorsque cela est possible, une estimation du nombre de personnes susceptibles d’être impactées par la violation en cause. Le cas échéant, cette notification doit également être adressée à la personne victime de cette violation lorsqu’elle porte atteinte à ses données personnelles ou à sa vie privée sauf lorsque la CNIL a constaté la mise en place par le fournisseur de mesures appropriées, c’est à dire de mesures techniques efficaces destinées à rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
L’autre volet des nouvelles obligations mises à la charge des opérateurs de communication électronique porte sur la sécurité des données ainsi que sur l’information et la protection des utilisateurs.
Ainsi, le décret 2012-488 du 13 avril 2012 prévoit que les opérateurs doivent mettre en œuvre une politique de sécurité relative au traitement des données à caractère personnel et prendre les mesures nécessaires garantissant que les données stockées ou transmises sont protégées contre toute forme d’atteinte. L’opérateur doit en particulier veiller à prendre toutes les mesures appropriées pour assurer l’intégrité de ses réseaux et garantir la continuité des services fournis.
Parallèlement, il est tenu à un devoir d’information auprès de ses utilisateurs : il doit les informer, d’une part, des services existants leur permettant de renforcer la sécurité des communications et, d’autre part, en cas de risque particulier de violation de la sécurité des réseaux, de tout moyen pour y remédier et du coût que cela implique. Les atteintes à la sécurité ou les pertes d’intégrité ayant un impact significatif sur le fonctionnement des réseaux ou services (cf. cyber-attaques) doivent être notifiées aux autorités publiques.
La protection et les droits des utilisateurs sont également renforcés. Les opérateurs sont désormais tenus de mettre, sans délai, à la disposition des services de secours, les données de localisation de l’appelant pour les appels d’urgence. En cas de catastrophes majeures, l’opérateur doit transmettre à ses utilisateurs les messages d’alerte et d’information des pouvoirs publics présentés de façon claire, comparable, actualisée et facilement accessible.
Un nouvel article D. 98-13 est également inséré dans le CPCE pour imposer aux opérateurs de mettre en œuvre des mesures spécifiques adaptées aux utilisateurs handicapés s’agissant notamment de l’accès aux services, de la présentation des contrats, des factures et de la documentation relative à ces services, ainsi que la mise en place d’une signalétique indiquant les terminaux et services adaptés aux situations de handicap.
Autre fait significatif, le délai de portage de numéros mobiles (correspondant au nombre de jours ouvrables entre, d’une part, l’obtention par l’opérateur receveur de la confirmation de l’éligibilité de la demande de conservation du numéro par l’opérateur donneur et, d’autre part, le portage effectif du numéro) est réduit à un jour (au lieu de trois). Les contrats de services de communications électroniques devront prévoir des compensations en cas de non respect de ce délai.
Ce nouveau cadre réglementaire consolide les évolutions législatives européennes relatives à l’organisation des activités d’opérateurs et leurs relations avec leurs abonnés, tout en favorisant la protection des données des utilisateurs. Les décrets sont entrés en vigueur au lendemain de leur publication au Journal Officiel, soit les 1er et 16 avril 2012.
Sabine DELOGES