Règlement grand-ducal du 21 décembre 2004 déterminant les services de communications électroniques et les services postaux ainsi que la nature, le format et les modalités de mise à disposition des données dans le cadre de l'article 41 de la loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.

Adapter la taille du texte :

Règlement grand-ducal du 21 décembre 2004 déterminant les services de communications électroniques et les services postaux ainsi que la nature, le format et les modalités de mise à disposition des données dans le cadre de l'article 41 de la loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.

Nous Henri, Grand Duc de Luxembourg, Duc de Nassau,

Vu la loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, et notamment son article 41;

Vu l'autorisation de la Commission nationale pour la protection des données;

Vu la loi modifiée du 21 mars 1997 sur les télécommunications, et notamment son article 45;

Vu l'avis de la Chambre de commerce;

Notre Conseil d'Etat entendu;

Sur le rapport de Notre Ministre délégué aux Communications et après délibération du Gouvernement en conseil;

Arrêtons:

Art. 1er. Définitions.

Aux fins du présent règlement grand-ducal on entend par:

(1)

«Abonné»: une personne physique ou morale partie à un contrat avec une entreprise offrant des services de communications électroniques accessibles au public et/ou des services postaux pour la fourniture de tels services;

(2)

«Données relatives à l'identification»: nom, prénom(s), domicile ou lieu de résidence habituel, dénomination ou raison sociale, adresse de facturation ou lieu d'établissement de l'abonné et de l'utilisateur pour autant que ce dernier soit identifié ou identifiable;

(3)

«Données de souscription de l'abonné»: les données relatives à l'identification des services souscrits par l'abonné. Il s'agit notamment des identifiants individuels de l'abonné au sein des services, tels que le numéro de téléphone, l'adresse électronique, le lieu de fourniture de service, l'indication du caractère public ou non public des données, le numéro de la boîte postale;

(4)

«Institut»: l'Institut luxembourgeois de régulation;

(5)

«Services»: sont visés les services de communications électroniques et les services postaux;

(6)

«utilisateur»: une personne physique ou morale qui utilise ou demande un service de communications électroniques accessible au public;

(7)

«données de localisation»: toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service de communications électroniques accessible au public.

Les définitions de la loi modifiée du 15 décembre 2000 sur les services postaux et les services financiers postaux et celles prévues dans la législation sur les réseaux et les services de communications électroniques s'appliquent au présent règlement grand-ducal.

Art. 2. Obligations des opérateurs et des fournisseurs de services.

(1)

Les données relatives à l'identification des abonnés et utilisateurs et de leurs services sont mises à disposition de l'Institut par les opérateurs et fournisseurs de communications électroniques ainsi que des services postaux et des fournisseurs de ces services, sous forme d'un fichier informatisé, structuré en format XML. Les différents éléments du fichier XML sont à uniformiser conformément aux dispositions énoncées à l'annexe du présent règlement.

(2)

Ce fichier est transmis à l'Institut moyennant un réseau de communications électroniques en utilisant un protocole sécurisé fixé par l'Institut.

(3)

Chaque opérateur et fournisseur de services ainsi que la/les personne(s) agissant sous leur autorité respective est/sont responsable(s) de l'entretien et de la mise à jour des données se rapportant à ses abonnés, utilisateurs et à leurs services.

Art. 3. Attributions de l'Institut.

(1)

Toute requête d'accès aux données relatives aux abonnés, aux utilisateurs et à leurs services se fait par l'intermédiaire de l'Institut. Ce dernier reçoit les requêtes, les valide, les rend anonymes et interroge les fichiers mis à disposition par les opérateurs et fournisseurs de services respectifs.

(2)

La validation visée au paragraphe (1) consiste en un contrôle des droits d'accès du requérant. A cette fin le supérieur hiérarchique des autorités légales et organismes déterminés à l'article 41 paragraphe (1) de la loi du 2 août 2002 précitée communique à l'Institut une liste identifiant les personnes habilitées à exercer les droits d'accès requis. Seules les requêtes pour lesquelles le requérant dispose d'un droit d'accès correspondant permettront une interrogation des fichiers des opérateurs et fournisseurs de services.

(3)

Pour rendre les requêtes anonymes, l'Institut enlève toute information relative à l'identité du requérant avant toute interrogation des fichiers mis à disposition par les opérateurs et fournisseurs de services respectifs.

(4)

L'Institut regroupe les réponses émanant de l'interrogation des fichiers mis à disposition par les opérateurs et les fournisseurs de services et les transmet sous forme synthétisée au requérant initial.

Art. 4. Contenu des fichiers à mettre à disposition en vertu de l'article 2.

(1)

Le fichier contient les données relatives à l'identification des abonnés et/ou utilisateurs et à leurs services.

(2)

En matière de services postaux, les données à mettre à disposition sont: nom, prénom(s), adresse individuelle du titulaire d'une boîte postale et du destinataire de la poste restante ainsi que les informations nécessaires ayant trait au service spécifique souscrit par une personne déterminée portant sur la levée ou le dépôt individuel du courrier de celle-ci.

(3)

En matière de services de communications électroniques, les données à mettre à disposition sont celles relatives aux:

- services d'accès au réseau téléphonique public
- services téléphoniques accessibles au public
- services de transport de données
- services de messagerie électronique
- services Télex
- postes téléphoniques payant public ainsi que les données de localisation disponibles.

Art. 5. Consultation des données.

(1)

En vertu de leurs missions de surveillance conformément aux articles 88-1 à 88-4 du Code d'instruction criminelle, en cas de crime flagrant ou dans le cadre de l'article 40 du Code d'instruction criminelle les personnes dûment habilitées en vertu de l'article 3 paragraphe (2) du présent règlement ont accès aux informations contenues dans l'ensemble des fichiers énoncés à l'article 4.

(2)

Les personnes dûment habilitées en vertu de l'article 3 paragraphe (2) du présent règlement et qui sont chargées de répondre aux appels d'urgence effectués à destination de la centrale de secours d'urgence 112 et de la centrale du service d'incendie et de sauvetage de la Ville de Luxembourg ont accès aux services de communications électroniques énoncés à l'article 4 paragraphe (3) pour les données de localisation disponibles.

La consultation se fait uniquement sur les numéros d'appels entrants au service d'urgence, d'incendie ou de sauvetage.

Art. 6. Procédure.

(1)

Les informations renvoyées par l'Institut au requérant initial sur base d'une requête introduite dans le cadre des mesures spéciales de surveillance, du crime flagrant ou dans le cadre de l'article 40 du Code d'instruction criminelle contiennent tous les éléments résultant de l'interrogation des fichiers mis à disposition par les opérateurs et fournisseurs de services ainsi que l'identité des opérateurs et fournisseurs de services respectifs.

(2)

Les informations renvoyées par l'Institut sur base d'une requête introduite dans le contexte de l'article 5 paragraphe (2) ne contiennent que les données de localisation disponibles.

Art. 7. Sécurisation de l'équipement informatique et des transmissions.

(1)

Les éléments du système informatique hébergeant des données sont à installer dans des endroits suffisamment sécurisés contre les accès illicites et suffisamment protégés contre les interruptions accidentelles du service.

(2)

La transmission des requêtes et réponses se fait par un système de communications électroniques standardisé, selon des normes et standards choisis par l'Institut d'un commun accord avec la Commission nationale pour la protection des données, garantissant l'intégrité, l'authenticité et la confidentialité des données transmises.

Art. 8. Contrôle.

(1)

L'Institut veillera à la mise en place d'un registre permettant d'effectuer le contrôle de l'introduction tel que défini à l'article 23 lettres (d) et (e) de la loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.

(2)

(a) Chaque requête est subdivisée en une «enveloppe» et un «contenu» permettant de sauvegarder et de consulter, de façon séparée, les informations y relatives.
(b) Afin de pouvoir garantir l'authenticité et la confidentialité des enveloppes et des contenus, ils sont cryptés et dotés d‘une signature électronique.
(c) Ces données doivent être accessibles pendant une période de 12 mois à l'expiration de laquelle ces données sont à effacer.
(d) Les données ayant trait au contenu sont celles définies à l'article 4 du présent règlement. Les données relatives à l'enveloppe sont: l'identité du requérant, le numéro du dossier, la date et l'heure de la requête.
(e) L'Institut n'a pas accès au contenu du registre.

Art. 9. Disposition finale.

Notre Ministre délégué aux Communications est chargé de l'exécution du présent règlement qui sera publié au Mémorial.

Le Ministre délégué aux Communications,

Jean-Louis Schiltz

Château de Berg, le 21 décembre 2004.

Henri


Retour
haut de page