Nouveau cadre réglementaire des télécoms : le Gouvernement précise les obligations des opérateurs et des OTT

Ecrit par

willy mikalef module
Willy Mikalef

Partner
France

Avocat 'Tech' basé à Paris, je suis spécialisé dans les domaines de la Protection des Données Personnelles, des Communications et du Satellite, guidé par l'objectif de vous fournir des solutions pragmatiques et viables.

roxane olivier Module
Roxane Olivier

Associate
France

Avocate 'Tech' au bureau de Paris, je suis spécialisée dans les domaines des communications électroniques et de la protection des données personnelles.

Un décret publié le 2 octobre 2021 marque une nouvelle étape dans la transposition du Code Européen des Communications Electroniques en France. Le texte précise notamment les nouvelles obligations des opérateurs en matière de notification d’incidents de sécurité, de communications d’urgence, de reporting à l’Arcep, d’interopérabilité, ou d’information des consommateurs. Nous décryptons l’impact de ce décret pour les opérateurs, et notamment pour les fournisseurs de services Over The Top pour lesquels le nouveau cadre des télécoms constitue une révolution réglementaire. 

Où en est-on de la transposition du Code européen en France ?

Le 11 décembre 2018, l’Union européenne s’est dotée d’un Code Européen des Communications Electroniques (« CCEE » ou « Code européen »). Ce Code européen rassemble au sein d’un même texte et réforme en profondeur les dispositions de quatre directives du Paquet Télécoms européen de 2002. L’une de ses ambitions est d’étendre le champ d’application de la réglementation télécom aux fournisseurs mondiaux de services dits Over The Top (par exemple messagerie instantanée ou encore VoIP de logiciel à logiciel).

Les Etats membres de l’Union européenne avaient jusqu’au 21 décembre 2020 pour transposer le Code européen mais les processus de transposition nationaux ont été fortement impactés par la pandémie. A ce jour, huit pays ont transposé le texte en droit national. Une accélération est attendue d’ici à la fin de l’année.

En France, l’ordonnance n°2021-650 du 26 mai 2021 a constitué le premier acte de transposition du Code européen. Elle prévoyait que certaines dispositions seraient précisées par voie de décret. C’est dans ce contexte que le décret publié le 2 octobre 2021 vient détailler les obligations des opérateurs.

Quel est l’impact du décret pour les opérateurs ?

Suppression de l’obligation de déclaration et nouveaux cas de reporting auprès de l’ARCEP 

L’ordonnance n°2021-650 du 26 mai 2021 a supprimé l’obligation de déclaration préalable auprès de l’ARCEP pour les opérateurs télécoms dans un souci d’allègement des formalités administratives. Le décret supprime les références à la déclaration dans le Code des postes et des communications électroniques (« CPCE »). En particulier, il clarifie pour les opérateurs déclarés sous l’empire du précédent régime qu’ils n’ont plus l’obligation de mettre à jour leur déclaration en cas de changement de situation. L’article D98-1 III qui établissait cette obligation est purement et simplement supprimé.

Par ailleurs, le décret introduit de nouveaux cas de reporting d’information auprès de l’ARCEP et prévoit la possibilité pour le régulateur de demander des informations à d'autres entreprises actives dans le secteur des communications électroniques ou dans des secteurs connexes.

Evolution des obligations en matière de sécurité des réseaux et des services 

En matière de sécurité des réseaux et des services, le décret apporte les précisions suivantes :

Il prévoit que les opérateurs doivent informer leurs abonnés en cas de menace particulière et importante d’incident de sécurité et de leur indiquer les mesures qu’ils peuvent prendre pour se protéger. La version finale du décret précise que seuls les abonnés concernés doivent recevoir cette information.

Par ailleurs, il maintient l’obligation pour les opérateurs de notifier au Ministre de l’Intérieur tout incident de sécurité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services. L’obligation d’informer l’ANSSI semble légèrement étendue via une modification de terminologie. 

Dans leur process de gestion des incidents de sécurité, les opérateurs doivent intégrer la définition introduite dans le CPCE de la notion de « sécurité des réseaux et des services » ainsi que les paramètres insérés dans la réglementation pour apprécier l’ampleur de l’incident. Et donc les conséquences à y donner notamment en matière de notifications. Ces paramètres sont intentionnellement alignés sur ceux de la directive NIS. En effet, l’objectif du Code européen était de rapprocher les obligations de notification d’incidents de sécurité du secteur télécom des obligations applicables aux autres secteurs couverts par la directive NIS.

Nouveau cadre des communications d’urgence

Le décret transforme la notion d’appels d’urgence en communications d’urgence afin que cette dernière puisse englober tous les « services de communications interpersonnelles » qui peuvent rendre possible un accès aux services d’urgence, y compris en théorie ceux qui ne reposent pas sur l’utilisation de numéros. 

Cependant, alors que le projet de texte publié en janvier 2020 ouvrait explicitement la voie à la possibilité de pouvoir contacter un jour les pompiers ou le Samu via des services de communication non fondés sur la numérotation (VoIP logiciel à logiciel, messagerie instantanée ou vidéo), ces références ne sont pas reprises dans la définition finale de la notion de communications d’urgence. Les obligations d’acheminement des communications d’urgence sont quant à elles mises à la charge des seuls fournisseurs de services communications interpersonnelles fondés sur la numérotation, dans la continuité de l’ordonnance du 26 mai 2021. Cela confirme la philosophie de la nouvelle réglementation d’imposer plus d’obligations aux acteurs utilisant des numéros qu’à ceux qui n’en utilisent pas. Ces derniers semblent donc échapper au nouveau cadre réglementaire des communications d’urgence pour l’instant. 

Les incertitudes concernant ce que recouvrent les communications d’urgence devraient être levées avec l’adoption à venir d’un arrêté fixant les services de communication pouvant être utilisés pour joindre les services d’urgence.

Le décret apporte enfin des précisions sur les obligations de transmission d‘informations sur la localisation de l’appareil aux services d’urgences, et sur les communications d’urgences émises à partir de véhicules (dans le cadre du service eCall dévelopé à l’échelle de l’Union européenne).

Nouvelle obligation de transmettre des informations d’intérêt général

Une nouvelle obligation de transmission d’information d’intérêt général est introduite. Les pouvoirs publics peuvent donc demander aux opérateurs concernés d’envoyer des messages de sensibilisation des utilisateurs aux activités illicites qui peuvent être conduites via Internet ou les services téléphoniques. Ces messages peuvent également porter sur les moyens à disposition des utilisateurs de protéger leurs données personnelles d’actes malveillants. Un arrêté doit encore venir préciser les modalités de transmission de ces informations.

Cette nouvelle obligation ne s’applique pas aux fournisseurs de services de communication interpersonnelles non fondés sur la numérotation.

Extension de l’obligation de communiquer des messages d’alerte

L’obligation de transmettre des messages d’alerte à la population est étendue aux fournisseurs de services de communication interpersonnelles non fondés sur la numérotation (messagerie instantanée par exemple).

Un arrêté est également attendu pour venir préciser un certain nombre de points (spécifications techniques applicables, modalités d'acheminement et de transmission des messages).

Vers une obligation d’interopérabilité pour les acteurs OTT mondiaux ?

Le décret introduit la possibilité pour l’ARCEP d’imposer aux fournisseurs de services de communications interpersonnelles non fondés sur la numérotation des obligations d’interopérabilité. Si ce pouvoir était exercé, il s’agirait d’un véritable game changer pour les acteurs OTT mondiaux. Il pourrait être mis en œuvre si l’ARCEP jugeait que l’interopérabilité entre utilisateurs finals était compromise du fait d’un manque d’interopérabilité de ces services. 

Régulation des opérateurs puissants

Le décret publié le 2 octobre 2021 adapte les procédures de délimitation des marchés pertinents, de désignation des opérateurs ayant une influence significative sur le marché pertinent et de détermination des remèdes au nouveau cadre européen. Par exemple, les marchés pertinents sont déterminés pour une durée de 5 ans maximum au lieu de 3 ans. 

Le texte détaille également les modalités d'application de la procédure d'engagements en matière de co-investissement et d'accès aux réseaux ou introduit de nouvelles exigences. Par exemple, il instaure l’obligation de prévoir des niveaux de qualité de service pour toute offre publiée par un opérateur soumis à des obligations de non-discrimination. 

Information des consommateurs

Le décret détaille les informations à fournir aux consommateurs préalablement à la conclusion d’un contrat de services de communications électroniques. Le contenu de l’information diffère selon la catégorie de service fournie d’où l’importance pour chaque opérateur de bien déterminer la classification réglementaire de ses différents services. 

Par ailleurs, il spécifie la liste des informations à fournir aux personnes handicapées. Ces informations doivent être publiées sous une forme claire, complète, actualisée, lisible par machine et accessible.

Les opérateurs doivent donc aujourd’hui mettre à jour leur documentation commerciale pour prendre en compte ces nouvelles obligations extrêmement précises.

Le décret est disponible ici.

Points de vue

Voir plus

Loi SREN : Protection des mineurs

juin 19 2024

En savoir plus

La Loi SREN et son impact sur les plateformes numériques

juin 06 2024

En savoir plus

La Loi SREN : sécurisation et régulation de l'espace numérique en France

mai 28 2024

En savoir plus