Article D98-5 du Code des postes et des communications électroniques

Règles portant sur les conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications et sur la sécurité et l'intégrité des réseaux et services.

I. – Respect du secret des correspondances et neutralité.

L'opérateur prend les mesures nécessaires pour garantir la neutralité de ses services vis-à-vis du contenu des messages transmis sur son réseau et le secret des correspondances.

A cet effet, l'opérateur assure ses services sans discrimination quelle que soit la nature des messages transmis et prend les dispositions utiles pour assurer l'intégrité des messages.

L'opérateur est tenu de porter à la connaissance de son personnel les obligations et peines qu'il encourt au titre des dispositions du code pénal, et notamment au titre des articles 226-13,226-15 et 432-9 relatifs au secret des correspondances.

Pour l'application des dispositions du IV de l'article L. 32-3, la périodicité du recueil du consentement exprès de l'utilisateur est fixée à un an.

II. – Traitement des données à caractère personnel.

Sans préjudice des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, l'opérateur met en œuvre une politique de sécurité relative au traitement des données à caractère personnel et prend les mesures nécessaires garantissant que seules des personnes autorisées puissent avoir accès aux données à caractère personnel dans les cas prévus par des dispositions législatives et réglementaires et que les données à caractère personnel stockées ou transmises soient protégées contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites.

1. L'opérateur garantit à tout client, outre les droits mentionnés à l'article R. 10, le droit :

– d'exercer gratuitement son droit d'accès aux données à caractère personnel le concernant ainsi que son droit de rectification de celles-ci ;

– de recevoir des factures non détaillées et, sur sa demande, des factures détaillées.

2. Lorsque les clients de l'opérateur reçoivent une facturation détaillée, les factures adressées :

– comportent un niveau de détail suffisant pour permettre la vérification des montants facturés ;

– ne mentionnent pas les appels à destination des numéros gratuits pour l'utilisateur ;

– n'indiquent pas les quatre derniers chiffres des numéros appelés, à moins que le client n'ait expressément demandé que cela soit le cas.

La facturation détaillée est disponible gratuitement pour l'abonné. Toutefois, des prestations supplémentaires peuvent être, le cas échéant, proposées à l'abonné à un tarif raisonnable.

3. L'opérateur permet à chacun de ses clients de s'opposer gratuitement et par un moyen simple, appel par appel ou de façon permanente (secret permanent), à l'identification de sa ligne par les postes appelés.

Lorsqu'un abonné dispose de plusieurs lignes, cette fonction est offerte pour chaque ligne. Cette fonction doit également être proposée pour des communications effectuées à partir de cabines téléphoniques publiques ou d'autres points d'accès au service téléphonique au public. L'opérateur met en oeuvre un dispositif particulier de suppression de cette fonction pour des raisons liées au fonctionnement des services d'urgence ou à la tranquillité de l'appelé, conformément à la réglementation en vigueur.

Lorsqu'un abonné dispose du secret permanent, l'opérateur lui permet de supprimer cette fonction, appel par appel, gratuitement et par un moyen simple.

4. L'opérateur informe les abonnés lorsqu'il propose un service d'identification de la ligne appelante ou de la ligne connectée. Il les informe également des possibilités prévues aux trois alinéas suivants :

Dans le cas où l'identification de la ligne appelante est offerte, l'opérateur permet à tout abonné d'empêcher par un moyen simple et gratuit que l'identification de la ligne appelante soit transmise vers son poste.

Dans le cas où l'identification de la ligne appelante est offerte et est indiquée avant l'établissement de l'appel, l'opérateur permet à tout abonné de refuser, par un moyen simple, les appels entrants émanant d'une ligne non identifiée. L'opérateur peut, pour des raisons techniques justifiées, demander à l' Autorité de régulation des communications électroniques, des postes et de la distribution de la presse de disposer d'un délai pour la mise en oeuvre de cette fonction.

Dans le cas où l'identification de la ligne obtenue est offerte, l'opérateur permet à tout abonné d'empêcher par un moyen simple et gratuit l'identification de la ligne obtenue auprès de la personne qui appelle.

5. L'opérateur permet à l'abonné vers lequel des appels sont transférés d'interrompre ou de faire interrompre le transfert d'appel gratuitement et par un moyen simple.

L'opérateur informe tout abonné, préalablement à la souscription du contrat, des droits mentionnés au 1 du II du présent article.

Lorsque l'opérateur fait appel à des sociétés de commercialisation de services, il veille, dans les relations contractuelles avec celles-ci, au respect de ses obligations relatives aux conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications.

III. – Sécurité des réseaux et des services.

La sécurité des réseaux et des services, au titre du présent article, s'entend comme leur capacité à résister à toute action qui compromettrait la disponibilité, l'authenticité, l'intégrité ou la confidentialité de ces réseaux ou services, des données stockées, transmises, ou traitées ou des services connexes offerts ou rendus accessibles par ces réseaux ou ces services.

L'opérateur prend toutes les mesures appropriées pour assurer la sécurité de ses réseaux et garantir la continuité des services fournis.

L'opérateur prend toutes les dispositions techniques et organisationnelles nécessaires pour assurer la sécurité de son réseau et de ses services à un niveau adapté au risque existant. En particulier, des mesures sont prises pour prévenir ou limiter les conséquences des atteintes à la sécurité pour les utilisateurs et les réseaux interconnectés.

L'opérateur prend les mesures utiles pour assurer la sécurité des dispositifs intégrés aux équipements terminaux nécessaires à l'identification et à l'authentification des utilisateurs pour la fourniture de services de communications électroniques.

Il se conforme aux prescriptions techniques en matière de sécurité éventuellement édictées par arrêté du ministre chargé des communications électroniques. Ce dernier peut se faire communiquer à titre confidentiel les dispositions prises pour la sécurisation du réseau.

L'opérateur informe ses clients des services existants permettant, le cas échéant, de renforcer la sécurité des communications.

Lorsqu'il existe une menace particulière et importante d'incident de sécurité dans des réseaux de communications électroniques ou des services de communications électroniques ouverts au public, l'opérateur informe les abonnés concernés par cette menace ainsi que de toute mesure de protection ou correctrice que ces derniers peuvent prendre.

Dès qu'il en a connaissance, l'opérateur informe le ministre de l'intérieur de tout incident de sécurité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services. Ce dernier en informe le ministre chargé des communications électroniques ainsi que les services de secours et de sécurité susceptibles d'être concernés. Lorsque l'atteinte à la sécurité résulte ou est susceptible de résulter d'un incident d'origine informatique, l'opérateur en informe également l'autorité nationale de défense des systèmes d'information. L'opérateur se conforme, le cas échéant, aux prescriptions techniques requises par le ministre chargé des communications électroniques pour remédier ou prévenir l'incident de sécurité.

Le caractère significatif de l'impact de l'incident de sécurité est déterminé en particulier au regard des paramètres suivants :
a) Le nombre d'utilisateurs touchés par l'incident de sécurité ;
b) La durée de l'incident de sécurité ;
c) L'étendue géographique de la zone touchée par l'incident de sécurité ;
d) La mesure dans laquelle le fonctionnement du réseau ou du service est affecté ;
e) L'ampleur de l'impact sur les activités économiques et sociétales.

Dès que l'opérateur a mené une analyse des causes et des conséquences de l'incident de sécurité, il en rend compte au ministre chargé des communications électroniques et à l'autorité nationale de défense des systèmes d'information dans le cas où cette dernière avait été informée ainsi que des mesures prises pour éviter leur renouvellement. Le ministre chargé des communications électroniques en informe les ministres intéressés.

Les administrations veillent à la confidentialité des informations qui leur sont communiquées. Toutefois, lorsqu'il est d'utilité publique de divulguer les faits, le ministre de l'intérieur peut en informer le public ou demander à l'opérateur en cause de le faire.

Lorsque l'incident de sécurité a un impact significatif dans un ou des autres Etats membres de l'Union européenne, le ministre chargé des communications électroniques informe les autorités compétentes des Etats membres. Dans le cas d'un incident d'origine informatique, l'autorité nationale de défense des systèmes d'information informe l'Agence européenne chargée de la sécurité des réseaux et de l'information des atteintes survenues.

Ces incidents de sécurité font l'objet d'un rapport annuel remis par le ministre chargé des communications électroniques à la Commission européenne et à l'Agence européenne chargée de la sécurité des réseaux et de l'information.