Règlement 08/134/ILR du 1er décembre 2008. Secteur Communications électroniques. Règlement relatif aux spécifications techniques pour l'interception des communications électroniques au Luxembourg



Vu la loi modifiée du 30 mai 2005 sur les réseaux et les services de communications électroniques (ci-après: la loi de 2005) et notamment son article 4;

Vu la loi du 30 mai 2005 relative aux dispositions spécifiques de protection de la personne à l'égard du traitement des données à caractère personnel dans le secteur des communications électroniques et portant modification des articles 88-2 et 88-4 du Code d'instruction criminelle et notamment son article 5;

Vu la loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel et notamment son article 41;

Considérant les degrés de classification énoncés par l'article 4 de la loi du 15 juin 2004 relative à la classification des pièces et aux habilitations de sécurité;

Considérant qu'une des mesures de surveillance ordonnées dans le cadre des articles 67-1 et 88-1 à 88-4 du code d'instruction criminelle puisse consister dans l'interception de communications;

Considérant que doivent être déterminées des spécifications décrivant les types d'informations et les moyens de mise à disposition aux autorités légales;

La Direction de l'Institut Luxembourgeois de Régulation a arrêté en sa réunion du 1er décembre 2008 le règlement comme suit:

Section I: Champ d'application et définitions

Art. 1er.

Le présent règlement a pour objectif de définir le format et les modalités de mise à disposition des données techniques et des équipements afin de permettre aux autorités compétentes en la matière l'accomplissement de leurs missions légales de surveillance des communications. Sont notamment visées les mises à disposition de toutes formes de communications interceptées et des données y afférentes en vertu des articles 67-1, 88-1 à 88-4 du Code d'instruction criminelle.

Art. 2.

Au sens du présent règlement, on entend par:

(1)autorisation légale: décision prise conformément aux articles 67-1, 88-1 à 88-4 du Code d'instruction criminelle et ordonnant une mesure de surveillance;
(2)autorité légale: les autorités judiciaires agissant conformément aux articles 67-1, 88-1 et 88-2 du Code d'instruction criminelle et les autorités publiques agissant dans le cadre des articles, 88-3 et 88-4 du Code d'instruction criminelle;
(3)cible: personne physique ou morale à l'encontre de laquelle la mesure de surveillance est ordonnée;
(4)communication interceptée: communication faite moyennant un réseau ou service de communication électronique et faisant l'objet d'une mesure d'interception;
(5)mesure d'interception: mesure de surveillance appliquée à l'égard des communications faite par une cible aux fins d'accéder à tout contenu, y compris les données afférentes ainsi qu'à toute information relative des communications en question;
(6)mesure de surveillance: mesure ordonnée en application des articles 67-1, 88-1 à 88-4 du Code d'instruction criminelle;
(7)exploitant: opérateur ou toute entreprise notifiée conformément à la loi modifiée du 30 mai 2005 sur les réseaux et les services de communications électroniques;
(8)service-cible: un réseau de communication public ou un service de communications électroniques visés par une mesure de surveillance.
Section II: Mise à disposition des communications surveillées

Art. 3.

Dans le respect de l'autorisation légale, la mise à disposition par l'exploitant des données de la mesure d'interception à l'autorité légale concernée, en ce compris la communication interceptée, doit se faire en temps réel.

La forme dans laquelle les données doivent être transmises et les modalités techniques de la transmission, sont définies dans les spécifications nationales (Lawful interception of telecommunications: Application of ETSI standards in Luxembourg) qui se trouvent en annexe du présent règlement et en font partie intégrante.

Art. 4.

Dès la notification de l'autorisation légale à l'exploitant, celui-ci s'efforce à mettre en oeuvre incessamment les mesures d'interception ordonnées sans que cette mise en oeuvre ne puisse dépasser les délais maxima suivants:

Circonstances

Délai maximum

opération de routine
l'autorisation légale est notifiée pendant les heures de bureau

4 heures

opération urgente
l'autorisation légale est notifiée pendant les heures de bureau

30 minutes

opération urgente
opération urgente l'autorisation légale est notifiée en dehors des heures de bureau

2 heures

Art. 5.

(1)

Au cas où un exploitant utilise des procédés de codage, de compression ou de chiffrement, les informations interceptées sont à délivrer aux autorités légales en clair.

(2)

Au cas où un exploitant modifie le contenu d'une communication, il est également tenu à le reconvertir dans sa forme initiale avant de le transférer à l'autorité légale effectuant la mesure d'interception.

(3)

Au cas où la cible modifie le contenu d'une communication par chiffrement ou codage ou en lui administrant tout autre traitement de chiffrement, l'exploitant devra offrir tout le support possible aux autorités légales pour faciliter l'anéantissement de ce genre de chiffrement.

Section III: Mesures de sécurité

Art. 6.

(1)

Le dispositif d'interception de communications ne doit en aucun cas modifier la prestation du servicecible ni fournir une indication à un utilisateur de celui-ci qu'une mesure d'interception est en cours.

(2)

L'exploitant doit tenir un registre de toutes activités liées aux mesures d'interception. Ce registre doit contenir les informations suivantes pour chaque opération (initialisation d'une mesure d'interception, prolongation, clôture d'une mesure d'interception, etc.):

a)l'identité de la personne autorisée ayant effectué l'opération;
b)référence(s) du service ayant été l'objet de l'opération;
c)genre d'opération effectuée;
d)date et heure de l'opération.

(3)

Un contrôle du registre par l'autorité légale concernée doit être accordé à tout moment.

(4)

L'exploitant est tenu de protéger de façon adéquate les informations relatives aux mesures d'interception et aux équipements utilisés et de ne les divulguer à quiconque d'autre que les personnes autorisées mentionnées ci-dessus sans que l'autorisation écrite ne soit transmise préalablement par l'autorité légale concernée.

(5)

Tout accès non-autorisé réel ou tenté pour obtenir des informations sur les mesures d'interception et sur les équipements utilisés est à signaler à l'autorité légale concernée.

Section IV: Dispositif d'interception

Art. 7.

(1)

Le dispositif d'interception utilisé dans le cadre des mesures d'interception doit pouvoir permettre l'interception simultanée d'une même cible par plusieurs autorités légales différentes et ceci pour tous les services-cibles.

(2)

Les mesures d'interception des différentes autorités légales doivent rester séparées de façon à éviter que les cibles de l'une des autorités légales ne soient divulguées à une autre.

Art. 8.

La fiabilité et la qualité de service d'un dispositif d'interception doivent au moins être égales à la fiabilité et la qualité de service du service-cible.

Section V: Dispositions diverses

Art. 9.

A partir de sa mise en vigueur, les exploitants disposent d'un délai de 12 mois pour se conformer au présent règlement.

Art. 10.

(1)

Lorsqu'une mise en conformité d'équipements qui sont en service au moment de l'entrée en vigueur de la présente n'est techniquement pas possible, l'Institut peut accorder à l'exploitant une prorogation du délai de mise en conformité visé à l'article 9. A cette fin, l'exploitant introduit auprès de l'Institut une demande écrite, accompagnée des pièces probantes documentant l'impossibilité technique ainsi que du planning pour la mise hors service ou le remplacement des équipements en question. L'éventuelle décision de prorogation est limitée aux équipements respectifs pour une durée ne dépassant pas deux ans.

(2)

Une prorogation de deux ans du délai visé à l'article 9 peut être accordée par l'Institut pour des services de faible importance sur le marché des communications électroniques. A cette fin, l'exploitant introduit auprès de l'Institut une demande écrite, documentant la faible importance du service visé sur le marché des communications électroniques.

(3)

Une prorogation conforme aux paragraphes (1) et (2) peut être renouvelée à l'issue de deux ans, lorsque les services de communications électroniques concernés sont de moindre importance sur le marché des communications électroniques, lorsque leur importance sur le marché des communications électroniques est en déclin rapide et définitif ou lorsque les équipements respectifs approchent à la fin de leur cycle de vie.

(4)

L'importance sur le marché des communications électroniques d'un service, telle que visée aux paragraphes (2) et (3), s'apprécie notamment par le nombre d'utilisateurs, le chiffre d'affaire et la pertinence du service pour les autorités légales.

(5)

Avant toute décision d'accorder une prorogation, la demande de l'exploitant est transmise par l'Institut aux autorités légales pour avis. La décision est notifiée par l'Institut au demandeur et aux autorités légales.

Art. 11.

Le présent règlement est publié au Mémorial. L'annexe au présent règlement sera publiée au Recueil des Annexes du Mémorial.

La Direction

Annexe

Pour visualiser l'annexe, cliquez ici.