Règles portant sur les conditions de confidentialité et de neutralité au regard des messages transmis et des
informations liées aux communications et sur la sécurité et l’intégrité des réseaux et services.
I. – Respect du secret des correspondances et neutralité.
L’opérateur prend les mesures nécessaires pour garantir la neutralité de ses services vis-à-vis du contenu des
messages transmis sur son réseau et le secret des correspondances.
A cet effet, l’opérateur assure ses services sans discrimination quelle que soit la nature des messages transmis
et prend les dispositions utiles pour assurer l’intégrité des messages.
L’opérateur est tenu de porter à la connaissance de son personnel les obligations et peines qu’il encourt au
titre des dispositions du code pénal, et notamment au titre des articles 226-13,226-15 et 432-9 relatifs au
secret des correspondances.
Pour l’application des dispositions du IV de l’article L. 32-3, la périodicité du recueil du consentement exprès
de l’utilisateur est fixée à un an.
II. – Traitement des données à caractère personnel.
Sans préjudice des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux
fichiers et aux libertés, l’opérateur met en oeuvre une politique de sécurité relative au traitement des données
à caractère personnel et prend les mesures nécessaires garantissant que seules des personnes autorisées
puissent avoir accès aux données à caractère personnel dans les cas prévus par des dispositions législatives
et réglementaires et que les données à caractère personnel stockées ou transmises soient protégées contre la
destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et
la divulgation non autorisés ou illicites.
1. L’opérateur garantit à tout client, outre les droits mentionnés à l’article R. 10, le droit :
– d’exercer gratuitement son droit d’accès aux données à caractère personnel le concernant ainsi que son droit
de rectification de celles-ci ;
– de recevoir des factures non détaillées et, sur sa demande, des factures détaillées.
2. Lorsque les clients de l’opérateur reçoivent une facturation détaillée, les factures adressées :
– comportent un niveau de détail suffisant pour permettre la vérification des montants facturés ;
– ne mentionnent pas les appels à destination des numéros gratuits pour l’utilisateur ;
– n’indiquent pas les quatre derniers chiffres des numéros appelés, à moins que le client n’ait expressément
demandé que cela soit le cas.
La facturation détaillée est disponible gratuitement pour l’abonné. Toutefois, des prestations supplémentaires
peuvent être, le cas échéant, proposées à l’abonné à un tarif raisonnable.
3. L’opérateur permet à chacun de ses clients de s’opposer gratuitement et par un moyen simple, appel par
appel ou de façon permanente (secret permanent), à l’identification de sa ligne par les postes appelés.
Lorsqu’un abonné dispose de plusieurs lignes, cette fonction est offerte pour chaque ligne. Cette fonction doit
également être proposée pour des communications effectuées à partir de cabines téléphoniques publiques ou
d’autres points d’accès au service téléphonique au public. L’opérateur met en oeuvre un dispositif particulier
de suppression de cette fonction pour des raisons liées au fonctionnement des services d’urgence ou à la
tranquillité de l’appelé, conformément à la réglementation en vigueur.
Lorsqu’un abonné dispose du secret permanent, l’opérateur lui permet de supprimer cette fonction, appel par
appel, gratuitement et par un moyen simple.
4. L’opérateur informe les abonnés lorsqu’il propose un service d’identification de la ligne appelante ou de la
ligne connectée. Il les informe également des possibilités prévues aux trois alinéas suivants :
Dans le cas où l’identification de la ligne appelante est offerte, l’opérateur permet à tout abonné d’empêcher
par un moyen simple et gratuit que l’identification de la ligne appelante soit transmise vers son poste.
Dans le cas où l’identification de la ligne appelante est offerte et est indiquée avant l’établissement de l’appel,
l’opérateur permet à tout abonné de refuser, par un moyen simple, les appels entrants émanant d’une ligne
non identifiée. L’opérateur peut, pour des raisons techniques justifiées, demander à l’ Autorité de régulation
des communications électroniques, des postes et de la distribution de la presse de disposer d’un délai pour la
mise en oeuvre de cette fonction.
Dans le cas où l’identification de la ligne obtenue est offerte, l’opérateur permet à tout abonné d’empêcher par
un moyen simple et gratuit l’identification de la ligne obtenue auprès de la personne qui appelle.
5. L’opérateur permet à l’abonné vers lequel des appels sont transférés d’interrompre ou de faire interrompre
le transfert d’appel gratuitement et par un moyen simple.
L’opérateur informe tout abonné, préalablement à la souscription du contrat, des droits mentionnés au 1 du II
du présent article.
Lorsque l’opérateur fait appel à des sociétés de commercialisation de services, il veille, dans les relations
contractuelles avec celles-ci, au respect de ses obligations relatives aux conditions de confidentialité et de
neutralité au regard des messages transmis et des informations liées aux communications.
III. – Sécurité des réseaux et des services.
La sécurité des réseaux et des services, au titre du présent article, s’entend comme leur capacité à résister
à toute action qui compromettrait la disponibilité, l’authenticité, l’intégrité ou la confidentialité de ces
réseaux ou services, des données stockées, transmises, ou traitées ou des services connexes offerts ou rendus
accessibles par ces réseaux ou ces services.
L’opérateur prend toutes les mesures appropriées pour assurer la sécurité de ses réseaux et garantir la
continuité des services fournis.
L’opérateur prend toutes les dispositions techniques et organisationnelles nécessaires pour assurer la sécurité
de son réseau et de ses services à un niveau adapté au risque existant. En particulier, des mesures sont
prises pour prévenir ou limiter les conséquences des atteintes à la sécurité pour les utilisateurs et les réseaux
interconnectés.
L’opérateur prend les mesures utiles pour assurer la sécurité des dispositifs intégrés aux équipements
terminaux nécessaires à l’identification et à l’authentification des utilisateurs pour la fourniture de services de
communications électroniques.
Il se conforme aux prescriptions techniques en matière de sécurité éventuellement édictées par arrêté du
ministre chargé des communications électroniques. Ce dernier peut se faire communiquer à titre confidentiel
les dispositions prises pour la sécurisation du réseau.
L’opérateur informe ses clients des services existants permettant, le cas échéant, de renforcer la sécurité des
communications.
Lorsqu’il existe une menace particulière et importante d’incident de sécurité dans des réseaux de
communications électroniques ou des services de communications électroniques ouverts au public,
l’opérateur informe les abonnés concernés par cette menace ainsi que de toute mesure de protection ou
correctrice que ces derniers peuvent prendre.
Dès qu’il en a connaissance, l’opérateur informe le ministre de l’intérieur de tout incident de sécurité ayant un
impact significatif sur le fonctionnement de ses réseaux ou de ses services. Ce dernier en informe le ministre
chargé des communications électroniques ainsi que les services de secours et de sécurité susceptibles
d’être concernés. Lorsque l’atteinte à la sécurité résulte ou est susceptible de résulter d’un incident d’origine
informatique, l’opérateur en informe également l’autorité nationale de défense des systèmes d’information.
L’opérateur se conforme, le cas échéant, aux prescriptions techniques requises par le ministre chargé des
communications électroniques pour remédier ou prévenir l’incident de sécurité.
Le caractère significatif de l’impact de l’incident de sécurité est déterminé en particulier au regard des
paramètres suivants :
a) Le nombre d’utilisateurs touchés par l’incident de sécurité ;
b) La durée de l’incident de sécurité ;
c) L’étendue géographique de la zone touchée par l’incident de sécurité ;
d) La mesure dans laquelle le fonctionnement du réseau ou du service est affecté ;
e) L’ampleur de l’impact sur les activités économiques et sociétales.
Dès que l’opérateur a mené une analyse des causes et des conséquences de l’incident de sécurité, il en
rend compte au ministre chargé des communications électroniques et à l’autorité nationale de défense des
systèmes d’information dans le cas où cette dernière avait été informée ainsi que des mesures prises pour
éviter leur renouvellement. Le ministre chargé des communications électroniques en informe les ministres
intéressés.
Les administrations veillent à la confidentialité des informations qui leur sont communiquées. Toutefois,
lorsqu’il est d’utilité publique de divulguer les faits, le ministre de l’intérieur peut en informer le public ou
demander à l’opérateur en cause de le faire.
Lorsque l’incident de sécurité a un impact significatif dans un ou des autres Etats membres de l’Union
européenne, le ministre chargé des communications électroniques informe les autorités compétentes des
Etats membres. Dans le cas d’un incident d’origine informatique, l’autorité nationale de défense des systèmes
d’information informe l’Agence européenne chargée de la sécurité des réseaux et de l’information des
atteintes survenues.
Ces incidents de sécurité font l’objet d’un rapport annuel remis par le ministre chargé des communications
électroniques à la Commission européenne et à l’Agence européenne chargée de la sécurité des réseaux et de
l’information.