Wetsontwerp introduisant des mesures de sécurité supplémentaires pour la fourniture de services mobiles 5G SOMMAIRE Pages Résumé 3 Exposé des motifs 4 Avant-projet 28 Analyse d'impact 34 Avis du Conseil d'État 46 Projet de loi 60 Coordination des articles 69 Le gouvernement a déposé ce projet de loi le 19 novembre 2021. Le “bon à tirer” a été reçu à la Chambre le 24 novembre 2021. na ieuw-Vaamse Aliante Écolo-Groën …_: Ecalagistss Canfédéré pour 'argansation da tes crig

19 novembre 2021 de Belgique SOMMAIRE Pages introduisant des mesures de sécurité supplémentaires pour la fourniture de services mobiles 5G PROJET DE LOI

N-VA : Nieuw-Vlaamse Alliantie Ecolo-Groen Ecologistes Confédérés pour l’organisation de luttes origi PS Parti Socialiste VB Vlaams Belang MR Mouvement Réformateur CD&V Christen-Democratisch en Vlaams PVDA-PTB Partij van de Arbeid van België – Parti du Travail de Belgi Open Vld Open Vlaamse liberalen en democraten Vooruit Vooruit cdH centre démocrate Humaniste DéFI Démocrate Fédéraliste Indépendant INDEP-ONAFH : Indépendant - Onafhankelijk

RÉSUMÉ

Le 9 octobre 2019, le groupe de coopération NIS a publié un rapport sur l’évaluation coordonnée des risques liés à la cybersécurité des réseaux de cinquième génération (5G). En janvier 2020, une boîte à outils commune contenant des mesures d’atténuation des risques a été publiée par le groupe de coopération NIS. Le but est de proposer des solutions concernant les risques identifiés dans le rapport précité.

La Commission européenne a apporté son soutien à la mise en œuvre de cette boîte à outils et l’a encouragée via la publication le 29 janvier 2020 de sa communication “Sécurité du déploiement de la 5G dans l’UE – Mise en œuvre de la boîte à outils de l’UE” au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Afin de mettre en œuvre cette boîte à outils, il a été choisi d’insérer un nouvel article 105 dans la loi du 13 juin 2005 relative aux communications électroniques.

En voici les grandes lignes: — Les MNO (Mobile Network Operators) doivent obtenir une autorisation préalable (ou une autorisation de régularisation) pour pouvoir utiliser un élément de leur réseau 5G; — Les MNO sont également tenus d’obtenir une autorisation préalable (ou une autorisation de régularisation) pour pouvoir faire appel à certains prestataires de services; — Lorsqu’un MNO offre des services de communications électroniques en Belgique à l’aide d’un réseau 5G, les infrastructures de ce réseau doivent se trouver sur le territoire des États membres de l’Union européenne.

En complément, les MNO peuvent se voir imposer des règles pour qu’ils exercent les activités qui sont absolument nécessaires pour le fonctionnement, la sécurité et la continuité de leur réseau sur le territoire des États membres de l’UE. Tout ce qui précède peut être étendu à une ou plusieurs catégories de MVNO (Mobile Virtual Network Operators) et à certains fournisseurs de réseaux privés

EXPOSÉ DES MOTIFS

Mesdames, Messieurs, EXPOSÉ GÉNÉRAL 1. Le déploiement de la 5G Le déploiement des réseaux de communications électroniques de cinquième génération (ci-après 5G) figure aujourd’hui au rang des priorités de l’agenda politique, des opérateurs mobiles et des entreprises. La 5G présente des avantages considérables par rapport aux générations précédentes de réseaux mobiles: elle est plus rapide, elle a un temps de réaction plus court (ce qui est important pour les applications tributaires du temps) et elle peut connecter davantage d’objets différents.

En outre, la 5G est plus efficace du point de vue énergétique et en termes d’utilisation du spectre, une ressource rare. Concrètement il faut penser aux grues automatiques dans les ports, aux pilotes qui, par gros temps, manœuvrent un bateau dans un port au centimètre près depuis leur ordinateur chez eux, à l’automatisation sans fil dans l’industrie de l’assemblage ou de la logistique; dans les transports en commun, il s’agit des métros autonomes et dans le secteur médical, les données des patients seront transmises sans fil au sein des réseaux hospitaliers, les ambulances transmettront les données des patients en direct aux urgences et les médecins pourront établir leur diagnostic à distance.

La 5G devient également de plus en plus importante pour les applications dans les villes intelligentes telles que la gestion des flux de trafic et l’indication des places de parking disponibles, et l’on peut également penser à des applications dans le domaine de l’environnement telles que la surveillance de la qualité de l’air à l’aide de compteurs de particules fines. La 5G est également considérée comme la pierre angulaire d’applications d’intelligence artificielle (AI).

La 5G améliorera aussi la couverture, ce qui permettra d’avoir une connexion de meilleure qualité, même en étant à l’intérieur. 2. Les travaux concernant la sécurité de la 5G effectués au niveau de l’Union européenne Vu l’importance de pouvoir se reposer sur des infrastructures sûres et fiables et d’assurer une souveraineté et autonomie numérique européenne, divers travaux ont

été menés au niveau de l’Union européenne concernant la sécurité de la 5G. Ces travaux ont été effectués entre autres par le groupe de coopération NIS. Ce groupe a été institué par l’article 11 de la directive “NIS” (directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union) et est composé de représentants des États membres, de la Commission et de l’ENISA (l’Agence de l’Union européenne pour la cybersécurité).

Le groupe de coopération NIS a publié le 9 octobre 2019 un rapport sur l’évaluation coordonnée des risques liés à la cybersécurité dans les réseaux de cinquième génération (5G) (“CG Publication 02/2019 - Risk assessment of 5G networks”). Ce rapport identifie un certain nombre de défis importants en matière de sécurité, qui vont apparaître avec la venue des réseaux 5G ou que ces derniers vont intensifier.

Un de ces défis est, selon ce rapport (§ 2.36., p.22), le fait que “Le plus grand rôle joué par les logiciels et services fournis par des fournisseurs tiers au sein des réseaux 5G provoque une plus grande exposition à un certain nombre de vulnérabilités susceptibles de découler du profil de risque de fournisseurs individuels.” (traduction libre) Selon ce même rapport (§ 2.37, p.22), “Les profils de risque des fournisseurs individuels peuvent être évalués sur la base de plusieurs facteurs, notamment: — La probabilité que le fournisseur subisse des ingérences d’un pays non européen. […] — La capacité du fournisseur à garantir l’approvisionnement; — La qualité globale des produits et pratiques de cybersécurité du fournisseur […]” (traduction libre) En janvier 2020, le groupe de coopération NIS a publié la boîte à outils commune de mesures d’atténuation des risques. (“CG Publication 01/2020: Cybersecurity of 5G networks EU Toolbox of risk mitigating measures”).

Cette boîte à outils entend apporter des solutions par rapport aux risques qui ont été identifiés dans son rapport sur l’évaluation coordonnée des risques liés à la cybersécurité dans les réseaux de cinquième génération (5G).

Selon cette boîte à outils (page 18), les États membres “devraient: — renforcer les exigences de sécurité pour les opérateurs de réseau mobile (contrôles d’accès stricts, règles concernant la sécurité de l’exploitation et de la surveillance, limitation de l’externalisation de certaines fonctions, etc.); — évaluer les profils de risque des fournisseurs; en conséquence, appliquer des restrictions pertinentes pour les fournisseurs considérés comme à haut risque – y compris les exclusions nécessaires pour atténuer effectivement les risques – pour les actifs essentiels définis comme critiques et sensibles dans l’évaluation coordonnée des risques pour l’UE (par exemple, les fonctions de réseau de base, les fonctions de gestion et d’orchestration et les fonctions de réseau d’accès); — veiller à ce que chaque opérateur se dote d’une stratégie multifournisseurs appropriée pour éviter ou limiter toute dépendance majeure à l’égard d’un seul fournisseur (ou de fournisseurs présentant un profil de risque similaire), garantir un équilibre suffisant entre les fournisseurs au niveau national et éviter la dépendance à l’égard des fournisseurs considérés comme à haut risque; cela nécessite également d’éviter toute situation d’enfermement propriétaire, notamment en promouvant une interopérabilité accrue des équipements.” (traduction libre) La Commission européenne a soutenu et encouragé la mise en œuvre de cette boîte à outils, en publiant le 29 janvier 2020 sa communication au Parlement européen et au Comité des régions, Sécurité du déploiement de la 5G dans l’UE – Mise en œuvre de la boîte à outils de l’UE.

3. La sécurité des communications dans le cadre du déploiement de la 5G en Belgique Un incident de sécurité affectant les réseaux 5G pourrait avoir un impact négatif significatif sur la sûreté, l’économie, les citoyens, les services publics belges ou les organisations internationales situées sur le territoire belge. Il convient à cet égard de rappeler que la Belgique occupe une situation particulière par rapport à d’autres États vu qu’elle accueille plusieurs institutions européennes ainsi que plusieurs sites militaires de l’OTAN.

Cet impact peut être significatif tant en cas d’actes malveillants – espionnage, sabotage, attaque informatique dirigée contre des services – qu’en cas de graves problèmes techniques non intentionnels.

La crise sanitaire due au COVID-19 a montré la grande dépendance de la société aux communications électroniques. Cette dépendance va être décuplée par l’émergence de systèmes connectés rendant essentielle la sécurité des communications électroniques. Par ailleurs, il est essentiel de préserver la sécurité et la discrétion des interceptions effectuées par les autorités judiciaires et les services de renseignement et de sécurité conformément à leur législation, ainsi que la capacité de ces services à effectuer de telles interceptions.

4. La solution retenue: un système d’autorisation préalable introduit dans la loi du 13 juin 2005 relative aux communications électroniques Tout comme c’est le cas en Belgique, d’autres pays européens (France, Pays-Bas, Italie, Royaume-Uni, Suède, etc.) ont pris ou ont l’intention de prendre des mesures par rapport aux équipementiers à haut risque dans le cadre de la 5G. Pour mettre en œuvre ces mesures, le présent avantprojet de loi met en place un système d’autorisation préalable des ministres concernés dans le cadre du déploiement de la 5G, comme c’est le cas dans d’autres pays (par exemple en France).

Cependant, dans un souci de transparence, les restrictions imposées aux opérateurs, à l’exception de la liste des zones sensibles et de l’identité des fournisseurs qui seraient considérés comme à haut risque, seront détaillées dans un arrêté royal, dont les ministres concernés tiendront compte lors de l’octroi de leur autorisation. Le système d’autorisation préalable est introduit dans la loi du 13 juin 2005 relative aux communications électroniques, vu qu’il concerne en premier lieu les opérateurs télécom et qu’il touche, en tout cas en ce qui concerne la qualité des produits et pratiques des fournisseurs en termes de sécurité, à la sécurité des réseaux et services des opérateurs.

Cette dernière est définie comme suit dans l’article 2, 21), de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen: “la capacité des réseaux et services de communications électroniques de résister, à un niveau de confiance donné, à toute action qui compromet la disponibilité, l’authenticité, l’intégrité ou la confidentialité de ces réseaux et services, de données stockées, transmises ou traitées ou des services connexes offerts par ces

réseaux ou services de communications électroniques ou rendus accessibles via de tels réseaux ou services”. Dès lors que certains opérateurs ont déjà commencé à déployer la 5G et afin de minimiser l’impact de la présente loi sur leur stratégie de déploiement 5G, il importe de fixer rapidement les exigences en la matière. 5. Explications techniques relatives au réseau 5G On peut considérer que le réseau 5G est composé de trois parties, à savoir le réseau d’accès radioélectrique (qui comprend les stations de base), le réseau de transport et la partie centrale du réseau (qui comprend entre autres le cœur du réseau, en ce compris les OSS (“operations support system”) et BSS (“business support system”)).

Ces différentes parties du réseau sont elles-mêmes composées de différents éléments, qu’il s’agisse de dispositifs matériels (en anglais “hardware”) ou de logiciels (en anglais “software”). L’arrêté royal qui exécutera l’article 105 précisera ce que chaque partie du réseau comprend

COMMENTAIRE ARTICLE PAR ARTICLE

CHAPITRE 2

Modifications de la loi du 13 juin 2005 relative aux communications électroniques Art. 2 L’article 2 définit dorénavant les notions de MNO (Mobile Network Operator ou un opérateur de réseaux mobile) et de MVNO (Mobile Virtual Network Operator ou opérateur de réseau mobile virtuel). Un opérateur de réseau mobile (MNO) dispose d’un réseau d’accès radioélectrique propre (réseau RAN), ainsi que de tous les éléments utiles à l’exploitation du réseau. Contrairement à un MNO, un opérateur de réseau mobile virtuel (MVNO) ne dispose ni d’un réseau d’accès radioélectrique propre ni d’une licence de spectre.

Art. 3 Cet article remplace l’article 105 de la loi du 13 juin 2005 relative aux communications électroniques qui est devenu obsolète. Paragraphe 1er L’alinéa 1er du paragraphe 1er introduit le système de l’autorisation préalable, étant donné que les éléments du réseau 5G sont en principe produits par un équipementier, qui peut avoir un profil à haut risque. L’autorisation est une autorisation commune des ministres concernés.

Il s’agit donc d’un seul et unique acte juridique auquel les ministres concernés consentent formellement dans le cadre d’une seule et même procédure. L’obligation d’autorisation préalable est nécessaire pour la préservation des intérêts visés à l’article 3, § 1er, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, à savoir: — la défense de l’intégrité du territoire national et des plans de défense militaire; — l’accomplissement des missions des forces armées; — la sûreté intérieure de l’État, y compris dans le domaine de l’énergie nucléaire, et la pérennité de l’ordre démocratique et constitutionnel; — la sûreté extérieure de l’État et les relations internationales de la Belgique; — le potentiel scientifique et économique du pays; — tout autre intérêt fondamental de l’État.

Cela comprend notamment la préservation de la sécurité et de la discrétion des interceptions effectuées par les autorités judiciaires et les services de renseignement et de sécurité; — la sécurité des ressortissants belges à l’étranger; — le fonctionnement des organes décisionnels de l’État; — la sécurité des personnes auxquelles, en vertu du Code d’instruction criminelle, des mesures de protection spéciales sont octroyées.

La portée de ces intérêts est exposée dans une directive du 25 mai 2001 du Comité ministériel du renseignement et de sécurité (aujourd’hui: le Conseil national de sécurité) relative aux modalités de classification, de déclassification et de modification du degré de classification (DIFFUSION RESTREINTE). En application du paragraphe 1er, alinéa 1er, de l’article 105, un MNO qui fournit un réseau mobile 5G devra obtenir une nouvelle autorisation, lorsqu’il souhaite utiliser un élément de réseau et que cette utilisation n’est pas couverte par l’autorisation qu’il a reçue.

A titre d’exemple, une nouvelle autorisation doit être demandée si: — un opérateur veut avoir recours à un autre équipementier que ceux qu’il a mentionnés dans sa demande initiale; — il veut utiliser d’autres éléments de réseau d’un équipementier que ceux qui sont couverts par l’autorisation ou, en cas d’éléments de réseaux fournis par un équipementier à haut risque, il veut augmenter le nombre de sites dans lesquels ils sont utilisés.

Dans son avis, le Conseil d’État indique que la situation des fournisseurs de services n’est pas claire pour lui. Pour tenir compte de cette remarque, la loi précise que le Roi peut soumettre les MNO à une autorisation préalable avant qu’ils puissent bénéficier de toute une série de services d’un fournisseur (intervention ponctuelle dans la gestion du réseau, notamment en cas d’incident ou de modification majeure du réseau ou gestion ou supervision quotidienne des éléments du réseau ou pour certains de ces fournisseurs) ou de certains de ces services.

En d’autres termes, le Roi sera amené à identifier les services fournis au MNO par un tiers qui nécessitent une autorisation préalable. L’extension aux fournisseurs de services ne pourra être effectuée par arrêté royal que pour autant que ce même arrêté contienne les mesures de restriction pour le recours à de tels fournisseurs. Lors de l’examen de la demande d’autorisation préalable et sur base des avis des services de renseignement et de sécurité et de l’Institut, les ministres concernés devront déterminer si le fournisseur de services auquel le MNO souhaite faire appel doit être qualifié de fournisseur à haut risque.

Les restrictions applicables dans l’arrêté royal ne s’appliqueront que pour le recours de MNO à des fournisseurs de services à haut risque.

La présente loi vise les réseaux mobiles de cinquième génération (5G). Afin de répondre à l’avis du Conseil d’État, une définition de la 5G a été introduite dans la présente loi. Cette définition fait référence à la recommandation ITU-R M.2150 de l’Union internationale de télécommunication (ci-après “la recommandation UIT-R”). Une première version de cette recommandation a été publiée en février 2021 et est disponible à l’adresse suivante: https://www​.itu​.int​/dms_pubrec​/itu​-r​/rec​/m​ /R​-REC​-M​.2150​-0​-202102​-I!!PDF​-E​.pdf.

Il convient de souligner que la définition de réseau 5G n’exige pas que le réseau d’accès radioélectrique soit 100 % conforme à chaque élément de cette recommandation. Cependant, en pratique, un équipementier soit suit l’ensemble des éléments obligatoires d’un standard, soit il ne le suit pas. L’alinéa 5 du paragraphe 1er exclut du champ d’application de l’article 105 les éléments suivants. Sont exclus les éléments passifs du réseau, qui sont par exemple des antennes passives, des prismes ou des filtres.

Ils sont exclus étant donné que le risque en termes de sécurité pour ces éléments est très faible. En effet, ils ne sont pas programmables et donc leur fonctionnement est connu d’avance. Sont également exclus les points de terminaison, pour autant qu’ils ne contiennent pas une partie radio basée sur une interface radio spécifiée dans la recommandation UIT-R M.2150 de l’Union internationale des télécommunications.

Pour rappel, la notion de “point de terminaison du réseau” est définie à l’article 2, 16°, de la loi du 13 juin 2005 relative aux communications électroniques. Enfin, sont exclus les éléments de réseaux mobiles de quatrième génération et des générations antérieures, pour autant qu’ils ne soient pas nécessaires à la fourniture de réseaux 5G. En revanche, les éléments de ces réseaux qui sont nécessaires à la fourniture de réseaux 5G tombent sous le régime de l’autorisation préalable.

Concrètement, si un réseau mobile utilise une technologie radio 5G, il doit être considéré comme un réseau 5G, même si certaines parties de ce réseau (par exemple le réseau cœur) ressortent encore de la quatrième génération des réseaux mobiles. A cet égard, la recommandation UIT-R M.2150 de l’Union internationale des télécommunications identifie trois interfaces radios dont une qui est basée sur l’utilisation d’un réseau 4G/ LTE.

L’autorisation préalable couvre cette interface radio et tous les éléments nécessaires à sa mise en œuvre.

Les réseaux mobiles de quatrième génération et des générations antérieures sont exclus étant donné que le risque en termes de sécurité est moins élevé que celui qui naîtra avec la 5G. En effet, comme il a été expliqué ci-dessus, avec la 5G, la société deviendra de plus en plus dépendante des réseaux mobiles de communications électroniques. Les technologies de 2e, 3e ou 4e génération sont respectivement la technologie GSM, la technologie UMTS et les technologies LTE conformément aux normes publiées par l’ETSI.

Ne sont également pas visés par l’avant-projet de loi les réseaux TETRA (Terrestrial Trunked Radio) et les réseaux reposant sur le standard de transmission sans fil IEEE 802.11 (Wi-Fi). L’alinéa 6 du paragraphe 1er s’explique comme suit. Le système que l’avant-projet de loi entend mettre en place est un système d’autorisation préalable. Cependant, en pratique, certains opérateurs auront déjà commencé à utiliser des dispositifs matériels ou des logiciels d’équipementier pour développer un réseau 5G, et auront déjà recours aux fournisseurs de services au moment de l’entrée en vigueur de l’arrêté royal qui exécutera l’article 105 de la loi du 13 juin 2005.

Pour ces opérateurs, l’autorisation ne sera par définition pas préalable mais consistera en une autorisation de régularisation (sur base d’une demande de régularisation). Dans le cas où l’arrêté royal qui fixe les restrictions pour l’utilisation d’éléments de réseau fournis par les équipementiers et l’arrêté royal qui fixe les restrictions pour le recours aux fournisseurs de services ne sont pas adoptés au même moment, la demande de régularisation concernant les éléments de réseau et la demande de régularisation concernant le recours aux fournisseurs de services peuvent être introduites à des moments différents.

Paragraphe 2 En fonction de positions futures du Conseil national de sécurité et en plus de l’extension du recours aux fournisseurs de services (cf. supra), le champ d’application de l’article 105 pourrait être étendu comme expliqué ci-après. Premièrement, le Roi pourrait étendre l’obligation visée au paragraphe 1er d’obtenir les autorisations visées à ce paragraphe à une ou plusieurs catégories d’opérateurs de réseaux mobiles virtuels mobiles (en anglais Mobile Virtual Network Operator ou MVNO).

En effet, cette extension n’a pas beaucoup de sens pour les catégories

de MVNO qui ne disposent pas ou très peu d’éléments d’infrastructure. Il s’agit de trois types d’autorisations, à savoir l’autorisation préalable concernant les éléments du réseau 5G (paragraphe 1er, alinéa 1er), l’autorisation préalable pour bénéficier des services de fournisseurs (paragraphe 1er, alinéa 2), ainsi que l’autorisation à la suite d’une demande de régularisation (paragraphe 1er, alinéa 6). Il va de soi que ces autorisations doivent se comprendre dans le cadre du champ d’application du paragraphe 1er et sont donc limitées à un réseau 5G.

Deuxièmement, le Roi pourrait étendre l’obligation visée au paragraphe 1er d’obtenir les autorisations visées à ce paragraphe à certaines entreprises qui déploient un réseau 5G privé. Il s’agit: — d’ASTRID (pour autant qu’elle déploie un tel réseau); — des fournisseurs qui seraient exploitants d’infrastructures critiques au sens de la loi “infrastructures critiques” ou opérateurs de services essentiels au sens de la loi NIS (loi du 7 avril 2019); — d’autres fournisseurs de réseaux privés qui sont désignés par une autorité que le Roi charge de cette tâche.

Il est à noter que dans son avis, le Conseil d’État demande de définir les réseaux privés mobiles. Ceci n’a pas été fait, dès lors que l’article 105 n’utilise plus cette notion. L’article 105, § 2, 2°, fait référence aux réseaux privés et ces derniers n’entrent dans le champ d’application de la loi que pour autant qu’il s’agisse de réseaux 5G. Or, la loi définit dorénavant les réseaux 5G. Un réseau privé est un réseau autre qu’un réseau public.

Un réseau public de communications électroniques est défini à l’article 2, 10°, de la loi du 13 juin 2005 relative aux communications électroniques. Enfin, le paragraphe 2, 4° précise également que le Roi peut préciser les hypothèses dans lesquelles une autorisation est nécessaire en cas de mise à jour d’un logiciel ou d’un dispositif matériel du réseau. Dans son avis, le Conseil d’État propose de viser à l’article 105, § 2, 5°, un “dispositif matériel d’un système informatique constituant un élément de réseau” à la place d’un dispositif matériel relatif à un élément de réseau.

Cette suggestion n’est pas suivie car un réseau de communications électroniques se distingue d’un système informatique. Les dispositifs logiciels

et matériels renvoient aux notions de hardware et de software employés également dans la version néerlandaise de cette disposition. Paragraphe 3 En pratique, une autorisation ne doit pas être demandée pour chaque élément actif du réseau, mais un dossier peut être introduit pour l’ensemble ou une partie des éléments du réseau. Le dossier est introduit par l’entreprise délivrant pour elle-même ou pour une tierce partie des services mobiles auprès de l’Institut, selon les modalités que l’Institut fixe sur son site internet.

Dans son avis, le Conseil d’État se demande si une seule demande doit être introduite, et si oui, auprès de quel ministre. Vu que la décision est prise de manière conjointe par les différents ministres, une demande pour l’ensemble des ministres suffit (et non une demande par ministre). Cette demande sera introduite auprès de l’Institut. Il revient à un MNO de déterminer s’il souhaite introduire une demande pour l’utilisation d’un élément de son réseau 5G et une demande séparée pour le recours à des fournisseurs de services ou une seule demande pour les deux.

Dans son avis, le Conseil d’État se demande également si chacun des ministres doit traiter de manière individuelle le dossier et demander l’avis de l’Institut et des services de renseignement et de sécurité. Ces questions seront réglées dans l’arrêté royal d’exécution de la loi. Les ministres concernés, l’Institut et les services de renseignement et de sécurité pourront demander des informations ou des documents complémentaires au demandeur ou à toute personne physique ou morale pouvant contribuer utilement à leur information.

Paragraphe 4 Tout d’abord, il est à noter que ce paragraphe a subi plusieurs révisions afin de tenir compte de l’avis du Conseil d’État. Les ministres concernés examineront la demande d’autorisation préalable ou de régularisation qui leur est soumise ou reverront d’initiative leur décision lorsqu’un nouvel élément de nature à remettre en cause cette décision le justifiera. Une révision de la décision

sera justifiée lorsqu’un élément non connu lors de la prise de décision aurait mené à une décision différente. Parmi les nouveaux éléments justifiant une révision figurent par exemple une modification des zones sensibles, une plus grande possibilité d’ingérence faisant que le profil de risque du fournisseur doit être réévalué, une diminution ou perte de capacité du fournisseur à garantir l’approvisionnement.

Les ministres concernés mettront en œuvre dans leur décision l’arrêté royal exécutant l’article 105, paragraphe 4, alinéa 1er. Cette disposition permet au Roi de restreindre le recours aux fournisseurs à haut risque en fonction de la partie du réseau et en tenant compte de zones sensibles. Les fournisseurs dont il est question dans l’alinéa  1er sont les équipementiers et les fournisseurs de services.

Un équipementier est considéré comme un type de fournisseur de l’opérateur. En effet, les éléments de réseau développés par l’équipementier sont fournis à l’opérateur, afin de lui permettre de construire et d’exploiter son réseau de communications électroniques. Les fournisseurs de services comprennent les fournisseurs de services gérés (en anglais “managed services providers”) et les partenaires de soutien (en anglais “supporting partners”).

En pratique, la tâche du partenaire de soutien est prise en charge par l’équipementier, l’opérateur lui-même, le groupe dont il fait partie, un fournisseur de services gérés ou une autre entreprise. Un équipementier peut être le fournisseur de services gérés. De telles restrictions sont nécessaires dès lors que les autres mesures de sécurité qui pourraient être imposées ne sont pas suffisantes pour réduire suffisamment les risques en jeu.

Ce paragraphe reprend les critères pour définir un fournisseur à haut risque tels que décrits dans le paragraphe 2.37 de l’évaluation coordonnée des risques au niveau de l’UE par le groupe de coopération NIS (cf. supra). Pour satisfaire aux remarques du Conseil d’État, des explications sont données sur la portée du concept d’ingérence et la liste non exhaustive de facteurs pouvant indiquer une possibilité d’ingérence.

Le terme “ingérence” doit s’entendre au sens le plus large et pas uniquement au sens de l’article 8, 1°, g, de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité. En effet, la possibilité d’ingérence ou de facilitation de celle-ci ne se limite pas aux tentatives d’influencer des processus décisionnels par des moyens illicites, trompeurs ou clandestins. Ainsi, l’ingérence (ou sa possibilité) visée porte sur toutes les mesures, les atteintes ou les interventions (ou leur possibilité) du pays concerné à l’encontre de la souveraineté interne et externe de l’État belge, en ce compris les atteintes aux intérêts à préserver dont il est question à l’article 3, § 1er, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Cette souveraineté comprend notamment le droit de l’État belge de choisir librement son système politique, économique, social et culturel ainsi que de choisir sa politique étrangère. Ce principe de souveraineté est d’ailleurs repris dans les résolutions 2625 (1970) et 2131 (1965) de l’Assemblée générale des Nations Unies. La possibilité d’ingérence inclut également a fortiori le risque de violations du droit international comme le principe de non-intervention et l’interdiction de recourir à la menace ou à l’emploi de la force, comme défini dans la Charte des Nations Unies.

En outre, l’ingérence visée (y compris les formes possibles d’espionnage) n’est pas limitée aux actes éventuels du pays d’implantation, mais comprend également l’ingérence par des pays tiers ou par le biais de l’utilisation d’acteurs non étatiques. Les facteurs visés à l’alinéa 3, 1°, et qui ont été repris de l’évaluation coordonnée des risques au niveau de l’UE, ne sont ni cumulatifs ni limitatifs.

La présence d’un seul facteur peut déjà indiquer une possibilité d’ingérence. Un premier facteur renvoie au lien ou à l’interaction entre l’entreprise et les services publics du pays en question qui est de nature à créer une possibilité d’ingérence. Ainsi, un contrôle formel ou informel, direct ou indirect du gouvernement ou des services publics (y compris les autorités militaires) sera pris en considération lors de l’analyse de la possibilité d’ingérence.

Le deuxième facteur indique les risques inhérents au système politique au sein duquel le fournisseur opère, notamment concernant le niveau de protection juridique, les principes de l’État de droit, les droits de l’homme, la protection de la propriété intellectuelle et les secrets de fabrication, etc. Il ne s’agit pas uniquement de la situation de jure, mais aussi de la manière dont on

interprète de facto le système politique ou la protection des données et juridique. Les caractéristiques de la propriété renvoient à l’organisation, à la transparence, aux structures de gestion, à l’actionnariat et au modèle de financement de l’entreprise. En outre, un contrôle de l’entreprise du fournisseur par une autre entreprise, qui est elle-même sujette à une possibilité d’ingérence, constituera également un facteur d’évaluation.

Le quatrième facteur indique la possibilité d’un pays d’exercer des pressions sur ou d’imposer des obligations à l’entreprise, de façon formelle ou informelle, pour qu’elle agisse de manière non conforme à la sécurité nationale ou à l’ordre public d’autres pays. Cela inclut également la possibilité d’imposer à l’entreprise de collaborer à des activités d’ingérence, d’espionnage ou de sabotage (indépendamment de leur licéité dans le pays d’origine) ou d’intervenir dans la liberté d’établissement de l’entreprise.

Le seul facteur ajouté aux critères concerne la conduite de ou l’implication dans une cyberpolitique offensive dans le pays dont un fournisseur est originaire. Pour un pays avec une cyberpolitique offensive, posséder ou contrôler une entreprise fournissant des éléments de réseau représente un atout majeur pour faciliter les activités de cybersécurité offensives. Au lieu de devoir hacker des cibles d’espionnage ou d’intrusion afin d’obtenir certaines informations, le pays peut recourir à son contrôle sur le fournisseur pour, par exemple via une porte dérobée (“backdoor”) prévue au préalable dans le matériel du réseau, obtenir l’accès souhaité.

En cas de conflits importants, le pays en question pourrait également utiliser cette emprise sur le fournisseur pour déconnecter (partiellement) le réseau ou perturber certains processus (par exemple des véhicules autonomes) dépendant du bon fonctionnement du réseau de télécommunications. La cyberpolitique ne renvoie donc pas uniquement aux activités du passé, mais également à la capacité et à la volonté d’un pays de déployer des cyberactivités susceptibles de menacer la sécurité nationale, la sécurité de l’information ou l’ordre public d’un pays.

D’autres facteurs non précisés qui ont une influence sur les intérêts à préserver visés à l’article 3, § 1er, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité peuvent également entrer en ligne de compte lors de l’évaluation du profil de risque du fournisseur. Il est noté qu’à l’instar du paragraphe 2.37 de l’évaluation coordonnée des risques au niveau de l’UE par le

groupe de coopération NIS (groupe qui est instauré par la directive NIS, voir supra), le paragraphe 4, alinéa 4, 1°, de l’article 105 de la présente loi concerne l’ingérence d’un pays tiers à l’Union européenne (“UE”) et non l’ingérence d’un pays tiers à la Belgique. Il convient de rappeler que ce document constitue une approche coordonnée entre les États membres et que le choix a été fait de ne pas dévier de cette approche sur ce point.

Il convient également de noter que l’Union européenne s’est dotée de nombreuses normes visant à assurer un socle minimum commun de protection des citoyens, tels que le Traité sur le fonctionnement de l’Union européenne, la Charte fondamentale des droits de l’Union européenne, le RGPD (règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), la directive vie privée et communications électroniques (directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques), le code des communications électroniques européen (directive (UE) 2018/1972 du 11 décembre 2018 européen), la directive NIS (directive (UE) 2016/1148 élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union) et le règlement sur la cybersécurité (Règlement (UE) 2019/881 du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications).

Ce socle commun propre au fonctionnement de l’Union européenne permet de distinguer les États membres de l’Union européenne des pays tiers en matière de sécurité des réseaux et des données en ce compris les données à caractère personnel. En outre, comme indiqué supra le présent projet fait suite à la “Cybersecurity of 5G networks EU Toolbox of risk mitigating measures” dont le but ultime est de créer un cadre commun aux États membres, solide et objectif de mesures de sécurité qui garantira un niveau adéquat de cybersécurité des réseaux 5G dans toute l’UE.

Ce sont les ministres concernés qui évalueront, lors de l’examen de la demande, le profil de risque du fournisseur,

sur base d’un avis des services de renseignement et de sécurité et d’un avis de l’Institut. Selon l’article 2, § 1er, de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité, les deux services de renseignement et de sécurité du Royaume sont la Sûreté de l’État, Service civil de Renseignement et de Sécurité, et le Service Général du Renseignement et de la Sécurité, Service militaire de Renseignement et de Sécurité.

Les avis des services de renseignement et de sécurité peuvent être classifiés conformément à la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. Il importe de souligner que l’avis des services de renseignement de sécurité et l’avis de l’Institut ne sont pas contraignants pour les ministres. Comme l’avis de l’IBPT est rendu dans le cadre d’un dossier individuel, il ne présente en principe pas de caractère d’utilité publique.

Une zone sensible est une zone déterminée par le Roi, sur base d’un avis du Conseil national de sécurité. La zone est déterminée en tenant compte de la sensibilité des sites qui s’y trouvent. Un site peut être considéré comme sensible lorsqu’il est lié à l’un des intérêts énumérés à l’article 3, § 1er, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité dans cette zone.

Lorsque les ministres concernés revoient leur décision d’initiative, ils fixent un délai pour la mise en œuvre de la nouvelle décision qui est postérieur aux délais prévus dans l’arrêté royal, et ce afin de donner à l’opérateur le temps nécessaire pour s’adapter. Dans tous les cas, le délai pour la mise en œuvre de la décision doit être d’une durée d’au moins de 5 ans à compter de sa notification. Ce délai minimum de cinq ans est prévu afin de garantir au marché une certaine stabilité.

Les critères à prendre en compte pour fixer ce délai sont notamment les critères suivants: le cycle de vie normal d’un équipement, le temps normal pour migrer d’un fournisseur vers un autre et la durée des contrats. Paragraphe 5 Une décision des ministres concernés par laquelle ces derniers revoient une décision antérieure, assortissent de conditions l’autorisation ou refusent cette autorisation

peut avoir des conséquences négatives importantes pour le demandeur. Par conséquent, le paragraphe 5 prévoit une procédure de consultation de ce dernier, avant que la décision finale ne soit prise. Dans son avis, le Conseil d’État se demande quel est le point de départ du délai de 28 jours laissé au demandeur pour formuler des observations écrites lorsque les ministres entendent refuser l’autorisation, l’assortir de conditions ou revoir leur décision d’initiative.

Ce point de départ est le jour où il est informé du projet de décision des ministres concernés. La loi ne désigne pas l’administration (par exemple l’Institut) ou le ministre (par exemple le ministre des télécoms) qui informera le demandeur de ce projet de décision, afin de permettre une flexibilité en pratique et une amélioration des procédures à l’aide de la pratique. Paragraphe 6 L’alinéa 1er du paragraphe 6 reflète les nouvelles tâches de l’Institut en matière de gestion des demandes d’autorisation préalable ou de régularisation et de préparation de la décision des ministres.

Cela ne signifie pas que ces tâches doivent exclusivement être effectuées par l’Institut. Par exemple, les services de renseignement et de sécurité pourraient également jouer un rôle important pour la préparation de la décision des ministres. Ces nouvelles tâches s’ajoutent aux tâches déjà prévues dans la présente loi, à savoir rendre un avis dans ces dossiers, contrôler le respect de la réglementation et de la décision des ministres et sanctionner le non-respect de ces règles.

Le délai dans lequel le projet de décision ou la décision d’approbation du dossier est communiqué au demandeur après l’introduction du dossier et le délai dans lequel la décision doit être prise après l’audition ou la réception des observations écrites seront fixés par arrêté royal, afin de permettre une adaptation de ces délais s’il apparait de la pratique que ces délais sont trop longs ou trop courts.

Il est à noter que lorsque les ministres revoient une décision antérieure (exemple retire une autorisation octroyée précédemment), il n’y a pas de délai pour envoyer au demandeur le projet de décision. Par contre, le délai fixé par le Roi est bien applicable pour prendre la décision après l’audition ou la réception des observations écrites.

Le nouvel alinéa 4 du paragraphe 6 prévoit une suspension des délais dans lesquels le projet de décision ou la décision d’approbation du dossier est communiqué au demandeur, en cas de demande d’informations ou de documents visée au paragraphe 3, alinéa 2. En effet, plusieurs demandes d’informations peuvent être envisagées dans le cadre du traitement d’un dossier. S’il apparaît que le dossier introduit par le demandeur ne reprend pas les informations requises par l’arrêté royal d’exécution de l’article 105, les informations nécessaires lui seront demandées pour compléter son dossier.

Même si le dossier introduit est conforme à cet arrêté royal, il est possible que l’Institut ou les services de renseignement et de sécurité doivent demander des informations complémentaires au demandeur ou à un tiers pour rendre leur avis. Ces différentes demandes d’information auront pour conséquence que plus de temps sera nécessaire pour traiter le dossier. Le paragraphe 6 prévoit également que “Le défaut de décision ou de projet de décision visé à l’alinéa 2 dans le délai fixé en vertu de l’alinéa 2 ou de l’alinéa 3 équivaut à un refus”.

Une telle disposition peut par exemple être utile si le demandeur, après avoir reçu une décision de refus, introduit un dossier identique. La décision des ministres concernés ne peut pas comporter de motifs liés à la sûreté intérieure et extérieure de l’État. Cela vise à protéger les avis des services de renseignement. Les avis des services de renseignement comportent des informations qui peuvent, en cas de divulgation, porter atteinte aux intérêts énumérés à l’article 3, § 1er, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Cet alinéa ne prévoit en aucun cas l’exclusion d’une motivation de la décision. Il vise uniquement à écarter une série d’éléments de cette motivation. Paragraphe 7 Un premier principe inscrit dans la loi pour protéger la liste des zones sensibles est que la personne qui a obtenu une copie de cette liste doit limiter la diffusion de cette copie aux personnes qui ont besoin d’en connaître et d’y avoir accès pour l’exercice de leurs fonctions ou de leur mission dans le cadre du déploiement et de l’exploitation (entendu au sens large du terme) du réseau 5G.

Pour s’assurer que ces principes soient respectés, des sanctions pénales sont prévues. Ces sanctions pénales couvrent les hypothèses dans lesquelles, par exemple, un employé de la personne morale, avec le consentement

de cette dernière (poursuite de la personne morale) ou sans son accord (poursuite de la personne physique), transmettrait cette liste à un tiers. Pour répondre à une remarque du Conseil d’État, le projet de loi ne prévoit plus qu’un opérateur peut consulter la liste des zones sensibles auprès de l’Institut, s’il peut justifier qu’il a besoin d’en connaître. Par conséquent, l’accès à la liste des zones sensibles se fera conformément à la loi du 11 avril 1994 relative à la publicité de l’administration, en tenant compte notamment de l’article 6, § 1er, de cette loi qui dispose que l’autorité administrative rejette la demande de consultation, d’explication ou de communication sous la forme de copie d’un document administratif si elle a constaté que l’intérêt de la publicité ne l’emporte pas notamment sur la protection de la sécurité de la population ou de l’ordre public, ou encore, de la sûreté ou de la défense nationales.

Ensuite, compte tenu du fait que la liste des zones sensibles contient des informations sensibles qui pourraient être utilisées par des acteurs afin de porter atteinte aux intérêts énumérés à l’article 3, § 1er, de la loi du habilitations, attestations et avis de sécurité, la présente disposition en projet interdit à la personne qui a obtenu une copie de la liste des zones sensibles de la divulguer à des tiers.

Ainsi, cette personne ne peut transmettre la liste des zones sensibles qu’aux personnes qui ont besoin d’en connaître et d’y avoir accès pour l’exercice de leurs fonctions ou de leur mission dans le cadre du déploiement et de l’exploitation du réseau 5G. Les personnes qui traitent une demande d’autorisation ou la révision d’une décision antérieure peuvent faire appel à des administrations publiques dans le cadre de la mise en œuvre de l’article 105 de la loi du 13 juin 2005 relative aux communications électroniques.

Ces personnes peuvent communiquer aux administrations publiques des informations confidentielles mais uniquement dans la mesure où c’est nécessaire pour ce que ces administrations publiques puissent effectuer la tâche qui leur est confiée. Pour répondre à une remarque du Conseil d’État, la loi précise les informations confidentielles que les personnes qui traitent le dossier ne peuvent pas communiquer à des tiers.

Il s’agit d’abord d’informations confidentielles du demandeur ou d’une entreprise à laquelle une autorité

(IBPT ou services de renseignement et de sécurité) aurait demandé des informations. Ces informations confidentielles sont celles que le demandeur ou cette entreprise qualifie comme telles. Cependant, en vertu de l’article 23, § 3, de la loi IBPT-statut (loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges), l’IBPT peut remettre en cause le caractère confidentiel d’informations considérées comme telles par une entreprise.

Il va de soi que ce sont les juridictions qui auront le dernier mot sur le caractère confidentiel ou non d’informations d’entreprise. Il s’agit également des informations confidentielles considérées comme telles par une autorité publique. On vise ici les informations confidentielles de l’État, soit des informations qui, en cas de diffusion, porteraient atteinte aux intérêts de l’État. L’alinéa 6 du paragraphe 7 énonce que les peines prévues en cas de violation du secret professionnel (article 458 du Code pénal) sont applicables en cas de violation de l’obligation de confidentialité qui repose sur les personnes qui traitent le dossier et sur les administrations publiques auxquelles elles feraient appel.

Enfin, il est à noter que suite à la remarque du Conseil d’État, la disposition qui prévoyait que “l’Institut dispose notamment des pouvoirs prévus à l’article 114/2 pour le contrôle du présent article, de son arrêté d’exécution et de la décision des ministres concernés” a été supprimée. En effet, il n’est pas nécessaire de prévoir une telle disposition dans la mesure où l’article 105 fera partie électroniques et par conséquent l’Institut dispose déjà des pouvoirs que cette loi lui octroie.

Paragraphe 8 D’abord, le fait que les infrastructures d’un réseau 5G d’un MNO se trouvent sur le territoire de l’Union européenne signifie que les données traitées par ce réseau seront, du moins en partie, également situées sur ce territoire et pourront donc bénéficier de la protection du RGPD (règlement général sur la protection des données, règlement (UE) 2016/679). Par ailleurs, dans son arrêt Télé 2 (21/12/2016, C‑203/15), la CJUE a indiqué que la réglementation nationale doit prévoir que les métadonnées que les opérateurs conservent pour les autorités le soient sur le territoire de l’Union européenne.

L’exigence de localisation du réseau 5G sur le territoire de l’Union européenne inclut les dispositifs matériels et les logiciels hébergés auprès de ces infrastructures. Par ailleurs, lorsqu’un fournisseur de services accède au réseau de l’opérateur par le biais d’une infrastructure informatique de l’opérateur, cette infrastructure fait partie du réseau et doit donc se trouver sur le territoire de l’Union européenne.

Afin de renforcer la résilience des réseaux en cas d’incidents techniques et/ou diplomatiques internationaux, le Roi devra imposer aux MNO les règles nécessaires afin que les activités indispensables au fonctionnement, à la sécurité et à la continuité du réseau s’effectuent au sein du territoire des États membres de l’Union européenne. Cela se justifie étant donné qu’il n’y a pas de garanties pour les pays tiers que ces tâches peuvent bénéficier des moyens de prévention, de contrôle et de réaction tels que présentés par la Commission et le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité dans la stratégie de cybersécurité de la Commission en date du 16/12/2020 (JOIN(2020) 18, “joint communication to the European Parliament and the Council the EU’s Cybersecurity Strategy for the Digital Decade”).

Il convient de noter que les règles concernant l’opération du réseau ont été assouplies à la suite de l’avis du Conseil d’État. Dans cet avis, le Conseil d’État fait comprendre que la situation des fournisseurs de services devrait être clarifiée et émet de sérieuses réserves au regard du principe d’égalité et de non-discrimination et du principe de proportionnalité par rapport à une restriction pour un MNO d’avoir recours aux services d’un fournisseur qui ne serait pas à haut risque, du seul fait de sa localisation.

Lors des discussions menées pour répondre aux remarques du Conseil d’État, il est apparu que les restrictions géographiques qui doivent être imposées pour la gestion, la configuration, la maintenance ou la supervision du réseau sont trop complexes et trop techniques que pour pouvoir être inscrites dans la loi. L’option a dès lors été choisie d’habiliter le Roi à fixer les exigences concrètes en la matière, en inscrivant le principe dans la loi (c’est également le Roi qui fixe les restrictions concrètes dans le cadre de l’autorisation préalable).

Une telle délégation au Roi permettra au Conseil d’État de se prononcer sur les exigences concrètes qui seront fixées dans l’arrêté royal. Afin d’assurer la proportionnalité des règles fixées par le Roi, la loi prévoit que ces règles ne peuvent être fixées que pour les activités indispensables au fonctionnement,

à la sécurité et à la continuité du réseau 5G. Une activité indispensable est par exemple l’exigence suivante inscrite dans la boîte à outils du groupe de coopération NIS (“Cybersecurity of 5G networks EU Toolbox of risk mitigating measures, 01/2020, p 25): “Veiller à ce que les MNO gèrent leurs centres d’opérations du réseau (NOC) et/ou centres d’opérations de sécurité (SOC) sur place, sur le territoire national et/ou dans l’UE.” (traduction libre).

Finalement, les règles que le Roi fixe doivent s’appliquer indépendamment du fait que c’est le MNO ou un fournisseur de services qui effectue ces activités, de manière à éviter toute discrimination ou entorse au principe d’égalité. Le Roi peut étendre les obligations et exigences visées au paragraphe 8, alinéa 1er et 2, aux MVNO qui sont soumis aux trois autorisations visées au paragraphe 1er et aux fournisseurs de réseaux privés de communications électroniques qui y sont également soumis.

CHAPITRE 3 Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges Art. 4 Cette modification est nécessaire pour permettre à l’IBPT de contrôler le respect de la décision des ministres concernés (en ce compris des conditions qui seraient imposées). Il est à noter que l’article a été revu afin de prendre en compte l’avis du Conseil d’État.

Art. 5 Cette modification est nécessaire dans la mesure où l’IBPT pourrait être amené à transmettre des informations confidentielles d’entreprises aux ministres concernés (voir la liste de ces ministres à l’article 105, § 1, alinéa 3, électroniques), afin que ces derniers puissent prendre, de manière éclairée, leur décision visée à l’article 105, § 6, alinéa 1er, de la loi du 13 juin 2005. Art. 6 l’IBPT de sanctionner le non-respect de la décision des

ministres concernés qui est visée à l’article 105, § 6, alinéa 1er, de la loi du 13 juin 2005 relative aux communications électroniques. L’article 21, § 5, de la loi IBPT-statut permet au Conseil de l’IBPT, lorsqu’il conclut à l’existence d’une infraction de donner à un opérateur “l’ordre de remédier à l’infraction, soit immédiatement, soit dans le délai raisonnable qu’il impartit, pour autant que cette infraction n’ait pas cessé” et de préciser “la manière dont il faut remédier à l’infraction”.

Un tel pouvoir pourrait par exemple mener l’IBPT à obliger un opérateur à introduire une demande d’autorisation auprès des ministres concernés lorsqu’il a omis de le faire. Un tel pouvoir pourrait également amener l’IBPT à ordonner à un opérateur de faire rétablir à ses frais la situation antérieure dans un certain délai (en pratique retirer de son réseau certains éléments), si l’opérateur ne respecte pas la décision des ministres concernés de ne pas octroyer l’autorisation ou les conditions attachées à cette dernière.

CHAPITRE 4 Disposition finale et entrée en vigueur Art. 8 La version de cet article soumise à l’avis du Conseil d’État prévoyait l’entrée en vigueur des obligations de localisation du réseau et de son opération à partir de l’Union européenne pour le 1er janvier 2026. Dorénavant, ce sera le Roi qui fixera les dates d’entrée en vigueur des différentes obligations, et ce pour les raisons suivantes. D’abord, afin de tenir compte des remarques du Conseil d’État concernant la localisation des fournisseurs (voir supra les commentaires à l’article 105, § 8), les exigences concrètes en la matière seront dorénavant fixées dans un arrêté royal, délibéré en Conseil des ministres.

Dès lors, il est pertinent de prévoir que l’entrée en vigueur de ces exigences soit également fixée par l’arrêté royal délibéré en Conseil des ministres. Par ailleurs, cet arrêté royal pourra le cas échéant prévoir des dates d’entrée en vigueur des obligations différentes selon les couches de réseau et tenir compte le cas échéant des dates d’application des restrictions relatives à l’utilisation des éléments actifs à haut risque sur les diverses parties du réseaux 5G.

Pour rappel, ces restrictions et leur

date d’application seront définies dans un arrêté royal conformément à l’article 105, § 4. La vice-première ministre et ministre de la Fonction publique, des Entreprises publiques, des Télécommunications et de la Poste, Petra DE SUTTER

AVANT-PROJET DE LOI

soumis à l’avis du Conseil d’État Avant-projet de loi introduisant CHAPITRE 1ER Disposition générale Article 1er La présente loi règle une matière visée à l’article 74 de la Constitution.  Modifications de la loi du 13 juin 2005 relative aux Dans l’article 2 de la loi du 13 juin 2005 relative aux communications électroniques, modifiée en dernier lieu par la loi du 26 mars 2018, les modifications suivantes sont apportées:

1° il est inséré un X° rédigé comme suit: “X° “MNO”: un opérateur qui offre des services de communications électroniques mobiles et qui dispose d’un réseau d’accès radioélectrique propre, ainsi que de tous les éléments utiles à l’exploitation du réseau;”;

2° il est inséré un Y° rédigé comme suit: “Y° “MVNO”: un opérateur qui offre des services de communications électroniques mobiles sans être MNO.”. L’article 105, de la même loi, est remplacé par ce qui suit: “Art. 105. § 1er. Dans le but de préserver les intérêts visés à l’article 3, § 1er, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, les MNO obtiennent une autorisation des ministres concernés visés à l’alinéa 2 avant d’utiliser un élément de leur réseau.

Pour l’application du présent article, il faut entendre par ministres concernés: le Premier ministre, le ministre des Télécommunications, le ministre de la Défense, le ministre de la Justice, le ministre de l’Intérieur et le ministre des Affaires étrangères.

L’alinéa 1er n’est pas d’application:

1° pour l’utilisation d’éléments passifs du réseau, à savoir des éléments qui ne sont pas alimentés par une source d’énergie;

2° pour les points de terminaison tels que définis à l’article 2, 16°, qui n’émettent pas de signaux radioélectriques de service mobile 5G;

3° pour les réseaux mobiles de quatrième génération et des générations antérieures, pour autant qu’ils ne sont pas nécessaires à la transmission des signaux radioélectriques des générations ultérieures à la quatrième génération. Si l’utilisation dudit élément de réseau est déjà effective à la date d’entrée en vigueur de l’arrêté royal visé au paragraphe 4, alinéa 1er, 1°, la demande de régularisation est introduite dans les deux mois qui suivent cette date.

Le réseau mobile d’un MNO d’une génération ultérieure à la quatrième génération se trouve sur le territoire de l’Union européenne et est géré, exploité, configuré et supervisé à partir de ce territoire. § 2. En tenant compte des intérêts visés au paragraphe 1er, alinéa 1er, le Roi peut, par arrêté délibéré en Conseil des ministres:

1° étendre l’obligation d’obtenir une autorisation visée au paragraphe 1er à une ou plusieurs catégories de MVNO;

2° étendre l’obligation d’obtenir une autorisation visée au paragraphe 1er aux fournisseurs de réseaux privés mobiles de communications électroniques ou à une ou plusieurs catégories de fournisseurs, ou charger une ou plusieurs autorités de désigner les fournisseurs soumis à cette obligation;

3° étendre l’obligation d’obtenir une autorisation visée au paragraphe 1er pour bénéficier de services de fournisseurs qui interviennent ponctuellement dans la gestion du réseau, notamment en cas d’incident ou de modification majeure du réseau ou qui gèrent ou supervise quotidiennement des éléments du réseau, pour autant qu’Il fixe les restrictions applicables pour l’utilisation de leurs services;

4° préciser les hypothèses dans lesquelles une autorisation visée au paragraphe 1er , alinéa 1er, est nécessaire en cas de mise à jour d’un logiciel ou d’un dispositif matériel relatif à un élément de réseau;

5° préciser les obligations visées au paragraphe 1er, alinéa 5, et les étendre à une ou plusieurs catégories de MVNOs et de fournisseurs visés à l’alinéa 1er, 2°. § 3. Le demandeur introduit son dossier auprès des ministres concernés.

Le Roi fixe, par arrêté délibéré en Conseil des ministres, la composition du dossier. Les ministres concernés transmettent immédiatement le dossier aux entités consultatives afin qu’elles formulent un avis conformément au paragraphe 4, alinéa 4. Les ministres concernés et l’Institut peuvent demander des informations ou des documents complémentaires au demandeur ou à toute personne pouvant contribuer utilement à leur information. § 4.

Lorsqu’ils prennent leur décision après l’examen de la demande visée au § 1er, ou la revoient d’initiative en raison d’un nouvel élément, les ministres concernés mettent en œuvre les restrictions fixées par le Roi, par arrêté délibéré en Conseil des ministres, concernant:

1° l’utilisation, sur le territoire national ou dans les zones sensibles de ce territoire, d’éléments de réseau ou de services de fournisseurs à haut risque;

2° la localisation des éléments de réseaux ou du fournisseur. Lorsqu’ils revoient leur décision d’initiative et lorsque c’est justifié, les ministres concernés fixent une date de mise en œuvre de la nouvelle décision qui est postérieure par rapport aux délais fixés par l’arrêté royal visé à l’alinéa 1er et qui suit d’au moins cinq ans la date de sa notification. Le profil de risque d’un fournisseur est évalué sur base des critères suivants:

1° La probabilité qu’il subisse une ingérence de la part d’un pays autre qu’un État membre de l’Union européenne, une telle ingérence pouvant être facilitée, sans s’y limiter, par la présence d’un ou de plusieurs des facteurs suivants: — un lien fort avec le gouvernement du pays en question; — la législation ou la situation au sein du pays en question, notamment lorsqu’il n’y a pas de contrôle démocratique ou législatif en place ou en l’absence de conventions de protection des données ou de sécurité entre l’Union européenne et le pays en question; — les caractéristiques de la propriété d’entreprise du fournisseur; — la capacité du pays en question à exercer toute forme de pression, y compris par rapport au lieu de fabrication des équipements; — le pays d’où est originaire le fournisseur mène ou est associé à une politique cyber offensive.

2° La capacité du fournisseur à garantir l’approvisionnement en termes de délai et de quantité;

3° La qualité globale des produits ou services et les pratiques en matière de sécurité du fournisseur, y compris le degré de contrôle sur sa propre chaîne d’approvisionnement et la question de savoir si une hiérarchisation adéquate des priorités est donnée aux pratiques en matière de sécurité. Le Roi peut, par arrêté délibéré en Conseil des ministres, compléter les critères visés à l’alinéa 3. Le profil de risque d’un fournisseur est évalué sur la base d’un avis des services de renseignement et de sécurité en ce qui concerne le critère fixé à l’alinéa 3, 1°, et sur la base d’un avis de l’Institut en ce qui concerne les critères fixés à l’alinéa 3, 2° et 3°.

Les zones sensibles sont identifiées par le Conseil national de sécurité, et ce, en tenant compte de la présence dans ces zones de sites liés aux intérêts énumérés à l’article 3, § 1er, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. Un opérateur peut consulter la liste des zones sensibles auprès de l’Institut, s’il peut justifier qu’il a besoin d’en connaître. § 5.

Lorsque les ministres concernés entendent refuser l’autorisation, l’assortir de conditions ou revoir leur décision d’initiative, le demandeur dispose de vingt-huit jours calendriers après avoir été informé du point de vue des ministres concernés pour présenter ses observations écrites. Le demandeur peut demander à être entendu. Les ministres concernés peuvent se faire représenter par l’administration de leur choix.

L’Institut et les services de renseignement et de sécurité peuvent participer à l’audition. § 6. Les ministres concernés prennent une décision dans les trois mois à partir de l’introduction de la demande. S’ils ne sont pas en mesure de prendre une décision dans ce délai, le délai dans lequel la décision sera rendue est communiqué au demandeur. Sauf en cas d’application de l’alinéa 2, le défaut de décision dans le délai de trois mois fixé à l’alinéa 1er équivaut à un refus. § 7.

Les personnes qui traitent le dossier introduit en vertu du paragraphe 3 sont tenues au secret professionnel. Elles ne peuvent communiquer à des tiers des informations confidentielles dont elles ont connaissance dans le cadre de l’exercice de leurs fonctions, hormis les exceptions prévues par la loi.

L’Institut dispose notamment des pouvoirs prévus à l’article 114/2 pour le contrôle du présent article, de son arrêté d’exécution et de la décision des ministres concernés.” Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges Dans l’article 14, § 1er, alinéa 1er, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges, modifiée en dernier lieu par la loi du 7 avril 2019, il est inséré le point j) rédigé comme suit: “j) toute décision contraignante adoptée par la Commission européenne, par l’Institut, ou par les ministres visés à l’article 105, § 1er, alinéa 2, de la loi du 13 juin 2005 relative aux communications électroniques.”.

A l’article 21, § 1er, de la même loi, les modifications suivantes sont apportées:

1° les mots “ou aux décisions prises” sont remplacés par les mots “à une décision prise”.

2° les mots “, ou à une décision prise par les ministres visés à l’article 105, § 1er, alinéa 2, de la loi du 13 juin 2005 relative aux communications électroniques” sont insérés entre les mots “en exécution de cette législation ou réglementation” et “, il fait part le cas échéant de ses griefs à l’intéressé”. Le Roi peut codifier les dispositions pertinentes de la loi de 13 juin 2005 relative aux communications électroniques ou d’autres lois relatives aux communications électroniques, en ce compris celles modifiées et insérées par la présente loi, ainsi que les dispositions qui y auraient, jusqu’au moment de la coordination, expressément ou implicitement apporté des modifications.

A cette fin, Il peut:

1° modifier l’ordre, la numérotation et, en général, la présentation des dispositions à codifier;

2° modifier les références qui seraient contenues dans les dispositions à codifier en vue de les mettre en concordance avec la nouvelle numérotation;

3° modifier la rédaction des dispositions à codifier en vue d’assurer leur concordance et d’en unifier la terminologie sans qu’il puisse être porté atteinte aux principes inscrits dans ces dispositions. La codification remplacera les dispositions visées à l’alinéa 1er et entrera en vigueur à la date de sa confirmation par la loi. Art. 7 L’article 105, paragraphe 1er, alinéa 4, entre en vigueur le 1er janvier 2026.

Avant-projet de loi introduisant des mesures de sécurité sup Analyse d'imp Fiche signalétique A. Auteur Membre du Gouvernement compétent Madame Petra De Sutter Contact cellule stratégique Nom : Marijke De Rooms E-mail : marijke.derooms@bosa.fgov.be Téléphone : +32475730217 Administration IBPT Contact administration Nom : Evy Bawin E-mail : evy.bawin@BIPT.be Téléphone : +32476614148 B.

Projet Titre de la règlementation Avant-projet de loi introduisant des mesures de sé mobiles 5G Description succincte du projet de réglementation e directive, accord de coopération, actualité, …), les o Divers travaux ont été menés au niveau de l’Union abouti à des recommandations invitant les Etats m avant-projet doit être lu dans ce contexte. En conséquence de cet avant-projet, les réseaux 5 opérateurs d'un réseau mobile 5G seront tenus d'o pour l'utilisation de tous les éléments de réseau da introduites pour renforcer notre sécurité nationale.

Analyses d'impact déjà réalisées : Oui Non C. Consultations sur le projet de réglementation Consultation obligatoire, facultative ou informelle Consultation publique facultative : https://www.ibpt.be/operateurs/publication/consulta -introduisant-des-mesures-de-securite-supplemen D. Sources utilisées pour effectuer l’analyse d’im

Statistiques, documents, institutions et personnes d /

Quel est l’impact du projet de réglementa 1. Lutte contre la pauvreté Impact positif Impact négatif P 2. Égalité des chances et cohésion sociale 3. Égalité des femmes et des hommes 1. Quelles personnes sont (directement et indirecte composition sexuée de ce(s) groupe(s) de personne Des personnes sont concernées. Auc Expliquez pourquoi : Cet avant-projet s'adressent aux entreprises et pa 4. Santé 5. Emploi 6.

Modes de consommation et production 7. Développement économique Expliquez Positif: cet avant-projet visent à sécuriser l’économ techniques dans les infrastructures de télécommun d’autorisation préalable introduit par l’avant-projet la loi du 11 décembre 1998 relative à la classificat Négatif: comme certains éléments de réseau sero avant-projet et ne pourront donc être utilisés que d opérateur de réseau mobile 5G, les MNOs belges éléments de réseau 5G.

En outre, les opérateurs d d'équipementier, bien que le projet d'arrêté royal p périodes de transition qui devraient en limiter l'imp 8. Investissements 9. Recherche et développement

10. PME

1. Quelles entreprises sont directement et indirectem Des entreprises (dont des PME) sont concernée Détaillez le(s) secteur(s), le nombre d’entreprises, le Tous les équipementiers et fournisseurs d'élément network operators) d'un réseau mobile 5G sont co donc a fortiori pas les micro-entreprises. Toutefois, le régime d'autorisation préalable peut ê ministres, à d'autres catégories définies par cet av operator) et les fournisseurs de réseaux privés de pouvant être des PME.

2. Identifiez les impacts positifs et négatifs du pr N.B. les impacts sur les charges administratives Pas concernés Il y a des impacts négatifs. 11. Charges administratives Des entreprises/citoyens sont concernés. 1. Identifiez, par groupe concerné, les formalités réglementation. Réglementation actuelle S’il y a des formalités et/ou des obligations d S'il y a des formalités et/ou des obligations p 2.

Quels documents et informations chaque g Réglementation en projet L'opérateur d'un réseau mobile 5G doit cons préalable ou de régularisation. L'article 6 du avant-projet énumère les informations qui d Pour tous les éléments actifs qui sont utiles inclure les éléments suivants : l’identité des configurent et supervisent ces différents élé souhaite utiliser ou utilise + l'identité des éq éléments actifs.

Lorsque l'opérateur est informé qu’un équip appel est considéré comme un équipementi suivantes : la localisation des sites du résea réseau d’accès radioélectrique dans lesque de ces équipementiers ou dans lesquels il le radioélectrique, les zones couvertes par ces respect du pourcentage de 35% visé à l'artic avant-projet. 3. Comment s’effectue la récolte des informa

L'opérateur d'un réseau 5G soumet lui-mêm 4. Quelles est la périodicité des formalités et Ce dossier doit être soumis par nouvel élém utiliser et en cas de mise à jour modifiant les 5. Quelles mesures sont prises pour alléger / Le même dossier peut couvrir plusieurs nou 5G a l'intention d'utiliser. Selon l’arrêté royal portant exécution de cet une nouvelle demande d'autorisation, le dos indique clairement les modifications apporté 12.

Énergie 13. Mobilité 14. Alimentation 15. Changements climatiques 16. Ressources naturelles 17. Air intérieur et extérieur 18. Biodiversité 19. Nuisances 20. Autorités publiques 21. Cohérence des politiques en faveur du déve

1. Identifiez les éventuels impacts directs et indirect domaines suivants : sécurité alimentaire, santé et a international, revenus et mobilisations de ressource environnement et changements climatiques (mécan Impact sur les pays en développement. Aucun des acteurs concernés n'est situé dans un

AVIS DU CONSEIL D’ÉTAT

N° 69.160/4 DU 6 MAI 2021 Le 1er avril 2021, le Conseil d’État, section de législation, a été invité par la Vice‑Première Ministre et Ministre de la Fonction publique, des Entreprises publiques, des Télécommunications et de la Poste à communiquer un avis, dans un délai de trente jours, sur un avant-projet de loi ‘introduisant des mesures de sécurité supplémentaires pour la fourniture de services mobiles 5G’. L’avant-projet a été examiné par la quatrième chambre le 6 mai 2021. La chambre était composée de Martine Baguet, président de chambre, Luc Cambier et Bernard Blero, conseillers d’État, Marianne Dony, assesseur, et Charles‑Henri Van Hove, greffier assumé. Le rapport a été présenté par Anne Vagman, premier audi‑ teur, et Julien Gaul, auditeur adjoint. La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Martine Baguet. L’avis, dont le texte suit, a été donné le 6 mai 2021. *

Comme la demande d’avis est introduite sur la base de l’article 84, § 1er, alinéa 1er, 2°, des lois ‘sur le Conseil d’État’, coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique de l’avant-projet‡ , à la compétence de l’auteur de l’acte ainsi qu’à l’accomplissement des formalités préalables, conformément à l’article 84, § 3, des lois coordonnées précitées.

Sur ces trois points, l’avant-projet appelle les observations suivantes. Observations générales 1.1. L’avant-projet à l’examen instaure plusieurs restrictions dans le cadre du déploiement des réseaux et de l’exploitation des technologies mobiles de cinquième génération, à savoir: – l’obligation pour les “Mobile Network Operator” de dispo‑ ser d’une autorisation préalable pour pouvoir utiliser certains éléments de leur réseau (article 105, § 1er, alinéa 1er, en pro‑ jet); l’avant-projet prévoit la possibilité d’étendre l’obligation à d’autres catégories d’entreprises (article 105, § 2, 1° et 2°, en projet); – l’obligation d’introduire une demande de régularisation dans le cas où l’utilisation de certains éléments des réseaux des “Mobile Network Operator” est effective au moment de l’entrée en vigueur de l’arrêté royal visé à l’article 105, § 4, alinéa 1er, 1°, en projet (article 105, § 1er, alinéa 4, en projet); – l’obligation selon laquelle le réseau mobile d’un “Mobile Network Operator” d’une génération ultérieure à la quatrième génération doit se trouver sur le territoire de l’Union européenne et être géré, exploité, configuré et supervisé à partir de ce territoire (article 105, § 1er, alinéa 5, en projet); l’avant‑projet prévoit la possibilité d’étendre la même obligation à d’autres catégories d’entreprises (article 105, § 2, 5°, en projet); – la possibilité d’imposer l’obtention d’une autorisation préalable pour pouvoir bénéficier de services de “fournisseurs” – qui ne sont donc pas nécessairement des fournisseurs à “haut risque” – intervenant ponctuellement dans la gestion du réseau (article 105, § 2, 3°, en projet); – l’obligation de disposer d’une autorisation préalable en cas de mise à jour d’un logiciel ou d’un dispositif matériel relatif à un élément du réseau (article 105, § 2, 4°, en projet); ‡ S’agissant d’un avant-projet de loi, on entend par “fondement juridique” la conformité aux normes supérieures.

– la mise en place de restrictions concernant l’utilisation d’éléments de réseau ou de services de “fournisseurs à haut risque” sur l’ensemble du territoire national ou dans des “zones sensibles” de ce territoire encore à déterminer (article 105, § 4, alinéa 1er, 1°, en projet); – la mise en place de restrictions concernant la “localisation des éléments de réseaux ou du fournisseur” (article 105, § 4, alinéa 1er, 2°, en projet).

Ces mesures limitent principalement la liberté d’entreprise, la liberté de circulation des marchandises, la liberté de circulation des services et l’usage libre des biens, garantis, selon le cas, par la Constitution, le droit européen et le droit international. De telles restrictions ne sont admissibles que dans la mesure où elles poursuivent des motifs d’intérêt général, reposent sur des critères objectifs, non discriminatoires et connus à l’avance, sont appropriées à la réalisation de l’objectif invoqué et sont nécessaires à la poursuite de cet objectif.

1.2. Ceci appelle les observations suivantes. 1.3. S’il peut être admis que les intérêts visés à l’article 3, § 1er, de la loi du 11 décembre 1998 ‘relative à la classification et aux habilitations, attestations et avis de sécurité’, évoqués notamment à l’article 105, § 1er, alinéa 1er, en projet, peuvent, selon les circonstances de l’espèce, constituer de tels motifs d’intérêt général, l’avant-projet à l’examen est en défaut, dans certaines de ses dispositions, de circonscrire suffisamment le régime qu’il instaure à la poursuite de ces objectifs et de garantir la proportionnalité des mesures envisagées.

De même, à certains égards, la prévisibilité1 du régime mis en place n’est pas garantie à suffisance. Cette prévisibilité, qui contribue, au demeurant à s’assurer de la proportionnalité des restrictions envisagées permet, plus fondamentalement, de garantir le respect du principe de légalité des incriminations, qui résulte notamment de l’article 7 de la Convention euro‑ péenne de sauvegarde des droits de l’homme et des libertés fondamentales.

En effet, dès lors que les manquements aux obligations imposées par le texte en projet ou aux décisions prises en vertu de celui-ci sont susceptibles de faire l’objet de sanctions, notamment d’amendes administratives susceptibles d’être qualifiées de pénales au sens de cette Convention, le principe de légalité des incriminations rappelé ci-avant trouve à s’appliquer. Sur ce dernier point, il est rappelé que pour des raisons de sécurité juridique, de prévisibilité de la norme et d’égalité de traitement, il convient en outre que les termes utilisés dans l’avant-projet, en particulier ceux en rapport avec son champ d’application et les restrictions qu’il prévoit, soient les plus compréhensibles possibles.

À cet égard, il y a lieu de mentionner spécialement les difficultés suivantes: 1° L’article 105, § 4, alinéa 1er, 1° et 2°, en projet habilite le Roi, par arrêté délibéré en Conseil des ministres, à fixer des “restrictions” concernant “l’utilisation, sur le territoire national ou dans les zones sensibles de ce territoire, d’éléments de réseau ou de services de fournisseurs à haut risque” et “la localisation des éléments de réseaux ou du fournisseur”.

Cette disposition peut se comprendre comme habilitant le Roi à apporter différentes sortes de restrictions pour tout motif qu’il estimerait raisonnable, ce qui n’est pas de nature à assurer la proportionnalité des restrictions envisagées et ne parait pas, en outre, être conforme à l’intention de l’auteur de l’avant-projet. La difficulté pointée pourrait être levée en complétant la disposition à l’examen de sorte qu’il apparaisse que les “restrictions” que le Roi est habilité à fixer ne peuvent l’être qu’en vue de garantir les intérêts visés au paragraphe 1er, alinéa 1er, de l’article 105 en projet.

2° Le régime mis en place n’est pas d’application, notam‑ ment, pour les points de terminaison du réseau qui n’émettent pas de “signaux radioélectriques de service mobile 5G” et exclut les “réseaux mobiles de quatrième génération et des générations antérieures” (article 105, § 1er, alinéa 3, 2° et 3°, en projet). S’agissant de concepts clés dans la définition du champ d’application de l’avant- projet, il convient d’en délimi‑ ter les contours avec précision.

Certes, l’exposé des motifs mentionne que “[l]a présente loi vise les réseaux mobiles de cinquième génération (5G). Plutôt que de définir ces termes, ce qui pourrait créer certaines discussions, il a été choisi de faire référence à la 5G en excluant les réseaux mobiles de quatrième génération et des générations antérieures”. Toutefois, l’absence même de définition parait, en soi, plus de nature à entrainer une insécurité juridique qu’une définition dont les termes pourraient créer des discussions.

La définition du champ d’application du texte en projet sera en conséquence revue. 3° La notion de “réseaux privés mobiles” employée à l’article 105, § 2, 2°, en projet n’est pas définie. 4° Dans la version française, la notion de “dispositif matériel relatif à un élément de réseau”, employée à l’article 105, § 2, 4°, en projet manque de clarté; mieux vaut préciser qu’il s’agit d’un “dispositif matériel d’un système informatique constituant un élément de réseau”2.

5° L’article 105, § 4, alinéa 1er, en projet permet aux ministres compétents de revoir d’initiative l’autorisation qui a été octroyée, “en raison d’un nouvel élément”. Cette formulation manque de précision. L’avant-projet sera revu aux fins de préciser la nature de ce nouvel élément ou le contexte dans lequel il La version néerlandaise utilise en effet la notion de “hardware”.

s’insère, par exemple en se référant aux conditions qui ont été examinées dans le cadre de l’octroi de l’autorisation. 6° L’article 105, § 4, alinéa 1er, 2°, en projet habilite le Roi à arrêter des restrictions concernant “la localisation des élé‑ ments de réseaux ou du fournisseur”. La section de législation n’aperçoit pas la portée exacte de la notion de “localisation du fournisseur”, dont le texte ne mentionne pas qu’il est ou serait “à haut risque”.

L’exposé des motifs ne comporte aucune explication à ce propos. S’il y a lieu de considérer que l’habilitation ainsi envisagée permet au Roi de restreindre la possibilité de faire usage des éléments de réseau ou des services d’un fournisseur qui ne serait pas à haut risque, en fonction de son unique “localisation”, des réserves sérieuses doivent être émises quant à l’admissibilité de cette restriction au regard du principe d’égalité et de non-discrimination et du principe de proportionnalité.

7° Les critères qui permettent d’évaluer le “profil de risque” des fournisseurs (article 105, § 4, alinéa 3, en projet) gagneraient à être davantage précisés. Il en va ainsi pour les critères en projet ayant vocation à démontrer la “probabilité d’ingérence” comme pour les termes de “lien fort”, de “gouvernement”3, de “situation”, de “contrôle démocratique ou législatif”, de “caracté‑ ristiques de la propriété d’entreprise du fournisseur”, d’“exercer toute forme de pression”, le “pays originaire” du fournisseur, et de “mène ou est associé à une politique cyber offensive”.

1.4. L’avant-projet sera revu, complété et précisé à la lumière des observations qui précèdent. 2. Suivant l’article 105, § 1er, alinéa 1er, en projet, l’auto‑ risation que les “Mobile Network Operator” doivent obtenir avant “d’utiliser un élément de leur réseau” est délivrée par les “ministres concernés”, à savoir le premier ministre, le ministre des Télécommunications, le ministre de la Défense, le ministre de la Justice, le ministre de l’Intérieur et le ministre des Affaires étrangères.

Cependant, à la lecture de l’avant-projet, la nature de cette autorisation et le degré d’intervention des ministres concer‑ nés dans sa conception sont incertains: faut-il considérer que cette autorisation est constituée de six actes juridiques distincts devant chacun être adopté par les ministres à titre individuel selon une procédure distincte ou bien s’agit-il d’un seul et unique acte juridique auquel les ministres concernés doivent formellement consentir dans le cadre d’une seule et même procédure? Ne faut-il pas viser les “autorités publiques” plutôt que le seul “gouvernement”?

Cette incertitude est de nature à entrainer de nombreuses difficultés de compréhension de l’avant-projet et, partant, une insécurité juridique. Ainsi, à titre d’illustration, les questions suivantes se posent: – au stade du dépôt de la demande: une seule demande doit-elle être introduite, et dans ce cas, auprès de quel ministre? – au stade du traitement du dossier de demande: en cas de pluralité de demandes à introduire, à partir du dépôt de quelle demande le délai de trois mois dans lequel la décision doit être prise, prend-il cours? De même, quel est le point de départ du délai de 28 jours laissé au demandeur pour formu‑ ler des observations écrites lorsque les ministres entendent refuser l’autorisation, l’assortir de conditions ou revoir leur décision d’initiative? Chacun des ministres doit-il traiter de manière individuelle le dossier et demander l’avis de l’IBPT et des services de renseignement? L’avant-projet sera revu de manière à lever cette incertitude en clarifiant la nature de l’autorisation requise et les modalités d’adoption de la décision concernée.

Observations particulières Dispositif Article 2 À l’article 2 de l’avant-projet, il convient de remplacer les lettres et signes “X°” et “Y°” par, respectivement, les nombres “87°” et “88°”4. Articles 3 et 7 Article 105, § 1er, en projet L’alinéa 4 en projet prévoit que les demandes de régula‑ risation pour l’utilisation d’éléments de réseau doivent être introduites dans les deux mois qui suivent “la date d’entrée en vigueur de l’arrêté royal” devant déterminer, conformément à l’article 105, § 4, alinéa 1er, 1°, en projet, les restrictions concernant l’utilisation “d’éléments de réseau ou de services de fournisseurs à haut risque”.

Or, l’article 7 de l’avant-projet prévoit que l’article 105, § 1er, alinéa 4, entre en vigueur le 1er janvier 2026. La numérotation des termes définis à l’article 2 de la loi du 13 juin 2005 ‘relative aux communications électroniques’ s’arrête au 86°, en l’état des textes publiés au Moniteur belge à ce jour.

Il résulte d’une lecture combinée de ces dispositions que cet arrêté royal doit nécessairement entrer en vigueur après que soit entré en vigueur l’article 105, § 1er, alinéa 4, en projet à défaut de quoi les opérateurs visés ne pourront pas vala‑ blement introduire de demande de régularisation. Il appartient à l’auteur de l’avant-projet de vérifier si telle est son intention et, le cas échéant, de revoir l’articulation de ces dispositions.

Article 3 Article 105, § 2, en projet Le 2° en projet habilite le Roi à charger une ou plusieurs autorités, non autrement identifiées, de désigner “les fournis‑ seurs” soumis à l’obligation d’obtenir l’autorisation des diffé‑ rents ministres concernés dont il est question à l’article 105, § 1er, en projet. Le texte en projet ne permet pas de comprendre clairement si le pouvoir de déterminer ces “fournisseurs” comprend la fixation de règles générales, auquel cas il s’agirait d’une compétence réglementaire, ou s’il s’agit plutôt de désigner, de manière individuelle, les fournisseurs en question, en tenant compte des intérêts repris à l’article 3, § 1er, de la loi du 11 décembre 1998.

Dans ce cadre, il y a lieu de rappeler que l’attribution d’un pouvoir réglementaire à une autorité, non autrement désignée, qui n’est pas politiquement responsable devant une assemblée démocratiquement élue n’est en principe pas admissible, dès lors qu’elle porte atteinte au principe de l’unité du pouvoir réglementaire et à celui de la responsabilité politique des ministres. Une telle délégation ne pourrait être acceptée que s’il s’agissait de mesures ayant une portée limitée et technique, ce qui ne serait pas le cas s’il y a lieu d’interpréter la délégation en cause comme permettant à ces autorités de désigner des catégories de fournisseurs devant être soumises à l’obligation de recueillir l’autorisation des ministres concernés.

La délégation d’un tel pouvoir réglemen‑ taire n’est dès lors pas admissible à l’égard de ces autorités non autrement identifiées. Si telle n’est pas l’intention de l’auteur de l’avant-projet, il convient d’exprimer plus clairement que la délégation portera uniquement sur un pouvoir de décision individuelle selon des critères précis qui seront fixés préalablement dans le texte en projet ou par voie d’habilitation au Roi, à portée réglementaire.

La disposition en projet sera revue en conséquence.

Article 105, § 3, en projet 1. À l’alinéa 3 en projet, il y a lieu de faire référence au paragraphe 4, “alinéa 5”, et non “alinéa 4”. 2. Les modalités d’introduction et du traitement de la de‑ mande n’étant pas précisées dans le texte en projet, il se recommande, à l’instar de ce qui a été fait pour la composition du dossier, d’habiliter le Roi à les fixer. 3. Suivant l’alinéa 4 en projet, il apparait que les services de renseignement, qui interviennent au même titre que l’IBPT dans le cadre de l’instruction de la demande en formulant un avis, ne disposent pas, contrairement à l’IBPT, de la possibilité de demander des renseignements complémentaires.

L’auteur de l’avant-projet vérifiera si cela est conforme à son intention et, le cas échéant, adaptera l’alinéa 4 en projet en conséquence. Article 105, § 4, en projet 1. L’alinéa 2 en projet prévoit que, lorsqu’ils “revoient leur décision d’initiative”, les ministres peuvent fixer une date de mise en œuvre de la nouvelle décision “qui est postérieure par rapport aux délais fixés par l’arrêté royal visé à l’alinéa 1er et qui suit d’au moins cinq ans la date de sa notification”.

Il ressort de cette disposition que le Roi serait dès lors habilité à fixer des délais dans lesquels les restrictions envi‑ sagées devront être mises en œuvre lorsqu’ils attribuent les autorisations initiales, ce qui ne ressort ni de l’alinéa 1er, ni de l’exposé des motifs. L’alinéa 1er sera revu afin de mieux faire ressortir cette habili‑ tation et les critères au moyen desquels les délais seront fixés.

2. Afin de se concilier avec l’intention exprimée dans l’exposé des motifs, l’alinéa 3 sera complété en indiquant qu’il n’est pas requis que plusieurs critères parmi les trois critères énumérés soient rencontrés pour qu’un fournisseur puisse être qualifié comme étant “à haut risque”. 3. L’alinéa 6 confie au Conseil national de sécurité un pouvoir réglementaire consistant en l’identification des “zones sensibles” au sein desquelles les fournisseurs qualifiés comme étant “à haut risque” ne pourront ni fournir des éléments de réseaux ni prester des services.

Dès lors que la Constitution a attribué exclusivement au Roi le pouvoir réglementaire revenant au pouvoir exécutif fédéral et que les pouvoirs doivent être exercés de la manière déterminée par la Constitution, le principe de l’unité du pou‑ voir réglementaire s’applique et il est par conséquent exclu

que le pouvoir réglementaire soit exercé d’une autre manière que celle prescrite par la Constitution. Dès lors, le législateur fédéral ne peut en principe déléguer des compétences nor‑ matives qu’au Roi. Cette règle vaut d’autant plus en l’espèce que le Conseil national de sécurité est un organe stratégique et de coordi‑ nation, ne disposant pas de pouvoir de décision propre, qui a été créé par Roi sur la base de l’article 37 de la Constitution5.

L’avant-projet sera revu en confiant au Roi le soin de déter‑ miner les “zones sensibles”. 4. S’agissant de la publicité à donner aux arrêtés fixant le périmètre des “zones sensibles”, l’alinéa 7 en projet est rédigé comme suit: “Un opérateur peut consulter la liste des zones sensibles au‑ près de l’Institut, s’il peut justifier qu’il a besoin d’en connaitre”. Cette disposition soulève deux difficultés.

4.1.1. Selon l’article 190 de la Constitution, “[a]ucune loi, aucun arrêté ou règlement d’administration générale, pro‑ vinciale ou communale, n’est obligatoire qu’après avoir été publié dans la forme déterminée par la loi”. La détermination des périmètres des zones sensibles, qui, comme en l’espèce, conditionnent la mise en œuvre d’un régime juridique précis à l’égard des tiers, ne constitue pas en soi un acte réglementaire au sens de l’article 3 des lois ‘sur le Conseil d’État’, coordonnées le 12 janvier 1973.

Elle n’en est pas moins un arrêté ou un règlement d’administra‑ tion générale au sens de l’article 190 de la Constitution, par opposition aux actes à portée individuelle6. La liste de ces zones et de leurs périmètres doit dès lors faire l’objet d’une publicité suffisante à l’égard des tiers, à défaut de quoi celles-ci ne pourront sortir d’effets à leur égard, spécialement, en l’occurrence, à l’égard des opérateurs.

4.1.2. Contrairement au prescrit de l’article 6 de la loi du 31 mai 1961 ‘relative à l’emploi des langues en matière législative, à la présentation, à la publication et à l’entrée en vigueur des textes légaux et réglementaires’, il ressort du texte en projet que la liste des zones sensibles et de leurs périmètres ne fera pas l’objet d’une publication au Moniteur belge, ne serait-ce que par extrait ou par mention, à l’instar de ce que prévoit l’article 56, § 1er, alinéa 4, des lois ‘sur Voir l’arrêté royal du 22 décembre 2020 ‘portant création du Conseil national de sécurité, du Comité stratégique du renseignement et de la sécurité et du Comité de coordination du renseignement et de la sécurité’.

Voir, en ce sens, notamment, C.E. (13e ch.), 10 aout 2001, n° 98.248, Beckers et csrts.

l’emploi des langues en matière administrative’, coordonnées le 18 juillet 19667. Interrogée sur l’intention de l’auteur de l’avant-projet à cet égard, la déléguée de la Ministre a confirmé et expliqué ce qui suit: “Il n’est pas prévu de publier la liste des zones sensibles au Moniteur belge dès lors qu’elle contient des informations sensibles qui pourraient être utilisées à des fins de malveillance par des acteurs afin de porter atteinte aux intérêts énumérés à l’article 3, § 1er, de la loi du 11 décembre 1998 relative à sécurité.

Toutefois, pour que les opérateurs qui sont soumis à l’obligation de l’autorisation préalable, en l’occurrence les MNOs, puissent introduire leur dossier auprès des ministres en connaissance de cause, l’article 105, § 4, al. 7, prévoit qu’ils pourront consulter la liste en question dans les locaux de l’IBPT au cas où ils en ont besoin. Ainsi, les opérateurs de téléphonie mobile, qui sont les seuls pour qui la publication est réellement utile, pourront avoir accès à la liste en question”.

Cette explication parait pouvoir, à priori, justifier, au regard du principe d’égalité, la non-publication, in extenso, des arrê‑ tés concernés au Moniteur belge. Par contre, une publication de ces arrêtés par voie de mention au Moniteur belge parait compatible avec le but légitime poursuivi par la disposition à l’examen. La disposition sera revue de manière à assurer une publicité suffisante de ces arrêtés à l’égard des tiers.

4.2. Par ailleurs, il y a lieu d’avoir égard à l’article 32 de la Constitution qui dispose: “Chacun a le droit de consulter chaque document adminis‑ tratif et de s’en faire remettre copie, sauf dans les cas et condi‑ tions fixés par la loi, le décret ou la règle visée à l’article 134”. En l’occurrence, la disposition à l’examen déroge à trois égards au droit concerné: – elle entend limiter l’accès à la liste des zones sensibles aux seuls opérateurs; – ceux-ci ne disposent pas du droit de se faire remettre copie de la liste, mais uniquement de la consulter; Cette disposition prévoit notamment que “[l]es arrêtés royaux et ministériels bilingues sont publiés intégralement par la voie du Moniteur belge, texte français et texte néerlandais en regard l’un de l’autre dans le mois de leur date.

Néanmoins, lorsqu’ils n’intéressent pas la généralité des citoyens, ils peuvent n’être publiés que par extrait ou ne faire l’objet que d’une simple mention au Moniteur belge”.

– les opérateurs doivent justifier du “besoin d’en connaitre”. Si l’article 32 de la Constitution habilite le législateur concerné à prévoir des cas dans lesquels le droit de consul‑ ter chaque document administratif et de s’en faire remettre copie ne s’applique pas, les exceptions ainsi mises en place doivent, dans le respect du principe d’égalité, poursuivre un but légitime et demeurer proportionnées au but légitime poursuivi.

La loi du 11 avril 1994 ‘relative à la publicité de l’administra‑ tion’, qui organise le régime général d’accès aux documents administratifs, prévoit déjà des exceptions à l’accès à certains documents. Ainsi, l’article 6, § 1er, de cette loi dispose que l’autorité administrative rejette la demande de consultation, d’explication ou de communication sous la forme de copie d’un document administratif si elle a constaté que l’intérêt de la publicité ne l’emporte pas notamment sur la protection de la sécurité de la population ou de l’ordre public, ou encore, la sureté ou la défense nationales.

Cette disposition organise un système de refus au cas par cas de l’accès à un document administratif ou de la communi‑ cation d’une copie de ce document, sans instituer un régime général d’interdiction à priori d’accès à une catégorie spéci‑ fique de documents ou de limitation à priori de l’accès d’un document déterminé à telles catégories de personnes. Un tel système de décision individuelle à posteriori permet de garantir la protection de la sécurité publique, de l’ordre public, et de la sureté et de la défense nationale.

Un tel régime d’actes à portée individuelle susceptibles de recours, in fine auprès de la section du contentieux administratif du Conseil d’État, est ainsi de nature à garantir la proportionnalité des restrictions apportées au droit d’accès aux documents administratifs. Pour sa part, le texte en projet restreint de manière radicale le droit à la transparence administrative en ce qui concerne la liste des zones sensibles, cette liste ne pouvant être consultée que par un opérateur, à la condition qu’il puisse “justifier qu’il a besoin d’en connaitre” et en excluant toute possibilité d’en prendre copie.

Il appartient à l’auteur de l’avant-projet d’être en mesure de démontrer que la différence de traitement qu’institue le dispositif à l’examen entre les personnes qui, parce qu’elles n’ont pas la qualité d’opérateur, se trouvent à priori exclues de toute possibilité de prendre connaissance de la liste des zones sensibles, et les personnes qui souhaitent prendre connais‑ sance d’autres documents administratifs sensibles sur le plan de la sécurité publique, de l’ordre public, et de la sureté et de la défense nationale, auxquelles s’applique le système mis en place par la loi du 11 avril 1994, spécialement son article 6,

repose sur une justification objective et raisonnable rendant cette différence de traitement conforme au principe d’égalité8. À défaut, la disposition à l’examen sera revue. 4.3. Eu égard à l’intention ainsi exprimée et sous réserve du point 4.2, l’auteur de l’avant- projet examinera s’il ne convient pas de prévoir des garanties supplémentaires encadrant la consultation des zones sensibles de manière à éviter la divulgation d’informations y afférentes.

Article 105, § 5, en projet 1. Afin de garantir l’efficacité du droit prévu au paragraphe 5 de formuler par écrit et, le cas échéant, oralement, des obser‑ vations, il se recommande que la disposition en projet précise que le demandeur puisse être accompagné par les conseils, techniques ou juridiques, de son choix. 2. Le mot “calendriers” sera omis à l’alinéa 1er. Article 105, § 6, en projet Aux fins de garantir l’égalité de traitement entre les diffé‑ rents opérateurs demandeurs de l’autorisation envisagée et pour des raisons de sécurité juridique, il appartient à l’auteur de l’avant-projet d’imposer un délai maximal de prise de décision lorsqu’il est fait usage de la possibilité prévue à l’alinéa 2 en projet.

Le régime de décision implicite organisé à l’article 105, § 6, alinéa 3, sera revu pour prendre également en considération le dépassement du délai maximal précité. Article 105, § 7, en projet 1. Le paragraphe 7 en projet limite la portée du secret professionnel aux informations qualifiées de “confidentielles”. À cet égard, de deux choses l’une: 1° soit l’ensemble des informations dont ont connais‑ sance les intéressés revêtent, dans l’intention de l’auteur de l’avant-projet, un caractère confidentiel: dans ce cas, le mot “confidentielles” est inutile et sera omis; 2° soit seules certaines des informations concernées revêtent, dans l’intention de l’auteur de l’avant-projet, un caractère confidentiel: dans ce cas, il convient de préciser lesquelles.

Voir C.C., 19 décembre 2013, n° 169/2013.

La disposition à l’examen sera revue à la lumière de cette observation. 2. En ce qu’elle énonce que l’Institut dispose “notamment” des pouvoirs prévus à l’article 114/2 de la loi du 13 juin 2005 ‘relative aux communications électroniques’, la disposition à l’examen ne permet pas de comprendre quels sont les pouvoirs, autres que ceux prévus par cet article 114/2, dont l’Institut dispose aux fins de contrôler l’application de l’article 105 en projet, son arrêté d’exécution et la décision des ministres La disposition en projet sera revue afin de clarifier les pouvoirs de l’Institut en l’espèce.

3. L’attention de l’auteur de l’avant-projet est attirée sur le fait qu’un certain nombre de dispositions de la loi du 13 juin 2005 font l’objet de modifications dans le cadre d’un avant‑projet de loi ‘portant transposition du code des communications électroniques européen et modification de diverses dispo‑ sitions en matière de communications électroniques’, lequel fait l’objet d’une demande d’avis enrôlée sous le n° 69.166/4.

L’article 159 de cet avant-projet a vocation à abroger l’ar‑ ticle 114/2 de la loi du 13 juin 2005, auquel l’article 105, § 7, en projet renvoie. L’auteur de l’avant-projet veillera à la bonne concordance des textes en projet. Article 4 L’article 14, § 1er, alinéa 1er, 3°, j), en projet est à ce point vague que l’on pourrait le comprendre comme habilitant l’IBPT à contrôler le respect de l’ensemble des “décisions contrai‑ gnantes” de la Commission européenne ou des six ministres visés à l’article 105, § 1er, alinéa 2, de la loi du 13 juin 2005, sans avoir égard à l’objet réglé par ces décisions.

Il appartient à l’auteur de l’avant-projet de préciser le contexte dans lequel les décisions reprises à l’article 14, § 1er, alinéa 1er, 3°, j), en projet pourraient être prises ainsi que leur objet de manière à circonscrire précisément les pouvoirs de l’IBPT dans ce cadre. L’article 14, § 1er, alinéa 1er, 3°, j), en projet sera revu en conséquence.

Article 7 Il est renvoyé à l’observation sous l’article 105, § 1er, en projet.

Le greffier, Le président, Charles‑Henri Van Hove Martine Baguet

PHILIPPE

Roi des Belges, À tous, présents et à venir, Salut. Sur la proposition de la vice-première ministre et ministre de la Fonction publique, des Entreprises publiques, des Télécommunications et de la Poste, Nous avons arrêté et arrêtons: La vice-première ministre et ministre de la Fonction publique, des Entreprises publiques, des Télécommunications et de la Poste est chargée de préle projet de loi dont la teneur suit: La présente loi règle une matière visée à l’article 74 de la Constitution. Modifications de la loi du 13 juin 2005 relative aux communications électroniques Dans l’article 2 de la loi du 13 juin 2005 relative aux communications électroniques, modifiée en dernier lieu par la loi du 26 mars 2018, les modifications suivantes sont apportées:

1° il est inséré un 87° rédigé comme suit: “87° “MNO”: un opérateur qui offre des services de communications électroniques mobiles et qui dispose d’un réseau d’accès radioélectrique propre, ainsi que de tous les éléments utiles à l’exploitation du réseau;”;

2° il est inséré un 88° rédigé comme suit:

“88° “MVNO”: un opérateur qui offre des services de communications électroniques mobiles sans être MNO.”. L’article 105, de la même loi, est remplacé par ce “Art. 105. § 1er. Dans le but de préserver les intérêts visés à l’article 3, § 1er, de la loi du 11 décembre 1998 et avis de sécurité, les MNO obtiennent une autorisation établie de façon conjointe par les ministres concernés visés à l’alinéa 3 avant d’utiliser un élément de leur réseau 5G.

En tenant compte des intérêts visés à l’alinéa 1er et par arrêté délibéré en Conseil des ministres, le Roi peut prévoir que cette autorisation est également nécessaire avant que les MNO ne puissent bénéficier de services de fournisseurs qui consistent à intervenir ponctuellement dans la gestion de ce réseau, notamment en cas d’incident ou de modification majeure du réseau, ou à gérer ou superviser quotidiennement des éléments du réseau ou est également nécessaire avant qu’ils ne puissent bénéficier de certains de ces services.

Pour l’application du présent article, il faut entendre par ministres concernés: le Premier ministre, le ministre des Télécommunications, le ministre de la Défense, le ministre de la Justice, le ministre de l’Intérieur et le ministre des Affaires étrangères. Un réseau 5G est un réseau de communications électroniques dont le réseau d’accès radioélectrique est basé sur une interface radio spécifiée dans la recomtélécommunications.

Les alinéas 1er et 2 ne sont pas d’application:

1° pour l’utilisation d’éléments passifs du réseau, à savoir des éléments qui ne sont pas alimentés par une source d’énergie;

2° pour les points de terminaison pour autant qu’ils ne contiennent pas une partie radio basée sur une interface radio spécifiée dans la recommandation UIT-R M.2150 de l’Union internationale des télécommunications;

3° pour les éléments de réseaux mobiles de quatrième génération et des générations antérieures, pour autant qu’ils ne soient pas nécessaires à la fourniture d’un réseau 5G.

Si l’utilisation de l’élément de réseau ou le recours au fournisseur de services est déjà effectif à la date d’entrée en vigueur de l’arrêté royal visé au paragraphe 4, alinéa 1er, une autorisation de régularisation est demandée dans les deux mois qui suivent cette date. § 2. En tenant compte des intérêts visés au paragraphe 1er, alinéa 1er, le Roi peut, par arrêté délibéré en Conseil des ministres:

1° étendre l’obligation d’obtenir les autorisations visées au paragraphe 1er à une ou plusieurs catégories de MVNO;

2° étendre l’obligation d’obtenir les autorisations visées au paragraphe 1er à la société anonyme de droit public ASTRID, et aux fournisseurs de réseaux privés de communications électroniques qui ont été désignés comme exploitant d’une infrastructure critique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ou comme opérateur de services essentiels au sens de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique;

3° charger une ou plusieurs autorités de désigner par décision individuelle, lorsque c’est nécessaire pour préserver les intérêts visés au paragraphe 1er, alinéa 1er, les autres fournisseurs de réseaux privés de communications électroniques soumis à l’obligation d’obtenir les autorisations visées au paragraphe 1er;

4° préciser les hypothèses dans lesquelles une autorisation visée au paragraphe 1er , alinéa 1er, est nécessaire en cas de mise à jour d’un logiciel ou d’un dispositif matériel du réseau; § 3. Le demandeur introduit son dossier auprès de l’Institut, selon les modalités qu’il fixe sur son site internet. les modalités de traitement de la demande et la composition du dossier. renseignement et de sécurité peuvent demander des demandeur ou à toute personne pouvant contribuer utilement à leur information. § 4.

Lorsqu’ils prennent leur décision après l’examen de la demande visée au paragraphe 1er, ou la revoient

d’initiative en raison d’un nouvel élément de nature à remettre en cause leur décision, les ministres concernés mettent en œuvre les restrictions et délais de mise en œuvre fixés par le Roi, par arrêté délibéré en Conseil des ministres, concernant l’utilisation, sur le territoire national ou dans les zones sensibles de ce territoire, d’éléments de réseau ou de services de fournisseurs à haut risque.

Ces restrictions et ces délais de mise en œuvre ne peuvent être fixés qu’en vue de garantir la protection des intérêts visés au paragraphe 1er, alinéa 1er. Lorsqu’ils revoient leur décision d’initiative et lorsque c’est justifié, les ministres concernés fixent une date de mise en œuvre de la nouvelle décision qui est postérieure aux délais fixés par l’arrêté royal visé à l’alinéa 1er et qui suit d’au moins cinq ans la date de sa notification.

Le profil de risque d’un fournisseur est évalué sur base des critères suivants:

1° la probabilité qu’il subisse une ingérence de la part d’un pays autre qu’un État membre de l’Union européenne, une telle ingérence pouvant être facilitée, sans s’y limiter, par la présence d’un ou de plusieurs des facteurs suivants: a) un lien fort avec les autorités publiques du pays en question; b) la législation ou la situation au sein du pays en question, notamment lorsqu’il n’y a pas de contrôle démocratique ou législatif en place ou en l’absence de conventions de protection des données ou de sécurité entre l’Union européenne et le pays en question; c) les caractéristiques de la propriété d’entreprise du fournisseur; d) la capacité du pays en question à exercer toute forme de pression, y compris par rapport au lieu de fabrication des équipements; e) le pays d’où est originaire le fournisseur mène ou est associé à une politique cyber offensive.

2° la capacité du fournisseur à garantir l’approvisionnement en termes de délai et de quantité;

3° la qualité globale des produits ou services et les pratiques en matière de sécurité du fournisseur, y compris le degré de contrôle sur sa propre chaîne d’approvisionnement et la question de savoir si une hiérarchisation

adéquate des priorités est donnée aux pratiques en matière de sécurité. Le Roi peut, par arrêté délibéré en Conseil des ministres, compléter les critères visés à l’alinéa 4. Un seul de ces critères peut justifier qu’un fournisseur soit qualifié comme étant à haut risque. Le profil de risque d’un fournisseur est évalué sur la base d’un avis des services de renseignement et de sécurité en ce qui concerne le critère fixé à l’alinéa 4, 1°, et sur la base d’un avis de l’Institut en ce qui concerne les critères fixés à l’alinéa 4, 2° et 3°.

Les zones sensibles sont identifiées par le Roi, sur base d’un avis du Conseil national de sécurité, et ce, en tenant compte de la présence dans ces zones de sites liés aux intérêts visés au paragraphe 1er, alinéa 1er. L’arrêté royal identifiant les zones sensibles est publié par voie de mention au Moniteur belge. § 5. Lorsque les ministres concernés entendent refuser l’autorisation, l’assortir de conditions ou revoir leur décision, le demandeur dispose de vingt-huit jours après avoir reçu le projet de décision pour présenter ses observations écrites.

La possibilité est offerte au demandeur d’être entendu. Il peut se faire accompagner par les conseils, techniques ou juridiques, de son choix. Les ministres concernés peuvent se faire représenter par l’administration de leur choix. L’Institut et les services de renseignement et de sécurité peuvent participer à l’audition. § 6. Les ministres concernés prennent ensemble une seule décision. L’Institut pose tous les actes utiles en vue de sa préparation.

Dans le délai fixé par le Roi, qui commence après l’introduction de la demande, le demandeur reçoit la décision des ministres qui octroie l’autorisation ou le projet de décision dans lequel ils refusent l’autorisation ou l’assortissent de conditions.

En cas d’audition ou d’observations écrites du demandeur, visées au paragraphe 5, les ministres prennent leur décision au plus tard dans le délai fixé par le Roi, qui commence à partir de la réception des observations écrites ou de la date de l’audition, la date la plus tardive étant retenue. La demande d’informations ou de documents visée au paragraphe 3, alinéa 2, ou adressée au demandeur afin qu’il complète son dossier, suspend les délais fixés aux alinéas 2 et 3, jusqu’au jour où les informations ou documents demandés sont fournis.

Le défaut de décision ou de projet de décision visé à l’alinéa 2 dans le délai fixé en vertu de l’alinéa 2 ou de l’alinéa 3 équivaut à un refus. § 7. La personne qui obtient une copie de la liste des zones sensibles visée au paragraphe 4, alinéa 8, ne peut la transmettre qu’aux personnes qui ont besoin d’en connaître et d’y avoir accès pour l’exercice de leurs fonctions ou de leur mission dans le cadre du déploiement et de l’exploitation du réseau 5G.

Est punie d’une amende pénale de 1000 euros à 100 000 euros: la personne qui divulgue des informations relatives à la liste visée à l’alinéa 1er à une personne qui n’est pas visée à cet alinéa. Les personnes qui traitent une demande d’autorisation ou la révision d’une décision antérieure peuvent communiquer à des administrations publiques qu’elles consultent dans ce cadre des informations confidentielles lorsque c’est nécessaire pour l’accomplissement de la tâche qu’elles leur confient.

Les personnes et les administrations publiques visées à l’alinéa 3 ne peuvent communiquer à des tiers des informations confidentielles dont elles ont connaissance dans le cadre de l’application du présent article, hormis les exceptions prévues par la loi. Ces informations confidentielles sont celles qui sont qualifiées comme telles par la personne qui les a fournies, sans préjudice de l’article 23, paragraphe 3, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges.

La violation de l’interdiction visée à l’alinéa 4 sera punie par les peines prévues à l’article 458 du Code pénal ou l’une de ces peines.

§ 8. Lorsqu’un MNO offre en Belgique des services de communications électroniques à l’aide d’un réseau 5G, En tenant compte des intérêts visés au paragraphe 1er, alinéa 1er, et par arrêté délibéré en Conseil des ministres, le Roi peut fixer les exigences qui découlent de cette obligation. alinéa 1er et par arrêté délibéré en Conseil des ministres, le Roi impose aux MNO visés à l’alinéa 1er les règles nécessaires pour qu’ils effectuent les activités indispensables au fonctionnement, à la sécurité et à la continuité de leur réseau, qu’Il détermine, au sein du territoire des États membres de l’Union européenne. le Roi peut étendre les règles et exigences visées aux alinéas 1er et 2 aux MVNO et fournisseurs de réseaux privés de communications électroniques qui sont soumis aux autorisations visées au paragraphe 1er.

Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges Dans l’article 14, paragraphe 1er, alinéa 1er, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges, modifiée en dernier lieu par la loi du 7 avril 2019, il est inséré un point j) rédigé comme suit: “j) toute décision contraignante adoptée par: i) l’Institut; ii) les ministres sur base de l’article 105, paragraphe 6, nications électroniques; iii) la Commission européenne dans le secteur des communications électroniques ou dans le secteur postal”.

Dans l’article 14, paragraphe 2, 3°, de la même loi, il est inséré un point j) rédigé comme suit: j) les ministres visés à l’article 105, paragraphe 1er, alinéa 3, de la loi du 13 juin 2005 relative aux communications électroniques et leur cabinet, pour la mise en œuvre de cet article. A l’article 21, paragraphe 1er, de la même loi, les modifications suivantes sont apportées:

1° les mots “ou aux décisions prises” sont remplacés par les mots “à une décision prise”.

2° les mots “, ou à une décision visée à l’article 105, paragraphe 6, alinéa 1er, de la loi du 13 juin 2005 relative aux communications électroniques” sont insérés entre les mots “en exécution de cette législation ou réglementation” et “, il fait part le cas échéant de ses griefs à l’intéressé”. Le Roi peut codifier les dispositions pertinentes de la loi de 13 juin 2005 relative aux communications électroniques ou d’autres lois relatives aux communications électroniques, en ce compris celles modifiées et insérées par la présente loi, ainsi que les dispositions qui y auraient, jusqu’au moment de la coordination, expressément ou implicitement apporté des modifications.

1° modifier l’ordre, la numérotation et, en général, la présentation des dispositions à codifier;

2° modifier les références qui seraient contenues dans les dispositions à codifier en vue de les mettre en concordance avec la nouvelle numérotation;

3° modifier la rédaction des dispositions à codifier en vue d’assurer leur concordance et d’en unifier la terminologie sans qu’il puisse être porté atteinte aux principes inscrits dans ces dispositions.

La codification remplacera les dispositions visées à l’alinéa 1er et entrera en vigueur à la date de sa confirmation par la loi. Le Roi fixe, par arrêté royal délibéré en Conseil des ministres, l’entrée en vigueur de l’arrêté royal visé à l’article 105, paragraphe 8, alinéas 1er , 2 et 3, de la loi du 13 juin 2005 relative aux communications électroniques, tel qu’inséré par l’article 3 de la présente loi, au plus tôt le 1er janvier 2026. Donné à Bruxelles, le 19 novembre 2021 PHILIPPE Par le Roi

TEXTE DE BASE

Loi du juin relative aux

TITRE Ier. - Définitions et principes généraux.

CHAPITRE Ier. - Généralités.

Art. 2. Pour l'application de la présente loi, il

faut entendre par:

CHAPITRE II. - Des services d'intérêt public

Art. 105. Dans les conditions et selon les

modalités techniques et financières fixées par le Roi après avis de l'Institut, un ou plusieurs opérateurs désignés par le Roi après avis de l'Institut satisfont à toutes les demandes raisonnables:

1° d'accès aux services de commutation de données

COORDINATION

2° d'accès à des réseaux numériques en position déterminée, y compris au réseau numérique à intégration de services, ainsi qu'à un ensemble de services basés sur ces réseaux;

3° d'accès à un service de télex et de télégraphie.

Ces demandes restent valables jusqu'à une date fixée par le Roi, après avis de l'Institut.

Loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges

CHAPITRE III. - L'Institut.

Section 2. - Compétences et Missions.

Art. 14. § 1er. Sans préjudice de ses compétences

légales, les missions de l'Institut en ce qui concerne les réseaux de communications électroniques et les services de communications électroniques, équipement terminal équipement hertzien, en ce qui concerne le secteur des infrastructures numériques au sens de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, en ce qui concerne les secteurs des communications électroniques et des infrastructures numériques au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, et en ce qui concerne les services postaux et les réseaux postaux publics tels que définis à l'article 2 de la loi du 26 janvier 2018 relative aux services postaux, sont les suivantes :

1° la formulation d'avis d'initiative, dans les cas prévus par les lois et arrêtés ou à la demande du

2° la prise de décisions administratives ;

3° le contrôle du respect des normes suivantes et de leurs arrêtés d'exécution :

a) la loi du 13 juin 2005 relative aux communications électroniques ;

b) le Titre Ier, chapitre X et le Titre III de la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques ;

c) la loi du 26 janvier 2018 relative aux services postaux ;

d) les articles 14, § 2, 2°, et 21, §§ 5 à 7, de la loi du 17 janvier 2003 relative au statut du régulateur secteurs postes télécommunications belges ;

e) les articles 4 et 4/1 de la loi du 17 janvier 2003 concernant les recours et le traitement des litiges à l'occasion de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ;

f) la loi du 5 mai 2017 relative aux services de médias audiovisuels en région bilingue de Bruxelles-Capitale ;

g) la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, pour ce qui concerne les secteurs des infrastructures numériques ;

h) la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes publique, en ce qui concerne le secteur des

i) le Règlement (UE) 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la Directive 2002/58/CE du Parlement européen et Conseil sur la vie privée les communications électroniques.

[…]

§ 2. Dans le cadre de ses compétences, l'Institut :

1° peut organiser de manière discriminatoire toute forme d'enquêtes et de consultations publiques; il doit organiser de telles consultations publiques afin qu'il tienne compte des points de vue des utilisateurs finals, des consommateurs (y compris notamment, des consommateurs handicapés), des fabricants et des entreprises qui fournissent des réseaux et/ou services électroniques sur toute question relative à tous les droits des utilisateurs finals et des consommateurs en ce qui concerne les services de communications électroniques accessibles au public, en particulier lorsqu'ils ont une incidence importante sur le marché; ces consultations garantissent que, lorsque l'Institut statue sur des questions relatives aux droits des utilisateurs finals et des consommateurs en ce qui concerne les services de communications électroniques accessibles au public, intérêts consommateurs en matière de communications électroniques sont dûment pris en compte;

2° peut exiger, par demande motivée, de toute personne concernée toute information utile. L'Institut fixe le délai de communication des informations demandées;

3° coopère avec communique l'information à :

a) la Commission européenne, l'ENISA, l'Office et à l'ORECE;

b) les autorités de régulation étrangères en matière postaux télécommunications;

c) les autorités de régulation des autres secteurs économiques;

d) les services publics fédéraux en charge de la protection des consommateurs;

e) les autorités belges en charge de la concurrence;

Après consultation de ces autorités et de l'Institut et sur proposition conjointe du ministre de l'Economie et du ministre, le Roi peut fixer les

modalités de la coopération, de la consultation et de l'échange d'informations entre ces instances et l'Institut;

f) les autorités régulatrices des Communautés et des Régions, selon les modalités convenues dans les accords de coopération avec ces niveaux de pouvoir;

g) les services publics qui ont une compétence en matière de sécurité publique, ou de sécurité et protection civile, ou de défense civile, ou de planification de crise, ou de sécurité ou de protection potentiel économique scientifique du pays;

h) la Commission de la protection de la vie privée;

i) le Service public fédéral chargé des statistiques et de l'information économique;

Section 3. - Le Conseil.

Sous-section 3. - Fonctionnement.

Art. 21. § 1er. Si le Conseil dispose d'un faisceau

d'indices qui pourraient indiquer une infraction à la législation ou à la réglementation dont l'Institut contrôle le respect, ou aux décisions prises par l'Institut en exécution de cette législation ou réglementation, il fait part le cas échéant de ses griefs à l'intéressé ainsi que des mesures envisagées visées au paragraphe 5 qui seront appliquées en cas de confirmation de l’infraction

BASIS TEKST

TITEL

I. - Definities en algemene principes.

HOOFDSTUK I. - Algemeen.

HOOFDSTUK II. - Diensten van algemeen belang

om toegang tot diensten voor gegevensschakeling; COÖRDINATIE VA

een telexen telegrafiedienst;

HOOFDSTUK III. - Het Instituut.

Afdeling 2. - Bevoegdheden en opdrachten.

2° het nemen van administratieve beslissingen;

communicatie digitale infrastructuren betreft;

b) de buitenlandse regulerende instanties voor postdiensten en telecommunicatie;

c) de regulerende instanties in de overige economische sectoren;

i) de federale overheidsdienst die belast is met statistiek en economische informatie;

Afdeling 3. - De Raad.

Onderafdeling 3. - Werking.