Code des Communications Électroniques Européen

Le projet de loi portant transposition de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen et portant modification de la loi modifiée du 30 mai 2005 portant: 1) organisation de l’Institut Luxembourgeois de Régulation; 2) modification de la loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l’Etat a été déposé par le ministre des Communications et des Médias, Xavier Bettel le 16 juillet 2020 à la Chambre des Députés sous la référence 7632.

Cet avis comporte les commentaires de la FEDIL sur la transposition en loi nationale de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (“Code” en abrégé).

COMMENTAIRES GÉNÉRAUX

La FEDIL félicite le gouvernement pour la teneur du texte du projet de loi sous rubrique. Celui-ci est une transcription relativement proche du texte de la directive (UE) 2018/1972 qui élargit le champ d’application de la législation en incluant les services de communications interpersonnelles non fondés sur la numérotation. Le texte reprend également les dispositions nécessaires de la loi du 27 février 2011 sur les réseaux et les services de communications électroniques.

COMMENTAIRES SPÉCIFIQUES

TITRE V – SÉCURITÉ
Art. 42. Sécurité des réseaux et des services
Le premier paragraphe de l’article 42(1) du projet de loi 7632 prévoit que les deux types de fournisseurs doivent prendre des mesures techniques et organisationnelles appropriées en matière de sécurité des réseaux et des services telles que prévues dans l’article 40(1) de la directive (UE) 2018/1972. Nous remarquons néanmoins qu’il est ajouté que « Ces mesures ainsi que les modifications y apportées sont à notifier sans délai à l’Institut. » Il nous semble que cette dernière exigence dépasse clairement les limites de l’article 40 du Code des communications électroniques européen (Code). En effet, l’article 40 du Code prévoit que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public prennent des mesures techniques et organisationnelles adéquates et proportionnées pour gérer les risques en matière de sécurité des réseaux et des services de manière appropriée, mesures que les autorités compétentes doivent avoir les moyens de vérifier et que les mêmes fournisseurs ont le devoir de notifier sans retard indu à l’autorité compétente tout incident de sécurité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Toutefois, cette disposition ne prévoit nullement que ces mesures prises pour gérer les risques doivent être notifiées de façon proactive aux autorités compétentes.

Par ailleurs, la FEDIL souligne le fait que cette disposition serait très compliquée à mettre en œuvre par les fournisseurs et, dès lors, largement disproportionnée. Ces derniers prennent, en effet, un nombre important de mesures visant à assurer la sécurité des réseaux et des services, et, cela sur une base presque journalière. Il serait pratiquement impossible de notifier ces mesures de façon efficace et sans délai à l’Institut. Cette tâche serait hautement chronophage et rajouterait une lourdeur administrative non prévue dans la directive. De même, il nous parait impossible pour l’Institut de prendre connaissance de toutes ces mesures sur cette même base.

De plus, d’après notre lecture, le pouvoir de vérification des mesures de sécurité prises par les fournisseurs par l’Institut est déjà prévu dans l’article 43(2) qui stipule que l’Institut peut demander aux fournisseurs de soumettre à ses demandes d’informations ou d’audit pour évaluer la sécurité des réseaux et des services. La FEDIL est d’avis qu’il n’est nullement nécessaire de prendre des dispositions supplémentaires en ce sens. La FEDIL insiste ici le fait que cette disposition va au-delà de ce qui est prévu dans le Code.

La FEDIL demande de supprimer de manière totale le paragraphe exigeant l’obligation de notification proactive pour les fournisseurs, cette mesure ne figurant pas dans le Code.

TITRE III – DROITS DES UTILISATEURS FINAUX
Art. 114. Exigences d’informations concernant les contrats
L’article 114(3) du projet de loi 7632 prévoit que, dans le cas où il est impossible de communiquer le récapitulatif contractuel au moment prévu, il doit être communiqué sans retard au consommateur et que le contrat prend effet lorsque le consommateur a confirmé son accord « par écrit ou sur tout autre support durable ». L’exigence que cet accord doit être donné par écrit dépasse le cadre réglementaire et n’est pas prévue par l’article 102 (3) in fine du Code et dévie donc de cet article. Par conséquent, cette exigence est en conflit avec l’article 101. En effet, l’article 114 fait partie des dispositions prévues par le Code dans l’article 101(1) qui visent à atteindre un niveau d’harmonisation maximal. Cet article stipule que « Les États membres ne maintiennent ni n’introduisent dans leur droit national des dispositions en matière de protection des utilisateurs finaux qui s’écartent des articles 102 à 115, y compris des dispositions plus ou moins strictes visant à garantir un niveau de protection différent, sauf dispositions contraires prévues dans le présent titre. » et ne peut dès lors être dépassé.

La FEDIL souligne le fait que l’introduction de la confirmation d’un accord par écrit sort du cadre d’harmonisation prévu par le Code et demande de supprimer la mention « par écrit ou sur tout autre support durable » de l’article 114(3). La FEDIL préconise d’aligner le contenu du projet de loi avec celui de l’article 102 (3) du Code et, en particulier, d’enlever la condition que l’accord du consommateur doit être donné par écrit, dans le cas où il est impossible de communiquer le récapitulatif contractuel au moment prévu.