Interception légale en Autriche : Explication du TKG 2021 et de l'interface BRZ

Par /
interception légale Autriche - illustration de la conformité de l'interception légale

Les exigences de l'Autriche en matière d'interception légale en vertu de la TKG 2021 représentent des défis uniques pour les opérateurs de télécommunications. Le paysage réglementaire autrichien des télécommunications a subi une transformation significative avec l'introduction de la Telekommunikationsgesetz 2021 (TKG 2021), qui a remplacé l'ancienne TKG 2003 et a rapproché le cadre juridique du pays du Code européen des communications électroniques (EECC). Pour les opérateurs - en particulier les MVNO et les nouveaux venus sur le marché - il est essentiel de comprendre les implications de la TKG 2021 en matière d'interception légale afin d'atteindre et de maintenir la conformité sur le marché autrichien.

L'approche autrichienne de l'interception légale associe un cadre juridique bien défini à une infrastructure technique centralisée gérée par le Bundesrechenzentrum (BRZ). Cette double structure signifie que les opérateurs doivent satisfaire à la fois aux exigences légales énoncées dans le TKG 2021 et le Strafprozessordnung (StPO), et aux spécifications techniques imposées par le BRZ pour la livraison des communications interceptées. Tout manquement à l'une ou l'autre de ces obligations peut entraîner des sanctions réglementaires, une responsabilité pénale, voire les deux à la fois.

Interception légale en Autriche dans le cadre du TKG 2021

Le TKG 2021 établit l'obligation générale pour les fournisseurs de services de télécommunications publics de coopérer avec les demandes d'interception légales. L'article 94 du TKG 2021 exige que les opérateurs maintiennent la capacité technique d'effectuer des interceptions et de fournir les données qui en résultent aux autorités compétentes. Cette obligation s'applique à tous les fournisseurs de services de communications publics, indépendamment de leur taille ou de leur modèle commercial - les MVNO ne sont pas exemptés.

La base procédurale pour ordonner une interception se trouve dans le StPO (code de procédure pénale). En droit autrichien, un ordre d'interception légal doit être délivré par un tribunal, généralement à la demande du procureur général. Le StPO précise les types d'infractions pouvant donner lieu à un ordre d'interception, la durée maximale de la surveillance et les conditions dans lesquelles des prolongations peuvent être accordées. Les opérateurs sont légalement tenus de se conformer aux ordonnances judiciaires valides et s'exposent à des sanctions en cas de refus ou de retard injustifié.

La législation autrichienne établit une distinction importante entre l'interception de données relatives au contenu (Inhaltsdaten) et la collecte de données relatives au trafic (Verkehrsdaten) et de données de localisation (Standortdaten). Chaque catégorie comporte des seuils juridiques et des exigences procédurales différents. L'interception du contenu nécessite un seuil de preuve plus élevé et est soumise à un contrôle judiciaire plus strict, tandis que les demandes de données relatives au trafic et à la localisation, bien que nécessitant toujours une approbation judiciaire, s'appliquent à un éventail plus large d'infractions.

Le TKG 2021 a également mis à jour les dispositions relatives à la conservation des données, un sujet controversé à la suite des arrêts de la Cour de justice de l'Union européenne (CJUE) invalidant la conservation générale des données. L'Autriche applique désormais un système de conservation ciblée des données, dans lequel les obligations de conservation sont déclenchées par des demandes légales spécifiques plutôt que de s'appliquer de manière universelle. Les opérateurs doivent comprendre comment ces dispositions interagissent avec leurs obligations générales en matière de LI afin d'éviter les lacunes en matière de conformité.

Le BRZ : l'interface LI centrale de l'Autriche

Le Bundesrechenzentrum (BRZ) est le centre informatique fédéral autrichien et joue un rôle central dans l'écosystème de l'interception légale. Le BRZ gère la plate-forme centrale par laquelle les communications interceptées sont transmises par les opérateurs aux services répressifs qui en font la demande. Ce modèle centralisé est similaire au NBIP néerlandais et signifie que tous les opérateurs autrichiens doivent établir une connexion technique avec les systèmes du BRZ.

Les spécifications de l'interface BRZ définissent la manière dont les données interceptées doivent être formatées, cryptées et transmises. Les opérateurs doivent mettre en œuvre les interfaces de transfert requises - alignées sur les normes ETSI pour HI1, HI2 et HI3 - et veiller à ce que leurs systèmes puissent fournir à la fois les informations liées à l'interception (IRI) et le contenu des communications (CC) dans les formats prescrits. Le BRZ fournit une documentation technique détaillée aux opérateurs enregistrés, et la conformité à ces spécifications est testée avant qu'un opérateur ne soit autorisé à traiter des ordres d'interception en direct.

Le rôle du BRZ va au-delà du simple transport de données. Il gère également le flux de travail administratif pour les ordonnances d'interception, en fournissant un canal sécurisé par lequel les ordonnances judiciaires sont communiquées aux opérateurs et par lequel les opérateurs confirment l'activation, la modification ou la désactivation des interceptions. Cette interface administrative (correspondant à HI1 dans la terminologie de l'ETSI) exige des opérateurs qu'ils mettent en œuvre des mécanismes sécurisés d'authentification et de journalisation afin de garantir l'intégrité et la confidentialité du processus.

Pour les opérateurs nouveaux sur le marché autrichien, le contact avec le BRZ est l'une des premières étapes du processus de mise en conformité. Le BRZ organise des sessions d'intégration, fournit des spécifications techniques et planifie des tests d'interopérabilité. Les opérateurs doivent prévoir plusieurs mois pour ce processus, car les cycles de programmation, de développement et de test peuvent être longs - en particulier pour les MVNO qui doivent se coordonner avec l'infrastructure de leur MNO hôte.

Considérations spécifiques aux MVNO

Les MVNO opérant en Autriche sont confrontés au même défi fondamental que sur d'autres marchés européens : l'obligation légale d'interception légale incombe au MVNO en tant que fournisseur de services enregistré, mais la capacité technique d'interception réside souvent chez l'opérateur de réseau mobile hôte. Le TKG 2021 ne prévoit pas de dérogation ou d'obligation réduite pour les MVNO. Si vous êtes titulaire d'une notification auprès de la Rundfunk und Telekom Regulierungs-GmbH (RTR), vous supportez tout le poids des obligations en matière d'interception.

Cela signifie que les MVNO doivent soit déployer leur propre infrastructure LI - y compris une fonction de médiation capable de s'interfacer avec le BRZ - soit établir un accord formel avec leur ORM hôte en vertu duquel l'ORM effectue l'interception pour le compte du MVNO. Dans ce dernier cas, l'ORM doit toujours s'assurer que l'accord répond aux exigences du BRZ et qu'il conserve la visibilité et le contrôle du processus. Le simple fait de déléguer la responsabilité à l'ORM sans accord formel ni validation technique constitue un risque de non-conformité que les régulateurs autrichiens ne négligeront pas.

Le modèle architectural du MVNO a également son importance. Les MVNO complets qui exploitent leurs propres éléments de réseau central ont un contrôle plus direct sur les capacités d'interception et peuvent mettre en œuvre des systèmes LI qui s'interfacent directement avec le BRZ. Les MVNO légers et les revendeurs, qui s'appuient davantage sur l'infrastructure de l'ORM hôte, sont plus dépendants et doivent investir davantage dans des garanties contractuelles et procédurales.

Le traitement du trafic VoLTE est un domaine particulièrement complexe pour les MVNO. Comme les opérateurs autrichiens ont fait migrer les services vocaux vers le LTE et, de plus en plus, vers la 5G, l'interception des appels vocaux est passée d'une infrastructure à commutation de circuits à une infrastructure à commutation de paquets. Les MVNO qui dépendent de leur ORM hôte pour les services VoLTE doivent s'assurer que l'interception des appels VoLTE est couverte par leurs accords de LI, car les mécanismes techniques diffèrent considérablement de l'interception traditionnelle par commutation de circuits.

Exigences techniques de mise en œuvre

Les exigences techniques pour le LI en Autriche suivent les normes de l'ETSI mais comprennent des adaptations spécifiques au BRZ. Les opérateurs doivent prendre en charge la fourniture de l'IRI (via HI2) et du CC (via HI3) dans les formats spécifiés par le BRZ. L'IRI doit inclure toutes les métadonnées requises, telles que les numéros appelant et appelé, les horodatages, les identifiants cellulaires et les adresses IP, en fonction du type de communication interceptée.

Pour l'interception de la voix, le CC doit être fourni sous la forme d'un flux audio en temps réel. Pour l'interception de données, le CC se compose des paquets IP associés aux sessions de la cible. Dans les deux cas, les données doivent être acheminées en toute sécurité vers le BRZ à l'aide de mécanismes de transport cryptés. Le BRZ spécifie les protocoles de cryptage et les procédures de gestion des clés que les opérateurs doivent suivre.

Les opérateurs doivent également mettre en œuvre de solides capacités d'identification des cibles. Les ordres d'interception autrichiens peuvent identifier les cibles par leur numéro de téléphone (MSISDN), leur IMSI, leur IMEI, leur adresse IP ou leur adresse électronique. Le système LI de l'opérateur doit être capable de résoudre ces identifiants pour les sessions actives ou les abonnés et de lancer l'interception en conséquence. Pour les MVNO, cela peut nécessiter une intégration avec les systèmes de gestion des abonnés du MNO hôte afin d'identifier et de suivre les cibles avec précision.

Les tests avec le BRZ sont obligatoires avant qu'un opérateur puisse recevoir des ordres d'interception en direct. Le processus de test couvre plusieurs scénarios, notamment l'interception d'appels vocaux, l'interception de SMS, l'interception de sessions de données et l'identification de la cible à l'aide de divers sélecteurs. Les opérateurs doivent réussir tous les tests avant d'être certifiés opérationnels. Le BRZ tient un registre du statut de certification de chaque opérateur et peut exiger une recertification périodique en cas de mise à niveau ou de modification des systèmes.

Délais de mise en conformité et application

La RTR, en tant qu'autorité autrichienne de régulation des télécommunications, est chargée de veiller au respect du TKG 2021, y compris des obligations en matière d'interception légale. Bien que la RTR n'effectue généralement pas d'audits proactifs des systèmes LI comme le fait la BNetzA allemande, elle a le pouvoir d'enquêter sur les plaintes, de répondre aux rapports de non-conformité et d'imposer des sanctions. Le système de justice pénale autrichien peut également poursuivre les opérateurs qui ne respectent pas les ordres d'interception valides en vertu des dispositions du StPO relatives à l'obstruction.

Les opérateurs qui entrent sur le marché autrichien doivent prévoir un délai de mise en conformité d'au moins six à douze mois entre le moment où ils s'engagent pour la première fois avec le BRZ et le moment où ils atteignent leur pleine capacité opérationnelle. Ce délai tient compte du développement technique, des tests d'intégration, des tests d'interopérabilité avec le BRZ et du développement des processus internes. Les MVNO dont les chaînes d'approvisionnement sont plus complexes peuvent avoir besoin de plus de temps, en particulier si leurs accords avec les ORM hôtes doivent être renégociés pour inclure des dispositions relatives à la LI.

Le paysage de l'application de la loi en Autriche évolue. À mesure que le marché des télécommunications se fragmente, avec l'arrivée sur le marché de nouveaux MVNO, d'opérateurs IoT et de fournisseurs OTT, l'attention portée par les autorités réglementaires à la conformité à la LI devrait s'intensifier. Les opérateurs qui établissent rapidement des cadres de conformité solides seront mieux placés pour s'adapter aux futurs changements réglementaires et éviter les mesures d'application.

Recommandations pratiques

Plusieurs mesures pratiques sont recommandées aux opérateurs qui se préparent à se conformer à l'interception légale en Autriche. Commencez par lire attentivement le TKG 2021 et les sections pertinentes du StPO pour comprendre vos obligations légales. Faites appel à un conseiller juridique spécialisé dans les télécommunications autrichiennes, car l'interaction entre le droit de la procédure pénale et la réglementation des télécommunications requiert des connaissances spécialisées.

Contactez le BRZ dès le début de votre processus de planification pour lancer la procédure d'intégration et obtenir les spécifications techniques actuelles. Développez votre infrastructure technique - que ce soit en interne ou par l'intermédiaire d'un fournisseur de services gérés - afin de répondre aux exigences du BRZ en matière d'interface. Veillez à ce que votre système de gestion de la LI prenne en charge le cycle de vie complet des ordres d'interception, depuis la réception et l'activation jusqu'au contrôle et à la désactivation.

Si vous êtes un MVNO, revoyez et, si nécessaire, renégociez votre accord avec l'ORM hôte afin d'aborder explicitement les responsabilités en matière de LI. Établissez des voies d'escalade claires et des engagements en matière de délais de réponse pour les demandes d'interception. Enfin, développez et documentez les processus internes de traitement des ordres d'interception, y compris les contrôles d'accès, les procédures de confidentialité et les pistes d'audit.

Conclusion

Le cadre autrichien de l'interception légale, ancré par le TKG 2021 et mis en œuvre par le BRZ, représente un environnement de conformité bien structuré mais exigeant. Pour les MVNO et les nouveaux arrivants sur le marché, la combinaison des obligations légales et des exigences techniques signifie qu'une planification précoce, un engagement proactif avec les régulateurs et le BRZ, et l'investissement dans une infrastructure LI robuste sont essentiels. Les conséquences de la non-conformité - sanctions réglementaires, responsabilité pénale et atteinte à la réputation - dépassent de loin les coûts d'une bonne mise en œuvre dès le départ. En comprenant le paysage autrichien de la LI et en adoptant une approche systématique de la conformité, les opérateurs peuvent construire une base solide pour une réussite à long terme sur cet important marché européen.

Le paysage de la conformité de l'Autriche en matière d'interception légale continue d'évoluer à mesure que le BRZ modernise ses interfaces techniques. Les opérateurs doivent s'assurer que leurs implémentations d'interception légale en Autriche restent alignées sur les spécifications actuelles.

Articles connexes

Pour en savoir plus sur des sujets connexes, consultez les articles suivants :

Ressources externes

Les ressources externes suivantes fournissent un contexte supplémentaire et une documentation officielle :

Articles connexes

Retour en haut
ICS
Propulsé par  Conformité des cookies au GDPR
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.