Les exigences de l'Autriche en mati\u00e8re d'interception l\u00e9gale en vertu de la TKG 2021 repr\u00e9sentent des d\u00e9fis uniques pour les op\u00e9rateurs de t\u00e9l\u00e9communications. Le paysage r\u00e9glementaire autrichien des t\u00e9l\u00e9communications a subi une transformation significative avec l'introduction de la Telekommunikationsgesetz 2021 (TKG 2021), qui a remplac\u00e9 l'ancienne TKG 2003 et a rapproch\u00e9 le cadre juridique du pays du Code europ\u00e9en des communications \u00e9lectroniques (EECC). Pour les op\u00e9rateurs - en particulier les MVNO et les nouveaux venus sur le march\u00e9 - il est essentiel de comprendre les implications de la TKG 2021 en mati\u00e8re d'interception l\u00e9gale afin d'atteindre et de maintenir la conformit\u00e9 sur le march\u00e9 autrichien.<\/p>\n\n\n\n
L'approche autrichienne de l'interception l\u00e9gale associe un cadre juridique bien d\u00e9fini \u00e0 une infrastructure technique centralis\u00e9e g\u00e9r\u00e9e par le Bundesrechenzentrum (BRZ). Cette double structure signifie que les op\u00e9rateurs doivent satisfaire \u00e0 la fois aux exigences l\u00e9gales \u00e9nonc\u00e9es dans le TKG 2021 et le Strafprozessordnung (StPO), et aux sp\u00e9cifications techniques impos\u00e9es par le BRZ pour la livraison des communications intercept\u00e9es. Tout manquement \u00e0 l'une ou l'autre de ces obligations peut entra\u00eener des sanctions r\u00e9glementaires, une responsabilit\u00e9 p\u00e9nale, voire les deux \u00e0 la fois.<\/p>\n\n\n\n
Le TKG 2021 \u00e9tablit l'obligation g\u00e9n\u00e9rale pour les fournisseurs de services de t\u00e9l\u00e9communications publics de coop\u00e9rer avec les demandes d'interception l\u00e9gales. L'article 94 du TKG 2021 exige que les op\u00e9rateurs maintiennent la capacit\u00e9 technique d'effectuer des interceptions et de fournir les donn\u00e9es qui en r\u00e9sultent aux autorit\u00e9s comp\u00e9tentes. Cette obligation s'applique \u00e0 tous les fournisseurs de services de communications publics, ind\u00e9pendamment de leur taille ou de leur mod\u00e8le commercial - les MVNO ne sont pas exempt\u00e9s.<\/p>\n\n\n\n
La base proc\u00e9durale pour ordonner une interception se trouve dans le StPO (code de proc\u00e9dure p\u00e9nale). En droit autrichien, un ordre d'interception l\u00e9gal doit \u00eatre d\u00e9livr\u00e9 par un tribunal, g\u00e9n\u00e9ralement \u00e0 la demande du procureur g\u00e9n\u00e9ral. Le StPO pr\u00e9cise les types d'infractions pouvant donner lieu \u00e0 un ordre d'interception, la dur\u00e9e maximale de la surveillance et les conditions dans lesquelles des prolongations peuvent \u00eatre accord\u00e9es. Les op\u00e9rateurs sont l\u00e9galement tenus de se conformer aux ordonnances judiciaires valides et s'exposent \u00e0 des sanctions en cas de refus ou de retard injustifi\u00e9.<\/p>\n\n\n\n
La l\u00e9gislation autrichienne \u00e9tablit une distinction importante entre l'interception de donn\u00e9es relatives au contenu (Inhaltsdaten) et la collecte de donn\u00e9es relatives au trafic (Verkehrsdaten) et de donn\u00e9es de localisation (Standortdaten). Chaque cat\u00e9gorie comporte des seuils juridiques et des exigences proc\u00e9durales diff\u00e9rents. L'interception du contenu n\u00e9cessite un seuil de preuve plus \u00e9lev\u00e9 et est soumise \u00e0 un contr\u00f4le judiciaire plus strict, tandis que les demandes de donn\u00e9es relatives au trafic et \u00e0 la localisation, bien que n\u00e9cessitant toujours une approbation judiciaire, s'appliquent \u00e0 un \u00e9ventail plus large d'infractions.<\/p>\n\n\n\n
Le TKG 2021 a \u00e9galement mis \u00e0 jour les dispositions relatives \u00e0 la conservation des donn\u00e9es, un sujet controvers\u00e9 \u00e0 la suite des arr\u00eats de la Cour de justice de l'Union europ\u00e9enne (CJUE) invalidant la conservation g\u00e9n\u00e9rale des donn\u00e9es. L'Autriche applique d\u00e9sormais un syst\u00e8me de conservation cibl\u00e9e des donn\u00e9es, dans lequel les obligations de conservation sont d\u00e9clench\u00e9es par des demandes l\u00e9gales sp\u00e9cifiques plut\u00f4t que de s'appliquer de mani\u00e8re universelle. Les op\u00e9rateurs doivent comprendre comment ces dispositions interagissent avec leurs obligations g\u00e9n\u00e9rales en mati\u00e8re de LI afin d'\u00e9viter les lacunes en mati\u00e8re de conformit\u00e9.<\/p>\n\n\n\n
Le Bundesrechenzentrum (BRZ) est le centre informatique f\u00e9d\u00e9ral autrichien et joue un r\u00f4le central dans l'\u00e9cosyst\u00e8me de l'interception l\u00e9gale. Le BRZ g\u00e8re la plate-forme centrale par laquelle les communications intercept\u00e9es sont transmises par les op\u00e9rateurs aux services r\u00e9pressifs qui en font la demande. Ce mod\u00e8le centralis\u00e9 est similaire au NBIP n\u00e9erlandais et signifie que tous les op\u00e9rateurs autrichiens doivent \u00e9tablir une connexion technique avec les syst\u00e8mes du BRZ.<\/p>\n\n\n\n
Les sp\u00e9cifications de l'interface BRZ d\u00e9finissent la mani\u00e8re dont les donn\u00e9es intercept\u00e9es doivent \u00eatre format\u00e9es, crypt\u00e9es et transmises. Les op\u00e9rateurs doivent mettre en \u0153uvre les interfaces de transfert requises - align\u00e9es sur les normes ETSI pour HI1, HI2 et HI3 - et veiller \u00e0 ce que leurs syst\u00e8mes puissent fournir \u00e0 la fois les informations li\u00e9es \u00e0 l'interception (IRI) et le contenu des communications (CC) dans les formats prescrits. Le BRZ fournit une documentation technique d\u00e9taill\u00e9e aux op\u00e9rateurs enregistr\u00e9s, et la conformit\u00e9 \u00e0 ces sp\u00e9cifications est test\u00e9e avant qu'un op\u00e9rateur ne soit autoris\u00e9 \u00e0 traiter des ordres d'interception en direct.<\/p>\n\n\n\n
Le r\u00f4le du BRZ va au-del\u00e0 du simple transport de donn\u00e9es. Il g\u00e8re \u00e9galement le flux de travail administratif pour les ordonnances d'interception, en fournissant un canal s\u00e9curis\u00e9 par lequel les ordonnances judiciaires sont communiqu\u00e9es aux op\u00e9rateurs et par lequel les op\u00e9rateurs confirment l'activation, la modification ou la d\u00e9sactivation des interceptions. Cette interface administrative (correspondant \u00e0 HI1 dans la terminologie de l'ETSI) exige des op\u00e9rateurs qu'ils mettent en \u0153uvre des m\u00e9canismes s\u00e9curis\u00e9s d'authentification et de journalisation afin de garantir l'int\u00e9grit\u00e9 et la confidentialit\u00e9 du processus.<\/p>\n\n\n\n
Pour les op\u00e9rateurs nouveaux sur le march\u00e9 autrichien, le contact avec le BRZ est l'une des premi\u00e8res \u00e9tapes du processus de mise en conformit\u00e9. Le BRZ organise des sessions d'int\u00e9gration, fournit des sp\u00e9cifications techniques et planifie des tests d'interop\u00e9rabilit\u00e9. Les op\u00e9rateurs doivent pr\u00e9voir plusieurs mois pour ce processus, car les cycles de programmation, de d\u00e9veloppement et de test peuvent \u00eatre longs - en particulier pour les MVNO qui doivent se coordonner avec l'infrastructure de leur MNO h\u00f4te.<\/p>\n\n\n\n
Les MVNO op\u00e9rant en Autriche sont confront\u00e9s au m\u00eame d\u00e9fi fondamental que sur d'autres march\u00e9s europ\u00e9ens : l'obligation l\u00e9gale d'interception l\u00e9gale incombe au MVNO en tant que fournisseur de services enregistr\u00e9, mais la capacit\u00e9 technique d'interception r\u00e9side souvent chez l'op\u00e9rateur de r\u00e9seau mobile h\u00f4te. Le TKG 2021 ne pr\u00e9voit pas de d\u00e9rogation ou d'obligation r\u00e9duite pour les MVNO. Si vous \u00eates titulaire d'une notification aupr\u00e8s de la Rundfunk und Telekom Regulierungs-GmbH (RTR), vous supportez tout le poids des obligations en mati\u00e8re d'interception.<\/p>\n\n\n\n
Cela signifie que les MVNO doivent soit d\u00e9ployer leur propre infrastructure LI - y compris une fonction de m\u00e9diation capable de s'interfacer avec le BRZ - soit \u00e9tablir un accord formel avec leur ORM h\u00f4te en vertu duquel l'ORM effectue l'interception pour le compte du MVNO. Dans ce dernier cas, l'ORM doit toujours s'assurer que l'accord r\u00e9pond aux exigences du BRZ et qu'il conserve la visibilit\u00e9 et le contr\u00f4le du processus. Le simple fait de d\u00e9l\u00e9guer la responsabilit\u00e9 \u00e0 l'ORM sans accord formel ni validation technique constitue un risque de non-conformit\u00e9 que les r\u00e9gulateurs autrichiens ne n\u00e9gligeront pas.<\/p>\n\n\n\n
Le mod\u00e8le architectural du MVNO a \u00e9galement son importance. Les MVNO complets qui exploitent leurs propres \u00e9l\u00e9ments de r\u00e9seau central ont un contr\u00f4le plus direct sur les capacit\u00e9s d'interception et peuvent mettre en \u0153uvre des syst\u00e8mes LI qui s'interfacent directement avec le BRZ. Les MVNO l\u00e9gers et les revendeurs, qui s'appuient davantage sur l'infrastructure de l'ORM h\u00f4te, sont plus d\u00e9pendants et doivent investir davantage dans des garanties contractuelles et proc\u00e9durales.<\/p>\n\n\n\n
Le traitement du trafic VoLTE est un domaine particuli\u00e8rement complexe pour les MVNO. Comme les op\u00e9rateurs autrichiens ont fait migrer les services vocaux vers le LTE et, de plus en plus, vers la 5G, l'interception des appels vocaux est pass\u00e9e d'une infrastructure \u00e0 commutation de circuits \u00e0 une infrastructure \u00e0 commutation de paquets. Les MVNO qui d\u00e9pendent de leur ORM h\u00f4te pour les services VoLTE doivent s'assurer que l'interception des appels VoLTE est couverte par leurs accords de LI, car les m\u00e9canismes techniques diff\u00e8rent consid\u00e9rablement de l'interception traditionnelle par commutation de circuits.<\/p>\n\n\n\n
Les exigences techniques pour le LI en Autriche suivent les normes de l'ETSI mais comprennent des adaptations sp\u00e9cifiques au BRZ. Les op\u00e9rateurs doivent prendre en charge la fourniture de l'IRI (via HI2) et du CC (via HI3) dans les formats sp\u00e9cifi\u00e9s par le BRZ. L'IRI doit inclure toutes les m\u00e9tadonn\u00e9es requises, telles que les num\u00e9ros appelant et appel\u00e9, les horodatages, les identifiants cellulaires et les adresses IP, en fonction du type de communication intercept\u00e9e.<\/p>\n\n\n\n
Pour l'interception de la voix, le CC doit \u00eatre fourni sous la forme d'un flux audio en temps r\u00e9el. Pour l'interception de donn\u00e9es, le CC se compose des paquets IP associ\u00e9s aux sessions de la cible. Dans les deux cas, les donn\u00e9es doivent \u00eatre achemin\u00e9es en toute s\u00e9curit\u00e9 vers le BRZ \u00e0 l'aide de m\u00e9canismes de transport crypt\u00e9s. Le BRZ sp\u00e9cifie les protocoles de cryptage et les proc\u00e9dures de gestion des cl\u00e9s que les op\u00e9rateurs doivent suivre.<\/p>\n\n\n\n
Les op\u00e9rateurs doivent \u00e9galement mettre en \u0153uvre de solides capacit\u00e9s d'identification des cibles. Les ordres d'interception autrichiens peuvent identifier les cibles par leur num\u00e9ro de t\u00e9l\u00e9phone (MSISDN), leur IMSI, leur IMEI, leur adresse IP ou leur adresse \u00e9lectronique. Le syst\u00e8me LI de l'op\u00e9rateur doit \u00eatre capable de r\u00e9soudre ces identifiants pour les sessions actives ou les abonn\u00e9s et de lancer l'interception en cons\u00e9quence. Pour les MVNO, cela peut n\u00e9cessiter une int\u00e9gration avec les syst\u00e8mes de gestion des abonn\u00e9s du MNO h\u00f4te afin d'identifier et de suivre les cibles avec pr\u00e9cision.<\/p>\n\n\n\n
Les tests avec le BRZ sont obligatoires avant qu'un op\u00e9rateur puisse recevoir des ordres d'interception en direct. Le processus de test couvre plusieurs sc\u00e9narios, notamment l'interception d'appels vocaux, l'interception de SMS, l'interception de sessions de donn\u00e9es et l'identification de la cible \u00e0 l'aide de divers s\u00e9lecteurs. Les op\u00e9rateurs doivent r\u00e9ussir tous les tests avant d'\u00eatre certifi\u00e9s op\u00e9rationnels. Le BRZ tient un registre du statut de certification de chaque op\u00e9rateur et peut exiger une recertification p\u00e9riodique en cas de mise \u00e0 niveau ou de modification des syst\u00e8mes.<\/p>\n\n\n\n
La RTR, en tant qu'autorit\u00e9 autrichienne de r\u00e9gulation des t\u00e9l\u00e9communications, est charg\u00e9e de veiller au respect du TKG 2021, y compris des obligations en mati\u00e8re d'interception l\u00e9gale. Bien que la RTR n'effectue g\u00e9n\u00e9ralement pas d'audits proactifs des syst\u00e8mes LI comme le fait la BNetzA allemande, elle a le pouvoir d'enqu\u00eater sur les plaintes, de r\u00e9pondre aux rapports de non-conformit\u00e9 et d'imposer des sanctions. Le syst\u00e8me de justice p\u00e9nale autrichien peut \u00e9galement poursuivre les op\u00e9rateurs qui ne respectent pas les ordres d'interception valides en vertu des dispositions du StPO relatives \u00e0 l'obstruction.<\/p>\n\n\n\n
Les op\u00e9rateurs qui entrent sur le march\u00e9 autrichien doivent pr\u00e9voir un d\u00e9lai de mise en conformit\u00e9 d'au moins six \u00e0 douze mois entre le moment o\u00f9 ils s'engagent pour la premi\u00e8re fois avec le BRZ et le moment o\u00f9 ils atteignent leur pleine capacit\u00e9 op\u00e9rationnelle. Ce d\u00e9lai tient compte du d\u00e9veloppement technique, des tests d'int\u00e9gration, des tests d'interop\u00e9rabilit\u00e9 avec le BRZ et du d\u00e9veloppement des processus internes. Les MVNO dont les cha\u00eenes d'approvisionnement sont plus complexes peuvent avoir besoin de plus de temps, en particulier si leurs accords avec les ORM h\u00f4tes doivent \u00eatre ren\u00e9goci\u00e9s pour inclure des dispositions relatives \u00e0 la LI.<\/p>\n\n\n\n
Le paysage de l'application de la loi en Autriche \u00e9volue. \u00c0 mesure que le march\u00e9 des t\u00e9l\u00e9communications se fragmente, avec l'arriv\u00e9e sur le march\u00e9 de nouveaux MVNO, d'op\u00e9rateurs IoT et de fournisseurs OTT, l'attention port\u00e9e par les autorit\u00e9s r\u00e9glementaires \u00e0 la conformit\u00e9 \u00e0 la LI devrait s'intensifier. Les op\u00e9rateurs qui \u00e9tablissent rapidement des cadres de conformit\u00e9 solides seront mieux plac\u00e9s pour s'adapter aux futurs changements r\u00e9glementaires et \u00e9viter les mesures d'application.<\/p>\n\n\n\n
Plusieurs mesures pratiques sont recommand\u00e9es aux op\u00e9rateurs qui se pr\u00e9parent \u00e0 se conformer \u00e0 l'interception l\u00e9gale en Autriche. Commencez par lire attentivement le TKG 2021 et les sections pertinentes du StPO pour comprendre vos obligations l\u00e9gales. Faites appel \u00e0 un conseiller juridique sp\u00e9cialis\u00e9 dans les t\u00e9l\u00e9communications autrichiennes, car l'interaction entre le droit de la proc\u00e9dure p\u00e9nale et la r\u00e9glementation des t\u00e9l\u00e9communications requiert des connaissances sp\u00e9cialis\u00e9es.<\/p>\n\n\n\n
Contactez le BRZ d\u00e8s le d\u00e9but de votre processus de planification pour lancer la proc\u00e9dure d'int\u00e9gration et obtenir les sp\u00e9cifications techniques actuelles. D\u00e9veloppez votre infrastructure technique - que ce soit en interne ou par l'interm\u00e9diaire d'un fournisseur de services g\u00e9r\u00e9s - afin de r\u00e9pondre aux exigences du BRZ en mati\u00e8re d'interface. Veillez \u00e0 ce que votre syst\u00e8me de gestion de la LI prenne en charge le cycle de vie complet des ordres d'interception, depuis la r\u00e9ception et l'activation jusqu'au contr\u00f4le et \u00e0 la d\u00e9sactivation.<\/p>\n\n\n\n
Si vous \u00eates un MVNO, revoyez et, si n\u00e9cessaire, ren\u00e9gociez votre accord avec l'ORM h\u00f4te afin d'aborder explicitement les responsabilit\u00e9s en mati\u00e8re de LI. \u00c9tablissez des voies d'escalade claires et des engagements en mati\u00e8re de d\u00e9lais de r\u00e9ponse pour les demandes d'interception. Enfin, d\u00e9veloppez et documentez les processus internes de traitement des ordres d'interception, y compris les contr\u00f4les d'acc\u00e8s, les proc\u00e9dures de confidentialit\u00e9 et les pistes d'audit.<\/p>\n\n\n\n
Le cadre autrichien de l'interception l\u00e9gale, ancr\u00e9 par le TKG 2021 et mis en \u0153uvre par le BRZ, repr\u00e9sente un environnement de conformit\u00e9 bien structur\u00e9 mais exigeant. Pour les MVNO et les nouveaux arrivants sur le march\u00e9, la combinaison des obligations l\u00e9gales et des exigences techniques signifie qu'une planification pr\u00e9coce, un engagement proactif avec les r\u00e9gulateurs et le BRZ, et l'investissement dans une infrastructure LI robuste sont essentiels. Les cons\u00e9quences de la non-conformit\u00e9 - sanctions r\u00e9glementaires, responsabilit\u00e9 p\u00e9nale et atteinte \u00e0 la r\u00e9putation - d\u00e9passent de loin les co\u00fbts d'une bonne mise en \u0153uvre d\u00e8s le d\u00e9part. En comprenant le paysage autrichien de la LI et en adoptant une approche syst\u00e9matique de la conformit\u00e9, les op\u00e9rateurs peuvent construire une base solide pour une r\u00e9ussite \u00e0 long terme sur cet important march\u00e9 europ\u00e9en.<\/p>\n\n\n\n
Le paysage de la conformit\u00e9 de l'Autriche en mati\u00e8re d'interception l\u00e9gale continue d'\u00e9voluer \u00e0 mesure que le BRZ modernise ses interfaces techniques. Les op\u00e9rateurs doivent s'assurer que leurs impl\u00e9mentations d'interception l\u00e9gale en Autriche restent align\u00e9es sur les sp\u00e9cifications actuelles.<\/p>\n\n\n\n
Pour en savoir plus sur des sujets connexes, consultez les articles suivants :<\/p>\n\n\n\n
Les ressources externes suivantes fournissent un contexte suppl\u00e9mentaire et une documentation officielle :<\/p>\n\n\n\n