La loi Naegelen à la lumière du Traced Act américain

La loi Naegelen à la lumière du Traced Act américain

Synthèse

A l’heure où la proposition de loi sur l’encadrement du démarchage téléphonique et la lutte contre les appels frauduleux (dite PPL Naegelen) a été votée en des termes identiques par les deux assemblées, il est opportun d’évaluer ce texte, sans chercher à remettre en cause la volonté du législateur, mais en appréciant l’efficacité que l’on doit en attendre, à la lumière de la loi américaine sur le même sujet, publiée le 30 décembre 2019, et connue sous le nom de Pallone-Thune Telephone Robocall Abuse Criminal Enforcement and Deterrence Act’’ ou de ‘‘Pallone Thune TRACED Act’’.

Ces textes ont de nombreux points communs :

  • Ils luttent tous les deux contre le démarchage téléphonique abusif,
  • Ils renforcent tous les deux l’arsenal répressif contre ce type d’appels,
  • Ils ordonnent tous les deux aux opérateurs de mettre en œuvre un dispositif d’authentification des numéros.

Mais ces textes présentent de nombreuses et profondes différences de méthode. N’épiloguons pas sur des traditions juridiques différentes, ni sur un rapport du Parlement aux autorités administratives qui n’est pas le même, mais utilisons le texte du TRACED Act comme une check-list de ce qu’il faut faire pour réussir à lutter efficacement contre les appels abusifs. Les principales différences sont les suivantes :

  • Le texte américain donne des grandes lignes, impose des échéances précises, mais confie l’élaboration du détail du contenu des mesures au régulateur sectoriel, alors que le texte français ne dit quasiment pas ce qu’il attend de ce régulateur pour la mise en œuvre de cette loi,
  • Le texte américain est très prescriptif sur la méthode que doit adopter le régulateur sectoriel et sur la façon dont celui-ci doit rendre compte au Congrès de son action sur le sujet, alors que le texte français ne dit rien à ce sujet,
  • Le texte américain construit à chaque section l’évaluation de la politique publique qu’il définit, alors que le texte français ignore totalement la nécessité et les conditions d’une telle évaluation,
  • Le texte américain crée les moyens d’une coopération entre les différentes composantes des autorités américaines, quand le texte français ignore les conséquences de la très insuffisante coopération entre les autorités françaises sur un tel sujet transverse,
  • Enfin le texte américain n’hésite pas à organiser l’auto-régulation sectorielle, quand la loi française a, par tradition, peur de l’appeler de ses vœux et de lui formuler ses exigences.

La suite de ce texte détaille et illustre ces ressemblances et ces différences, article par article du TRACED Act.

Section 3 – Appels illégaux, un délit sanctionnable par une confiscation des gains

La section 3 punit en des termes plus sévères, comme une confiscation des gains, le délit constitué par le démarchage abusif et automatisé, appelé Robocalls. Il est à noter que cet article s’accompagne d’une mission confiée à la Federal Communications Commission (FCC), après consultation de la FTC, de rapport annuel au Congrès du nombre d’infractions relevant de cette définition. La loi précise le plan du rapport, qui doit détailler cinq informations statistiques, proposer des améliorations du dispositif, analyser le comportement des opérateurs dont les clients émettent des appels illégaux et proposer des actions de ces opérateurs pour que ceux-ci diminuent le nombre d’appels de ce type acheminés par leurs réseaux.

Il y a également dans la loi Naegelen une aggravation des amendes visant les auteurs d’appels illégaux.

Dès ce premier article significatif, la loi américaine se caractérise par son obsession de l’évaluation de l’action publique, qui prend ici la forme d’un rapport du régulateur sectoriel au législateur, de quantification des faits ainsi qualifiés et des actions menées pour les combattre. Cet aspect est totalement absent de la loi française.

Section 4 – Authentification des appels

La section 4 – Authentification des appels – impose aux opérateurs de déployer sous dix-huit mois à compter de la promulgation de la loi l’architecture STIR / SHAKEN pour leur téléphonie sur IP et, pour leur téléphonie TDM, d’avoir pris dans le même temps des mesures raisonnables pour authentifier les appels.

Là encore, la FCC doit, sous douze mois après la promulgation de la loi, soumettre un rapport sur cette mise en œuvre de l’authentification des appels aux commissions spécialisées des deux chambres du Congrès.

Dans le même délai de douze mois après l’entrée en vigueur de la loi, la FCC :

  • évaluera les difficultés de mise en œuvre de l’authentification des appels rencontrées par certains opérateurs,
  • pourra repousser la date limite de mise en œuvre pour ces opérateurs,
  • publiera des bonnes pratiques de mise en œuvre de l’authentification,
  • publiera des règles précisant dans quelles conditions un opérateur peut bloquer un appel suspect sans pouvoir être lui-même objet de poursuites pour blocage indu,
  • établira un processus permettant à l’appelant dont les appels sont bloqués de faire vérifier l’authenticité de ces appels,
  • assurera que les appels en provenance des opérateurs ayant bénéficié d’un délai supplémentaire de mise en œuvre ne feront pas l’objet d’une discrimination négative au cours de ce délai.

Il y a dans la loi Naegelen une exigence de mise en place d’un dispositif d’authentification des appels, mais aucune disposition de mise en œuvre n’est prévue, aucun mécanisme de définition des exceptions, aucune exigence particulière n’est attendue sur ce point du régulateur sectoriel. La seule exigence est, trois ans après l’entrée en vigueur de la loi, de couper les appels non authentifiés. Si c’était appliqué à la lettre, cela poserait de nombreux problèmes, car les usages légitimes de présentation d’un numéro autre que le sien sont pour la plupart ignorés.

A contrario, le législateur américain n’a pas peur de déléguer des tâches au régulateur sectoriel et de lui demander d’en rendre compte par écrit dans des délais définis par la loi.

Section 5 – Groupe de travail inter-agences

La section 5 de la loi institue un Groupe de travail inter-agences, créé par l’attorney general (le ministre de la justice), le Président de la FCC et celui de la Federal Trade Commission (FTC). Ce groupe de travail :

  • déterminera si la législation en vigueur permet efficacement ou non la poursuite des infractions,
  • identifiera les politiques publiques nationales et internationales qui luttent ou pourraient lutter efficacement contre les appels abusifs ou frauduleux,
  • considèrera s’il faut établir un memorandum of understanding entre les autorités nationales et étrangères concernées pour améliorer la lutte contre ces pratiques,
  • appréciera s’il faut renforcer les moyens de lutte et les sanctions contre de telles violations,
  • évaluera si la régulation des contrats entre les opérateurs de télécommunications et leurs clients peut aider à prévenir et à poursuivre de tels délits.

Ce groupe de travail rendra compte au Congrès sous 270 jours.

Le législateur américain a compris qu’une coopération étroite entre les administrations concernées était une des clés du succès de la lutte contre les appels illégaux. Un groupe de travail comparable entre l’ARCEP, la DGCCRF et le ministère de la justice, rendant compte au Parlement de ses efforts, serait le bienvenu.

Section 6 – Know Your Customer

Le section 6 de la loi enjoint la FCC de remettre en question les circonstances dans lesquelles les opérateurs affectent des numéros de téléphone à leurs clients. La procédure doit établir de nouvelles obligations de KYC (Know Your Customer), qui obligeront les opérateurs à prendre des précautions supplémentaires pour éviter d’affecter des numéros à de potentiels perpétrateurs de telles violations.

D’ores et déjà, toute personne qui affecterait à quelqu’un, en connaissance de cause, des numéros pour émettre des appels illégaux peut, par cette loi, être puni par la confiscation de ses gains.

Ce volet de responsabilisation des opérateurs à l’origine du départ des appels est une piste très intéressante, totalement ignorée par la législation française.

Section 7 – Protection des abonnés contre les appels illégaux

La section 7 de la loi traite de la protection des abonnés au téléphone contre la réception d’appels ou de messages textuels présentant un numéro usurpé. Un an au plus tard après l’entrée en vigueur de la loi, la FCC doit établir des règles protégeant les abonnés contre la réception d’appels ou de messages textuels non sollicités émanant d’un appelant utilisant un numéro non authentifié. La FCC doit pour cela :

  • s’appuyer sur le rapport du Government Accountability Office (l’équivalent américain de la Cour des comptes française) sur le combat contre l’utilisation frauduleuse d’une identification de l’appelant trompeuse ou inexacte,
  • considérer les meilleurs moyens d’assurer à l’abonné ou à l’opérateur le moyen de bloquer les appels provenant d’un numéro non authentifié,
  • apprécier les impacts sur la protection des données personnelles des appelants utilisant un numéro non authentifié,
  • évaluer l’efficacité de la vérification de la précision de l’identification de l’appelant,
  • estimer la disponibilité et le coût de la vérification de l’identification de l’appelant.

Au lieu d’ordonner aux opérateurs d’interrompre les appels non authentifiés, le législateur américain a confié à la FCC le soin de définir les moyens à mettre en place pour la protection des abonnés au téléphone contre les appels illégaux et lui a assigné le devoir de lui en rendre compte.

Sur ce point, les effets de bord ignorés par la loi Naegelen seraient dramatiques s’ils ne faisaient pas l’objet d’une correction législative sous trois mois :

  • les français ne pourraient plus appeler les étrangers en roaming en France, car leurs appels présentent un numéro français, mais transitent par l’opérateur d’origine du visiteur étranger,
  • les entreprises multinationales qui permettent à leurs salariés à l’étranger d’utiliser des numéros français ne pourront plus le faire,
  • le filtrage des appels en provenance de l’étranger et présentant un numéro français, qui était fait avec discernement par les opérateurs français sur recommandation (et non obligation) de l’ARCEP ne pourra plus être effectué pour les appels en provenance d’opérateurs européens.

Il est indispensable que la législation française évolue pour prendre en compte de façon beaucoup plus subtile les actions de protection de l’abonné contre les appels illégaux, en déléguant cette tâche à l’ARCEP, quitte à lui demander d’en rendre compte au Parlement.

Section 8 – Exceptions

La section 8 prévoit des exceptions à l’interdiction d’appels automatisés.

Section 9 – Base de données des numéros résiliés

La section 9 prévoit l’établissement d’une base de données des numéros résiliés, afin que ces numéros, une fois réaffectés, soient purgés des listes de numéros d’abonnés ayant exprimé la volonté de ne pas recevoir d’appels automatisés.

Ce mécanisme de purge des numéros enregistrés comme ne devant pas être appelés, une fois ceux-ci résiliés, est un maillon utile de cette chaine d’efforts, dont la France aurait tort de ne pas s’inspirer.

Section 10 – Signalements, blocage des appels, traçage des appels

La section 10 – Stop robocalls – ordonne à la FCC :

  • sous 18 mois après l’entrée en vigueur de la loi, de rendre plus fluide le moyen pour toute entité privée de partager une information avec la FCC sur des cas de violation de l’interdiction d’appels automatisés et de présentation d’identification d’appelant trompeuse ;
  • sous 12 mois après l’entrée en vigueur de la loi, de faire en sorte que les systèmes de blocage des robocalls puissent être disponibles soit en opt-out, soit en opt-in ;
  • de faire une étude sur les détails d’appels à conserver par les opérateurs pour remonter efficacement contre les auteurs d’appels illégaux (traceback) et d’en rendre compte au Congrès sous 18 mois.

Section 11 – Coopération entre la FCC et le ministère de la justice

La section 11 stipule que le bureau du respect de la réglementation (enforcement bureau) de la FCC doit transmettre au ministère de la justice les faits relatifs à certaines violations de la loi sur les robocalls.

Quand on connait l’inadéquation et le morcellement des systèmes existant en France (signalements Bloctel, j’alerte l’ARCEP, plateforme Pharos, …) pour signaler les appels illégaux, le programme américain défini par les sections 10 et 11 du TRACED Act parait beaucoup plus robuste sur ce sujet.

Section 12 – Programme d’action contre les appels à une seule sonnerie

La section 12 définit pour la FCC un programme d’action contre les appels à une seule sonnerie (appelés one ring scams aux Etats-Unis) :

  • coopération avec les autres autorités américaines,
  • coopération avec les gouvernements étrangers,
  • en consultation avec la FTC, éducation du public à ce type d’arnaques,
  • incitations des opérateurs à faire cesser ce type d’appels,
  • travail avec les entités fournissant des services de blocage d’appels,
  • établissement d’obligations aux fournisseurs d’interconnexion internationale de vérifier avec l’opérateur étranger la nature des services fournis.

Un rapport au Congrès sur ce sujet est dû par la FCC un an après l’entrée en vigueur de la loi.

Le Congrès missionne la FCC pour lutter contre les appels qui sonnent une seule fois, pour vous inviter à rappeler. Est-ce une priorité pour la France ?

Section 13 – Rapport annuel sur l’efficacité du traçage des appels illégaux

Alors que les rapports précédents étaient non-récurrents, la section 13 de la loi ordonne à la FCC de publier un rapport annuel sur les efforts du consortium privé auquel participent les opérateurs pour remonter à la source des appels suspectés d’être des robocalls illégaux. Ce rapport doit comprendre :

  • une description des efforts entrepris par le Consortium pour tracer l’origine des appels illégaux,
  • une liste des opérateurs de téléphonie enregistrés par le Consortium comme participants à ces travaux,
  • une liste des opérateurs de téléphonie enregistrés par le Consortium comme ayant été sollicités pour participer à ces travaux, mais ayant refusé de le faire, avec la raison invoquée de ce refus,
  • la façon dont la FCC entend utiliser ces informations.

La FCC est tenue, sept mois après l’entrée en vigueur de la loi, et par la suite une fois par an, d’informer le public sur ce programme de traçage des appels illégaux.

Trois mois après l’entrée en vigueur de la loi, et par la suite une fois par an, la FCC doit publier les règles selon lesquelles il est possible de s’inscrire à un consortium privé unique qui dirige les efforts privés pour tracer l’origine des appels suspectés d’être des robocalls illégaux. Ce consortium doit :

  • être compétent et neutre,
  • publier et mettre à jour un recueil des bonnes pratiques pour tracer l’origine de ces appels,
  • se focaliser sur les appels frauduleux, abusifs ou illégaux,
  • notifier la FCC de sa volonté avant que la FCC ne communique sur la possibilité de s’y inscrire.

Sur la base des informations fournies par le consortium, la FCC peut publier la liste des opérateurs de téléphonie qui refusent d’y participer et agir contre ceux-ci.

Cette section de la loi touche du doigt une différence fondamentale dans l’appréciation par les Etats-Unis et la France de l’autorégulation sectorielle : aux Etats-Unis, le législateur organise la création d’un consortium privé neutre unique destiné à partager l’information sur le traçage des appels illégaux. En France, les appels à l’organisation sectorielle sont, au mieux, souhaités par les autorités (comme c’est le cas pour gérer la portabilité des numéros), mais jamais exigés. Il serait peut-être temps de revisiter les précautions juridiques qui laissent à ce point les autorités françaises aussi passives par rapport à l’organisation de l’auto-régulation sectorielle.

Section 14 – Groupe de travail sur les robocalls visant les hôpitaux

Enfin, la section 14 crée un groupe de travail chargé de lutter contre les robocalls reçus par les hôpitaux.

Les hôpitaux français n’étant pas particulièrement visés par les appels illégaux, ce point n’est sans doute pas une priorité pour la France.