Fichier centralisé - Authentification

 

 

Fichier centralisé - Authentificationhttps://author.ilr.lu/FR/Professionnels/Communications-electroniques/Numerotation/Fichier-centralise---Authentification/Pages/Fichier-centralisé---Authentification.aspxFichier centralisé - Authentification<p style="text-align:justify;">La loi du 27 juin 2018 adaptant la procédure pénale aux besoins liés à la menace terroriste et portant modification 1) du Code de procédure pénale, 2) de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques, 3) de la loi du 27 février 2011 sur les réseaux et les services de communications électroniques qui est entrée en vigueur le 9 juillet 2018, introduit un article 10bis dans la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques lequel prévoit la création d'un fichier électronique auprès de l'Institut. Le fichier (ci-après « IR.COM ») sera hébergé auprès du Centre des technologies de l'information de l'Etat (ci-après « CTIE ») qui en assurera la gestion opérationnelle.<br>La finalité de ce fichier, qui devra centraliser un certain nombre de données relatives aux clients finals des opérateurs de services de communications électroniques, sera la consultation par les autorités légales déterminées par la loi (Procureur d'Etat, juge d'instruction, officiers de police judiciaire, Service de renseignement de l'Etat et centres d'appels d'urgence de la police grand-ducale) des données précitées.<br>Il est important de souligner que les opérateurs ont l'obligation, sous peine de sanction, de transmettre gratuitement les données requises et de procéder à une mise à jour toutes les 24 heures en raison de l'importance du caractère actuel des informations concernées. <br>Sont soumises à cette obligation les entreprises qui fournissent un service de communications électroniques accessible au public en ayant recours à des ressources de numérotation luxembourgeoise (permettant des appels téléphoniques, de sorte que les services M2M sont exclus du champ d'application) y inclus les revendeurs d'un service téléphonique fixe ou mobile. Sont ainsi visés les opérateurs qui offrent des services en ayant recours à des ressources de numérotation luxembourgeoise (qu'ils se sont vus attribuées par l'Institut) directement aux clients finals ainsi que ceux qui fournissent des services en ayant recours à des ressources de numérotation luxembourgeois qui, sans leur avoir été allouées par l'Institut, font partie d'un service de revente qu'ils achètent auprès d'opérateurs qui se sont vus attribuer les ressources de numérotation par l'Institut. Dans cette deuxième hypothèse, le service de revente permet à celui qui l'achète de proposer à son tour, sous son propre nom ou marque, des services de téléphonie à ses propres clients finals. <br>Toute entreprise qui aura reçu des blocs de numéros et les opère pour un service en revente est obligée d'informer ses revendeurs des obligations découlant de l'article 10 bis de la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques et de veiller à ce que ces revendeurs transmettent gratuitement les données de leurs clients finals dans le fichier électronique mis en place par l'article 10 bis.</p><p style="text-align:justify;text-decoration:underline;"><strong>Cadre légal</strong></p><ul><li><div style="text-align:justify;"><a href="/FR/Professionnels/Communications-electroniques/Legislation/Nationale/" target="_blank">Loi du 27 juin 2018 </a>adaptant la procédure pénale aux besoins liés à la menace terroriste et portant modification<br>1) du Code de procédure pénale,<br>2) de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques,<br>3) de la loi du 27 février 2011 sur les réseaux et les services de communications électroniques</div></li><li><div style="text-align:justify;"><a href="http://legilux.public.lu/eli/etat/leg/rilr/2018/12/05/a1105/jo" target="_blank">Règlement ILR/T18/12 du 05 décembre 2018</a><br>​fixant le protocole et l’interface sécurisés ainsi que le format d’échange à utiliser pour le transfert des données à fournir par les entreprises notifiées en vertu de l’article 10bis de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques.</div></li></ul><p style="text-align:justify;text-decoration:underline;"><span aria-hidden="true"><strong>FAQ</strong></span></p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;"><span aria-hidden="true">Quelles sont les entreprises qui sont concernées par l'article 10bis ?</span></h3><p style="text-align:justify;"><span aria-hidden="true">Seules les entreprises notifiées qui gèrent des ressources de numérotation luxembourgeoises sont soumises à l'obligation prévue par l'article 10 bis. Une entreprise notifiée qui a soumis une demande d'attribution de ressources de numérotation luxembourgeoises doit, <span style="text-decoration:underline;">dès l'activation de ces ressources</span>, transmettre les données visées par la loi dans le fichier centralisé.</span></p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;"><span aria-hidden="true">Je suis une entreprise notifiée qui s’est vu attribuer des ressources de numérotation luxembourgeoises mais je n’offre pas mes services au Luxembourg. Est-ce que je suis soumise à l’article 10bis ?</span></h3><p style="text-align:justify;">Oui, toute entreprise notifiée qui gère des ressources de numérotation luxembourgeoises doit transmettre les données énumérées par la loi dans le fichier, que les services soient offerts au Luxembourg ou à l’étranger et quel que soit la nationalité ou le lieu de résidence du client qui a souscrit au service.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">Je suis une entreprise notifiée et compte parmi mes clients des personnes morales. Aux termes de l’article 10bis, pour les clients-personnes morales les données suivantes sont à transmettre : « la dénomination ou raison sociale, l’adresse du lieu d’établissement ainsi que le numéro de contact ».  Dans l’hypothèse où mon client personne morale possède à côté de son siège d’exploitation un ou plusieurs lieux d’établissements, faut-il indiquer l’adresse du siège social ou l’adresse du/des lieux d’exploitation ? </h3><p style="text-align:justify;"> L’adresse qu’il faut indiquer est celle du siège social.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">Je suis une entreprise notifiée et compte parmi mes clients des entreprises personnes morales. Aux termes de la loi, il faut transmettre outre la dénomination ou raison sociale et l’adresse du lieu d’établissement également « le numéro de contact ».  Qu’est-ce qu’il faut entendre par « numéro de contact » ?</h3><p style="text-align:justify;">La loi ne fournit aucune précision quant à la nature de ce contact. Il appartient à l’entreprise de désigner une personne de contact de son choix. À titre d’exemple, il pourra s’agir du gérant/directeur, du responsable sécurité, du responsable switchboard, du helpdesk ou de toute autre personne.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">Qu’est-ce que je dois faire en cas de terminaison d’un contrat ?</h3><p style="text-align:justify;">Dans l’hypothèse où un contrat portant sur l’utilisation d’une ressource de numérotation luxembourgeoise prend fin, l’entreprise notifiée transmet la date de fin du contrat. Une mise à jour ultérieure n’est plus exigée. La même démarche doit être suivie en cas de portage d’un numéro : l’entreprise notifiée donneur transmet uniquement la date de fin du contrat et l’entreprise notifiée receveur introduit les données exigées par la loi pour le nouveau client.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">Je constate que je ne suis pas en possession de toutes les données exigées par la loi pour les clients existants. Y a-t-il une obligation de demander aux clients existants au moment de l’import initial, de fournir les informations faisant défaut ? </h3><p style="text-align:justify;">Pour les contrats existants les seules données en possession de l’opérateur doivent être transmises lors de l’import initial. Toutefois, il échet de noter que lors de l’import initial, les quatre champs suivants sont obligatoires alors qu’il est admis qu’il s’agit de données jugées indispensables en vue de la conclusion d’un contrat et qu’elles ont été recueillies lors de la conclusion de tous les contrats : le numéro d’appel, le nom de famille, la mention qu’il s’agit d’une personne physique ou morale et la nature du service (fixed, mobile, prepaid). Tous les autres champs doivent rester vides lorsqu’il n’y a pas d’information client. Il ne faut pas remplacer une donnée manquante par une donnée erronée ou fictive.<br>Lors de la première prise de contact ultérieure (quelle que soit la raison) du client, les données devront être complétées afin d’être conformes à l’énumération figurant à l’article 10bis (2). Ensuite, le set complet des données (comprenant les données ayant déjà été importées au moment de l’import initial et les nouvelles données ainsi que toute donnée corrigée) doit être fourni lors de la prochaine mise à jour journalière (soit via le Webservice, soit via l’interface WEB). Les données des clients qui n’ont pas subi de changement ne sont pas à retransmettre sur base journalière.<br>De même pour toutes les mises à jour ultérieures (contrats existants et contrats nouveaux) impliquant une modification des données existantes, le set complet de ces données doit être importé (en l’occurrence tous les champs de données pour ce client et ce type de contrat ; voir les détails techniques dans le règlement ILR/T18/12).</p><h3 class="ms-rteElement-ILRAccordionElement">Est-ce que le « service calling card (fixe) » est concerné par l'article 10bis ?</h3><p style="text-align:justify;">Pour le service « calling card (fixe) » , l’entreprise notifiée qui possède/utilise ces numéros (ressources de numérotation luxembourgeoises) doit indiquer ses propres données dans la banque de données pour chaque numéro utilisé. Dans le cadre d’une consultation du fichier IR.COM et à la demande de la Police ou du parquet, l’entreprise notifiée devra informer sur le client qui, au moment demandé, a utilisé le service.</p><h3 class="ms-rteElement-ILRAccordionElement">Est-ce que le « service de conférence » est concerné par l'article 10bis ?</h3><p style="text-align:justify;">Il y a lieu de distinguer 2 hypothèses : </p><ol style="text-align:justify;"><li><span style="font-size:14px;">Un/des numéros utilisé(s) pour le service conférence est mis à disposition permanente d’un seul client : dans ce cas, il faudra indiquer le nom de ce client dans la banque de données.</span></li><li><span style="font-size:14px;">Un/des numéros utilisé(s) pour le service conférence est/sont utilisé(s) par des clients différents : dans ce cas l’entreprise notifiée qui met à disposition ces numéros (ressources de numérotation luxembourgeoises) doit indiquer ses propres données dans la banque de données pour chaque numéro utilisé. Dans le cadre d’une consultation du fichier IR.COM et à la demande de la Police ou du parquet, l’entreprise notifiée devra informer sur le client qui, au moment demandé, a utilisé le service. </span></li></ol><h3 class="ms-rteElement-ILRAccordionElement">Mise à jour journalière (contrats existants et contrats nouveaux) </h3><p>La loi prévoit en effet que le fichier IR.COM est actualisé au moins une fois par jour, même en cas d’absence de changement.</p><h3 class="ms-rteElement-ILRAccordionElement">Le champ « Contact_Number » peut-il contenir des charactères speciaux (« / », « - » ..)? </h3><p>Le champ « Contact_Number » ne prévoit pas de caractères spéciaux (voir point 2.3.3 ROW FORMAT de l'annexe du « <a href="http://data.legilux.public.lu/file/eli-etat-leg-rilr-2018-12-05-a1105-jo-fr-pdf.pdf" target="_blank">Règlement ILR/T18/12 du 5 décembre 2018 fixant le protocole et l’interface sécurisés ainsi que le format d’échange à utiliser pour le transfert des données à fournir par les entreprises notifiées </a>»)</p><h3 class="ms-rteElement-ILRAccordionElement">Comment obtenir un CSR</h3><p style="text-align:justify;">La création d’un CSR est une méthode standardisée, qui dépend de votre système, Linux ou Windows.</p><p style="text-align:justify;">Vous pouvez le générer en utilisant, par exemple, OpenSSL ou Microsoft Management Console (MMC).</p><p style="text-align:justify;">Ces commandes créent deux fichiers, un fichier public .csr et une clé privée .key. Puis vous déposez le fichier .csr sur l’OTX (lien fourni par l’ILR). Le certificat lui-même sera ensuite crée par le CTIE et nous vous le déposerons sur un autre lien OTX (lien fourni par l’ILR) qui vous sera envoyé par email.</p><p style="text-align:justify;">Et pour conclure vous récupérez le certificat créé et vous l’utilisez pour l’accès au service web. Le second fichier doit être conservé pour l’installation ultérieure du certificat.</p><h1>Questions techniques :<br></h1><h3 class="ms-rteElement-ILRAccordionElement">Where can we find the documents referenced in the annexes of the ILR Regulation ILR/T18/12 ?</h3><p><span style="text-decoration:underline;">For Annex 1</span>:Technical document for Operator Web Services<br>  - "R01": ISO 3166-1 alpha-3 code: <a href="https://www.iso.org/obp/ui/#search">https://www.iso.org/obp/ui/#search</a> <br>  - "R02": Web Services Security X.509 Certificate Token Profile: <a href="http://docs.oasis-open.org/wss-m/wss/v1.1.1/os/wss-x509TokenProfile-v1.1.1-os.html">http://docs.oasis-open.org/wss-m/wss/v1.1.1/os/wss-x509TokenProfile-v1.1.1-os.html</a> <br>  - "R03": WS-SecurityPolicy: <a href="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/ws-securitypolicy-1.2-spec-os.html">http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/ws-securitypolicy-1.2-spec-os.html</a></p><p><span style="text-decoration:underline;">For Annex 2:</span> Technical document for CSV file format for notified Operators<br>  - "R01": RFC4180 - Common Format and MIME Type for Comma-Separated Values (CSV) Files : <a href="https://tools.ietf.org/html/rfc4180">https://tools.ietf.org/html/rfc4180</a> <br>  - "R02": ISO 3166-1 alpha-3 code: <a href="https://www.iso.org/obp/ui/#search">https://www.iso.org/obp/ui/#search</a></p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">What are the criteria for Operators to use the Web Service interface or the Web interface for daily data transfers ?</h3><p style="text-align:justify;">Operators managing more than 10.000 numbers shall use the Web Service interface.</p><p style="text-align:justify;">Operators managing less than 10.000 numbers can use, either the Web Service interface or the Web interface for uploading CSV files. In this case, the Operator shall inform the ILR in written form.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">How to delete data related to expired contracts ? </h3><p style="text-align:justify;"> The application does not support any ‘delete’ operation. In case of end of a contract or deactivation of a number, the Operator must send an update with a date for the field "Service_End_Date".</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">How to correct data previously transferred ?</h3><p style="text-align:justify;"> The application does not support any ‘correct’ operation. In case of incorrect data previously transferred, the operator must send an update with the correct data.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">How to raise technical questions related to the application ?</h3><p style="text-align:justify;">Technical questions must be raised to the e-mail address <a href="mailto:ircom-tech@ctie.etat.lu">ircom-tech@ctie.etat.lu</a>.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">What is the preferred mode for sending data (in batch mode or on an individual per "service number" basis) ? </h3><p style="text-align:justify;"> The preferred mode for sending the data is the batch mode, once or a few times per day. The batches should contain up-to 10.000 subscriber's data entries per batch.</p><h3 class="ms-rteElement-ILRAccordionElement">What are the values and meanings of the the Operator Web Services’ result codes and result messages ? </h3><p> The resultCode can have two values:<br>- either "0" in case the message has been accepted. This value guarantees that the data sent by the operator has been correctly received by the server.<br>- either "-1" in case of error. In this case, the resultText can have different values depending on the error encountered. You can contact the e-mail address <a href="mailto:ircom-tech@ctie.etat.lu">ircom-tech@ctie.etat.lu</a> in order to raise the issue.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">What does a “ServerInternal Error” mean ?</h3><p style="text-align:justify;">In case you receive an error « ServerInternal Error » from the Web Service, this may mean that there is an issue with the format of your Web Service XML request. In this case, you can contact the e-mail address <a href="mailto:ircom-tech@ctie.etat.lu">ircom-tech@ctie.etat.lu</a> in order to raise the issue.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">What does a “Transport error: 302 Error” mean ?</h3><p style="text-align:justify;"> In case you receive an error « Transport error: 302 Error » from the Web Service, this may mean that the requests are sent from an IP address which has not been notified in the subscription form. In this case, you can verify whether the IP address of your Web Service client has been notified in the subscription form, or correct it otherwise. You can also contact the e-mail address <a href="mailto:ircom-tech@ctie.etat.lu">ircom-tech@ctie.etat.lu</a> in order to raise the issue.</p><h3 class="ms-rteElement-ILRAccordionElement">What are the different types of e-mail notifications that an Operator may receive from the application ?</h3><p style="text-align:justify;">An Operator may receive the following types of e-mail notifications:</p><p style="text-align:justify;">- Data import errors: In case of an error during the data import into the application, the system sends an error notification e-mail to the Operator with the ILR in copy. The e-mail contains in attachment a report with the reference number of the entries in error, the fields in error and the types of error. This e-mail has the following subject « [IR.COM] Données invalides ».</p><p style="text-align:justify;">- ID Document data for « FIXED » or « MOBILE »: In case an Operator sends subscriber’s ID document data for entries with a service type « FIXED » or « MOBILE », the system sends a warning notification e-mail to the Operator with the ILR in copy. The e-mail contains in attachment a report with the reference number of the entry in error, the field in error and the type of error. This e-mail has the following subject « [IR.COM] Données invalides ».</p><p style="text-align:justify;">- Data not received: In case no data has been received from an Operator by the application for a specific day, the system sends the day after a notification e-mail to the Operator with the ILR in copy. This e-mail has the following subject « [IR.COM] Données non reçues le [Date] ».</p><p style="text-align:justify;">All the notifications e-mails described above are sent to the e-mail address of the Service Manager of the Operator as filled in the subscription form.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">Why does my initial import result in an “Invalid header” error even if the header of my CSV file seems correct?</h3><p style="text-align:justify;">While preparing their initial import file, Operators must ensure that the file does not start with the following bytes of Unicode BOM (byte-order-mark):  (with the hexadecimal representation: EF BB BF)</p><p style="text-align:justify;">The issue can occur when a file is converted from an Excel file to a CSV file and can be detected with a hexadecimal editor.</p><h3 class="ms-rteElement-ILRAccordionElement" style="text-align:justify;">The law mentions “Ces données doivent être actualisées au moins une fois par jour, même en l’absence de changement”. What shall Operators do in case there is no change in their subscriber’s data during a specific day?</h3><p style="text-align:justify;">In case there is no change in their subscriber’s data during a specific day:</p><p style="text-align:justify;">- an Operator using the WS interface shall send, during this day, a valid XML request containing no subscriber data</p><p style="text-align:justify;">- an operator using the Web interface shall log to the Web interface, during this day, and click on the button “Absence de changement”.</p><h3 class="ms-rteElement-ILRAccordionElement">Where do I find the SSN of my authentication certificate?</h3><p style="text-align:justify;">In the context of the procedure for accessing the Operator Web interface, the Operator must provide the Subject Serial Number (SSN) of their authentication certificate. The SSN has 20 digits and can be found, either on the form received by courier along with the product or in the Certificate details after testing the status of the certificate on LuxTrust’s website. </p>Fichier centralisé - Authentification05/06/2019 09:00:00