Déclaration de protection des données – Efforts visant à prévenir la fraude sur notre réseau et via nos services

1. Champ d’application général

La présente déclaration de protection des données s’applique aux activités de traitement effectuées par Proximus (ci après : « nous », « notre ») lorsqu’elle traite des données à caractère personnel de clients ou d’utilisateurs finaux afin de prévenir et de lutter contre la fraude, telle que le phishing, les appels indésirables, FluBot, les abus de signalisation et les spams par e mail.

Par le biais de la présente déclaration de protection des données, nous souhaitons vous informer de manière transparente de ces activités de traitement dans lesquelles nous agissons en qualité de responsable du traitement (« data controller »). Nous sommes allés plus loin en élaborant une politique de confidentialité spécifique dédiée à la prévention de la fraude sur notre réseau et via certains services, tels que notre service e mail. Afin de compléter les informations contenues dans la présente déclaration et de comprendre comment nous traitons vos données dans d’autres situations, nous vous invitons à consulter notre déclaration de protection des données générale.

Nous pouvons adapter la présente déclaration de protection des données de temps à autre en publiant une nouvelle version. La date de la version en vigueur est indiquée ci dessus (« Dernière modification »). Cela peut être nécessaire lorsque nous modifions certains éléments susceptibles d’avoir une incidence sur le traitement de données à caractère personnel, ou lorsque cela est requis pour nous conformer aux règles applicables en matière de protection des données.

2. Qui sommes nous et comment nous contacter ?

Les services sont fournis par Proximus SA de droit public belge (Boulevard du Roi Albert II 27, 1030 Bruxelles).

Si vous avez des questions concernant le traitement de vos données à caractère personnel, vous pouvez contacter le Délégué à la protection des données de Proximus.

Comment contacter le Délégué à la protection des données de Proximus ?

E mail : privacy@proximus.com

Adresse : Boulevard du Roi Albert II 27, 1030 Bruxelles

Formulaire web

3. Comment traitons nous vos données à caractère personnel ?

3.1. Actions visant à lutter contre les messages frauduleux via les messages texte mobiles (SMS/MMS)

Contexte et importance:

Au cours des dernières années, Proximus a constaté une augmentation substantielle du volume d’attaques de type « smishing ». Le smishing est une forme de phishing réalisée via des messages texte mobiles.

Les criminels falsifient des messages SMS en prétendant qu’ils proviennent d’une personne ou d’une institution financière en laquelle le destinataire a confiance (par exemple, une banque), afin de l’inciter à effectuer des actions l’amenant à divulguer des informations sensibles. Les attaques de smishing réussies peuvent entraîner des pertes financières, une mauvaise expérience client et des atteintes à la vie privée des abonnés.

Des attaquants capables de compromettre des smartphones peuvent effectuer des actions au nom de l’utilisateur final et exfiltrer toutes les données présentes sur l’appareil. En d’autres termes, s’ils accèdent à votre smartphone, ils peuvent agir comme s’ils étaient vous et voler vos données. Outre l’impact sur les clients, les attaques de smishing font également peser un risque sur la disponibilité opérationnelle et les performances des plateformes de messagerie de Proximus ou d’autres systèmes qui y sont liés.

Afin de lutter contre le smishing et d’autres types d’escroqueries fondées sur les SMS et MMS, Proximus a renforcé ses capacités de détection et de blocage des messages texte frauduleux en développant et en utilisant des algorithmes soutenant la prise de décision en matière de blocage des messages et l’automatisation des processus associés. Cela signifie que vous pouvez ne pas recevoir certains messages qui vous étaient destinés, parce qu’ils ont été identifiés comme des tentatives de smishing. Dans le cadre de son programme de cybersécurité, Proximus a dès lors mis en place une nouvelle plateforme anti smishing poursuivant les objectifs suivants :

  • Protéger les abonnés mobiles contre divers types d’attaques de smishing visant à tromper les individus afin qu’ils divulguent des informations personnelles ensuite utilisées abusivement par des fraudeurs pour obtenir un accès non autorisé, par exemple, à des comptes bancaires ou des données de cartes de paiement.
  • Protéger les appareils mobiles des abonnés Proximus contre toute compromission par des logiciels malveillants mobiles susceptibles d’être utilisés pour exfiltrer des données à caractère personnel.
  • Protéger l’infrastructure télécom de Proximus contre les attaques par déni de service (DoS), qui visent à perturber les services destinés à des millions d’utilisateurs en ciblant l’infrastructure nécessaire aux communications télécom.

Quelles catégories de données à caractère personnel utilisons nous ?

À la suite de récentes modifications législatives en Belgique, et selon la disposition légale applicable, nous sommes soit tenus, soit autorisés à traiter certaines données afin de lutter contre la fraude. Cela inclut les données de trafic et de localisation, les identifiants techniques, les informations relatives aux volumes d’utilisation et le contenu des messages.

Quelle est la source des données à caractère personnel ?

Les données à caractère personnel sont observées dans le cadre de l’utilisation de notre service mobile.

À quelles fins vos données à caractère personnel sont elles traitées ?

Afin de lutter contre la fraude commise via des messages utilisant des numéros de téléphone.

Quelle est la justification de ce traitement (base juridique de Proximus) ?

De manière générale, Proximus est soumise à une obligation légale de lutter contre la fraude sur son réseau (article 121/8 de la loi belge relative aux communications électroniques). Elle est également légalement tenue de traiter certaines catégories de données de trafic à cette fin (article 122, § 4 de la loi belge relative aux communications électroniques).

En plus de ces obligations légales, la loi belge relative aux communications électroniques autorise tous les opérateurs de télécommunications à traiter d’autres catégories de données à caractère personnel afin de lutter contre des cas spécifiques de fraude. En l’espèce, Proximus dispose d’un intérêt légitime, en particulier pour prévenir la fraude commise au moyen de messages utilisant des numéros de téléphone, tels que les SMS ou MMS, conformément à l’article 125, § 1er, 7° de la loi belge relative aux communications électroniques.

Avec qui partageons nous ces données ?

  • Au sein de Proximus : vos données sont uniquement traitées par les collaborateurs de Proximus chargés de la lutte contre la fraude.
  • Sous traitants externes : afin de soutenir Proximus dans la réalisation de ces finalités, Proximus fait appel à certains sous traitants, parmi lesquelles Mavenir Systems LTD. Un sous traitant est une personne physique ou morale qui traite des données à caractère personnel pour notre compte et selon nos instructions. Proximus recourt à des sous traitants pour des services informatiques ou de support technique et a conclu avec eux des accords écrits afin de protéger vos données à caractère personnel.
  • Autorités officielles : dans certains cas, l’IBPT ou d’autres autorités officielles peuvent demander l’accès à des données relatives aux communications électroniques. Toutefois, cet accès est strictement encadré :
    • en cas de smishing confirmé, certaines informations spécifiques relatives à ces cas confirmés (telles que des domaines malveillants détectés) peuvent être partagées avec le Centre pour la Cybersécurité Belgique (CCB) ;
    • les demandes de l’IBPT ne sont traitées que dans des situations spécifiques, au moyen d’une capture d’écran incluant le contenu du message lié à des cas confirmés de smishing.

Nous accordons une importance primordiale à votre vie privée et veillons à ce que tout partage de données respecte strictement la législation applicable.

Transférons nous vos données en dehors de l’EEE ?

Proximus ne fait appel qu’à des partenaires établis dans l’Espace économique européen pour le traitement des données à caractère personnel liées à la prévention de la fraude par SMS. Toutefois, la nature internationale des services de télécommunication implique que certaines données puissent être traitées en dehors de l’EEE dans des situations spécifiques, sans pour autant constituer des transferts internationaux de données à caractère personnel au sens du RGPD.

Lorsque vous envoyez ou recevez un SMS international, ou lorsque vous voyagez en dehors de l’EEE (par exemple en itinérance), des informations techniques relatives à votre communication sont générées et traitées par des opérateurs et réseaux étrangers. Cela est inhérent au fonctionnement des communications internationales et est nécessaire pour permettre l’acheminement de votre message.

Combien de temps traitons nous ces données ?

Les données sont conservées pendant 30 jours (sauf obligation légale contraire) afin de permettre la gestion d’éventuelles plaintes et, le cas échéant, les investigations par Proximus.

Les statistiques agrégées sont conservées pendant une durée maximale de 12 mois.

3.2. Actions visant à lutter contre les appels frauduleux

Ces dernières années, Proximus a observé une augmentation significative du volume de la fraude dans les télécommunications, en particulier de la fraude par appels. Ce type de fraude comprend diverses activités malveillantes menées via des appels vocaux, entraînant souvent des pertes financières, une mauvaise expérience client et des atteintes à la vie privée des abonnés.

Les fraudeurs font preuve d’une grande inventivité et utilisent un large éventail de techniques pour tromper les individus. Voici quelques exemples de fraude par appels :

  1. Escroqueries par usurpation d’identité : Les fraudeurs se font passer pour une personne digne de confiance, telle qu’un représentant bancaire ou un agent gouvernemental. Ils prétendent par exemple qu’il existe un problème avec votre compte et vous demandent de fournir des informations personnelles ou d’effectuer un paiement pour le résoudre.
  2. Escroqueries au faux support technique : Les escrocs se présentent comme des agents du service d’assistance technique de sociétés connues. Ils affirment qu’il existe un problème avec votre ordinateur ou votre service internet et vous demandent de télécharger un logiciel leur permettant d’accéder à distance à votre appareil.
  3. Usurpation de numéro (spoofing) : L’identification de l’appelant affiche un numéro familier ou réputé fiable, alors qu’il s’agit en réalité d’un fraudeur utilisant des technologies pour masquer son véritable numéro, facilitant ainsi la tromperie et l’obtention d’informations sensibles.
  4. Escroqueries d’urgence : Un fraudeur se fait passer pour un proche en situation d’urgence, par exemple bloqué à l’étranger ou confronté à des problèmes avec les autorités, et demande un transfert d’argent immédiat. Les fraudeurs peuvent même recourir à l’IA générative pour imiter la voix d’un proche et rendre l’appel plus crédible.
  5. Escroqueries Wangiri : Cette fraude consiste à recevoir un appel en absence provenant d’un numéro international inconnu. Lorsque vous rappelez, vous êtes mis en relation avec un numéro à tarif majoré, ce qui entraîne des frais élevés. Le fraudeur peut notamment diffuser de longs messages pré enregistrés pour prolonger l’appel.
  6. International Revenue Share Fraud (IRSF) : Cette forme sophistiquée de fraude consiste à générer artificiellement du trafic vers des numéros internationaux à tarif majoré (IPRN). Les fraudeurs collaborent souvent avec des opérateurs télécoms et des fournisseurs de services à valeur ajoutée afin de générer un volume élevé d’appels, puis perçoivent une part des revenus issus des frais de terminaison.

Afin de faire face à l’augmentation de la fraude télécom, Proximus a mis en œuvre des mesures de sécurité avancées sur ses systèmes de communication. Ces mesures visent à détecter et prévenir en temps réel différents types de fraude par appels.

Quelles catégories de données à caractère personnel utilisons nous ?

Conformément à la législation belge, en particulier la loi du 13 juin 2005 relative aux communications électroniques, nous sommes autorisés (et dans certains cas tenus) à traiter certaines catégories de données dans le but de lutter contre la fraude. Cela peut inclure des données de trafic et de localisation, des identifiants techniques et des informations relatives aux volumes d’utilisation. Ce traitement n’implique toutefois pas l’interception ni l’écoute du contenu des communications.

Quelle est la source des données à caractère personnel ?

Les données à caractère personnel sont observées via l’utilisation de notre réseau.

À quelles fins vos données à caractère personnel sont elles traitées ?

Afin de lutter contre la fraude commise par le biais d’appels.

Quelle est la justification de ce traitement (base juridique de Proximus) ?

De manière générale, Proximus est soumise à une obligation légale de lutter contre la fraude sur son réseau (article 121/8 de la loi belge relative aux communications électroniques). Elle est également tenue de traiter certaines catégories de données de trafic à cette fin (article 122, § 4 de la même loi).

En complément de ces obligations légales, la loi belge relative aux communications électroniques autorise les opérateurs de télécommunications à traiter d’autres catégories de données à caractère personnel afin de lutter contre des cas spécifiques de fraude. En l’espèce, Proximus dispose d’un intérêt légitime, notamment pour prévenir la fraude commise par le biais d’appels vocaux, conformément à l’article 125, § 1er, 7° de la loi belge relative aux communications électroniques.

Avec qui partageons nous ces données ?

  • Au sein de Proximus : Le traitement de vos données à caractère personnel à des fins de prévention de la fraude est principalement réalisé par des moyens automatisés, afin de limiter l’accès humain au strict nécessaire. Lorsque l’intervention humaine est requise, l’accès est limité à un nombre restreint de collaborateurs autorisés de Proximus chargés de la lutte contre la fraude.
  • Sous traitants externes : Proximus fait appel à certains sous traitants pour des services informatiques ou de support technique, parmi lesquelles Mavenir Systems LTD. Des accords écrits ont été conclus avec ces sous traitants afin d’assurer la protection de vos données à caractère personnel.

Nous accordons une importance particulière à votre vie privée et veillons à ce que tout partage de données soit strictement conforme à la loi.

Transférons nous vos données en dehors de l’EEE ?

Proximus ne fait appel qu’à des partenaires établis dans l’Espace économique européen pour le traitement des données à caractère personnel liées à la prévention de la fraude par appels. Néanmoins, en raison de la nature internationale des services de télécommunication, certaines données peuvent être traitées en dehors de l’EEE dans des situations spécifiques, sans pour autant constituer des transferts internationaux de données à caractère personnel au sens du RGPD.

Lorsque vous émettez ou recevez un appel international, ou lorsque vous vous trouvez en dehors de l’EEE (par exemple en itinérance), des informations techniques relatives à votre communication sont générées et traitées par des opérateurs et réseaux étrangers. Cela est inhérent au fonctionnement des communications internationales et nécessaire à leur acheminement.

Combien de temps traitons nous ces données ?

Les données sont conservées pendant 30 jours (sauf obligation légale contraire), afin de permettre le traitement d’éventuelles plaintes et, le cas échéant, la réalisation d’enquêtes par Proximus.

Les statistiques agrégées sont conservées pendant 12 mois afin de satisfaire aux obligations annuelles de rapport de Proximus envers l’IBPT.

3.3. Actions visant à lutter contre les e mails frauduleux

Les attaques de phishing ont fortement augmenté ces dernières années. Les cybercriminels usurpent l’identité d’organisations de confiance (telles que des banques) afin d’inciter les individus à divulguer des informations sensibles. Tomber victime de telles escroqueries peut entraîner des pertes financières, des vols d’identité et des atteintes à la vie privée.

Les pirates ayant accès à des comptes de messagerie peuvent les utiliser pour envoyer davantage de messages frauduleux et dérober des données à caractère personnel, ce qui menace à la fois nos clients et la fiabilité du service de messagerie de Proximus.

Chez Proximus, nous renforçons nos efforts pour détecter et bloquer ces e mails frauduleux. Notre objectif est de protéger nos abonnés résidentiels contre les escroqueries et d’empêcher que des boîtes mail Proximus compromises soient utilisées pour diffuser des messages frauduleux.

Sans ces mesures, les fraudeurs pourraient submerger nos utilisateurs de messages frauduleux, rendant plus difficile l’identification des communications légitimes. En outre, si les serveurs de messagerie de Proximus sont utilisés pour envoyer du spam, ils risquent d’être placés sur des « listes noires », ce qui pourrait entraîner le blocage ou le retard d’e mails légitimes.

Comment Proximus vous protège

Afin de lutter contre ces menaces, nous avons renforcé nos capacités de détection et de blocage des e mails frauduleux à l’aide d’algorithmes avancés. Cela nous permet notamment de :

  • protéger les abonnés contre les tentatives de phishing visant à obtenir des informations personnelles et financières ;
  • prévenir les infections par des logiciels malveillants susceptibles de voler des données ou de prendre le contrôle d’appareils ;
  • sécuriser notre infrastructure de messagerie contre les cyberattaques susceptibles de perturber les services pour un grand nombre d’utilisateurs.

Dans ce cadre, certains e mails identifiés comme des tentatives de phishing peuvent être bloqués avant d’atteindre votre boîte de réception.

Quelles catégories de données à caractère personnel utilisons nous ?

À la suite de récentes modifications législatives en Belgique, et selon la disposition légale applicable, nous sommes soit tenus, soit autorisés à traiter certaines données afin de lutter contre la fraude. Cela inclut les données de trafic et de localisation, les identifiants techniques, les informations relatives aux volumes d’utilisation et le contenu des messages.

Quelle est la source des données à caractère personnel ?

Les données à caractère personnel sont observées via l’utilisation de notre service de messagerie électronique.

À quelles fins vos données à caractère personnel sont elles traitées ?

Afin de détecter et prévenir la fraude dans les e mails envoyés et reçus par l’intermédiaire des boîtes mail Proximus.

Quelle est la justification de ce traitement (base juridique de Proximus) ?

Proximus est soumise à une obligation légale de mettre en œuvre des mesures appropriées pour lutter contre la fraude sur son réseau et ses services (article 121/8 de la loi belge relative aux communications électroniques). Elle est également tenue de traiter certaines catégories de données de trafic à cette fin (article 122, § 4 de la même loi). En outre, la loi belge relative aux communications électroniques autorise les opérateurs à traiter d’autres catégories de données à caractère personnel pour lutter contre des cas spécifiques de fraude. En l’espèce, Proximus dispose d’un intérêt légitime à prendre des mesures afin d’assurer la bonne exécution du service de messagerie électronique (cf. article 125, § 1er, 2° de la loi belge relative aux communications électroniques).

Avec qui partageons nous ces données ?

  • Au sein de Proximus : Le traitement est principalement automatisé afin de limiter l’accès humain à ce qui est strictement nécessaire. Lorsqu’une intervention humaine est requise, l’accès est limité à un nombre restreint de collaborateurs autorisés.
  • Sous traitants externes : Proximus fait appel à des sous traitants pour des services informatiques ou de support technique, parmi lesquelles Mavenir Systems LTD, avec lesquels des accords écrits ont été conclus afin de garantir la protection des données.

Nous veillons à ce que tout partage de données soit strictement conforme à la législation applicable.

Transférons nous vos données en dehors de l’EEE ?

Pour la prévention de la fraude par e mail, Proximus collabore principalement avec les filiales européennes de ses partenaires de sécurité, notamment Vade et Cisco, établies dans des pays faisant l’objet d’une décision d’adéquation de la Commission européenne.

Dans certains cas limités et en raison du fonctionnement technique de ces outils, une très faible partie résiduelle des données à caractère personnel peut être transférée en dehors de l’EEE. Proximus met en œuvre des mesures techniques et organisationnelles fortes afin de limiter ces transferts au strict minimum et de s’assurer qu’ils ne surviennent que lorsqu’ils sont strictement nécessaires à la détection de la fraude.

Par ailleurs, la nature internationale des services de communication électronique implique que certaines données puissent être traitées en dehors de l’EEE dans des situations spécifiques, sans pour autant constituer des transferts internationaux de données au sens du RGPD.

Combien de temps traitons nous ces données ?

Les données sont conservées pendant 30 jours (sauf obligation légale contraire), afin de permettre le traitement d’éventuelles plaintes et enquêtes.

Les statistiques agrégées sont conservées pendant 12 mois.

4. Analyse automatisée

Afin de prévenir la fraude, Proximus utilise des systèmes automatisés qui analysent des informations techniques et peuvent bloquer automatiquement des communications identifiées comme frauduleuses. Proximus considère que ces mesures ne produisent pas d’effets juridiques ni d’effets significatifs similaires au sens de l’article 22 du RGPD. Si elles devaient néanmoins être interprétées comme telles, ces mesures demeurent autorisées par le droit belge à des fins de prévention de la fraude. En tout état de cause, Proximus investit dans des mesures visant à limiter autant que possible l’impact potentiel sur les personnes concernées.

5. Droits des personnes concernées

Vous disposez de plusieurs droits en vertu de la législation relative à la protection des données, notamment le droit d’accéder à vos données à caractère personnel, de demander leur rectification et, dans certains cas, de vous opposer à leur traitement ou d’en demander la limitation. Vous avez également le droit d’introduire une réclamation auprès de l’Autorité de protection des données belge.

Pour un aperçu complet de vos droits et des modalités de leur exercice, veuillez consulter notre déclaration de protection des données général, dans lequel ces droits sont expliqués plus en détail.