Après en avoir délibéré le 10 octobre 2019,
1. Contexte
1.1 Cadre juridique
L'article L. 32-1 du CPCE dispose notamment que :
« II. - Dans le cadre de leurs attributions respectives, le ministre chargé des communications électroniques et l'Autorité de régulation des communications électroniques et des postes prennent, dans des conditions objectives et transparentes, des mesures raisonnables et proportionnées en vue d'atteindre les objectifs suivants : […]
3° Le développement de l'investissement, de l'innovation et de la compétitivité dans le secteur des communications électroniques ;
III. - Dans le cadre de ses attributions et, le cas échéant, conjointement avec le ministre chargé des communications électroniques, l'Autorité de régulation des communications électroniques et des postes prend, dans des conditions objectives et transparentes, des mesures raisonnables et proportionnées en vue d'atteindre les objectifs suivants : […]
« 6° La capacité des utilisateurs finals à accéder à l'information et à la diffuser ainsi qu'à accéder aux applications et aux services de leur choix. ».
L'article L. 36-6 du CPCE dispose que :
« Dans le respect des dispositions du présent code et de ses règlements d'application […], l'Autorité de régulation des communications électroniques et des postes précise les règles concernant : […]
1° Les droits et obligations afférents à l'exploitation des différentes catégories de réseaux et de services, en application de l'article L. 33-1 ; […]
7° Les contenus et les modalités de mise à disposition du public d'informations fiables et comparables relatives à la disponibilité, à la qualité et à la couverture des réseaux et des services de communications électroniques et la détermination des indicateurs et méthodes employées pour les mesurer. […]
Les décisions prises en application du présent article sont, après homologation par arrêté du ministre chargé des communications électroniques, publiées au Journal officiel. »
L'article L. 33-1, I du CPCE prévoit quant à lui que :
« L'établissement et l'exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont soumis au respect de règles portant sur :
a) Les conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service qui incluent des obligations de notification à l'autorité compétente des atteintes à la sécurité ou à l'intégrité des réseaux et services ; […]
n) L'information des utilisateurs, dans la mesure où cette information est nécessaire à la mise en œuvre des dispositions du présent code ou des décisions prises en application de celui-ci ; […] ».
1.2. Objectifs de la décision
La présente décision concerne le processus de mise à disposition d'informations fiables et comparables dans l'objectif d'améliorer la mesure de la qualité de service des réseaux fixes en France.
En effet, les différents travaux de l'ARCEP sur la qualité de service des réseaux fixes témoignent de la complexité de la mesure de cette qualité de service dans ce type de réseaux : techniquement, il est à ce jour impossible pour un outil web proposant des tests de mesure de la qualité de service internet de connaître avec certitude la technologie d'accès (cuivre, câble, fibre, etc.) sur laquelle a été réalisée une mesure de la qualité de service internet. Ce manque de caractérisation de la mesure rend les données difficilement exploitables, voire, dans certains cas, peut induire en erreur le consommateur.
L'ARCEP a lancé en 2018 un vaste chantier en collaboration avec une vingtaine d'acteurs dont des outils de mesure de la qualité de service internet, des opérateurs et des acteurs académiques afin de résoudre ce problème majeur. En décembre 2018, l'ARCEP a annoncé que, à l'issue d'une série de groupes de travail, l'écosystème avait convergé vers la mise en place d'une interface de programmation applicative (API) implémentée directement dans les box des opérateurs.
L'objet de la présente décision est de définir les conditions d'implémentation de cette interface de programmation applicative (API). L'API est une interface logicielle, implémentée dans les box, permettant la transmission, au moment de l'exécution d'une mesure de la qualité de service internet par le client, des informations qui constituent la « carte d'identité de l'accès », telles que la technologie d'accès, le débit souscrit par le consommateur, ou la qualité du Wi-Fi. L'API permet ainsi de caractériser l'environnement utilisateur, sans dégrader l'expérience utilisateur du client du test de mesure quel qu'il soit (testeur web, sonde matérielle, agent dans la box, logiciel installable sur le terminal, etc.).
Afin de garantir le caractère raisonnable et proportionné du dispositif, seul les opérateurs visés par la présente décision sont tenus d'intégrer une telle API dans leurs box.
1.3. Périmètre de la décision
Sont soumis à la présente décision les opérateurs au sens de l'article L. 32 (15°) du CPCE disposant, directement ou à travers des sociétés qu'ils contrôlent ou qui les contrôlent au sens de l'article L. 233-3 du code de commerce, d'un nombre d'abonnements actifs supérieur à 1 000 000 clients, sur les marchés de détail grand public fixe haut débit et très haut débit.
Est considéré comme un abonnement actif tout abonnement souscrit par un client sur une ligne activée, c'est-à-dire une ligne sur laquelle le client peut accéder au service.
Les modèles de box concernés par la mise en place de l'API sont ceux mis à disposition sur le marché de détail grand public fixe haut débit et très haut débit à l'issue d'un délai de 18 mois à compter de la publication de la présente décision au Journal officiel (date « T0 ») et qui réunissent les trois conditions suivantes :
- les modèles de box pour les technologies xDSL, câble, FTTH ainsi que les modèles de box d'accès fixe supportant la technologie 5G ;
- les modèles de box ont une date de première commercialisation postérieure au 1er juillet 2008 (1) ;
- le nombre de box mises à disposition sur le marché de détail grand public fixe haut débit et très haut débit dépasse, pour le modèle de box concerné, les 30 000 unités (2).
L'ARCEP encourage également à implémenter l'API, dont les spécifications techniques sont ouvertes, dans les box n'entrant pas dans le périmètre de la présente décision ainsi que dans les box des opérateurs non soumis à cette décision (opérateurs de moins de 1 000 000 de clients, opérateurs fournissant des offres entreprises, etc.).
Pour les modèles de box éligibles à l'API réunissant les trois conditions ci-dessus postérieurement au T0, l'API doit être activée dans un délai de 3 mois à partir de la date où les 30 000 premières unités sont mises à disposition sur le marché de détail grand public fixe haut débit et très haut débit, lorsque cette date est postérieure au délai de 18 mois mentionné ci-dessus.
En outre, les modèles de box ne sont plus concernés par la mise en place de l'API après expiration d'un délai de 5 ans à compter du jour de l'arrêt de la mise à disposition (3) sur le marché de détail grand public fixe haut débit et très haut débit de ces modèles de box (ou lorsque les modèles de box sont respectivement présents en moins de 30 000 exemplaires dans le parc de clients de l'opérateur).
Dans ce cas, pour des raisons de coûts engendrés pour les opérateurs et afin de ne pas obliger l'opérateur à maintenir des mises à jour de la box uniquement pour l'API, l'opérateur, à l'expiration du délai de 5 ans susmentionné, peut désactiver l'API des box si le modèle n'est plus concerné par la mise en place de l'API, après en avoir informé l'ARCEP, au minimum 3 mois avant la désactivation de l'API.
2. Le développement de l'API « carte d'identité de l'accès »
2.1. Définition et fonctionnement de l'API
Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié accessible en bas de page
L'outil de mesure utilisé par le client (testeur web, sonde, logiciel installable, agent dans la box) envoie une requête à l'API située dans la box. Le test de mesure de la qualité de service internet est lancé par l'outil de mesure immédiatement après cette requête.
L'API répond à l'outil de mesure en lui transmettant les spécifications techniques qui caractérisent l'environnement de l'utilisateur lors du test de mesure de la qualité de service internet. La plupart des informations transmises sont disponibles nativement dans la box : technologie, informations sur la connexion LAN et WAN et compteur d'octets permettant de détecter le cross-traffic.
2.2. Objectif de l'API
L'API « carte d'identité de l'accès » est une nouvelle API, indépendante d'éventuelles autres API déjà développées par certains opérateurs dans leur box. Elle ne mesure pas le débit et se limite à caractériser l'environnement utilisateur, afin de fiabiliser les données remontées par des outils de mesure tiers qui font appel à l'API.
La caractérisation de l'environnement utilisateur présente un enjeu double : d'une part, elle est indispensable à la réalisation d'observatoires plus pertinents pour le consommateur, et d'autre part, elle représente un intérêt significatif dans l'amélioration de la compréhension des facteurs exogènes au réseau de l'opérateur influençant la qualité de service d'un accès donné.
Cette API permet à la fois de remonter des informations fiables, listées à l'annexe 1 de la présente décision, d'une manière sécurisée, dans les conditions définies à l'annexe 2 de la présente décision, et sans dégrader l'expérience utilisateur du client. Cette solution a par ailleurs été élaborée en collaboration notamment avec les principaux fournisseurs d'accès à internet en France et les principaux outils de mesure de la qualité de service internet (4).
2.3. Implémentation de l'API et restriction d'accès à celle-ci (annexe 2)
La démarche de co-construction suivie par l'ARCEP avec les principaux opérateurs et acteurs de mesure de la qualité de service en France a permis d'arriver à un consensus en terme d'implémentation de l'API dans les box. Les spécifications d'une restriction d'accès à l'API ont par ailleurs été définies par l'ensemble des participants, à la demande des principaux opérateurs, en vue de satisfaire les besoins exprimés par les opérateurs en termes de sécurité de leurs réseaux. L'annexe 2 de la présente décision détaille en ce sens les modalités d'implémentation de l'API et les modalités de restrictions d'accès à l'API, présentées ci-après.
Afin que les acteurs puissent réaliser des publications sur un nombre suffisant de mesures caractérisées pour être représentatif, l'API est activée par défaut, pour toutes les box compatibles, sans intervention de l'utilisateur.
Une uniformisation du format de sortie est nécessaire et le format JSON (JavaScript Object Notation) a été plébiscité par l'écosystème.
Les outils de mesure de la qualité de service internet qui ont vocation à utiliser l'API sont en HTTPS. Les « contenus mixte actifs » (un script chargé en HTTP sur une page HTTPS) sont bloqués par les navigateurs web. Il est donc nécessaire que l'API écoute en HTTPS, sur le port TCP 443 ou sur le port spécifié par l'opérateur dans l'URL.
Pour des raisons de sécurité et de confidentialité des échanges, l'API ne répond pas sur une connexion HTTP sans couche de chiffrement TLS. L'API n'est accessible que depuis le réseau local (LAN) de l'utilisateur final et ne répond pas aux requêtes qui pourraient provenir d'internet.
La connexion HTTPS utilisée pour l'API doit utiliser TLS 1.2 et/ou une version plus récente. Il est déconseillé d'autoriser les connexions HTTPS utilisant TLS 1.0 et/ou TLS 1.1, toutefois, TLS 1.0 et TLS 1.1 sont tolérés, s'ils sont présents suite à une contrainte de l'opérateur.
Les navigateurs web bloquent les certificats n'émanant pas d'une autorité de certification tout comme les certificats expirés. Il est donc nécessaire que l'API utilise un certificat TLS délivré par une autorité de certification. Un certificat TLS a généralement une durée de validité de deux ans. Il est donc nécessaire de régulièrement mettre à jour le certificat pour ne pas recourir à un certificat expiré, qui bloquerait l'outil de mesure de la qualité de service internet. Cette maintenance de l'API en état de bon fonctionnement concerne les modèles de box éligibles à l'API, à savoir ceux réunissant ces trois conditions énumérées dans le paragraphe 1.3, et jusqu'à la désactivation de l'API.
Un nom de domaine est nécessaire pour obtenir un certificat TLS reconnu par les navigateurs web. L'API est joignable par un (ou deux) nom(s) de domaine(s) par opérateur (un opérateur correspond à un AS ou « système autonome »). Concrètement, les outils de mesure de la qualité de service internet récupèrent l'AS du client via son adresse IP puis ils récupèrent l'URL à interroger via une table de correspondance ASURL. Il est possible de spécifier un second nom de domaine à interroger pour les AS qui auraient besoin de deux noms de domaines.
Afin de sécuriser l'API et réduire le périmètre d'attaque, un système de restriction d'accès doit être mis en place. La restriction d'accès retenue en concertation avec les différents acteurs impliqués est : CORS + OAuth 2.0 (https://oauth.net/2/) avec un token à validité de 15 minutes.
Chaque outil de mesure autorisé dispose d'un jeton OAuth dédié et peut en demander un second pour effectuer des vérifications avant une mise en production.
La mise en œuvre de la présente décision sera suivie par un comité de suivi composé de représentants des opérateurs et des outils de mesure de la qualité de service internet et piloté par l'ARCEP.
3. Transmission de données
Les opérateurs concernés communiquent à l'ARCEP annuellement :
- une liste des différents modèles de box mises à disposition sur le marché de détail grand public fixe haut débit et très haut débit prenant en charge l'API, avec indication de la possibilité ou non d'une utilisation de l'API depuis un navigateur utilisant un résolveur DNS autre que celui de l'opérateur (5) ;
- les dates à compter desquelles l'API a été activée pour chacun des modèles de box, ainsi que les dates à compter desquelles l'API a été désactivée des modèles de box ;
- la liste des outils de mesure autorisés par l'opérateur à accéder à l'API (en précisant les modèles de box concernés), ainsi que la date à laquelle l'outil a eu accès à cette dernière ;
- les raisons pour lesquelles il existerait un éventuel refus d'accès pour un outil de mesure qui s'est déclaré conforme au « Code de conduite de la qualité de service » en vigueur (6).
L'ARCEP pourra rendre publique la liste des box prenant en charge l'API, ainsi que les outils de mesure y ayant accès.
4. Calendrier de mise en œuvre
Afin de déployer dans des délais raisonnables cette solution permettant l'information de l'utilisateur sur la qualité de service internet fixe, et pour tenir compte de contraintes techniques, les opérateurs visés par la présente décision sont tenus de mettre en œuvre l'API dans le respect des échéances suivantes.
Ainsi, dans un délai de 18 mois suivant la publication de la présente décision, les opérateurs effectuent la démonstration auprès de l'ARCEP d'une box de développement avec l'API implémentée conformément aux dispositions de la présente décision.
Dans un délai de 22 mois suivant la publication de la présente décision, les opérateurs implémentent et activent par défaut l'API sur au minimum 5 % des box du parc concerné par la mise en place de l'API.
Dans un délai de 26 mois suivant la publication de la présente décision, les opérateurs implémentent et activent par défaut l'API sur au minimum 40 % des box du parc concerné par la mise en place de l'API.
Dans un délai de 30 mois suivant la publication de la décision :
- les opérateurs implémentent et activent par défaut l'API sur au minimum 95 % des box du parc concerné par la mise en place de l'API. Un maximum de 5 % de ces box sans API est toléré notamment afin de ne pas imposer aux opérateurs de remplacer le cas échéant, la totalité des box qui ne pourraient plus être mises à jour à distance ;
- les opérateurs implémentent et activent par défaut l'API sur 100 % des box concernées par la mise en place de l'API et mises à disposition sur le marché de détail grand public fixe haut débit et très haut débit auprès de nouveaux clients de l'opérateur à l'issue de ce délai.
Décide :
Champ d'application