Usurpation et fraude téléphonique : renforcement des règles sur l’authentification des numéros d’appelants et la lutte contre la fraude téléphonique
Par sa décision n° 2025-2215 du 27 novembre 2025 [1], l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) a profondément modifié le plan national de numérotation afin de renforcer la lutte contre les fraudes téléphoniques et, en particulier, contre l’usurpation de numéros d’appelant.
Au-delà des ajustements classiques de gestion de la ressource, le texte marque une nouvelle étape dans la structuration d’un véritable régime juridique de l’authentification du numéro d’appelant.
Cette évolution s’inscrit dans la continuité du mouvement engagé depuis 2023 autour de l’authentification des appels, inspiré par les logiques internationales de type STIR/SHAKEN [2], mais elle en dépasse désormais la seule logique technique pour imposer aux opérateurs des obligations opérationnelles renforcées en matière de lutte contre la fraude téléphonique.
Le rappel du socle législatif de lutte contre la fraude téléphonique
Arcep : nouveaux contrôles contre la fraude téléphonique
L’Arcep consolide l’application du IV de l’article L. 44 du code des postes et des communications électroniques, issu de la loi du 24 juillet 2020 [3], qui impose aux opérateurs :
- • de vérifier la légitimité de l’utilisation du numéro présenté ;
- • de mettre en œuvre un dispositif interopérable d’authentification ;
- • d’interrompre les appels non authentifiés.
La décision du 27 novembre 2025 ne crée pas ces obligations, mais en durcit l’interprétation et les modalités d’exécution.
On observe donc un basculement : l’authentification n’est plus conçue comme un simple processus technique, mais comme une chaîne de responsabilité opérationnelle pesant sur l’ensemble des acteurs du routage des appels (opérateur de départ, de transit, de terminaison).
De l’authentification formelle à une obligation de résultat opérationnelle
Arcep : nouveaux contrôles contre la fraude téléphonique
L’abandon d’une logique purement déclarative
Jusqu’ici, la pratique reposait largement sur des engagements contractuels et des contrôles a posteriori de la fraude téléphonique.
- La décision impose désormais :
- • une liste techniquement verrouillée de numéros que chaque client est autorisé à présenter ;
- • une impossibilité technique, et non plus seulement contractuelle, de déroger à ce paramétrage ;
- • une obligation de l’opérateur à devoir être capable, en permanence, de justifier l’existence de l’autorisation du véritable affectataire d’un numéro d’appel.
Ce point est central car l’Arcep fait basculer le système d’une logique de conformité documentaire vers une logique de conformité « dès la conception » (logique montante dans le contexte européen).
Vers un encadrement juridique de la « délégation d’affichage »
La normalisation d’une pratique historiquement floue. La « délégation d’affichage », consistant pour un tiers à présenter le numéro d’un donneur d’ordre, est désormais formellement intégrée dans le régime juridique du plan de numérotation.
L’Arcep en explicite les cas légitimes (centres d’appels, architectures multi-opérateurs d’entreprise) tout en posant un encadrement strict.
L’exclusion des numéros mobiles de la délégation. Fait notable de cette délégation d’affichage : les numéros mobiles sont exclus de ce mécanisme.
Ils ne peuvent être présentés que par le service qui les a effectivement affectés, sauf en tant que « numéro principal » de l’accès mobile. Dit autrement, un numéro mobile ne peut être présenté que par la ligne à laquelle il est effectivement attribué, et non dans le cadre d’une délégation d’affichage.
Cette exclusion marque une hiérarchisation normative des catégories de numéros en fonction de leur sensibilité au risque de fraude.
Le traitement des appels internationaux au regard de la lutte contre la fraude téléphonique
Arcep : nouveaux contrôles contre la fraude téléphonique
La faille structurelle du « local breakout »
L’Arcep dresse le constat suivant : l’essentiel des usurpations de numéros s’appuie sur des appels entrants depuis l’international en simulant une situation d’itinérance (dite « local breakout »).
Le problème juridique est clair en ce que l’opérateur français de terminaison ne dispose pas, dans ce schéma, des éléments lui permettant d’authentifier le numéro présenté.
- La situation a généré une impasse :
- • soit bloquer massivement des appels légitimes ;
- • soit laisser prospérer l’usurpation.
L’institutionnalisation du masquage en cas de doute
La décision de l’Arcep tranche définitivement cette situation.
Jusqu’à cette décision, le principe implicite était que l’information transmise dans la signalisation d’appel (le numéro d’appelant) devait être préservée telle qu’elle est reçue, sauf impossibilité technique. L’intégrité de l’information d’appel était donc la norme par défaut.
Désormais, lorsque l’appel provient d’une interconnexion internationale entrante, présente un numéro mobile français et que celui-ci ne peut pas être authentifié, l’opérateur doit désormais masquer le numéro présenté à l’appelé.
Il ne s’agit pas d’une simple faculté mais d’une véritable obligation opérationnelle à compter du 1er janvier 2026 [4].
- Ce basculement est majeur juridiquement :
- • l’Arcep substitue à l’obligation d’interruption, difficile voire impossible à mettre en œuvre, une obligation d’altération du numéro de l’appelant ;
- • ainsi, en cas de contentieux, la référence normative n’est plus la fidélité du transport de la signalisation, mais le niveau de protection contre l’usurpation ;
- • le droit de l’utilisateur à recevoir une information « exacte » sur l’identité de l’appelant devient conditionnel : il cède dès lors que l’authenticité ne peut pas être garantie.
La décision consacre donc juridiquement le droit pour l’opérateur d’altérer les métadonnées d’appel, non comme une exception technique, mais comme une obligation de protection.
La coexistence avec le modèle « home routing »
L’Arcep acte la montée en puissance du « home routing », aussi nommé itinérance ou « roaming ».
Le « home routing » est un mode d’acheminement des communications en itinérance dans lequel les appels émis par un abonné en mobilité ne sont pas directement injectés par l’opérateur visité dans le réseau de l’opérateur de destination, mais repassent systématiquement par le réseau de l’opérateur d’origine (opérateur « home »).
- L’opérateur « home », qui a attribué le numéro, reste maître de la chaîne de signalisation. Il peut donc :
- • vérifier que le numéro présenté correspond bien à une ressource qu’il a affectée ;
- • appliquer son dispositif d’authentification de l’identité de l’appelant ;
- • engager sa responsabilité sur la validité de cette authentification.
- Dit autrement :
- • en Local Breakout, l’authentification du numéro d’appelant est gérée par l’opérateur visité ;
- • en « home routing », l’authentification du numéro d’appelant est gérée par l’opérateur d’origine.
Ainsi, si l’opérateur « home » est un opérateur français, l’authentification reste possible et le masquage ne s’applique pas.
- La décision de l’Arcep ne rend pas le « home routing » obligatoire, mais en reconnaît la supériorité du point de vue de la sécurité juridique des flux. Cela crée, en pratique, une incitation réglementaire indirecte :
- • soit les acteurs migrent vers des architectures de type « home routing » pour éviter le masquage ;
- • soit ils acceptent une dégradation de l’information d’appel.
La décision anticipe ainsi une transition technologique, tout en encadrant juridiquement la période intermédiaire.
La consécration d’un régime de gestion du doute
Arcep : nouveaux contrôles contre la fraude téléphonique
De l’exception technique à la doctrine officielle
L’Arcep consacre une doctrine de gestion du doute : lorsque l’information d’authentification ne peut pas être conservée pour des raisons techniques (redirections, anciens PABX, SVI), le masquage devient la réponse de référence.
Le principe est clair : toute rupture de la chaîne de confiance implique une dégradation contrôlée de l’information présentée à l’utilisateur final.
L’émergence d’obligations de traçabilité interne
- La décision de l’Arcep impose, par ailleurs, la conservation :
- • de la signature d’authentification initiale ;
- • de l’identification de l’opérateur à l’origine de l’altération ;
- • des causes techniques ayant conduit à celle-ci.
Les conséquences de cette décision
Arcep : nouveaux contrôles contre la fraude téléphonique
- Pour les opérateurs de communications électroniques, la décision de l’Arcep transforme des bonnes pratiques en obligations opposables :
- • refonte des chaînes de paramétrage des numéros d’appelant ;
- • interfaçage étroit avec les référentiels d’authentification ;
- • mise en conformité des interconnexions internationales.
Pour les éditeurs et donneurs d’ordre, la décision renforce l’exposition juridique de ceux qui pilotent des campagnes d’appels : la capacité technique de « choisir » un numéro d’affichage disparaît au profit d’un régime d’autorisation formalisée et contrôlable.
- On peut d’ores et déjà anticiper :
- • des contentieux autour des interruptions ou altérations d’appels ;
- • des débats sur la responsabilité en cas d’échec du mécanisme d’authentification ;
- • des litiges relatifs à la qualification d’un numéro usurpé.
La décision du 27 novembre 2025 marque donc un tournant : l’usurpation de numéros n’est plus traitée comme une externalité technique mais comme un risque systémique nécessitant des réponses juridiques structurées et opposables.
- Arcep, Décision n°2025-2215 de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse modifiant la décision établissant le plan national de numérotation et ses règles de gestion, 27 novembre 2025.
- Lexing, « Stir/Shaken : nouvel outil de lutte contre la fraude téléphonique », 28 août 2023.
- Loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux.
- Obligation reportée au 1er janvier 2028 pour Saint-Martin.
Frédéric Forster
Avocat, Directeur du pôle Télécommunications et Communications numériques
Carl Buffière
Consultant
Pour en apprendre davantage
Le Règlement européen sur l’intelligence artificielle constitue un outil essentiel pour comprendre les enjeux juridiques et techniques que pose le RIA (ou AI Act). L’ouvrage analyse et souligne les points clé et analyse article par article ce texte...
La cobotique juridique #3 : Les malfaçons. Ce troisième épisode détaille les différents facteurs de malfaçons et comment les corriger...
