Conditions d’accès à des réseaux sans fils hotspot et Wifi publics

14/04/2011 par Cédric FAVRE.
  • Diminuer la taille de la police
  • Agrandir la taille de la police
photo d'un homme seul assis au milieu d'une foule urbaine et qui consulte un ordinateur portable© René Mansi

Les personnes offrant un accès Wifi public sont considérées comme opérateurs de réseaux publics, en application de la loi de confiance en l'économie numérique (dite loi CEN) de 2004. A ce titre, elles ont des obligations de conservation des données de connexion des utilisateurs. Le point sur cette réglementation suite à l'arrivé du décret du 25 février 2011 relatif à la conservation des données d'identification.

Article mis à jour le 14 avril 2011

QU’EST CE QU’UN OPERATEUR WIFI ?

L’opérateur Wifi est défini à l’article L. 32, 15° du Code des postes et communications électroniques (CPCE) comme :
  • Étant une personne physique ou morale ;
  • Exploitant un réseau de communications électroniques ;
  • Mettant ce réseau ouvert ou à disposition du public.

Ainsi, toute personne qui fourni un accès à un réseau de communications électroniques ouvert au public, accessible via un réseau filaire ou hertzien (Hotspot wifi), doit être regardé comme étant un opérateur de réseau. Ainsi toute entreprise offrant un point d’accès public à internet (cybercafés, fast-food, collectivités, etc.) est considérée comme opérateur. Le fait que cet accès au réseau ne soit accessible qu’à l’aide d’un identifiant n’a pas d’influence directe. Seul compte le fait que cet accès soit public.

 

QUELLES SONT LES OBLIGATIONS A REMPLIR ?

Les obligations à remplir par l’opérateur Wifi sont précisées à l’article L. 34-1 du CPCE :

  • L’opérateur Wifi doit suivre la réglementation concernant l’émission d’ondes. Ainsi l’Arcep fixe à 2 450 Mhz le niveau des champs électromagnétiques produits par les réseaux Wifi public et à une limite de 0.1 Watt la puissance des ondes émises depuis un Hotspot.
  • L’opérateur Wifi doit respecter les dispositions relatives à la conservation des données techniques issues des utilisateurs connectés à son réseau public.
→ En cas de non respect de ces normes l’opérateur Wifi peut encourir jusqu’à six mois d’emprisonnement et 190 000 € d’amendes.

 

En souscrivant à une offre de service d’accès internet auprès d’un fournisseur d’accès internet (FAI), l’opérateur wifi est tenu d’enregistrer le trafic effectué depuis sa connexion, pour des questions de sécurité. Se faisant, ce dernier endosse les mêmes responsabilités qu’un FAI.

Les données techniques sont constituées des données de trafic générées par l’utilisation du réseau wifi. La loi du 23 janvier 2006 (art. 6 ; repris dans le CPCE, art. L. 34-1-1) relative à la lutte contre le terrorisme (et son décret du 24 mars 2006) prévoit qu’« afin de prévenir les actes de terrorisme, les agents (…) des services de police et de gendarmerie (…) peuvent exiger des opérateurs et personnes mentionnés au I de l'article L. 34-1 [du CPCE] la communication des données conservées et traitées par ces derniers (…) ». De plus, cette loi indique qu’elles types de données techniques sont concernées :

• Identification des numéros d'abonnement ;
• Connexion à des services de communications électroniques ;
• Recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée ;
• Localisation des équipements terminaux utilisés ;
• Communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications.

La loi oblige tout fournisseur d’accès à internet (y compris par wifi) à conserver toutes les données de connexion des utilisateurs pendant un an et à les tenir à la disposition des autorités judiciaires. Le décret du 25 février 2011 (n° 2011-219), relatif à la conservation et à la communication des données précise cela en énonçant que les FAI et les cybercafés doivent obligatoirement conserver certains contenus et certaines données pendant un an :
• Identifiants de connexion ;
• Identifiants attribués aux abonnés ;
• Identifiants du terminal utilisé pour la connexion lors d’un accès ;
• Dates et heures de début et de fin de connexion ;
• Caractéristiques de ligne de l'abonné.

 

EXCEPTIONS AUX OBLIGATIONS A REMPLIR

Les opérateurs de réseaux (dits) indépendants ou internes (CPCE, art. L. 34, 4° et 5°) ne sont pas obligés de conserver des données de connexion. Dans ce sens, la Commission nationale informatique et libertés (Cnil) considère que les entreprises et les administrations, dès qu’elles fournissent un accès Internet à leurs seuls employés ou agents, sont exclues de cette obligation légale. Néanmoins, rien n’empêche de collecter et conserver de telles données pour des raisons de sécurité ou de contrôle.

Cependant, un employeur peut mettre en place un dispositif de surveillance de l’activité de connexion de ses salariés. Il doit tout de même respecter certaines formalités : informer les intéressés de la mise en œuvre du système et déclarer ce dispositif auprès de la Cnil (ou le faire contrôler par le Correspondant informatique et liberté de la structure).

Techniquement, de tels réseaux « privés » sont censés être sécurisés et protégés par des accès réservés à l’aide d’identifiants de connexion. Les données de connexions ainsi collectées (identifiants, données de connexion et de trafics, etc.) doivent alors également être conservées (voir durées ci-dessous). Ces données conservées sont susceptibles d’être transmises aux autorités judiciaires. Attention, en cas de communication de données à toute autre personne, celles-ci doivent obligatoirement respecter les prescriptions de la loi informatique et libertés de 1978 (concernant notamment l’anonymisation des données).

 

QUELLES SONT LES INFORMATIONS A CONSERVER ?

Seules les données techniques doivent obligatoirement être conservées. Les contenus des connexions et des communications échangées ou les informations consultées ne sont pas concernées. Leurs périmètres sont définis strictement et concernent :

  1. Les informations d’identification de l’utilisateur (ex. : adresses MAC ou IP) ;
  2. Les informations des terminaux de connexion utilisés ;
  3. Les dates, heures et durées de chaque communication ;
  4. Des services complémentaires utilisés ou demandés ainsi que leurs fournisseurs ;
  5. Les informations qui permettent d’identifier le ou les destinataires de la communication (spécialement pour les activités de téléphonie) ;
  6. Les données identifiant l’origine et la localisation de la communication.

La durée de conservation de ces données collectées est d’une année minimum. Cette durée ne peut être réduite et court dès l’enregistrement des données.
À noter : des contrôles peuvent être effectués par la Commission Nationale de Contrôle des Interceptions de Sécurité quant aux opérations de collecte et de conservation. Le non respect de ces dispositions fait encourir cinq ans d’emprisonnement et 300 000 € d’amende.

schéma récapitulatif des obligations de conservation des données

LES RELATIONS ENTRE LE "FAI" ET LES OPÉRATEURS WIFI

Dans le cadre de leur abonnement d’accès au réseau passé avec un FAI, (exemple, Orange, Free, Numéricâble, etc.), les opérateurs wifi ont-ils le droit de proposer un accès public à in-ternet ?
Pour les opérateurs wifi, une telle offre d’accès est soumise à l’accord du FAI. Cette acceptation peut être déjà insérée dans le contrat d’abonnement (conclu avec le FAI) ou être donnée par la suite. Attention, cela risque d’augmenter les conditions tarifaires de l’abonnement. Dans tous les cas, il est important de se renseigner auprès de son FAI avant de mettre en place un réseau wifi offrant un accès public.

 

LA SECURITE DES RESEAUX ET INSTALLATIONS

Pour la sécurité des réseaux et installations, les opérateurs ont également la possibilité de conserver :

  1. Les données permettant d’identifier l’origine de la communication ;
  2. Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
  3. Les données techniques permettant d’identifier le ou les destinataires de la communication ;
  4. Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs.

La durée de conservation de ces données est laissée à la discrétion des opérateurs wifi. Cependant, elle ne peut être inférieure à trois mois.

 

DOIT-ON CREER UN FICHIER NOMINATIF ?

Les opérateurs wifi ne sont pas obligés de relever et de conserver l’identité des utilisateurs désireux de se connecter. Il ne son donc pas obligés de créer un fichier nominatif. Ainsi, si l’opérateur décide de ne conserver que les seules données techniques de connexion, il n’a aucune obligation de déclaration de son fichier auprès de la CNIL (ou de contrôle par son CIL).

En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, il est soumis à une obligation de déclaration auprès de la CNIL (ou à un contrôle par un CIL). En effet, toute connexion par identifiant implique la collecte de données personnelles et donc un traitement particulier. Seules les autorités judiciaires disposent de possibilités d’accès à de telles données (à l’aide d’une commission rogatoire). Toute autre personne ne peut accéder qu’à des données anonymisées.

 

CERTAINS RISQUES ENCOURUS PAR L’OPERATEUR WIFI ?

- Activités pédophile,
- Propos diffamatoires, xénophobes, etc.,
- Piratages,
- Autre...

Autres liens utiles

Mots clefs
données - Economie numérique - emploi - entreprises - juridique - Médias - Usages - web 2.0
ImprimerImprimer EnvoyerEnvoyer