Souvent, ces accès sont ouverts à tous publics et mis à disposition gratuitement. Cependant, de tels points d’accès à internet impliquent des obligations légales nécessaires à prendre en compte. Ainsi, il s’agit d’identifier le statut d’opérateur que devra adopter l’organisme, les enjeux liés aux traitements des données doivent être pris en compte et les différentes solutions qu’il est possible apporter.

I- LE STATUT D’OPÉRATEUR

II- LE TRAITEMENT DES DONNÉES

III- L’IDENTIFICATION DE SOLUTIONS TECHNIQUES EXISTANTES

AUTRES LIENS UTILES

 

I- LE STATUT D’OPÉRATEUR

QUALITÉ D’OPÉRATEUR

Au sens du Code des postes et communications électroniques (CPCE, art. L. 32, 15° ), toute personne (physique ou morale) qui établit et exploite un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques doit être qualifiée d’opérateur de communications électroniques. Ainsi, en exploitant un réseau de communications électroniques mise à disposition du public, l’organisme concerné doit être qualifié d’opérateur.

Le fait que le réseau soit ouvert au public, que les connexions soient accessibles de différentes façons (à l’aide d’ordinateurs fixes ou en mode wifi) et de manière gratuite ne présente aucune incidence sur cette qualité d’opérateur.

Selon l’Arcep, la qualité d’opérateur telle qu’énoncée à l’article L. 32 du CPCE vise principalement les exploitants de réseaux et les fournisseurs de services liés à ces réseaux (lettre Arcep décembre 2044, n° 41 , p. 11). Cette délimitation tend à exclure les personnes qui opèrent de réseaux de communications électroniques dans des espaces géographiques très délimités ( LAN – local area network). Les personnes ainsi exclues ne sont pas soumises à l’obligation de déclaration d’une qualité d’opérateur auprès de l’Arcep. Ainsi, tout organisme qui met à disposition un accès public à internet uniquement localisé à l’enceinte de ses bâtiments entre dans le champ de cette exclusion en sa qualité d’« opérateur interne ».

ABSENCE DE DÉCLARATION ARCEP

Au titre de l’article L. 33-1 , I du CPCPE, tout opérateur qui établit et exploite un réseau télécom doit préalablement se déclarer auprès de l'Autorité de régulation des communications électroniques et des postes ( Arcep ). Cependant, une telle déclaration n’est pas nécessaire lorsque lesdits réseaux sont considérés comme « internes » au sens de l’alinéa 2 du même article. En établissant un réseau mis à disposition dans les limites de son seul bâtiment, l'organisme concerné doit être identifié comme étant un « opérateur interne » et à ce titre n’a a priori pas l’obligation de former une déclaration auprès de l’Arcep.

Le fait que les utilisateurs du réseau puissent se connecter en mode filaire (dans une salle où des ordinateurs sont mis à disposition) et/ou en mode wifi (dans la quasi-totalité des bâtiments) ne présente aucune incidence sur la qualité d’opérateur interne. En effet, la loi ne distingue pas en fonction du mode de mise à disposition du réseau.

Le fait que les ondes wifi puissent « déborder » de l’enceinte du bâtiment n’emporte également aucune modification de la qualification juridique d’opérateur interne. En effet, de telles émissions sont limitées à moins d’une centaine de mètres.

II- LE TRAITEMENT DES DONNÉES

OBLIGATION DE CONSERVATION DES DONNÉES

L’article L.34-1 du CPCE impose aux personnes qui fournissent un accès internet, même à titre gratuit, de conserver les données générées au fil des connexions au réseau qu’ils ont établi.

Le non-respect de cette obligation de conservation est passible d’une amende de 375 000 euros pour les personnes morales ( CPCE, art. L. 39-3 ; Code pénal, art. 131-38 ).

Ainsi, l’organisme concerné est soumis à cette obligation de conservation des données générées par les personnes se connectant à son réseau, que cela soit en mode filaire ou wifi.

TYPES DE DONNÉES À CONSERVER

S’il n’est pas nécessaire de conserver tous les types de données, l’organisme, comme tout autre opérateur (interne ou non), doit spécifiquement conserver certains types de données :

• les données de trafic : (CPCE, art R. 10-12 et s. ) : données relatives à l’acheminement d’une communication par un réseau télécom (CPCE, art. L. 32, 18° ). Il s’agit de données techniques générées lors de la connexion et de l’utilisation du réseau mis à disposition (adresse IP ou Mac), logs, date et heures de connexion, durée de la connexion, caractéristiques techniques du terminal informatique utilisé, géolocalisation, autres ;
• les données personnelles : en respect de la loi « informatique et libertés » , il s’agit principalement des nom et prénom de la personne s’étant connectée, numéro de téléphone, coordonnées, adresse mail, autres ;

DONNÉES EXCLUES DE CONSERVATION

Toutes les données concernant le contenu des correspondances réalisées ou des pages web consultées sont exclues de toute collecte et conservation. Cette « impossibilité » de conservation a pour objectif de respecter le droit de toute personne au secret de ses correspondances.

Ainsi, les messages transmis (vocaux ou écrits), les sites consultés, les pages web visitées ou les contenus de ces mêmes pages ne doivent pas être collectés.

Il n’y a aucune obligation de collecte et de conservation en matière de données personnelles. Celles-ci, protégées par la loi « informatique et libertés », reçoivent un traitement particulier. Cette question est traitée ci-dessous.

LIMITES TEMPORELLES DES CONSERVATIONS

La période de conservation débute au moment de la collecte et de l’enregistrement des données.

En cas de collecte de données personnelles, celles-ci doivent obligatoirement être anonymisées un an après ladite collecte. Tout manquement à cette obligation peut être sanctionné.

Les données de trafic doivent être conservées trois mois minimum. Cependant, pour plus de sécurité et pour éviter que l’organisme coit sa propre responsabilité juridique engagée, il est fortement conseillé d’étendre cette durée de conservation à une année minimum.

Quoi qu’il en soit, il n’est pas nécessaire de conserver toutes ces données indéfiniment. Celles-ci peuvent être « purgées » au bout de un an. Il paraît même préférable de les supprimer définitivement au plus tard deux ans après leur collecte.

DÉCLARATION AUPRÈS DE LA Cnil (Commission nationale informatique et libertés)

Toute collecte de données personnelles doit préalablement être déclarée auprès de la Cnil (procédure de déclaration pour les professionnels ). Cependant, le fait de disposer d’un « Correspondant informatique et libertés » (Cil) libère de cette obligation de déclaration. En effet, dans cette situation, le Cil exerce un contrôle direct sur les conditions de collecte, de conservation, de transmission, d’anonymisation et de suppression des données personnelles.

Si l’organisme, fait le choix de collecter des données personnelles, il devra déclarer cette collecte auprès de la Cnil, à moins qu’il dispose d’un Cil au sein de son personnel.

Attention, la désignation d’un Cil suit une procédure de validation faite auprès de la Cnil. De plus, les données personnelles collectées ne doivent pas, en tant que telles, être transmises auprès de la Cnil. Seule la réalisation des opérations de collecte et de traitement des données personnelles doivent être notifiées auprès de la Cnil.

En réalité, lors des connexions aux réseaux (filaire et wifi), la collecte de données personnelles suit exactement les mêmes obligations et exigences que celles qui concernent les données personnelles lors des inscriptions (fiches d’abonnements) des usagers de l’organisme quand il s’agit d’une bibliothèque ou d’un centre associatif, par exemple.

TRANSMISSION/COMMUNICATION DES DIFFÉRENTES DONNÉES

On vient de le voir, il est formellement interdit de transmettre tout type de données (personnelles ou techniques) auprès de la Cnil. Seules le fait de constituer des fichiers (opérations de collectes) contenant des données personnelles doit être signifié à la Cnil. Donc, autant les données que les fichiers contenant ces données doivent strictement être conservés par l’organisme et ne pas être transmis, sauf exception.

Par exception, il est possible de transmettre des données à des partenaires. On rentre ici dans le cadre de la « monétisation » des données. L’objectif est de produire des analyses statistiques à partir des données collectées, lesdites analyses ayant une certaine valeur économique.
Cette notion de « partenaires » s’entend de manière large : personnes (physiques ou morales) externes aux services de l’organisme concerné. Ils peuvent être commerciaux ou non, être des autorités supérieures dont dépend l’organisme, ou encore des établissements traitant de données statistiques. Attention, dans tous les cas, deux conditions cumulatives préalables à toute transmission doivent être respectées, sans quoi l’organisme peut être condamné :

• les personnes doivent en être préalablement informées du fait que leurs données de trafic collectées peuvent être transmises à des partenaires. Cette obligation d’information doit au minimum être stipulée dans les conditions générales d’utilisation (CGU) du service proposé. De même, cette information peut être signalée sur la page d’accueil dudit service ;
• les données doivent impérativement être anonymisées avant leur transmission aux partenaires.

Les autorités judiciaires (services de police ou de gendarmerie et tribunaux) sont habilitées à obtenir communication des données collectées. Cette habilitation s’applique également aux données personnelles. Cette communication doit obligatoirement être demandée dans le cadre d’une réquisition judiciaire. Elle poursuit des objectifs de lutte contre les fraudes électroniques , lutte contre le terrorisme , contre les pratiques illicites sur internet (activités pédophiles, xénophobie, apologies, diffamation, piratages, etc.) et en conformité avec la loi Hadopi .

Enfin, en dehors des cadres judiciaires, une réquisition administrative peut être ordonnée pour communiquer les données collectées (CPCE, art. L. 34-1-1 ) dans un but de prévention et de lutte contre le terrorisme.

LA SITUATION PARTICULIÈRE DES SALARIÉS

Les employés de l’organisme concerné ne peuvent être identifiés comme « simples » utilisateurs des accès internet mis à disposition. En effet, en tant que salariés ils agissent dans le cadre de leurs missions de travail (contrat de travail) et en situation de lien de subordination.

En respect du Code du travail, les données de trafic des employés ne peuvent être collectées que s’ils en ont préalablement été informés (CT, art. L. 1222-4 ). Il est fortement conseillé que cette information préalable soit effectuée à l’aide d’une « Charte d’utilisation des systèmes d’information ». Cette charte doit avoir été lue, expressément acceptée et signée par l’employé. Il est (juridiquement) intéressant de l’annexer au contrat de travail.

Toutes les données générées par l’employé peuvent être collectées et conservées : données de trafic, données personnelles, données liées aux correspondances (sites visités, messages transmis ou reçue, etc.). Toutefois, seules les données de correspondances effectuées dans un cadre professionnel peuvent être consultées par l’employeur en dehors d’une procédure en justice. Ainsi et par exception, les données liées à des correspondances strictement privées et/ou personnelles ne peuvent être normalement pas être consultées, ceci dans le but de respecter et protéger la vie privée du salarié (secret des correspondances personnelles).

Là encore, une déclaration de collecte et de traitement auprès de la Cnil ou, à défaut, un contrôle par le Cil doivent être effectués. En effet, l’on se retrouve toujours face à une collecte de données personnelles.

 

III- L’IDENTIFICATION DE SOLUTIONS TECHNIQUES EXISTANTES

CONSERVATION TECHNIQUE DES DONNÉES COLLECTÉES

Même si elle est limitée à une année, la conservation de l’ensemble des données (de trafic et personnelles) risque de nécessité de grands espaces de stockage informatique. En tout état de cause, ce volume sera fonction du nombre de connexions au réseau mis à disposition.

Il est important que l’organisme concerné anticipe largement de tels besoins en espaces informatiques de stockages. Trois types d’installations peuvent être utilisées :

• un serveur informatique de stockage : directement implanté dans le bâtiment ;
• une « salle blanche » de sauvegarde informatique : mise à disposition par une personne publique ou louée auprès d’un prestataire technique privé (SSII) ;
• un « data center » : il peut appartenir à une personne publique ou à un prestataire technique privé (SSII).

Pour être en conformité avec les obligations légales , notamment celle issue de la loi « informatique et libertés », et faciliter les opérations techniques liées à leurs gestions, il est préférable de stocker les données dans des installations implantées sur le territoire de l’Union européenne ou directement en France.

SÉCURISATION DES ACCÈS INTERNET

Même si l’organisme souhaite mettre à disposition des accès internet ouvert à tous et gratuits, il est préférable de mettre en place des systèmes de sécurisation informatique. Ceux-ci auront pour missions de prévenir tout type d’intrusion indésirable et/ou présentant des risques (activités illicites, piratages et/ou virus informatiques).

Cette sécurisation peut être réalisée par l’inscription des utilisateurs du réseau lors de leur première connexion (en filaire ou wifi). Seront alors attribués un identifiant et un mot de passe qui permettront l’identification de l’utilisateur lors de chacune connexion. Attention, cela implique la collecte et le stockage de données personnelles (Cil ou déclaration Cnil et limites temporelles de conservation).

Si ce choix de « logs » de connexion n’est pas retenu, il est toujours possible de restreindre les accès et/ou les utilisations par l’installation de différents filtres. Il s’agira ici de limiter certaines possibilités d’accès ou certains types de sites internet (ou de pages web) pouvant présenter des risques quelconques (informatiques ou juridiques).

Dans tous les cas, un responsable de la sécurité des systèmes d’information ( RSSI ) doit être présent et contrôler les différents éléments mis en place (hardware et software).

CGU ET CHARTE D’UTILISATION DU SYSTÈME D’INFORMATION

Quel que soit l’utilisateur ou le mode de connexion choisi par l’organisme, il est préférable de signifier à l’utilisateur quels sont ses droits et possibilités d’utilisation(s) de la connexion internet qui lui est offerte. L’objectif est d’apporter une sécurité et une protection juridique au profit de l’organisme (limitation de la mise en jeu de sa responsabilité).

Il est nécessaire de distinguer entre deux types d’utilisateurs : les utilisateurs des accès internet mis à disposition et les employés de l’organisme. Les premiers doivent accepter des CGU et les seconds doivent signer une Charte d’utilisation du système d’information :

Les CGU : Conditions générales d’utilisation
Les CGU tendent à régir les conditions d’utilisation d’un service mis à disposition. Pour l’organisme, il s’agira de l’accès et de l’utilisation du réseau mis à disposition. Elles prennent la forme d’un document présenté lors de toute connexion (en filaire ou en wifi) au réseau pour accéder à internet.

Pour pouvoir utiliser ce service, l’utilisateur doit préalablement accepter ces CGU. Cette acceptation s’effectue « traditionnellement » par la validation obligatoire (par clic) d’un onglet directement présent sur la page d’accueil et d’accès du service proposé.

La lecture effective de ces CGU tient une place particulière. Normalement, l’utilisateur doit en avoir pris connaissance et avoir compris leur sens en les lisant. Cette obligation pèse directement sur l’utilisateur, l’organisme ne peut obliger ni même contrôle l’effectivité d’une telle lecture. En acceptant lesdites CGU, l’utilisateur laisse entendre qu’il les a préalablement lues et comprises. Ceci engage directement sa responsabilité et dégage largement celle de l’organisme.

Les CGU doivent contenir différents éléments nécessaires à l’information préalable de l’utilisateur de l’accès internet proposé. Attention, les éléments présents ci-dessous n’ont qu’une valeur indicative :

• Présentation de l’organisme (coordonnées, immatriculations, direction, autres) ;
• Préambule : présentation des activités de l’organisme et du service proposé ;
• Définitions : Organisme, Utilisateur, Service ou Prestation, Site internet, Donnée, Transfert, Communications électroniques, Opérateur, Partenaire, Système d’information, terminal informatique, Contrôle, Activité, collecte, Conservation, autres… ;
• Droits d’utilisation ;
• Accès à internet ;
• Limites d’utilisation ;
• Interdictions ;
• Responsabilité juridique : de l’organisme et de l’utilisateur ;
• Collecte et conservation des données ;
• Transfert (ou communication) des données collectées ;
• Loi applicable ;
• Règlement des litiges ;
• Autres…

La Charte d’utilisation du système d’information
Une telle Charte est destinée aux seuls employés de l’organisme. Elle se présente comme une convention indiquant les droits et obligations dont salarié dispose dans ses différentes utilisations des outils informatiques mis à sa disposition sur le lieu de travail.

La Charte doit être expressément lue et signée par l’employé au moment de son embauche. L’idéal serait alors qu’elle soit lue et signée dans le cadre du contrat de travail.

Il est conseillé d’annexer directement la Charte au contrat de travail. Cette opération lui apportera une valeur juridique plus prégnante.

Tout comme les CGU, la Charte permet à l’organisme de se prémunir de la mise en jeu de sa responsabilité en cas d’utilisation malveillante des outils informatiques pratiqués par un ou plusieurs de ses employés. Elle peut même permettre l’apport d’éléments justificatifs en cas de litige entre l’employeur et le salarié.

Sans exhaustivité, la Charte peut contenir les différents éléments ci-dessous présentés :

• Préambule : présentation des activités de l’organisme et du service proposé ;
• Définitions : Organisme, Employé ou Utilisateur, Site internet, Communications électroniques, Donnée, Opérateur, Système d’information, terminal informatique, Contrôle, Activité, collecte, Conservation, autres… ;
• Champ d’application ;
• Droits d’utilisation ;
• Limites d’utilisation ;
• Interdictions ;
• Confidentialité ;
• Accès à internet ;
• Utilisation de messageries électroniques ;
• Surveillance des communications ou contrôle des activités ;
• Responsabilité juridique ;
• Collecte et conservation des données ;
• Relation de la Charte avec le Contrat de travail ;
• Sanctions ;
• Entrée en vigueur de la Charte ;
• Loi applicable ;
• Règlement des litiges ;
• Autres…

INSTALLATION ET GESTION DES ÉLÉMENTS DE CONNEXION

Les différents éléments de connexion (filaires et wifi) peuvent être installés par l’organisme ou par un prestataire désigné par lui.

Il est nécessaire de tenir compte des normes en vigueur et du respect des seuils d’exposition quant aux ondes émises par les bornes wifi. Tous les appareils présentant le sigle « NF » ( norme française ) respectent les différentes législations en vigueur sur le territoire national.

L’implantation des bornes wifi doit être effectuée dans le cadre d’une étude d’implantation. Celle-ci a pour objectif de répartir au mieux les différentes bornes en fonction de l’architecture des bâtiments concernés. L’objectif poursuivi est autant de n’utiliser qu’un nombre strictement nécessaire de bornes que limiter les seuils d’expositions aux ondes hertziennes.

Cette l’installation peut être réalisée par du personnel appartenant l’organisme ou être effectuée par un prestataire. Le choix entre ces options est une question d’opportunité et de moyens disponibles (humains et financiers). En interne, il serait préférable que l’employé qui installe le matériel soit un administrateur réseaux, un informaticien ou un ingénieur télécoms.

Il existe différents prestataires locaux, nationaux et internationaux. Chacun propose des offres relativement similaires. le choix d’un prestataire ou de l’autre appartient à l’organisme. C’est une décision d’opportunité que s’effectue dans le cadre d’une étude de marché.

PROCÉDURE DE CONNEXION

Pour des raisons de sécurité et de conformités avec la loi, il paraît préférable de mettre en place une procédure de connexion des utilisateurs de d’accès internet mise à disposition. Cette procédure vise à sécuriser techniquement la connexion, permettre l’identification de l’utilisateur et à l’informer de ces droits et obligations.

Cette procédure sera l’occasion de faire accepter les CGU à l’utilisateur.

LIMITATIONS D’ACCÈS – BLOCAGES TECHNIQUES (sites et possibilités d'utilisation)

Dès que des raisons paraissent justifiées, il est possible de limiter certaines formes d’utilisation d’internet et/ou de l’accès à certains types de sites web. Cependant, il est ici nécessaire de justifier d’un intérêt légitime.

Il s’agit d’être en conformité avec certaines lois en vigueur, notamment la loi Hadopi (échanges de fichiers par réseaux « peer-to-peer »), la loi de lutte contre le terrorisme ou certaines activités considérées comme illicites (pédophilie, xénophobie, injures, piratages, autres).

AUTRES LIENS UTILES

• Arcep : Guide juridique pour les opérateurs locaux et les collectivités
• Arcep : Périmètre de la notion d'opérateur
• Arcep : Les opérateurs de réseaux ouverts au public
• Les Infostratèges: Accès public à internet, quelles responsabilités
• Comment ça Marche : Mise en place d’une charte informatique
• Orange : Le wifi et la santé

Mots clefs
---3---Identité et sécurité - ---5----Usages - bonnes-pratiques - collectivités - Culture et création - cybercriminalité - données - e-administration - e-démocratie - Economie numérique - Education et formation - emploi - entreprises - Identité et sécurité - juridique - livre - réputation - réseaux sociaux - téléchargement - Usages - vie-privée - web 2.0