Conditions d’accès à des réseaux sans fils hotspot et Wifi publics.

Les personnes offrant un accès Wifi public sont considérées comme opérateurs de réseaux publics, en application de la loi de confiance en l’économie numérique (dite loi CEN) de 2004. A ce titre, elles ont des obligations de conservation des données de connexion des utilisateurs. Le point sur cette réglementation suite à l’arrivé du décret du 25 février 2011 relatif à la conservation des données d’identification.

QU’EST CE QU’UN OPERATEUR WIFI ?

L’opérateur Wifi est défini à l’article L. 32, 15° du Code des postes et communications électroniques (CPCE) comme :
  • Étant une personne physique ou morale ;
  • Exploitant un réseau de communications électroniques ;
  • Mettant ce réseau ouvert ou à disposition du public.

Ainsi, toute personne qui fourni un accès à un réseau de communications électroniques ouvert au public, accessible via un réseau filaire ou hertzien (Hotspot wifi), doit être regardé comme étant un opérateur de réseau. Ainsi toute entreprise offrant un point d’accès public à internet (cybercafés, fast-food, collectivités, etc.) est considérée comme opérateur. Le fait que cet accès au réseau ne soit accessible qu’à l’aide d’un identifiant n’a pas d’influence directe. Seul compte le fait que cet accès soit public.

Les obligations à remplir par l’opérateur Wifi sont précisées à l’article L. 34-1 du CPCE :

  • L’opérateur Wifi doit suivre la réglementation concernant l’émission d’ondes. Ainsi l’Arcep fixe à 2 450 Mhz le niveau des champs électromagnétiques produits par les réseaux Wifi public et à une limite de 0.1 Watt la puissance des ondes émises depuis un Hotspot.
  • L’opérateur Wifi doit respecter les dispositions relatives à la conservation des données techniques issues des utilisateurs connectés à son réseau public.
→ En cas de non respect de ces normes l’opérateur Wifi peut encourir jusqu’à six mois d’emprisonnement et 190 000 € d’amendes.

En souscrivant à une offre de service d’accès internet auprès d’un fournisseur d’accès internet (FAI), l’opérateur wifi est tenu d’enregistrer le trafic effectué depuis sa connexion, pour des questions de sécurité. Se faisant, ce dernier endosse les mêmes responsabilités qu’un FAI.

Les données techniques sont constituées des données de trafic générées par l’utilisation du réseau wifi. La loi du 23 janvier 2006 (art. 6 ; repris dans le CPCE, art. L. 34-1-1) relative à la lutte contre le terrorisme (et son décret du 24 mars 2006) prévoit qu’« afin de prévenir les actes de terrorisme, les agents (…) des services de police et de gendarmerie (…) peuvent exiger des opérateurs et personnes mentionnés au I de l’article L. 34-1 [du CPCE] la communication des données conservées et traitées par ces derniers (…) ». De plus, cette loi indique qu’elles types de données techniques sont concernées :

• Identification des numéros d’abonnement ;
• Connexion à des services de communications électroniques ;
• Recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée ;
• Localisation des équipements terminaux utilisés ;
• Communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications.

La loi oblige tout fournisseur d’accès à internet (y compris par wifi) à conserver toutes les données de connexion des utilisateurs pendant un an et à les tenir à la disposition des autorités judiciaires. Le décret du 25 février 2011 (n° 2011-219), relatif à la conservation et à la communication des données précise cela en énonçant que les FAI et les cybercafés doivent obligatoirement conserver certains contenus et certaines données pendant un an :
• Identifiants de connexion ;
• Identifiants attribués aux abonnés ;
• Identifiants du terminal utilisé pour la connexion lors d’un accès ;
• Dates et heures de début et de fin de connexion ;
• Caractéristiques de ligne de l’abonné.

EXCEPTIONS AUX OBLIGATIONS A REMPLIR

Les opérateurs de réseaux (dits) indépendants ou internes (CPCE, art. L. 34, 4° et 5°) ne sont pas obligés de conserver des données de connexion. Dans ce sens, la Commission nationale informatique et libertés (Cnil) considère que les entreprises et les administrations, dès qu’elles fournissent un accès Internet à leurs seuls employés ou agents, sont exclues de cette obligation légale. Néanmoins, rien n’empêche de collecter et conserver de telles données pour des raisons de sécurité ou de contrôle.

Cependant, un employeur peut mettre en place un dispositif de surveillance de l’activité de connexion de ses salariés. Il doit tout de même respecter certaines formalités : informer les intéressés de la mise en œuvre du système et déclarer ce dispositif auprès de la Cnil (ou le faire contrôler par le Correspondant informatique et liberté de la structure).

Techniquement, de tels réseaux « privés » sont censés être sécurisés et protégés par des accès réservés à l’aide d’identifiants de connexion. Les données de connexions ainsi collectées (identifiants, données de connexion et de trafics, etc.) doivent alors également être conservées (voir durées ci-dessous). Ces données conservées sont susceptibles d’être transmises aux autorités judiciaires. Attention, en cas de communication de données à toute autre personne, celles-ci doivent obligatoirement respecter les prescriptions de la loi informatique et libertés de 1978 (concernant notamment l’anonymisation des données).

QUELLES SONT LES INFORMATIONS A CONSERVER ?

Seules les données techniques doivent obligatoirement être conservées. Les contenus des connexions et des communications échangées ou les informations consultées ne sont pas concernées. Leurs périmètres sont définis strictement et concernent :

  1. Les informations d’identification de l’utilisateur (ex. : adresses MAC ou IP) ;
  2. Les informations des terminaux (ordinateur tablette portable etc.)de connexion utilisés ;
  3. Les dates, heures et durées de chaque communication ;
  4. Des services complémentaires utilisés ou demandés ainsi que leurs fournisseurs ;
  5. Les informations qui permettent d’identifier le ou les destinataires de la communication (spécialement pour les activités de téléphonie) ;
  6. Les données identifiant l’origine et la localisation de la communication.

La durée de conservation de ces données collectées est d’une année minimum. Cette durée ne peut être réduite et court dès l’enregistrement des données.
À noter : des contrôles peuvent être effectués par la Commission Nationale de Contrôle des Interceptions de Sécurité quant aux opérations de collecte et de conservation. Le non respect de ces dispositions fait encourir cinq ans d’emprisonnement et 300 000 € d’amende.