Fournisseurs de service wifi en libre accès : vos obligations légales - Par Gustave Noukagué
Publié le :
30/12/2014
30
décembre
déc.
12
2014
La mise en place d’un service wifi en libre accès doit respecter diverses obligations dont la violation est pénalement sanctionnée (jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende).
De nombreux organismes mettent souvent à la disposition de leurs clients ou usagers (ci-après les « utilisateurs ») un réseau Internet dit wifi en libre accès : au restaurant, à l’hôtel, dans une salle de réunion, chez un prestataire ou un partenaire quelconque…
Si l’utilisateur sait qu’il lui suffit de saisir le login et le mot de passe remis par le maître des lieux pour accéder au réseau, il ignore très souvent les données à caractère personnel qu’il laisse pendant sa session, ainsi que les conditions de collecte, de traitement, de conservation et de destruction (ou non) de ces données.
De son côté, le responsable de traitement n’a pas toujours la bonne mesure des obligations à respecter pour la mise en place d’un tel service pourtant fort apprécié des utilisateurs.
La CNIL vient ainsi de clarifier la situation en publiant (le 22 décembre 2014) 5 mesures à adopter par les fournisseurs de réseau Internet wifi en libre accès pour être en conformité avec la Loi informatique et Libertés.
Comme pour toute collecte des données à caractère personnel, l’organisme qui met à disposition un réseau wifi en libre accès doit en effet :
- fournir préalablement aux utilisateurs et manière appropriée une information complète sur les modalités de traitement de leurs données, puis prévoir des procédures de gestion des demandes d’accès, de rectification et de suppression des données par leurs utilisateurs.
- conserver seulement les données de trafic répondant aux « besoins de la recherche, de la constatation et de la poursuite des infractions pénales » et destinées aux autorités légalement habilitées, étant observé que les organismes qui mettent à disposition du public un service de libre accès à internet sont considérés comme opérateurs de communications électroniques.
- définir une durée de conservation des données de trafic limitée (en l’occurrence 1 an à compter du jour de leur enregistrement) et proportionnée, les autres données collectées devant être supprimées régulièrement lorsqu’elles ne sont plus nécessaires.
- veiller à la conformité des outils utilisés, notamment les outils de surveillance, en évitant qu’ils donnent accès à des informations excessives au regard de la finalité pour laquelle elles sont collectées (identifiants-mots de passe, numéros de carte bancaire, etc.).
- assurer la confidentialité et la sécurité des données (limitation des accès aux journaux de connexion, robustesse des mots de passe d’accès au BIOS, limitation de la durée de stockage des documents en attente d’impression…).
Rappelons que nombre d’obligations ci-dessus sont assorties de sanctions pénales pouvant atteindre 5 ans d’emprisonnement et 300.000 euros d’amende [1].
Il est dès lors plus que jamais nécessaire de porter une attention particulière au respect des obligations légales lorsque l’on décide de mettre en place un service wifi, ou de vérifier si ceux déjà existants sont conformes à ces obligations.
Notes :
[1] art. 50 de la Loi Informatique et Libertés et 226-16 al. 1 et s. du Code pénal
Retrouvez cet article sur Le Village de la Justice...
Historique
-
1ère condamnation de l’usurpation d’identité numérique, doublée de l’introduction de données dans un système de traitement automatisé - Par Gustave Noukagué
Publié le : 06/01/2015 06 janvier janv. 01 2015ACTUALITÉS DU CABINETA l’heure où les risques d’usurpation d’identité numérique se multiplient, et...
-
Fournisseurs de service wifi en libre accès : vos obligations légales - Par Gustave Noukagué
Publié le : 30/12/2014 30 décembre déc. 12 2014ACTUALITÉS DU CABINETLa mise en place d’un service wifi en libre accès doit respecter diverses obl...