
Les réseaux Wifi en accès libre se multiplient, et cela pour le confort et la satisfaction de chacun. Au restaurant, à l'aéroport, au centre commercial, à l'hôtel ou encore au club de sport, il est de plus en plus souvent possible de se connecter à internet grâce au Wifi de son hôte.
Toutefois, la mise à disposition d'un tel réseau n'est pas sans risques pour ceux qui offrent ce service. Actuellement, ces bornes Wifi ne sont pas sécurisées et présentent des failles majeures révélées par des contrôles de la Commission Nationale Informatique et Libertés (CNIL). On fait le point.
Fournisseur Wifi en libre accès : quelles obligations ?
Les fournisseurs de bornes Wifi en accès libre ont des obligations et des devoirs, car ils collectent des données à caractère personnel sur les internautes connectés à leur réseau.
Bon à savoir : comme pour toute collecte de telles données, le fournisseur de bornes wi-fi doit respecter la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018 applicable au 1er juin 2019).
Légalement, les fournisseurs sont tenus à certaines obligations : ils doivent impérativement répondre à des obligations d'information, de confidentialité et de proportionnalité, que nous allons maintenant détailler.
Bon à savoir : le règlement (UE) 2016/679 du 27 avril 2016 ou RGPD a supprimé au 25 mai 2018 la quasi-totalité des formalités déclaratives auprès de la CNIL.
Wifi en libre accès : informer les internautes au moment de leur connexion
Les internautes, au moyen d'un affichage ou d'une charte informatique doivent être informés sur les raisons de la collecte de leurs données et sur les modalités de cette collecte.
Ils doivent en particulier être informés :
- des destinataires des données ;
- des moyens qu'ils ont pour les consulter, pour les modifier ou pour les supprimer pour un motif légitime.
Fournisseur Wifi : assurer la sécurité et la confidentialité des données collectées
Conformément aux articles 57 et suivants de la loi Informatique et libertés modifiée qui leur impose de mettre en œuvre tous les moyens nécessaires pour assurer la sécurité des données collectées, les fournisseurs de bornes wi-fi doivent
- installer des chiffrements des réseaux Wifi ;
- sécuriser les accès aux journaux de connexion ;
- inclure une clause relative à la sécurité des données dans le contrat conclu avec le prestataire réseaux.
Remarque : la CNIL a noté, lors de contrôles auprès de fournisseur de borne wi-fi, que certains d'entre eux utilisent des outils de surveillance pour assurer la sécurité des postes informatiques (prise en main à distance, contrôle de l’historique de navigation, etc.).
La CNIL considère que les outils de surveillance utilisés par les fournisseurs sont susceptibles de donner un trop grand nombre d’informations sur les utilisateurs et doivent être évités ou paramétrés pour répondre aux obligations légales telles qu'exposées ci-dessus.
Fournisseur Wifi en libre accès : collecter des données proportionnées au regard de la finalité
Conformément à la loi, les données collectées doivent être proportionnées à la finalité pour laquelle elles ont été collectées.
Pour les fournisseurs de bornes Wifi, les données sont collectées à des fins de traçabilité des actions opérées via la borne Wifi, ce qui inclut les données de log de l’internaute ainsi que les données de trafic qui sont liées.
Remarque : ces mêmes données sont conservées pour assurer le bon fonctionnement du réseau et l'amélioration du service, ce qui inclut la collecte de données sur le trafic et la fréquentation des sites.
Durées de conservation des données des internautes
Les fournisseur de borne Wifi, même gratuite, sont considérés comme opérateurs de communications électroniques et sont soumis aux obligations prévues à l'article L. 34‑1 du Code des postes et des communications électroniques.
À ce titre, ils doivent conserver les données de trafic répondant aux " besoins de la recherche, de la constatation et de la poursuite des infractions pénales" et destinées aux autorités légalement habilitées.
À noter : conformément à la loi, la plupart des données collectées devront a minima être conservée une année pour les besoins de sécurité des réseaux et de traçabilité des internautes. C'est le cas des données de connexion qui sont conservées 1 an à compter de leur enregistrement.
Pour en savoir plus :
- Le Wifi est un protocole de communication sans fil qui permet de relier des appareils informatiques à un réseau. On vous dit tout !
- Vous souhaitez vous connecter à Internet hors de chez vous ? Rien de plus facile en utilisant les hotspots Wifi gratuits. Suivez le guide !
- Tout savoir sur la sécurité wifi.