Hotspot wifi, ordinateurs en libre service. Quelles obligations ?
Suite au placement en garde à vue de plusieurs exploitants de débit de boissons à Grenoble pour je cite « ne pas avoir conservé l’historique des accès aux hotspots Wi-Fi qu’ils mettaient à disposition » et au vue de la déferlante de questions voire d’affirmations erronées, voici un petit point sur le sujet :
La loi relative à la lutte contre le terrorisme de 2006 (puis par la loi HADOPI 2 de 2009) statue que les responsables des espaces publics aménagés dans lesquels l’on peut utiliser des ordinateurs ou accéder à un réseau wifi ont l’obligation de conserver les données de trafic.
Cette conservation des données techniques est obligatoire pendant une durée d’un an. A noter cependant qu’il n’est pas obligatoire de relever et de conserver l’identité des clients. En revanche, si vous décidez de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, vous devez conserver cette information pendant la même période que les logs techniques soit 1 an.
De ce fait, un dispositif de portail captif avec un système d’auto-inscription est tout à fait conforme à la loi.
Globalement les trois points suivants sont à respecter :
- Conserver l’ensemble des informations techniques générées par l’usage d’internet : adresses IP, date, heure, durée des connexions, informations permettant d’identifier le destinataire d’une communication… Vous devez conserver ces données de trafic pour permettre la recherche et la poursuite des infractions pénales en cas de besoin. Par contre, il est interdit de conserver le contenu des messages échangés, ou l’URL des sites consultés.
- Les données de trafic doivent être conservées pendant 1 an à compter du jour de leur enregistrement.
- Informer les utilisateurs du traitements de leurs données.Les utilisateurs du réseau, qu’il soit gratuit ou pas, doivent être informés des modalités de traitement de leurs données. Vous pouvez les informer via le formulaire d’inscription au service, par voie d’affichage et vous devez également les informer de leur droit et des modalités d’exercice de ces droits.
Les amendes pour des manquements peuvent être lourdes : « tout manquement à l’obligation de conservation des données expose la personne à laquelle incombe cette obligation aux sanctions visées à l’article L. 39-3 du CPCE, soit un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques, et 375.000 euros pour les personnes morales ».