► La législation
Il s'agit d'assurer la rétention de toute donnée permettant d'identifier l'utilisateur et le destinataire d'une communication téléphonique ou électronique. Les prestataires devront également conserver les caractéristiques techniques - adresse IP - ainsi que la date, l'heure et la durée de chaque communication. Ils seront tenus, en outre, de déterminer les services complémentaires demandés ou utilisés. Pour être conformes à la législation, les solutions d'accès à internet doivent répondre à cette obligation.
C'est la responsabilité de l'hôtelier ou du restaurateur de fournir aux pouvoirs publics les informations de traçabilité de ses clients, donc de s'assurer que le système d'accès à internet est conforme à la législation et de pouvoir exiger ces informations de son fournisseur de service wifi.
La loi Hadopi 2 a complexifié la mise à disposition de l'internet public et le décret du 5 mars 2010 a mis en place le système de gestion des mesures pour la protection des oeuvres sur internet sur lequel seront enregistrées les données à caractère personnel et informations relatives aux abonnés recueillies par l'Hadopi auprès des opérateurs de communications électroniques ; date et heure des faits, adresse IP des abonnés concernés, protocole peer to peer utilisé, pseudonyme utilisé par l'abonné, informations relatives aux oeuvres ou objets protégés concernés par les faits, nom du fichier tel que présent sur le poste de l'abonné (le cas échéant), fournisseur d'accès à internet auprès duquel l'accès a été souscrit.
Selon le décret 2010-236 du 5 mars 2010, quand les abonnés ont été identifiés grâce à leur IP, les FAI doivent fournir à la Haute autorité les données suivantes : nom de famille, prénoms, adresse postale et adresses électroniques (ensemble des adresses électroniques associées), coordonnées téléphoniques, adresse de l'installation téléphonique de l'abonné. Depuis la loi du 23 janvier 2006, les fournisseurs wifi sont soumis aux mêmes obligations que les opérateurs de communications électroniques classiques. Ils peuvent donc être amenés à répondre à une réquisition adressée par l'Hadopi.
► Les textes règlementaires
• Obligation de conservation de données de communications : décret n° 2006-358 du 24 mars 2006
• Conditions d'établissement et d'exploitation des réseaux et la fourniture de services de communications électroniques : décret n° 2005-862 du 26 juillet 2005
• Traitement automatisé de données à caractère personnel autorisé par l'article L331-29 du code de la propriété intellectuelle dénommé Système de gestion des mesures pour la protection des oeuvres sur internet : décret n° 2010-236 du 5 mars 2010, modifié par le décret n° 2011-264 du 11 mars 2011
• Réseaux locaux radioélectriques ou RLAN (wifi) : les textes de référence
► Les instances
- La Commission nationale de l'informatique est des libertés (Cnil)
Dans le cadre de la réglementation sur la sécurité, la collecte, la création ou la conservation d'un fichier de données nominatives relatives à des personnes physiques doit faire l'objet d'une déclaration à la Cnil.
www.cnil.fr
- L'Autorité de régulation des communications électroniques et des postes (Arcep)
Cette autorité administrative indépendante est chargée de réguler les communications électroniques et les postes en France.
www.arcep.fr
► Les peines encourues
En mettant votre accès internet à disposition de vos clients (à titre payant ou gracieux), la loi vous considère comme un fournisseur d'accès. À ce titre, vous avez l'obligation de permettre l'identification de chaque utilisateur et de conserver les traces de leurs consultations pendant un an (décret du 24 mars 2006) afin de les fournir aux autorités en cas de demande.
Selon l'article 434-4 du code pénal : "est puni de trois ans d'emprisonnement et de 45 000 € d'amende le fait de détruire, soustraire un objet de nature à faciliter la découverte d'un crime ou d'un délit, la recherche des preuves ou la condamnation des coupables." La loi met à la charge des opérateurs (ou assimilés bars, hôtels, restaurants, camping…) une obligation particulière de coopération. Un juge pourrait retenir cette circonstance aggravante, notamment compte tenu du contexte sensible lié à la lutte contre le terrorisme. Si tel était le cas, la peine serait de cinq ans d'emprisonnement et 75 000 € d'amende.
D'autre part, si quelqu'un utilise votre accès pour télécharger des fichiers illégalement, les risques encourus sont les suivants : 1 500 € d'amende, fermeture de l'accès internet, fermeture administrative (loi Hadopi 2).
► Les bonnes pratiques pour les CHR
- Bannir les points d'accès wifi directement branchés sur internet (via une box familiale, pro ou certains routeurs) car ces solutions ne permettent pas d'authentifier les utilisateurs et de respecter les obligations légales. Un établissement qui fournirait internet à un client par ce biais serait responsable en cas de problème.
- Ne pas laisser sa box ou son routeur en accès libre, changer les mots de passe constructeur, ne pas donner sa clé WEP de connexion au wifi privé à ses clients.
- Lorsque l'établissement met en oeuvre sa propre solution, il doit mettre en place dans un système qui va authentifier les utilisateurs et stocker les logs (connexions). En cas d'enquête par la police judiciaire, l'établissement doit fournir les informations techniques de connexion telles qu'indiquées dans le décret d'application de mars 2006.
- Lorsque l'établissement a recours à un opérateur wifi, celui-ci prend théoriquement tout en charge. L'établissement doit simplement s'assurer que l'opérateur prend bien en compte les obligations réglementaires (il faut exiger une mention sur le contrat) et qu'il ne sera pas répréhensible en cas d'enquête judiciaire ou de contrôle de la Cnil.
- La fourniture d'un accès internet sans fil dans un lieu public nécessite que vous soyez possession des droits d'exploitations des fréquences sans fil utilisées pour le wifi. Cette autorisation est délivrée sous forme de licence par l'Acerp.
- En souscrivant à une offre d'accès internet auprès d'un FAI, celui-ci enregistre tout le trafic effectué depuis votre connexion pour les raisons légales liées à la sécurité. En fournissant un accès wifi à partir de votre connexion internet, vous endossez de fait les mêmes responsabilités auprès de votre clientèle, car vous devenez vous-même fournisseur d'accès internet sans fil. En effet, votre FAI enregistre le trafic effectué sur l'accès qu'il fournit (jusqu'à la prise téléphonique). Le trafic effectué sur l'accès internet sans fil que vous fournissez n'est pas identifié par ce dernier. En cas de malversation sur votre hot spot, votre fournisseur d'accès internet, ne pouvant identifier les différents utilisateurs qui font usage de votre connexion, portera directement la responsabilité sur vous !
Si vous proposez le wifi à vos clients, il est préférable de transférer ses responsabilités à un opérateur déclaré à l'Arcep. C'est sans aucun doute la solution la plus simple et ce n'est pas forcément la plus chère.
Publié par Thierry LONGEAU
samedi 3 juin 2017