En Belgique comme dans de nombreux autres pays, les entreprises privées ou publiques proposent régulièrement un wifi accessible gratuitement aux visiteurs et autres clients. Ce type d’initiatives est d’ailleurs mis en avant par la Commission européenne qui propose de soutenir financièrement les communes via son portail WiFi4EU [i]. La mise à disposition de ce moyen de communication est relativement simple d'un point de vue technique mais, dans la plupart des cas, les aspects liés à la sécurité ou à la législation sont bien souvent peu pris en compte.
Le cadre légal général en la matière s’appuye tout d’abord sur la Directive 2006/24/CE [ii] du Parlement européen et du Conseil du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de service de communication électronique accessibles au public ou de réseaux publics de communication. En Belgique, cette directive a été partiellement transposée à travers les textes suivants :
- l'article 122, 123 et 126 de la loi du 13 juin 2005 relative aux communications électroniques (ci-après LCE)[iii] ;
- l'Arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demande judiciaires concernant les communications électroniques [iv] ;
- l’Arrêté royal portant exécution de l'article 126 de la loi du 13 juin 2005 relative aux communications électroniques.[v]
D’autres textes peuvent être d’application selon les secteurs d’activités (tels que la Directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union - NIS) mais l’objectif de cet article est de s’intéresser aux dispositions générales s’appliquant à l’ensemble des acteurs souhaitant fournir ce type de service et plus particulièrement aux notions d’opérateur et de fournisseur, à l’identification des utilisateurs, à la conservation des données et aux liens avec le RGPD.
Les notions d’opérateur et de fournisseur
Un opérateur est toute personne soumise à l'obligation d'introduire une notification conformément à l'article 9 de la LCE dans le cadre de la fourniture d'un réseau de communications électroniques (mise en place, l'exploitation, la surveillance ou la mise à disposition d'un réseau de communications électroniques). En résumé, il s’agit des grands opérateurs de télécommunication (Proximus, Voo, etc.), mais pas uniquement. En effet, si un accès internet est fourni par une commune sur le domaine public, que ce soit de manière temporaire ou permanente, la commune devient un opérateur. A ce titre, nous invitons les administrations communales concernées à se rendre sur le site de l’Institut belge des services postaux et des télécommunications pour plus de renseignements [vi].
Identification des utilisateurs finaux
Un opérateur a l’obligation de pouvoir identifier l’utilisateur final de ses services de communications électroniques ou, à tout le moins, d’assurer que ceux-ci puissent être identifiables.
L’obligation de possibilité d’identification a pour objectif d’éviter une utilisation anonyme des services de communications électroniques, cet anonymat pouvant être exploité pour commettre des infractions (fraude, harcèlement, piratage, terrorisme, cybercriminalité, etc.). Un opérateur doit donc identifier ses utilisateurs finaux et non les utilisateurs de ses utilisateurs finaux. Ainsi, un opérateur n’est pas tenu d’identifier les utilisateurs d’un service wifi mis à disposition par un café, un hôtel ou une bibliothèque, pour autant que l’opérateur ne fournisse pas ou ne revende pas lui-même ledit service.
En somme, s’il y a utilisation frauduleuse de votre WIFI public, c’est vous qui serez identifié comme responsable.
Conservation des données
Le §3 de l’article 126 de la LCE impose aux fournisseurs d’accès internet de conserver certaines données d’identification et de trafic. Les données de trafic sont les informations techniques générées par l’utilisation des réseaux de communications tels qu’internet. Il s’agit par exemple de l’adresse IP de l’ordinateur (n° identifiant chaque ordinateur connecté à internet) utilisé, de la date, de l’heure et de la durée de chaque connexion ou encore des informations permettant d’identifier le destinataire d’une communication (par exemple le numéro de téléphone appelé). Les informations doivent être conservées par l’opérateur dans le but de permettre la recherche et la poursuite des infractions pénales.
Les données de trafic doivent être conservées pendant 12 mois à compter du jour de leur enregistrement. L’article en question stipule cependant que ces données ne portent pas sur le contenu des communications.
Et le RGPD dans tout cela ?
Le RGPD octroie des droits aux utilisateurs concernant les données à caractère personnel qui les concernent. Il est donc impératif que les utilisateurs du réseau, qu’il soit gratuit ou non, aient connaissance des modalités de traitement de leurs données et que les droits relatifs à ces données (accès, effacement, etc.) puissent être respectés. Ces différentes obligations peuvent être remplies via l’usage d’un formulaire d’inscription, par voie d’affichage ou inscrites au sein d’une politique de confidentialité spécifique.
Dans le cas d’usage d’outils de surveillance (pour assurer la sécurité du réseau par exemple), il est nécessaire d’avertir les utilisateurs de l’existence de ce type d’outil, de spécifier le type de donnée et la finalité poursuivie, mais aussi de s’assurer d’un contrôle strict de l’accès (administrateur) à ces données. Par ailleurs, tenant compte de ces derniers éléments, une analyse d’impact doit dans certain cas être réalisée (et revue de manière régulière).
En résumé, voici les points d’attention principaux à retenir :
1. Déterminer la finalité de la collecte des données et informer les utilisateurs du traitements de leurs données (principe de transparence)
Que votre offre Wifi soit payante ou pas, vous devez informer les utilisateurs des modalités de traitement de leurs données.
Par ailleurs, exiger des individus un partage de leurs données personnelles pour accéder au Wi-Fi n’est pas la seule option. En effet, une connexion anonymisée à travers laquelle l’utilisateur pourra profiter d’une simple connexion Wi-Fi sans services additionnels est possible. Le RGPD autorise d’ailleurs la collecte de données sans consentement à des fins légales uniquement à condition que l’utilisateur en soit informé, et puisse exercer ses droits. Cela peut se faire via une page d’accueil par exemple.
C’est aussi l’occasion d’indiquer les conditions d’utilisation du Wifi et d’indiquer des clauses de non-responsabilité (pornographie, violence, activités criminelles ou malveillante, etc.).
2-Conserver uniquement les données de trafic pendant une durée limitée
Sauf utilisation à des fins précis que vous aurez spécifié dans vos conditions d’utilisation, nous vous recommandons de conserver l’ensemble des informations techniques générées par l’usage d’internet : adresses IP, date, heure, durée des connexions, informations permettant d’identifier le destinataire d’une communication… Ceci afin de permettre la recherche et la poursuite des infractions pénales en cas de besoin. Nous vous conseillons d’aligner votre politique de conservation de ces données par rapport à la législation à savoir 1 an. Il est par contre interdit de conserver le contenu des messages échangés, ou l’URL des sites consultés.
Je vous invite aussi à lire l’information de la CNIL sur les dispositifs de mesure d’audience et de fréquentation dans des espaces accessibles au public [vii].
3-Assurer la sécurité et la confidentialité des données
Cela va de soi, vous devez protéger votre réseau et les données que l’on confie.
Cela passe par le contrôle complet de la sécurité des réseaux et des applications, par des pare-feu de nouvelle génération, le filtrage du contenu, le filtrage des recherches web, la prévention des intrusions, la sécurisation des accès aux journaux de log, une bonne gestion des droits d’accès administrateur ou du mot de passe client si vous en avez un,…etc.
Clause de décharge de responsabilité
Nous nous basons sur la législation actuelle, les interprétations et la doctrine. Ce qui n'empêche pas que chacun puisse les contester ou que des interprétations existantes puissent changer.
[i] https://ec.europa.eu/digital-single-market/en/wifi4eu-free-wi-fi-europeans/
[ii] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32006L0024
[iii] https://www.ejustice.just.fgov.be/cgi_loi/loi_a.pl?language=fr&caller=list&cn=2005061332&la=f&fromtab=loi&sql=dt=%27loi%27&tri=dd+as+rank
[iv] https://www.ejustice.just.fgov.be/cgi_loi/loi_a1.pl?language=fr&tri=dd%20AS%20RANK&value=&table_name=loi&cn=2003010942&caller=image_a1&fromtab=loi&la=F
[v] https://www.ejustice.just.fgov.be/cgi_loi/loi_a1.pl?sql=(text%20contains%20(%27%27))&language=fr&rech=1&tri=dd%20AS%20RANK&value=&table_name=loi&F=&cn=2013091920&caller=image_a1&fromtab=loi&la=F
[vi] Une synthèse des obligations est disponible à cet endroit : https://www.ibpt.be/fr/operateurs/telecom/reseaux-services/vos-obligations-si-vous-ouvrez-un-acces-a-internet-sans-fil-sur-le-domaine-public (page visitée le 31 janvier 2020).
[vii] https://www.cnil.fr/fr/dispositifs-de-mesure-daudience-et-de-frequentation-dans-des-espaces-accessibles-au-public-la-cnil
Autres sources :
https://www.autoriteprotectiondonnees.be/reglement-general-sur-la-protection-des-donnees