Vous proposez un accès public à internet dans votre établissement, café, restaurant, association…. ? Savez-vous que vous êtes soumis à des règles strictes de conservation des données qui transitent sur votre réseau ? Vos responsabilités sont les mêmes que celle d’un opérateur, vous êtes d’ailleurs considéré tout comme [Cf  Le code des postes et communications électroniques). Voici un petit aperçu des règles édictées par la CNIL, pour vous aider à faire le point sur la conformité ou non de votre service.

Vos obligations légales

1-Conserver uniquement les données de trafic
Il s’agit de l’ensemble des informations techniques générées par l’usage d’internet : adresses IP, date, heure, durée des connexions, informations permettant d’identifier le destinataire d’une communication…  Vous devez conserver ces données de trafic pour permettre la recherche et la poursuite des infractions pénales en cas de besoin. Par contre, il est interdit de conserver le contenu des messages échangés, ou l’URL des sites consultés.

2-Conserver pendant une durée limitée
Les données de trafic doivent être conservées pendant 1 an à compter du jour de leur enregistrement.

3-Informer les utilisateurs du traitements de leurs données
Il est impératif que les utilisateurs de votre réseau, qu’il soit gratuit ou pas d’ailleurs, connaissent les modalités de traitement de leurs données. Vous pouvez les informer via le formulaire d’inscription au service, par voie d’affichage ou dans la charte informatique. Important également, la CNIL demande à ce que l’établisement prévoie des procédures de gestion des demandes d’accès, de rectification et de suppression des données par leurs utilisateurs.

4-Limiter les données collectées via les outils de surveillance
Si vous utilisez des outils de surveillance, pour assurer la sécurités des postes par exemple, il vous faut d’une part en avertir les utilisateurs. Il conviendra d’autre part de mettre en place un paramètrage limité car ceux-ci sont suscpetibles de donner accès à un nombre d’informations trop importants et à des données sensibles : mot de passe, identifiant bancaire…

5-Assurer la confidentialité et la sécurité des données
Enfin, vous êtes tenus de sécuriser les accès aux journaux de connexion, assurer la robustesse des mots de passe d’accès au BIOS permettant de modifier la configuration basique du système, et de limiter à quelques minutes la durée de stockage des documents en attente d’impression.

La sérénité, Adista la propose à ses clients depuis de nombreuses années en les accompagnant de bout en bout dans la mise en conformité de leur réseau.

Se faire accompagner

Il est important de s’adresser à des prestataires réseaux au fait de l’ensemble de toutes ces contraintes techniques et légales. Une clause relative à la sécurité des données pourra notamment vous assurer de respecter des contraintes techniques telles que le chiffrement du réseau wifi ou encore la possibilité de prendre le contrôle de la machine en démarrant un système d’exploitation depuis une clé USB. Un gage de sérénité pour vous.

Cette sérénité, Adista la propose à ses clients depuis de nombreuses années en les accompagnant de bout en bout dans la mise en conformité de leur réseau. Adista propose AgoraSpot, un ensemble de services permettant de déployer rapidement et sans contrainte un espace d’accès public à Internet, tout en respectant les contraintes légales et en vous déchargeant de toute gestion technique. Une offre internet clé en main, déployable et utilisable en toute sérénité.

Applicatibité du RGPD en 2018

Un nouveau règlement a été adopté par le Parlement Européen en avril 2016. Il s’agit du Règlement Général sur la Protection des données qui sera applicable en mai 2018, placé sous l’autorité de la CNIL. Le règlement s’applique à toutes les organisations qui collectent ou traitent des données à caractère personnel sur des personnes qui se trouvent sur le territoire de l’Union, qu’ils soient résidents de l’Union Européenne ou pas. Cela inclut les organisations européennes mais aussi internationales si elles rentrent dans ce critère dit de territorialité.

En tant que fournisseurs d’accès wifi public, vous êtes donc concerné. Néanmoins, toutes les règles citées au dessus seront toujours à jour car, dans le cadre du RGPD, ce ne sont pas les données de trafic qui sont visées mais la collecte des données nécessaires à la connexion. Nous reviendrons dans un prochain article sur ce nouveau règlement et le renforcement des obligations en matière de collecte. Nous nous appuierons sur l’expertise d’un cabinet de conseil de référence en la matière, ANAXIA CONSEIL.

En savoir plus sur ANAXIA CONSEIL
ANAXIA CONSEIL est un cabinet de conseil consacré aux problématiques liées aux données à caractère personnel. État des lieux de conformité, audit de contrôle, accompagnement, formations (e-learning et présentiel, inter et intra, sur catalogue ou sur mesure, …)… ANAXIA CONSEIL vous accompagne dans la conformité à la Loi « Informatique et Libertés«  et au prochain Règlement Européen (dit RGPD). Vous pouvez contacter le cabinet en suivant cette page dédiée.

[i] Selon le Code des postes et communications électroniques (CPCE, art. L. 32 , 15°), un opérateur est une « personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. » Le même code précise que « L’établissement et l’exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques » nécessitent « une déclaration préalable auprès de » l’Arcep (CPCE, art. L. 33-1, I ). Toutefois, l’alinéa suivant libère les exploitants de « réseaux internes ouverts au public » de toute obligation de déclaration auprès de l’Arcep.

Sources
www.anaxia-conseil.fr
www.cnil.fr/fr/internet-et-wi-fi-en-libre-acces-bilan-des-controles-de-la-cnil-0
www.cnil.fr/fr/conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations