La conformité légale

Ce que dit la loi en date de Juillet 2016 :   Donner accès à Internet constitue aujourd’hui pour certains professionnels (cybercafés, hôtels, bars ou autres lieux de restauration avec le développement des zones "Wifi" …) une prestation essentielle attendue par leurs clients. Ce service est, toutefois, soumis à des obligations strictement encadrées par la loi. En effet, si en principe la navigation et la communication sur Internet reposent sur l’anonymat et l’effacement des données relatives au trafic, la loi contraint les personnes qui offrent un accès au réseau Internet à conserver les données techniques de leurs clients, pour les transmettre éventuellement aux services de police.

1. La conservation des données personnelles

La loi pour la confiance dans l’économie numérique du 21 juin 2004 (dite LCEN) impose aux FAI la conservation des données "de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elle est prestataire" (article 6 II). Ainsi, le FAI doit, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre la mise à disposition de l’autorité judiciaire d’informations, pouvoir "déconfidentialiser" les données si l’autorité judiciaire lui en fait la demande. La loi n° 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme, à étendu cette obligation à l’ensemble des personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit. L’article L.34-1 du code des postes et des communications électroniques (CPCE), modifié par la loi du 23 janvier 2006, tend à soumettre les personnes offrant au public à titre professionnel une connexion à l’Internet aux mêmes obligations que les opérateurs de communications électroniques classiques, s’agissant des obligations de conservation de données permettant l’identification des personnes utilisatrices des services fournis. Ainsi, en fournissant un accès Wifi au public à partir d’une connexion Internet, l’on endosse les mêmes responsabilités que le FAI. 

2. Qui est concerné par la loi ?

Il s’agit de toutes "personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit". Selon le député Alain Marsaud, la disposition s’applique notamment : Aux personnes dont l’activité même est d’offrir un service payant de connexion en ligne, que l’on qualifie généralement de "cybercafé" ; Aux personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes... ; Aux fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne WIFI, généralement par l’utilisation de cartes prépayées permettant d’accéder à ce réseau, mais parfois également à titre gratuit. 

3. Quelles sont les données à conserver ?

La loi renvoie au pouvoir réglementaire le soin de déterminer, par décret en Conseil d’État soumis à la Cnil, les catégories de données que les opérateurs doivent conserver et la durée de cette conservation. Le décret du 24 mars 2006 a ainsi créé un nouvel article R.10-13 du CPCE, qui décrit les catégories de données à conserver. Il s’agit : Des informations permettant d’identifier l’utilisateur (par exemple : adresse IP, numéro de téléphone, adresse de courrier électronique) ; des données relatives aux équipements terminaux de communication utilisés ; Des caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; Des données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; Des données permettant d’identifier le ou les destinataires de la communication. Les données concernées sont, à titre d’exemple, les "log" de connexions (heures de connexion et durée de la connexion), l’adresse IP, … En revanche sont prohibées les conservations qui porteraient sur le contenu des correspondances (comme l’objet ou le texte d’un email) ou des informations consultées (contenu des pages Internet visitées). La CNIL avait estimé que "cette rédaction ne permet pas aux opérateurs de mesurer précisément l’obligation qui leur est faite de conserver certaines données en dérogation au principe général d’effacement et d’anonymisation posé par la loi. Cette incertitude juridique est d’autant plus préjudiciable que le non-respect de cette obligation est sanctionnée pénalement". Quoi qu’il en soit, il semble que la conservation des données ne garantisse pas l’identification de l’utilisateur, c’est-à-dire la connaissance de son état civil. En effet, le décret du 24 mars 2006 n’a pas retenu l’hypothèse consistant à demander aux exploitants de "cybercafés", d’hôtels ou de bars qui offrent une connexion Wifi, de relever l’identité de leurs clients. Il prévoit seulement la conservation des "données permettant l’identification". Il s’agit donc, pour ces "fournisseurs de Wifi" de recueillir des informations qui, mises bout à bout, constituent un faisceau d’indices permettant l’identification. Le décret du 24 mars 2006 renvoie à un arrêté le soin de déterminer la nature des données susceptibles de faire l’objet d’une réquisition. On aurait pu espérer y trouver de plus amples précisions quant aux obligations des "fournisseurs de Wifi", cependant, l’arrêté du 22 août 2006 ne vise que les prestations requises aux opérateurs de téléphonie mobile et fixe mais pas aux opérateurs internet. 

4. Combien de temps doit-on conserver les données ?

Le décret du 24 mars 2006 fixe la durée de conservation des données à un an, durée au-delà de laquelle elles devront être anonymisées. Ce délai de conservation court dès l’enregistrement des données. 

5. Quelle sanction ?

Tout manquement à l’obligation de conservation des données expose la personne à laquelle incombe cette obligation aux sanctions visées à l’article L. 39-3 du CPCE, soit un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques, et 375.000 euros pour les personnes morales (en application de l’article 131-38 du code pénal). 

6. Quelles sont les conditions de communication des données ?

Les données de trafic, ainsi conservées, ne peuvent être consultées par la police et la gendarmerie nationales que dans un cadre judiciaire. Les articles 60-1, 77-1-1 et 99-3 du code de procédure pénale, disposent respectivement que l’officier de police judiciaire au cours d’une enquête de flagrance, le procureur de la République ou l’officier de police judiciaire, sur autorisation du procureur, au cours d’une enquête préliminaire ainsi que le juge d’instruction ou l’officier de police judiciaire par lui commis au cours de l’instruction, peuvent "requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptible de détenir des documents intéressant l’enquête ou l’instruction, y compris ceux issus d’un système informatique ou d’un traitement de données nominatives, de leur remettre ces documents [...]". En dehors de ce cadre judiciaire, l’article L34-1-1 du CPCE prévoit un dispositif de réquisition administrative pour prévenir le terrorisme. Ainsi, certains agents individuellement habilités des services de police et de gendarmerie spécialisés dans la prévention du terrorisme peuvent se faire communiquer certaines données de trafic générées par les communications électroniques. Les demandes de ces agents sont motivées et soumises à la décision d’une personnalité qualifiée, placée auprès du ministre de l’intérieur. Le fait, sans raison valable, de refuser de fournir les informations ou documents ou de faire obstacle au déroulement d’une enquête est puni de trois mois d’emprisonnement et/ou de 30 000 euros d’amende (Article L39-4 du CPCE). 

7. Et HADOPI dans tout ça ?

La loi du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet a modifié l’article L. 341 du CPCE de façon à permettre aux opérateurs de communications électroniques de communiquer à l’HADOPI les données à caractère personnel et informations relatives à leurs abonnés recueillies en application de l’article L. 34-1 du CPCE. Après les péripéties que l’on sait, la loi HADOPI a finalement été promulguée et le décret du 5 mars 2010 a mis en place le "Système de gestion des mesures pour la protection des œuvres sur internet" sur lequel seront enregistrées les données à caractère personnel et informations relatives aux abonnés recueillies auprès des opérateurs de communications électroniques par l’HADOPI. Selon le décret du 5 mars 2010, ces données sont les suivantes : Nom de famille, prénoms ; Adresse postale et adresses électroniques ; Coordonnées téléphoniques ; Adresse de l’installation téléphonique de l’abonné. Or, comme on l’a vu, depuis la loi du 23 janvier 2006, les "fournisseurs de Wi-Fi" sont soumis aux mêmes obligations que les opérateurs de communications électroniques classiques. Ils peuvent donc être amenés à répondre à une réquisition adressée par l’HADOPI. 
*Rapport du 16 novembre 2005 de Monsieur le député Alain Marsaud, fait au nom de la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République. **Voir la délibération de la CNIL n°2005-254 portant avis sur un projet de décret relatif à la conservation des données de communications électroniques et modifiant le code des postes et des communications électroniques ; Voir également l’avis n° 2005-0875 du 7 octobre 2005 concernant le projet de décret relatif à la conservation des données des communications électroniques et modifiant le code des postes et des communications électroniques. ***Arrêté du 22 août 2006 pris en application de l’article R. 213-1 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet la production et la fourniture des données de communication par les opérateurs de communications électroniques ****Décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé "Système de gestion des mesures pour la protection des œuvres sur internet"

Le serveur d’identification

Le portail d’identification proposé par Comminter est basé sur un serveur de type Radius.  
Détail sur le serveur d’identification : Le protocole RADIUS repose sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données Comminter.) et un client RADIUS : le hotspot fait office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à ue clé secrète.   Ont a fait le choix de centraliser l’ensemble des identifications sur un seul et même serveur.  

Cette solution apporte de nombreux avantages : 

• Un utilisateur est reconnu automatiquement sur l’ensemble des installations Comminter. 
• Un utilisateur est identifié en moins d’une demi-seconde. 
• Aucun besoin de se ré-identifier quand on se connecte dans un nouvel établissement. L’utilisateur est automatiquement reconnu. 
• L’utilisateur peut associer plusieurs appareils à son compte (tablette, PC portable, smartphone). 
• La possibilité de créer des profils utilisateurs. 
• Limiter la durée de la connexion journalière. 
• Limiter le volume

Le portail d’accueil “mon.iciwifi.com”

Une fois qu’un utilisateur est identifié par le serveur Radius, le Hotspot redirige automatiquement l’utilisateur sur la page Web de votre choix. Par défaut l’utilisateur sera redirigé vers le portail mon.iciwifi.com

Le portail classique personnalisable

Est créé un portail d’accès  

• permettant aux utilisateurs :
• de confirmer qu’il est connecté à internet. 
• de naviguer sur internet librement (barre de recherche). 
• de consulter les actualités locales. 
• de consulter la météo locale.
• permettant aux gestionnaires de site :
• d’afficher le logo de l’établissement (modifiable via l’espace client). 
• d’afficher le nom de l’établissement. 
• d’afficher un message de 144 caractères (modifiable via l’espace client). Cette option vous permet d’afficher une information qui sera transmise et affichée automatiquement sur les périphériques de vos clients. 
• de mettre en évidence votre application mobile et de rediriger l’utilisateur vers la page du Store où est hébergée votre application.  

Option promotion de votre application Mobile. 

Une fois qu’un utilisateur est identifié, il est logiquement redirigé vers le portail Internet “mon.iciwifi.com” sauf si vous souhaitez mettre en avant votre application. Lors de la redirection vers mon.iciwifi.com, un message personnalisable apparaît dans le navigateur du smartphone ou tablette de l’utilisateur, l’invitant à télécharger votre application. Il a bien entendu le choix de refuser.

Cette option a pour avantage : 

• d’informer vos utilisateurs que vous proposer une application mobile. 
• d’orienter les utilisateurs au bon endroit, pour télécharger votre application mobile. 
• de s’assurer que vos utilisateurs n’auront aucun surcoût sur leur abonnement GSM, du faire du téléchargement de votre application cars ils sont connectés au Wifi. 
• d’augmenter significativement le nombre de téléchargement de votre application tous stores confondus. 
  Si un utilisateur refuse de télécharger votre application, il est automatiquement redirigé vers votre portail d’accueil mon.iciwifi.com.  

Pour un établissement

Chaque gestionnaire de site dispose d’un compte d'administration de son hotspot, Cet espace client disponible sur Internet permet en un seul coup d’œil, de connaître :  

• Le nombre d’utilisateurs ayant créé un compte dans cet établissement. 
• De connaître le nombre de connexions réalisées depuis les 30 derniers jours. 
• De connaître la durée de connexion depuis les 30 derniers jours 
• D’afficher sous formes de graphique les données quotidiennes des 30 derniers jours. 
• D’obtenir des statistiques précises sur le fonctionnement de son hotspot, soit par jour soit par heure:
• Le nombre de créations de compte, 
• Le nombre de connexions, 
• Le nombre d'utilisateurs uniques connectés (matériel), 
• Le temps de connexion, 
• Et le volume de données échangées.  

Les données vous sont transmises sous format .CSV (fichier type tableur).

L’outil de Campagne Mail

Pour créer une Campagne Mail, vous avez la possibilité   

• de choisir son titre 
• de choisir un modèle 
• de choisir le couleur de fond de l’entête 
• de choisir la civilité des mails a envoyés 
• de choisir une plage dans les dates de naissance 
• de choisir les départements de résidence 
• de choisir les extensions des mails (pour un ciblage par langue par exemple) Une fois la campagne envoyée, vous pourrez consulter les statistiques d’ouverture et de clics globales pour votre mailing. 

Le mode de fonctionnement de votre hotspot (type d’accès) 

Les solutions de Hotspot proposé par la société Comminter peuvent fonctionner sous différents mode de fonctionnement

• Accès libre Le mode le plus utilisé : tous les utilisateurs possédant ou créant un compte peuvent se connecter à votre hotspot. 
• Code d’accès commun Quand un utilisateur se connecte et qu’il est identifié, il est redirigé vers une interface lui demandant le mot de passe de l’établissement. Cette solution permet de donner le même mot de passe à vos utilisateurs et de l'actualiser dans votre espace client. Ce mode permet de réserver la ressource Internet uniquement à vos clients. 
• Code d’accès individuel Quand un utilisateur se connecte et qu’il est identifié, il est redirigé vers une interface lui demandant le mot de passe de l’établissement. Cette solution impose qu’un code d’accès soit associé à chaque périphérique. Important: Tant que la totalité du crédit n’est pas consommé (durée accordé au ticket de connexion) l’utilisateur n’a pas besoin de ressaisir son code. 
• Paypal Si vous souhaitez que les utilisateurs payent le service via CB ou Paypal  

Comminter (Communication Interactive) est une société spécialiste du Wifi : Wifi public, Wifi collectif, Wifi point de vente ou Wifi événementiel.

Intégrateur de solutions réseaux dès 2002, la société a rapidement développé ses propres solutions pour devenir un acteur majeur du Wifi public en France sous la marque IciWifi.