Vous fournissez un WiFi ouvert (ou pas d’ailleurs) dans un lieu accueillant du public? Quelques obligations vous incombent mais les textes de loi ne sont pas très clairs (comme tous les textes de loi) et les marchands de solutions logicielles en tout genre ont tendance à déformer la réalité pour vendre leur soupe.
Au passage, comme on aime la complexité, Hadopi, l’Europe et la RGPD n’ont pas simplifié la lecture de tout cela.
Démêlons le vrai du faux. Là, maintenant, tout de suite.
Vous faite partie des gens qui tiennent des restaurants, cafés, bars, brasseries, hôtels, pensions de famille, musées, salles d’audition, de conférences, de réunions “multimédia”, salles de spectacles, de projections ou à usage multiple ? Bravo vous êtes un ERP (établissement recevant du public) et il y a de grandes chances que vous fournissiez du WiFi et que l’on vous ait dit “olalala mais il faut enregistrer le nom des gens qui utilisent votre réseau WiFi, sinon vous irez en prison, et serez dévoré par un dragon”
Vrai ou faux? Il faut enregistrer des informations concernant l’utilisation de votre réseau ouvert
Tout à fait vrai. Tout exploitant, même à titre accessoire d’une autre activité principale (restauration, hébergement, transports, centre commercial, manifestation culturelle ou sportive…), d’un réseau ouvert au public doit être en mesure de contribuer à l’identification des utilisateurs s’y connectant (article L.34-1 CPCE : « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article. »)).
On dit bien contribuer à l’identification (la personne dit s’appeler Paul Bismuth), ce qui est différent d’identifier (il s’agit bien de Paul Bismuth) et encore plus d’authentifier (en fait c’est Nicolas Sarkozy).
On va le préciser après, mais d’abord on va débusquer quelques mythes qui trainent. Donc commencez par cette réponse courte car après ça se complique.
Vrai ou faux? Il faut enregistrer le nom des gens qui se connectent à votre WiFi
Il n’y a pas de texte de loi qui spécifie qu’il faille enregistrer les *noms* des utilisateurs de votre WiFi ouvert (d’ailleurs, ça n’est pas forcément un WiFi , vous pourriez très bien avoir des prises réseau murales dans un hôtel, donnant accès à Internet que les obligations seraient les mêmes).
Car si l’article L.34-1 CPCE précise, dans sa nouvelle rédaction faisant suite à l’arrêt du Conseil d’Etat du 21 avril 2021, désormais qu’un opérateur est tenu de conserver les informations relatives à l’identité civile de l’utilisateur, c’est sous réserve que le service fourni prenne en charge un dispositif de collecte de données et d’identification.
Pourtant sur des sites d’entreprises spécialisées en fourniture WiFi on peut lire des informations erronées comme
La Hadopi a ainsi rendu obligatoire la sécurisation des WiFi en accès libre. Elle impose de : Mettre en place un système d’authentification des utilisateurs
Source: Site web de Noodo au 12 Février 2022
Bien sûr , écrire ce genre de choses.. ça aide à vendre des solutions qui ne sont en fait pas nécessaires et à faire des choses qui ne le sont pas non plus.
Si vous n’avez pas assez confiance en nous, peut être aurez vous confiance en la CNIL qui dit :
Existe-t-il une obligation d’identifier l’utilisateur de l’ordinateur ?
Source: CNIL – 2010
Non. Le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion. En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an.
Est-ce qu’il est interdit de demander aux gens qui se connectent sur votre WiFi leur nom? Pas du tout , si vous estimez nécessaire de le faire, vous restez libre de mettre en place un tel système mais vous entrez alors dans une démarche de collecte de données personnelles qui implique un traitement RGPD (mais plus de déclaration à la CNIL)
Car à partir du moment où vous collectez une telle donnée, vous êtes tenus de la conserver, dans des conditions conformes aux principes du RGPD et pour une durée de 5 ans jusqu’à l’expiration du contrat (toujours l’article L.34-1 CPCE, IIbis 1°) et de transmettre ces données en cas de réquisition judiciaire (pour laquelle vous pouvez demander à être indemnisé en application du barème officiel prévu à l’article A-43-9 du code de procédure pénale).
Au passage, oui les gens qui écrivent les lois ne sont pas toujours super malins notamment concernant les nouvelles technologies mais je crois qu’ils ont bien compris que faire remplir un formulaire “nom prénom email” dans lequel tu peux entrer absolument n’importe quoi, ça ne permettrait pas forccéééééément d’identifier un terroriste / un pirate.
Vrai ou faux? La Hadopi va me manger tout cru si mon WiFi n’est pas sécurisé en WPA3 , filtrage P2P, pierre anti-ondes et cage de Faraday
Bon déjà la Hadopi .. n’existe plus sous ce nom mais imaginons que ce n’est pas le cas et que vous vivez en Novembre 2021:
Plutôt vrai. Blague à part: la Hadopi demande du professionnel mettant à disposition sa connexion Internet tout un tas de choses assez irréalistes dans 90% des cas. Mais ne demande pas d’enregistrer le nom/prénom/numéro de sécu/taille de boxers de vos utilisateurs.
Hadopi demande que vous fassiez votre possible pour limiter & décourager les téléchargements illégaux, tout en piétinant la neutralité du net.
Voici un bref extrait du guide Hadopi à destination des professionnels dans sa partie à peu près réaliste de ce qui est techniquement faisable partout mais que presqu’aucun tenancier d’ERP ne sait faire:
Passons à la partie totalement irréaliste et techniquement mauvaise:
Notons donc qu’on propose à Catoch’ et Lolo (tenanciers d’un bar imaginaire en Aveyron ayant Internet avec une Livebox) de mettre en place sur leur box “du filtrage applicatif, du filtrage de contenus et d’urls“.
C’est bien sûr là que pêche à la fois l’utilisateur ET la technique: Catoch et Lolo ne savent même pas changer le nom de leur connexion WiFi ni le mot de passe donc ils se connectent encore à Livebox-E6565 avec le mot de passe de 26 caractères galère comme pas possible. Ouais, ils auraient pu renommer leur WiFi “Le Bar de Catoch et Lolo” mais ils ne savent pas le faire .. et ils s’en foutent probablement bien.
Alors leur demander de mettre en place du filtrage applicatif, de ports et contenus sur leur box (qui au passage.. ne sait faire que le filtrage de ports), bonjour la blague.
Hadopi vous demande de faire la police dans votre réseau, tandis que la police vous demande de faire la police dans votre bar. Mais pas d’enregistrer le faux nom donné par Michel qui voulait juste accéder à Internet.
Si vous avez trop de gens qui font du torrent (illégal) sur votre réseau et que vous vous faites repérer par *feu* l’Hadopi, votre personne morale (la société) pourrait se prendre une amende.
Vrai ou faux? Je suis condamnable si quelqu’un utilise ma connexion Internet pour pirater du contenu
Pas exactement.
L’article L. 336-3 du Code de la propriété intellectuelle dit:
La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.
Le manquement de la personne titulaire de l’accès à l’obligation définie au premier alinéa n’a pas pour effet d’engager la responsabilité pénale de l’intéressé, sous réserve des articles L. 335-7 et L. 335-7-1.
Source: Legifrance
En clair dans le texte, le responsable est celui qui a commis l’acte, pas celui qui l’a rendu possible ou pas assez empêché. Vous pouvez donc être verbalisé et vous voir dressé une contravention pour négligence / défaut de sécurisation.
On distingue (merci Marc Rees pour cette mise au point) la contravention (Hadopi) et la contrefaçon (délit, sujet à l’individualisation des peines : celui qui commet est celui qui est puni)
Depuis 2013, on ne peut plus demander la coupure de votre connexion Internet pour manquement caractérisé aux obligations sus-citées.
Vrai ou faux? Je dois stocker les adresses de sites ou URL visitées par mes utilisateurs
Faux. C’est même interdit par l’article L. 34-I-V du Code des postes et des communications électroniques (CPCE pour les intimes).
Il dit en effet:
VI. – Les données conservées et traitées dans les conditions définies aux II bis à V portent exclusivement sur l’identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux.
Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications.
Et on vous l’avait déjà expliqué en 2014 lors du bilan des contrôles CNIL sur les réseaux WiFi ouverts au public.
Mais on doit conserver quoi comme données alors?
Les seules données que vous êtes tenu de conserver sont ce que l’on appelle les données techniques / de trafic.
D’où vient cette obligation?
Du charmant “Décret n°2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques.” que vous pouvez consulter ici si vous êtes insomniaque, dépressif (et / ou juriste / ou si vous cherchez à devenir l’un des ou les 3 qualificatifs précédents).
Ce texte ayant été annulé par le Conseil d’Etat dans son arrêt du 21 avril 2021 à la suite des arrêts rendus par la Cour de Justice de l’Union Européenne, une nouvelle version a été publiée en octobre 2021
Dans son article R10-13 on peut lire:
I.-Les informations relatives à l’identité civile de l’utilisateur, au sens du 1° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :
1° Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d’une personne morale ;
2° La ou les adresses postales associées ;
3° La ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ;
4° Le ou les numéros de téléphone.
IV.-Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :
1° L’adresse IP attribuée à la source de la connexion et le port associé ;
2° Le numéro d’identifiant de l’utilisateur ;
3° Le numéro d’identification du terminal ;
4° Le numéro de téléphone à l’origine de la communication.
Les durées de conservation de ces informations est de 5 ans à compter de la fin du contrat pour celles relatives à l’identité civile (si collectée) et d’une année pour celles relatives à la connexion au réseau.
Une lecture littérale de ce texte peut laisser entendre qu’il soumet les gens opérant un WiFi accessible au “public” (là encore vaste débat sur cette notion) à des obligations similaires que celles qu’ont les opérateurs commerciaux Internet. Or la réponse est loin d’être binaire, sinon ni la CNIL ni l’ARCEP n’auraient pris la peine de préciser qu’une telle obligation ne devait pas conduire à imposer des charges disproportionnées, notamment à destination des acteurs pour lesquels cette activité est accessoire à une activité principale autre que de communications électroniques.
Notons au passage que la version publiée des textes n’est pas conforme aux engagements pris par le Gouvernement de tenir compte des observations de ces autorités administratives indépendantes.
Rappelons que les textes Européens, que doivent respecter les Etats membres comme la France, pose un principe fort de minimisation des données. En clair, tout acteur manipulant de la donnée personnelle de citoyens européens ne doit collecter et conserver que les données strictement nécessaires à son activité ou au respect d’une obligation légale.
Or en matière d’obligation légale, les juridictions, et notamment la Cour de Justice de l’Union Européenne, ont rappelé que la loi n’avait pas tous les droits, et qu’en matière de données techniques l’effacement restait la norme et la conservation l’exception.
Dit autrement, si les autorités peuvent imposer des obligations de conservation, cela ne peut déboucher sur des obligations de collecte d’informations qui ne sont pas pertinentes pour l’exploitation d’un service.
Et là boom, on panique , on se dit “Gonzague tu dis des bêtises depuis le début, regarde il est marqué qu’il faut stocker “Les informations relatives à l’identité civile de l’utilisateur“ “
Mes chères brebies égarées (ok je m’emporte) , cela ne signifie pas du tout identifier nominativement et de façon certaine l’utilisateur (au sens est-ce que ce Monsieur qui me dit de l’appeler Paul Bismuth est en fait Nicolas Sarkozy ?). Cela peut vouloir dire : adresse IP, adresse email.
En clair, si vous êtes en mesure de contribuer à l’identification de vos utilisateurs par d’autres moyens plus respectueux de leur droits fondamentaux que le recueil de leur identité, on ne peut vous y contraindre dès lors que cette activité reste accessoire à votre activité principale.
Si vous collectez de telles informations pour des raisons qui ne regardent que vous, en revanche, cela veut dire que vous êtes tenus de les conserver pour les durées prescrites par la loi. Et que cette collecte et conservation doit, en tout état de cause, s’effectuer conformément aux principes du RGPD.
A quoi ressemblent ces données?
Les données techniques de connexion – aussi appelées données de trafic – dans le cas d’une connexion Internet ça peut être:
Adresse IP interne – Port source – IP de destination – Port de destination – Horodatage
Exemple de ligne venant du routeur/firewall PfSense:
Feb 15 13:57:12 80.xx.xx.xx filterlog: 89,,,100000101,igb1,match,pass,in,4,0×0,,64,49773,0,DF,6,tcp,60,192.168.1.50,18.202.184.90,63431,34765,0,S,3939704914,,14600,,mss;sackOK;TS;nop;wscale
On voit ici (en mettant des lunettes geek) l’IP interne (source) 192.168.1.50 qui joint l’IP 18.202.184.90 depuis le port 63431 vers le port 34765 le 15 Février à 13h57 .
Et à cette adresse IP interne il faut rattacher une adresse MAC bien sûr donc il faut loguer ici vos baux DHCP.
Ce sont clairement des métadonnées, de la même façon que les opérateurs téléphoniques enregistrent et conversent quel numéro a émis un appel , vers quelle destination, à quelle date, pendant combien de temps (et depuis quelle antenne etc).
On ne sait donc pas ce qu’a fait l’utilisateur, quelle page précise d’un site il a visité, quel était le site visité. On ne doit pas enregistrer les logs du serveur DNS et on ne peut donc pas directement associer une IPv4/IPv6 à un site web ou un service précis.
Combien de temps faut garder tout ça ?
Pour l’identité civile (une nouvelle fois, si vous la collectez) : 5 ans à compter de la fin du contrat.
Pour les autres informations : Maximum un an. Fallait lire c’est marqué au dessus!
Et si je le fais pas je risque quoi?
Un peine allant jusqu’à un an d’emprisonnement et un petit bonus de :
- 75 000 euros d’amende pour les personnes physiques
- 375 000 euros pour les personnes morales.
Mais uniquement si vous collectez habituellement ces informations. Ce qui est puni, c’est l’absence de conservation, et nullement l’absence de collecte (une nouvelle fois, en application de la réglementation Européenne, on ne peut vous contraindre à collecter des données qui ne vous sont pas pertinentes pour votre exploitation, principe de minimisation du RGPD oblige).
Source: Article L. 39-3 du CPCE
Et si je refuse de communiquer les données que j’ai enregistré il se passe quoi?
Ca serait sacrément con d’avoir fait la démarche de stocker les données que demande la loi et de ne pas vouloir les transmettre à l’officier de police mais imaginons que vous êtes con:
Source : Article 60-1 du code de procédure pénale
A comparer avec la, lourde, peine de prison et d’amende encourue en cas de transmission de données personnelles à une personne non habilitée : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende. (article 226-22 du code pénal).
Voilà pourquoi ce n’est jamais une bonne idée que de laisser sans réponse une réquition judiciaire. Ce qui est sanctionné, c’est l’absence de réponse, et aucunement une réponse négative expliquant que vous ne pouvez transmettre des données que vous ne collectez pas.
Note: L’article L.39-4 CPCE ne vise que le défaut de réponse aux demandes formulées par l’ARCEP dans le cadre des pouvoirs de régulation, et aucunement le défaut de réponse aux réquisitions judiciaires
Est-ce que des gens sont souvent verbalisés?
Non mais c’est arrivé pas plus tard qu’en 2020 à des gérants d’établissements grenoblois.
Il semble toutefois que ces procédures résultaient d’une absence persistante de réponse, et nullement d’une réponse négative. Dit autrement, ne jamais laisser sans réponse une réquisition judiciaire, et une réponse même négative expliquant que vous ne pouvez transmettre que les données que vous collectez, et non celles que vous ne collectez pas, sera de nature à établir votre bonne foi et vous éviter bien des tracas.
Car à ce jour aucun Procureur n’a engagé des poursuites contre des intermédiaires techniques pour défaut de conservation de données qu’ils ne collectent pas habituellement.
Est-ce que ces données sont très très utiles par la police?
Elles peuvent servir oui mais c’est relativement rare pour plusieurs raisons :
- Rareté des établissements vraiment en conformité avec le texte car:
- Pas au courant
- Pas fait la démarche
- Fait la démarche mais personne ne vérifie que ça fonctionne
- Facilité de maquillage d’une adresse MAC (MAC spoofing)
- OS récents qui donnent des adresses MAC aléatoires à chaque connexion sur un nouveau réseau c’est déjà le cas depuis iOS 14 (et iPadOS 14 et watchOS7 ainsi) ainsi que depuis Android 11. Windows 10 gère aussi cette fonction.
- Configuration imparfaite du système (qui enregistrerait par exemple les IP internes et leur port source, IP & port de destination mais sans avoir la MAC correspondante)
- Multiplication des services de VPN ou de relais privé
- Absence de conservation par les sites visités du port source, pouvant mener les enquêteurs sur de fausses pistes
Bon après tous les terroristes ne sont pas Bac +50 en “utilisation pirate d’un wifi“.
A quoi peuvent servir ces données?
Elles peuvent servir uniquement sur réquisition d’un officier de police judiciaire (policier ou gendarme agissant dans le cadre d’une autorisation d’un magistrat), d’un procureur de la République, d’un juge d’instruction, d’un policier ou gendarme mobilisé sur des sujets de terrorisme. Et que l’ANSSI et dans de rares cas sur demandes de la Hadopi
Sources (oui elles sont plusieurs c’est une bande organisée):
- Article 60-1 du Code de procédure pénale
- Article 77-1-1 du Code de procédure pénale
- Article 99-3 du Code de procédure pénale
- Article L.851-1 du Code de la sécurité intérieure
- Article L.2321-3 du code de la défense (ANSSI)
- Décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-23 du code de la propriété intellectuelle dénommé ” Système de gestion des mesures pour la protection des œuvres sur internet “
Vrai ou faux? BoucheCousue propose un système de stockage de logs hébergé & scalable
Vrai, félicitations. Ce n’était pas le but de cet article que de faire de la promo donc on ne s’appesantit pas, vous pouvez en lire plus sur le sujet ici.
The End
J’ai tenté d’être le plus complet possible sans être juriste mais vous avez sûrement compris l’idée: c’est complicado.
D’un côté pour arrêter les bad guys , le gouvernement serait très content que vous stockiez absolument tout sur eux, de l’autre pour respecter un poquito la vie privée, le secret de la correspondance, la RGPD.. on ne peut pas stocker tout et n’importe quoi sur vous.
Cet article n’est pas parfait et si vous avez des commentaires ou des précisions à y apporter n’hésitez pas.
Merci à Yoann Gini d’avoir lancé la conversation.
Merci beaucoup à Marc Rees pour sa relecture consciencieuse qui fait que cet article a été un peu édité le lendemain de sa publication notamment pour le passage sur la responsabilité en cas de téléchargement illicite (Hadopi) + passage RGPD/CNIL
Merci beaucoup beaucoup à Maitre Alexandre Archambault pour nous avoir aidé à mettre encore plus à jour cet article, à le compléter de passages substantiels.