Pour un commerçant, fournir un accès Wi-Fi à ses clients est devenu quelque chose de si ce n’est banal, essentiel ! Avec la digitalisation de la société et l’usage poussé des smartphones, proposer le Wi-Fi dans son commerce est un réel plus pour un entrepreneur. Ce service est pourtant soumis à des obligations strictement encadrées par la loi.
Une des obligations d’un fournisseur d’accès internet (FAI) est la conservation des données personnelles des utilisateurs du réseau Wi-Fi.
Quel est le principe de la conservation des données personnelles des utilisateurs ?
La loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) dispose que le FAI doit conserver les données des utilisateurs dans le but de “permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elle est prestataire”.
Ainsi, dans le cas d’une constatation ou de poursuite pour une infraction pénale, le FAI doit être capable de fournir ces informations aux autorités judiciaires.
Qui est concerné par cette obligation ?
L’article L.24-1 du Code des postes et des communications électroniques (CPCE) dispose que toute personne fournissant un accès Wi-Fi à un public, endosse les mêmes responsabilités qu’un FAI. Toutes les personnes qui “au titre d’une activité professionnelle, principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit”. Autrement dit, le propriétaire d’un bar, café, hôtel, restaurant, salle de sport ou autre, est considéré comme un FAI à partir du moment où il propose à ses clients un accès à un réseau Wi-Fi.
En revanche, selon le Code des postes et des communications électroniques (CPCE), un établissement ou une exploitation de « réseaux internes ouverts au public » n’a pas besoin de se déclarer à l’autorité de régulation des communications électroniques et des postes (ARCEP).
Le CPCE fait une différence entre un réseau ouvert au public et un réseau interne ouvert au public par le fait que, dans le second cas, l’espace sur lequel le Wi-Fi est déployé est privé.
Autrement dit, en fournissant le Wi-Fi à vos clients, un entrepreneur est considéré comme un FAI mais n’a pas d’obligation déclarative auprès de l’ARCEP pour exercer cette fonction.
Quel type de données doit être conservé ?
Par décret du 24 mars 2006, l’article R.10-13 du CPCE définit les catégories de données à conserver en tant que FAI :
- les informations permettant d’identifier l’utilisateur ;
- les données relatives aux équipements terminaux de communication utilisés ;
- les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
- les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
- les données permettant d’identifier le ou les destinataires de la communication.
Attention, le FAI n’est pas tenu d’identifier la personne mais seulement de conserver les données techniques créées par l’utilisation de cette personne sur son réseau Wi-Fi. Le FAI n’a en aucun cas l’obligation de créer des fichiers nominatifs.
Quelle est la durée légale de conservation des données personnelles d’un utilisateur ?
Le décret du 24 mars 2006 fixe la durée légale de conservation des données à un an à partir du jour de l’enregistrement de ces données. Passé le délai, les données peuvent être supprimées ou bien anonymisées.
Quelles sont les sanctions pour un FAI qui ne conserve pas les données personnelles d’un utilisateur ?
L’article 39-3 du CPCE prévoit qu’un FAI ne respectant pas l’obligation de conservation des données de l’utilisateur encourt un an d’emprisonnement, 75.000€ d’amende pour une personne physique et 375.000€ pour une personne morale.
Pour plus d’informations, consulter cet article.
Articles pouvant vous intéresser :
https://www.classichotspot.com/fr/blog/les-5-meilleurs-logiciels-monitoring-de-reseau-en-2017/