SOS EXPERTS
Se connecter / S'abonner Espace Abonnés Espace abonnés

SOS Experts > Équipements et Nouvelles Technologies > Accueil

Informatique et nouvelles technologies en CHR
Thierry Longeau


Accueil SOS Experts
Ajouter à mes favoris / Etre alerté Partager :


Proposer internet à ses clients : législation et responsabilités

En mettant votre accès internet à disposition de vos clients, la loi vous considère comme un fournisseur d'accès. C'est donc votre responsabilité de fournir aux pouvoirs publics les informations de traçabilité de vos clients, et de vous assurer que le système d'accès à internet est conforme à la législation.


© Thinkstock

Le décret d’application 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques (loi du 23 janvier 2006 parue au Journal officiel le 26 mars 2006), fixe à un an la durée pendant laquelle les fournisseurs d’accès à internet et les autres opérateurs de télécommunication doivent conserver les données de communication internet. Il prévoit “pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales” que les fournisseurs d’accès internet, les opérateurs de téléphonie, les cybercafés et, plus largement, tous les organismes (hôtels, cafés, centres de loisirs et autres lieux publics) permettant au public une connexion gratuite ou payante, doivent conserver pendant un an les données relatives aux communications de leurs usagers.

Obligation de conservation des données de traçabilité

Il s’agit d’assurer la conservation de toute donnée permettant d’identifier l’utilisateur et le destinataire d’une communication téléphonique ou électronique. Les prestataires devront également conserver les caractéristiques techniques - adresse IP - ainsi que la date, l’heure et la durée de chaque communication. Ils sont tenus, en outre, de déterminer les services complémentaires demandés ou utilisés. Pour être conformes à la législation, les solutions d’accès à internet doivent répondre à cette obligation.
C’est la responsabilité de l’hôtelier ou du restaurateur de fournir aux pouvoirs publics les informations de traçabilité de ses clients, donc de s’assurer que le système d’accès à internet est conforme à la législation et de pouvoir exiger ces informations de son fournisseur de service wifi.

La loi Hadopi 2 a complexifié la mise à disposition de l’internet public. Le décret du 5 mars 2010 a mis en place le système de gestion des mesures pour la protection des œuvres sur internet, sur lequel sont enregistrées les données à caractère personnel et informations relatives aux abonnés recueillies par l’Hadopi auprès des opérateurs de communications électroniques : date et heure des faits, adresse IP des abonnés concernés, protocole peer to peer utilisé, pseudonyme utilisé par l’abonné, informations relatives aux œuvres ou objets protégés concernés par les faits, nom du fichier tel que présent sur le poste de l’abonné (le cas échéant), fournisseur d’accès à internet auprès duquel l’accès a été souscrit.
Selon le décret 2010-236 du 5 mars 2010, quand les abonnés ont été identifiés grâce à leur IP, les FAI doivent fournir à l’Hadopi les données suivantes : nom de famille, prénoms, adresse postale et adresses électroniques (ensemble des adresses électroniques associées), coordonnées téléphoniques, et adresse de l’installation téléphonique de l’abonné. Depuis la loi du 23 janvier 2006, les fournisseurs wifi sont soumis aux mêmes obligations que les opérateurs de communications électroniques classiques. Ils peuvent donc être amenés à répondre à une réquisition adressée par l’Hadopi.
La règlementation RGPD ne comporte pas de nouveauté concernant le traitement des données dans le cadre de la fourniture au public de services de communication électronique. Ce sont donc les dispositions de la loi informatiques et libertés qui s’appliquent, notamment l’information des utilisateurs de la présence d’un tel traitement.

Les textes réglementaires

• Obligation de conservation de données de communication : décret n° 2006-358 du 24 mars 2006.
• Conditions d’établissement et d’exploitation des réseaux et la fourniture de services de communications électroniques : décret n° 2005-862 du 26 juillet 2005.
• Traitement automatisé de données à caractère personnel autorisé par l’article L331-29 du code de la propriété intellectuelle, dénommé système de gestion des mesures pour la protection des œuvres sur internet : décret n° 2010-236 du 5 mars 2010, modifié par le décret n° 2011-264 du 11 mars 2011.
• Réseaux locaux radioélectriques ou RLAN (wifi) : textes de référence disponibles sur le site de l’Arcep.

Les instances

- La Commission nationale de l’informatique est des libertés (Cnil)
Dans le cadre de la réglementation sur la sécurité, la collecte, la création ou la conservation d’un fichier de données nominatives relatives à des personnes physiques doit faire l’objet d’une déclaration à la Cnil.
www.cnil.fr
- L’Autorité de régulation des communications électroniques et des postes (Arcep)
Cette autorité administrative indépendante est chargée de réguler les communications électroniques et les postes en France.
www.arcep.fr

Quelques risques concrets d’usage de votre connexion internet en accès wifi

- Utilisation de votre accès pour des téléchargements illégaux.
- Activité pédophile (connexion à des sites d’échanges de fichiers, usurpation d’identité sur des forums ou des messageries instantanées...).
- Diffusion de propos diffamatoires, xénophobes, antisémites.
- Usage de votre accès internet pour des actions de spam, de piratage, de diffusion de virus.
- Les lieux offrant une connexion sans authentification sont connus et répertoriés par les pirates. Ils sont donc particulièrement vulnérables et attaqués.

Les peines encourues

En mettant votre accès internet à disposition de vos clients (à titre payant ou gracieux), la loi vous considère comme un fournisseur d’accès. À ce titre, vous avez l’obligation de permettre l’identification de chaque utilisateur et de conserver les traces de leurs consultations pendant un an (décret du 24 mars 2006) afin de les fournir aux autorités en cas de demande.
Selon l’article 434-4 du code pénal : “est puni de trois ans d’emprisonnement et de 45 000 € d’amende le fait de détruire, soustraire un objet de nature à faciliter la découverte d’un crime ou d’un délit, la recherche des preuves ou la condamnation des coupables.” La loi met à la charge des opérateurs (ou assimilés bars, hôtels, restaurants, camping…) une obligation particulière de coopération. Un juge pourrait retenir cette circonstance aggravante, notamment compte tenu du contexte sensible lié à la lutte contre le terrorisme. Si tel était le cas, la peine serait de cinq ans d’emprisonnement et 75 000 € d’amende.
D’autre part, si quelqu’un utilise votre accès pour télécharger des fichiers illégalement, les risques encourus sont les suivants : 1 500 € d’amende, fermeture de l’accès internet, fermeture administrative (loi Hadopi 2).

Les bonnes pratiques pour les CHR

- Bannir les points d’accès wifi directement branchés sur internet (via une box familiale, pro ou certains routeurs) car ces solutions ne permettent pas d’authentifier les utilisateurs et de respecter les obligations légales. Un établissement qui fournirait internet à un client par ce biais serait responsable en cas de problème.
- Ne pas laisser sa box ou son routeur en accès libre, changer les mots de passe constructeur, ne pas donner sa clé WEP de connexion au wifi privé à ses clients.
- Lorsque l’établissement met en œuvre sa propre solution, il doit mettre en place un système qui va authentifier les utilisateurs et stocker les logs (connexions). En cas d’enquête par la police judiciaire, l’établissement doit fournir les informations techniques de connexion telles qu’indiquées dans le décret d’application de mars 2006.
- Lorsque l’établissement a recours à un opérateur wifi, celui-ci prend théoriquement tout en charge. L’établissement doit simplement s’assurer que l’opérateur prend bien en compte les obligations réglementaires (il faut exiger une mention sur le contrat) et qu’il ne sera pas répréhensible en cas d’enquête judiciaire ou de contrôle de la Cnil.
- La fourniture d’un accès internet sans fil dans un lieu public nécessite que vous soyez possession des droits d’exploitations des fréquences sans fil utilisées pour le wifi. Cette autorisation est délivrée sous forme de licence par l’Acerp.
- En souscrivant à une offre d’accès internet auprès d’un FAI, celui-ci enregistre tout le trafic effectué depuis votre connexion pour les raisons légales liées à la sécurité. En fournissant un accès wifi à partir de votre connexion internet, vous endossez de fait les mêmes responsabilités auprès de votre clientèle, car vous devenez vous-même fournisseur d’accès internet sans fil. En effet, votre FAI enregistre le trafic effectué sur l’accès qu’il fournit (jusqu’à la prise téléphonique). Le trafic effectué sur l’accès internet sans fil que vous fournissez n’est pas identifié par ce dernier. En cas de malversation sur votre hot spot, votre fournisseur d’accès internet, ne pouvant identifier les différents utilisateurs qui font usage de votre connexion, portera directement la responsabilité sur vous !
Si vous proposez le wifi à vos clients, il est préférable de transférer ses responsabilités à un opérateur déclaré à l’Arcep. C’est sans aucun doute la solution la plus simple et ce n’est pas forcément la plus chère.

Autres fiches pratiques sur 'Internet pour son établissement et ses clients'

 

Mise à jour : mars 2021


Ajouter à mes favoris / Etre alerté Partager :



Poser une nouvelle question

Cocher cette case pour rester anonyme
En cliquant sur publier vous acceptez les conditions générales d'utilisation

Protection de vos données  -  Signaler un contenu illicite