Dès lors qu’un établissement recevant du public ou un organisme met à disposition du public un service de libre accès à internet (comme le wifi), il est obligé de se conformer aux obligations mentionnées au sein du Code des postes et des communications électroniques (CPCE).
À ce titre :
- les données de trafic répondant aux « besoins de la recherche, de la constatation, et de la poursuite des infractions pénales » doivent être conservées (art L34-1 du Code des postes et des communications électroniques) ;
- les données de trafic doivent être conservées pendant 1 an à compter du jour de leur enregistrement (art R10-13 du Code des postes et des communications électroniques) ;
- les opérateurs de communication électronique doivent prévoir des procédures de gestion des demandes d’accès, de rectification et de suppression des données par leurs utilisateurs (article 38 à 40 de la loi n°78-17 du 6 janvier 1978 modifiée).
Or, la Commission nationale de l’informatique et des libertés (CNIL), ayant décidé d’intégrer, au sein de son programme annuel des contrôles, la thématique de l’internet en libre accès, a effectué plusieurs contrôles des modalités de mise en oeuvre de ce type de service auprès d’organismes privés et publics.
Les contrôles ont notamment porté sur le type de données collectées, leur conservation, la confidentialité assurée aux utilisateurs...
Les contrôles ayant révélé plusieurs manquements récurrents, la CNIL propose donc 5 mesures à adopter par ces organismes, afin qu’ils puissent se mettre en conformité avec les exigences de la loi informatique et libertés. Les préconisations sont ainsi libellées :
- conserver seulement les données de trafic ;
- définir une durée de conservation des données limitée et proportionnée ;
- fournir une information complète sur les traitements de données ;
- veiller à la conformité des outils utilisés, et notamment aux outils de surveillance ;
- assurer la confidentialité, ainsi que la sécurité des données.
En dernier lieu, la CNIL rappelle que la gestion d’un service internet en libre accès doit impérativement faire l’objet d’une déclaration normale auprès de la CNIL.
