Que vous souhaitiez fournir une excellente connexion internet à vos collaborateurs ou au public que vous recevez, il existe des solutions faciles à mettre en place et à administrer. Cela étant, elles doivent répondre à certaines contraintes réglementaires que nous allons évoquer.

Les logs et la réglementation

La problématique de la conservation de certaines données intéresse de plus en plus d’entreprises. Découvrons quels sont les principaux enjeux.

Le besoin permanent d’être connecté

De nos jours, internet est présent partout ou presque ! Consulter une adresse sur un service de cartographie, envoyer un devis à un prospect, répondre à un e-mail à la sortie d’un rendez-vous commercial… Ces actions et tant d’autres sont accomplies par les professionnels comme par les particuliers quand ils sont à l’extérieur de leur domicile.

Par conséquent, les entreprises et les institutions ont pratiquement l’obligation de fournir un wifi gratuit à leurs employés et aux personnes qui fréquentent leurs locaux. Cependant, ces mêmes protagonistes sont sommés de se conformer à la législation en vigueur et en particulier de tenir compte de la règle de conservation des logs.

Que sont les logs ?

L’appellation même de log vous est peut-être étrangère. Le log correspond à un fichier texte somme toute classique qui répertorie de manière chronologique tous les événements (serveur, logiciel, application…) ayant affecté un système informatique et l’ensemble des actions (authentification, date…) qui ont résulté de ces événements. Le log s’apparente au journal de bord d’un système. Par exemple, quand vous accédez au web grâce au wifi public d’un restaurant, le moment où vous profitez de la connexion est enregistré et détaillé dans ce fichier texte.

La loi de 2006

Les FAI (Fournisseurs d’Accès à internet) sont dans l’obligation d’organiser la préservation des données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elle est prestataire » (article 6 II). Une règle qui lui donne la possibilité si besoin est de déconfidentialiser les données conservées. Une démarche uniquement mise en œuvre si l’autorité judiciaire le sollicite à cet égard, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.

Cette obligation à laquelle les FAI sont soumis par l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) a la particularité d’avoir été étendue à tous ceux qui offrent un accès à l’internet selon la loi antiterroriste du 23 janvier 2006. Y compris s’il s’agit d’un accès au réseau octroyé à titre gratuit ! Quid de la durée ? La durée de conservation des données (à compter dans leur enregistrement dans le système d’information) a été fixée à un an par le décret du 24 mars 2006, au-delà de laquelle elles sont nécessairement anonymisées.

Les publics concernés

L’ancien magistrat et député français Alain Marsaud a détaillé les publics concernés par cette réglementation. Ce sont tout d’abord les entités fournissant un accès à des réseaux de communication électroniques accessibles via une borne wifi à titre gratuit ou par le recours à des cartes prépayées. Il s’agit ensuite des solutions d’hébergement, compagnies aériennes ou encore des établissements de restauration qui mettent à disposition une connexion internet, sans oublier les cybercafés dont l’activité même est de fournir un service payant de connexion en ligne. Tous ont l’avantage de pouvoir se conformer aux obligations légales de conservation des logs en exploitant par exemple le portail captif de ADW Network.

Le contenu

Le décret du 24 mars 2006 est à l’origine d’un nouvel article R.10-13 du CPCE, qui mentionne la typologie de données à conserver. Ce sont tout d’abord les adresses de courrier électronique, adresses IP ou encore le numéro de téléphone, c’est-à-dire les informations destinées à identifier l’utilisateur. Ce sont ensuite le jour, l’horaire et la durée de chaque accès au service et l’ensemble des données inhérentes aux équipements terminaux de communication dont l’utilisateur s’est servi.

Sont également concernées les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs, ainsi que les informations permettant d’identifier le ou les destinataires de la communication. Qu’en est-il des courriers électroniques échangés ainsi que du contenu des pages web visitées par l’utilisateur de cet accès wifi ? La conservation de ces dernières données est proscrite !

Les risques

Le non respect des obligations expose l’entreprise fournisseur de l’accès à deux principaux risques. C’est d’une part celui inhérent aux accès à des contenus qui n’ont pas leur place sur la toile. Ce sont par exemple les plateformes dont les informations dépassent les limites de la liberté d’expression et enfreignent la loi (racisme, etc.).

Nous faisons aussi allusion aux sites internet de jeux illicites, sans oublier les revendeurs de médicaments et d’autres substances n’ayant pas les autorisations pour distribuer de tels produits. Par ailleurs, il ne faut pas occulter les considérations liées à HADOPI. L’accès fourni ne doit ainsi pas donner la possibilité à l’utilisateur de contrevenir aux droits de propriété intellectuelle par un téléchargement illégal (jeux vidéo, logiciels, films, ebooks, etc.).

Les sanctions

Une négligence ou la volonté assumée de contrevenir à la loi expose les contrevenants à de lourdes sanctions. Ils sont susceptibles de se voir infliger jusqu’à un an d’emprisonnement et 75 000 euros d’amende pour les personnes physiques, et 375.000 euros pour les personnes morales (en application de l’article 131-38 du Code pénal).

Les avantages d’un portail captif

Le plus souvent, le portail captif présente à l’utilisateur les conditions de service qu’il doit nécessairement accepter, pour jouir du point d’accès sans fil de l’entreprise. Un mot de passe est potentiellement requis, il permet par exemple de fournir une connexion uniquement aux clients d’un établissement ou aux participants dans le cadre d’une manifestation, et ainsi éviter que des passants puissent s’en servir.

De plus, les fonctionnalités généralement associées permettent de limiter le temps de connexion pour chaque utilisateur, ce qui favorise un meilleur contrôle de la bande passante. Il constitue une arme marketing à laquelle les entreprises peuvent avoir recours pour véhiculer un message spécifique ou mettre en lumière la publicité d’un annonceur.

Pour conclure, et c’est l’un des avantages les plus significatifs à mettre à leur crédit, les solutions actuelles incluent un dispositif de sécurité fiable et garantissent la conservation des logs qui font l’objet principal de cet article.