Une poignée de patrons de bars et de restaurants de Grenoble ont été arrêtés par la police lors d’une opération visant à contrôler la conformité de leur accès WiFi gratuit. Une loi de 2006 oblige en effet les gérants de ces établissement à conserver un historique de connexions pendant un an.
Partager son wifi oblige à respecter une loi antiterroriste qui les oblige à conserver pendant un an tout l’historique des connexions des clients à des fins d’enquête.
Cette loi concerne aussi bien les bars, restaurants, mais aussi les chambres d’hôtes, les hôtels… bref, tous les professionnels (et même les entreprises) mettant à disposition du public un moyen de se connecter à Internet.
Les professionnels ne savent pas forcément qu’ils doivent conserver l’historique des connexions WiFi
La Loi dispose en effet que l’ensemble des « personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit » doivent se doter des moyens techniques pour conserver ces données. Une loi méconnue, y compris de l’Umih, le principal syndicat du secteur. Qui confirme que cette question ne fait pas partie de la formation pour obtenir ou reprendre un permis d’exploitation.
Dans les faits, pour fournir un accès internet gratuit à leurs clients, la plupart des gérants optent pour des abonnements grand public. Or, ils sont en réalité obligés d’opter pour des abonnements professionnels plus chers, qui permettent d’opérer cette collecte de données. A moins d’établir eux-mêmes les moyens techniques nécessaires. Mais ils sont dans ce cas considérés par la loi comme des fournisseurs d’accès internet, au même titre que Orange, Free et SFR. Ce qui n’est généralement pas tenable.
En cas de manquements à ces obligations les intéressés risquent jusqu’à un an d’emprisonnement et 75000 euros d’amende pour les personnes physiques et 375 000 euros d’amende pour les personnes morales. Les implications de la fameuse loi antiterroriste de 2006 sur les bars et restaurants étaient jusqu’ici assez méconnues. Néanmoins ces arrestations rappellent que cette loi existe et que les autorités commencent à être déterminées à la faire respecter.
Que faire ?
Depuis une loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme, tous les établissements offrant au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont tenues de conserver un certain nombre de données dites de trafic.
Une directive 2006/24/CE en date du 15 mars 2006 contraint également l’ensemble des Etats membres de l’Union européenne à adopter une loi obligeant l’opérateur (« personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. ») à conserver les données relatives aux communications pour une durée comprise entre 6 et 24 mois.
1. Quelles données devez-vous conserver ?
- Les informations permettant d’identifier l’utilisateur
- Les données relatives aux équipements et terminaux utilisés
- Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication
- Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
- Les données permettant d’identifier le ou les destinataires de la communication
(Décret n°2006-358 du 24 mars 2006, article R. 10-13 du CPCE)
2. Quelles données ne devez-vous pas conserver ?
- « le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications »
(Article L. 34-I-V du CPCE)
3. A quelles sanctions vous exposez-vous ?
- Un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques et 375.000 euros pour les personnes morales
(Article L. 39-3 du CPCE)
4. Combien de temps devez-vous conserver les données ?
- Un an pour le cas de la conservation des données relatives au trafic lorsqu’il s’agit de la recherche, de la constatation et de la poursuite des infractions.
(Le décret du 24 mars 2006 prévoit des durées de conservations variables en fonction des finalités).
5. Quelles sont les personnes habilitées à recevoir les données ?
- L’officier de police judiciaire au cours d’une enquête de flagrance
- Le Procureur de la République ou l’officier de police judiciaire sur autorisation du procureur et au cours d’une enquête préliminaire
- Le juge d’instruction ou l’officier de police judiciaire par lui commis au cours de l’instruction
- Les agents individuellement habilités des services de police et de gendarmerie, spécialisés dans la prévention des actes de terrorisme
(Articles 60-1, 77-1-1 et 99-3 du Code de procédure pénale ainsi que l’article L. 34-1-1 du CPCE)
L’article L. 39-4 du CPCE précise que : «sera puni de trois mois d’emprisonnement et de 30.000 euros d’amende ou de l’une de ces deux peines seulement quiconque aura, sans raison valable, refusé de fournir les informations ou documents ou fait obstacle au déroulement de l’enquête ».
La mise en place d’une Charte d’Utilisation du Réseau WiFi
L’utilisation de votre réseau WiFi public peut aussi être cadrée par une « Charte d’Utilisation du réseau WiFi », dont la vocation est de vous protéger.
Pourquoi ? Parce que, malgré l’installation de restriction d’accès (codes d’identification, blocage d’accès à certains sites, filtrage URL, etc.), vous ne pouvez pas contrôler le comportement des utilisateurs. La charte doit stipuler que l’utilisateur n’a pas le droit d’accomplir telle ou telle action ; s’il le fait, il engage directement sa responsabilité. Pour être effective, l’utilisateur devra cocher, dès la première connexion, une case indiquant « J’accepte la Charte d’Utilisation du réseau WiFi. »
Et le vendeur, l’installateur ou l’informaticien dans tout ça ?
Le devoir de conseil est une obligation générale d’information introduite par le législateur par l’ordonnance du 10 février 2016 à l’article 1112-1 du Code civil. Le devoir de conseil s’applique à tout contrat et notamment au contrat de vente, ou encore au contrat d’entreprise ainsi qu’au contrat de prestation de service, ou au contrat d’assurance.
L’article 1112-1 du Code civil prévoit « celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre qui se doit d’informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant. » Ainsi le débiteur de l’obligation de l’information au sens de l’article L1112-1 du Code civil se doit d’informer son cocontractant de toute information dont l’importance est « déterminante » pour le consentement du cocontractant.
Par précaution, il vaut mieux que le professionnel informe bien, avant la vente, que l’usage du produit vendu est soumis à une réglementation.
Sources :
Des patrons de bars et restaurants en garde à vue à cause du WiFi gratuit
https://www.juritravail.com/Actualite/contrats-commerciaux-clauses-contractuelles/Id/317674
https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=91BE313673D170865C442913FAFC41A8.tplgfr30s_2?cidTexte=JORFTEXT000032004939&idArticle=LEGIARTI000032006591&dateTexte=20160211&categorieLien=cid#LEGIARTI000032006591
https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070721&idArticle=LEGIARTI000032007138
![ETSI-EN-303-645-IoT-Security-Standard-768x412[1]](https://www.expertises-numeriques.lenetexpert.fr/wp-content/uploads/2020/07/ETSI-EN-303-645-IoT-Security-Standard-768x4121-1.jpg)
