Je veux tout savoir de la transformation numérique !
Identifiez-vous pour lire l’intégralité des articles premium et accéder à l’ensemble de nos ressources.
Pour recevoir les dossiers thématiques par mail, inscrivez-vous !
Je m'identifie

Pour accompagner les entreprises qui veulent garder le cap du numérique, nous vous présentons le numérique en pratique. Des pratiques inspirantes, des cas concrets et des actualités élaborés avec nos partenaires pour vous aiguiller dans vos choix et vos projets de transformation. Inspirez-vous !                                                              

🐤 Suivez-nous avec le hashtag #NUMEP                                                                -  Devenir partenaire ?

 

 

Thèmes
Secteurs d'activité
Carnet :
Mot-clef :
Thème(s) :
Secteur(s) :
Entreprise(s) :

Wi-Fi : qui est responsable de quoi ?

Le saviez-vous ? Toutes entreprises (magasins, hôtels, chaînes de restauration, mairies, universités, bibliothèques…) mettant à la disposition de leurs clients un accès internet via une borne Wi-Fi, communément appelés « fournisseurs d’accès Wi-Fi », sont soumis à des obligations juridiques à ne pas négliger. Voici ce qu’il faut savoir.

Wi-Fi : qui est responsable de quoi ?

Opérateurs et fournisseurs d’accès Wi-Fi : même combat

Les opérateurs télécoms doivent conserver les données de trafic pour une durée maximale d’un an[1]. Connexion et navigation sont également possibles à partir de lieux publics ou d’espaces marchands, via des bornes Wi-Fi et des réseaux distribués par des gestionnaires de sites. Assimilés à des opérateurs, la loi leur impose ces mêmes obligations de conservation.

Ce que dit la législation

Les données de trafic se distinguent des données administratives relatives aux clients (nom, prénom, adresse ou encore mode de paiement de l’abonnement). Elles désignent les informations liées à l’utilisation des réseaux, qu’il s’agisse de communications téléphoniques, de courriers électroniques, d’accès à un site internet, des services de messages courts (SMS) ou des services de messageries multimédias (MMS).

Ces données ne concernent pas les contenus qui sont protégés par le secret des correspondances[2]. Elles portent sur l’identification des personnes utilisatrices des services fournis par les opérateurs (exception faite du Wi-Fi public)[3], sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux.

Une donnée technique (comme une adresse IP dynamique) peut ne pas être conservée si pour identifier l’utilisateur il faut mettre en œuvre des efforts déraisonnables et démesurés en termes de temps, de coût et de main-d’œuvre[4]. Le stockage des données techniques a donc des limites importantes amenant à nuancer les craintes exprimées en matière de surcoûts spécifiques à la conservation des données.

Champs d’actions

Alors que l’opérateur télécoms n’est responsable du traitement que pour les données relatives au trafic et à la facturation nécessaire au fonctionnement du service, et non pour les données transmises (messages, etc.), c’est la personne dont émane le message qui est responsable du traitement de données contenues dans celui-ci[5].

De son côté, le fournisseur d’accès Wi-Fi qui ne procède pas à la transmission de ces données, ne sélectionne pas les destinataires ou ne modifie pas les informations contenues dans la transmission, n’est pas responsable de leur traitement[6].

Ce fournisseur est un sous-traitant de données à caractère personnel publiées en ligne par ses clients qui recourent à ses services[7]. En revanche, s’il traite à des fins marketing ces données, il en est responsable.

Ces considérations juridiques fondées selon la loi en vigueur (de lege data) cadrent totalement avec l’approche adoptée dans le RGPD[8] applicable le 25 mai 2018.

Edouard Lemoalle, juriste contrats et partenariats internationaux chez Hub One. 

> Découvrez d’autres articles sur le blog d’Hub One.

[1] CPCE art. L34-1.  /  

[2] Les données conservées ne peuvent porter sur le contenu des correspondances échangées ou des informations consultées. En effet, l’interception du contenu des communications est encadrée par le code de procédure pénale (art. 100 à 100-7).  /  

[3] « La conservation des données ne garantit pas l’identification de l’utilisateur, c’est-à-dire la connaissance de son état civil. […] Concernant les connexions par des bornes Wi-Fi, l’identification d’un utilisateur est pratiquement impossible » (Sénat TP loi 2006-64 du 23 janv. 2006 rapport n° 117 J.-P. Courtois).  /  

[4] CJUE 2e ch. 19 oct. 2016 n° 582/14 ; Cass. 1e civ. 3 nov. 2016 n° 15-22.595.  

[5] Dir. 95/46/CE du 24 oct. 1995 cons. 47.  /  [6] CJUE 3è ch. 15 sept. 2016.   

[7] G29 avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » 16 fév. 2010. 

[8] Règlement général sur la protection des données (règl. UE 2016/679 du 27 avr. 2016).