Dans le Livre blanc « Comment mettre en place un service de Wi-Fi public conforme au droit français ? », Almond détaille à juste titre les risques juridiques associés à la mise en œuvre d’un « Wi-Fi Public ». Ce document rappelle également les bonnes pratiques techniques et autres à observer pour couvrir les risques et apporter les services attendus.
De plus en plus d’organisations proposent des bornes d’accès Wi-Fi pour faciliter le travail de leurs collaborateurs équipés d’ordinateurs portables. Ce type d’accès permet également à des intervenants extérieurs d’accéder à l’Internet.
Mais si ces accès sont mal configurés, ils peuvent avoir notamment un impact négatif sur le SI et engager la responsabilité de l'entreprise. Almond, spécialisé dans la cybersécurité, le cloud et les Infrastructures, publie un Livre blanc dont l’objectif est de mettre en garde sur les dangers de l’utilisation du Wi-Fi public.
Principal rappel : les adresses IP et MAC représentent des métadonnées qui peuvent être collectées lors d’une connexion d’un utilisateur à internet via un réseau Wi-Fi. Or, la « CNIL assimile l’adresse MAC à une donnée à caractère personnel si et seulement si, elle est combinée à d’autres données techniques telles que l’identifiant SSID ou des données de localisation », précise Almond.
Par ailleurs, la Cour de justice de l'Union européenne (CJUE) précise que « l’IP dynamique d’un visiteur d’un site internet constitue une donnée à caractère personnel lorsque l’exploitant du site internet dispose de moyens légaux lui permettant de faire identifier le visiteur. »
Les entreprises doivent donc prendre conscience de leurs responsabilités et obligations. Mais combien d’entre elles savent que la mise en place d’un hotspot implique une durée de conservation d’un an pour les données techniques (article L34-1 du Code des Postes et des Communications Electronique) ?
En cas de non-conservation, les personnes morales risquent une amende pouvant s’élever à 375 000 €.
Les entreprises doivent aussi limiter le risque d’accès à des sites Internet par la législation française :
- Les sites faisant l’apologie du terrorisme ;
- Les sites exposant des sujets pédopornographiques ;
- Les sites de jeu d’argent n’ayant pas reçu d’accréditation de l’ARJEL.
L’authentification et l’identification des personnes ne doivent pas être prises à la légère par les entreprises. « Il y a volonté de réformer les procédures d’identification en ligne », rappelle Almond.
Une proposition de loi, déposée le 6 mars 2019, et ayant vocation à modifier la Loi pour la confiance en l’économie numérique (LCEN), propose un nouveau régime juridique visant à améliorer les procédures d’identification en ligne.
Almond estime qu’un service Wi-Fi invité est soumis au même régime juridique qu’un service Wi-Fi public : « Dès lors qu’une entreprise peut accueillir au sein de ses locaux des tiers, nous conseillons de respecter les obligations et bonnes pratiques décrites dans le présent document, pour le service Wi-Fi invité ».
Enfin, Almond conseille de choisir des solutions permettant de stocker les informations suivantes :
- La date précise de la première requête à un nouveau site web ;
- La date précise de la déconnexion au même site web ;
- L'adresse MAC de l’équipement de l’utilisateur s’étant connecté au réseau ;
- L’adresse IP privée au sein du réseau interne fournie à l’interface réseau de l’équipement de l’utilisateur ;
- L’adresse URL du site web visité par l’utilisateur ;
- Les informations d’identification de l’utilisateur fournies lors de l’enregistrement auprès du portail captif.
