Wi-Fi : qui est responsable de quoi ?

Le saviez-vous ? Toutes entreprises (magasins, hôtels, chaînes de restauration, mairies, universités, bibliothèques…) mettant à la disposition de leurs clients un accès internet via une borne Wi-Fi, communément appelés « fournisseurs d’accès Wi-Fi », sont soumis à des obligations juridiques à ne pas négliger. Voici ce qu’il faut savoir.

Opérateurs et fournisseurs d’accès Wi-Fi : même combat

Les opérateurs télécoms doivent conserver les données de trafic pour une durée maximale d’un an[1]. Connexion et navigation sont également possibles à partir de lieux publics ou d’espaces marchands, via des bornes Wi-Fi et des réseaux distribués par des gestionnaires de sites. Assimilés à des opérateurs, la loi leur impose ces mêmes obligations de conservation.

Ce que dit la législation

Les données de trafic se distinguent des données administratives relatives aux clients (nom, prénom, adresse ou encore mode de paiement de l’abonnement). Elles désignent les informations liées à l’utilisation des réseaux, qu’il s’agisse de communications téléphoniques, de courriers électroniques, d’accès à un site internet, des services de messages courts (SMS) ou des services de messageries multimédias (MMS).

Ces données ne concernent pas les contenus qui sont protégés par le secret des correspondances[2]. Elles portent sur l’identification des personnes utilisatrices des services fournis par les opérateurs (exception faite du Wi-Fi public)[3], sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux.

Une donnée technique (comme une adresse IP dynamique) peut ne pas être conservée si pour identifier l’utilisateur il faut mettre en œuvre des efforts déraisonnables et démesurés en termes de temps, de coût et de main-d’œuvre[4]. Le stockage des données techniques a donc des limites importantes amenant à nuancer les craintes exprimées en matière de surcoûts spécifiques à la conservation des données.

Champs d’actions

Alors que l’opérateur télécoms n’est responsable du traitement que pour les données relatives au trafic et à la facturation nécessaire au fonctionnement du service, et non pour les données transmises (messages, etc.), c’est la personne dont émane le message qui est responsable du traitement de données contenues dans celui-ci[5].

De son côté, le fournisseur d’accès Wi-Fi qui ne procède pas à la transmission de ces données, ne sélectionne pas les destinataires ou ne modifie pas les informations contenues dans la transmission, n’est pas responsable de leur traitement[6].

Ce fournisseur est un sous-traitant de données à caractère personnel publiées en ligne par ses clients qui recourent à ses services[7]. En revanche, s’il traite à des fins marketing ces données, il en est responsable.

Ces considérations juridiques fondées selon la loi en vigueur (de lege data) cadrent totalement avec l’approche adoptée dans le RGPD[8] applicable le 25 mai 2018.

[1] CPCE art. L34-1.  /  [2] Les données conservées ne peuvent porter sur le contenu des correspondances échangées ou des informations consultées. En effet, l’interception du contenu des communications est encadrée par le code de procédure pénale (art. 100 à 100-7).  /  [3] « La conservation des données ne garantit pas l’identification de l’utilisateur, c’est-à-dire la connaissance de son état civil. […] Concernant les connexions par des bornes Wi-Fi, l’identification d’un utilisateur est pratiquement impossible » (Sénat TP loi 2006-64 du 23 janv. 2006 rapport n° 117 J.-P. Courtois).  /  [4] CJUE 2e ch. 19 oct. 2016 n° 582/14 ; Cass. 1e civ. 3 nov. 2016 n° 15-22.595.  /  [5] Dir. 95/46/CE du 24 oct. 1995 cons. 47.  /  [6] CJUE 3è ch. 15 sept. 2016.  /  [7] G29 avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » 16 fév. 2010.  /  [8] Règlement général sur la protection des données (règl. UE 2016/679 du 27 avr. 2016).