Services de libre accès à internet : La CNIL s'est penchée sur les services de libre accès à internet. Cinq mesures à adopter pour se mettre en conformité.

Frédéric Hourdeau

News

le 26/12/2014 à 19h20

Tweeter

Dans le cadre de son programme des contrôles, la CNIL s'est penchée sur les services de libre accès à internet. La plupart des services ne satisfont pas aux exigences de la loi Informatique et Liberté.

Dans les lieux publics ou semi publics, au restaurant, à l'hôtel ou dans les bibliothèques etc … il est souvent possible d'utiliser un réseau internet Wi-Fi ou des postes informatiques en libre accès.

La CNIL a effectué plusieurs contrôles des modalités de mise en œuvre de ce type de service auprès d'organismes privés et publics.

Lors de ces contrôles, l'attention de la CNIL s’est particulièrement  intéressée:

-         au type de données collectées,

-         à leur conservation,

-         au niveau d'information des utilisateurs

-         à la qualité des mesures de sécurité qui y sont associées.

Plusieurs manquements ont été régulièrement identifiés lors de ces contrôles.

A partir de là, la CNIL rappelle aux fournisseurs de services d'internet en libre accès les mesures à adopter pour se mettre en conformité.

ð Conserver seulement les données de trafic

Les organismes qui mettent à disposition du public un service de libre accès à internet (postes informatiques, Wi-Fi...) sont considérés comme opérateurs de communications électroniques (OCE) et sont soumis aux obligations prévues à l'article L. 34‑1 du code des postes et des communications électroniques (CPCE).

A ce titre, ils doivent conserver « les données de trafic répondant aux  besoins de la recherche, de la constatation et de la poursuite des infractions pénales » et destinées aux autorités légalement habilitées.

La CNIL a constaté lors des contrôles que de nombreux opérateurs de communication électronique conservaient des données portant sur le contenu des correspondances échangées ou des informations consultées (URLs) alors qu'ils ne sont pas autorisés à le faire.

Les fournisseurs de service ne doivent pas collecter ces données et doivent supprimer celles qui auraient été conservées.

ð Définir une durée de conservation des données limitée et proportionnée

La plupart des fournisseurs de service conservent les données issues des journaux de connexion sans qu'aucune durée de conservation n'ait été définie.

Or, les données de trafic doivent être conservées pendant 1 an à compter du jour de leur enregistrement (Article R. 10-13 du Code des postes et des communications électroniques)

Les autres données collectées dans le cadre de l'offre d'internet en libre accès, telles que les informations d'abonnement, etc. doivent être supprimées régulièrement lorsqu'elles ne sont plus nécessaires (désinscription ou inutilisation prolongée de l'abonnement).

ð Fournir une information complète sur les traitements de données :

La CNIL ont observé que l'information fournie aux utilisateurs des services d'internet en libre accès, ne s'avérait pas toujours satisfaisante, voire inexistante.

Les opérateurs de communication électronique doivent délivrer une information aux utilisateurs de leur service sur les modalités de traitement de leurs données.

Le support de cette information doit être le formulaire d'inscription au service. A défaut, l'information doit être fournie par voie d'affichage, dans une charte informatique, etc.

Par ailleurs, les opérateurs de communication électronique doivent prévoir des procédures de gestion des demandes d'accès, de rectification et de suppression des données par leurs utilisateurs.

ð Veiller à la conformité des outils utilisés, notamment aux outils de surveillance:

Il a été constaté que plusieurs opérateurs de communication électronique contrôlés utilisaient des outils de surveillance afin d'assurer la sécurité des postes informatiques, la gestion des tarifications, les impressions…

L'utilisation de tels outils(consultation ou prise en main à distance, contrôle de l'historique de la navigation, etc…) est susceptible de donner accès à un grand nombre d'informations excessives au regard de la finalité pour laquelle elles sont collectées (identifiants-mots de passe, numéros de compte bancaire…).

Le recours à de tels outils doit être évité ou un paramétrage limité doit être mis en place.

ð Assurer la confidentialité et la sécurité des données :

Plusieurs lacunes en termes de sécurité et de confidentialité ont été révélées lors des contrôles :

Absence de chiffrement des réseaux Wi-Fi ;

Accessibilité du BIOS (absence ou faiblesse du mot de passe) permettant de modifier la configuration basique du système ;

Possibilité de prendre le contrôle de la machine en démarrant un système d'exploitation depuis une clé USB  etc…

Pour y remédier, les opérateurs de communication électronique doivent inclure une clause relative à la sécurité des données dans le contrat conclu avec le prestataire réseaux

Par ailleurs, ils doivent adopter des mesures de sécurité afin de :

-          sécuriser les accès aux journaux de connexion ;

-         assurer la robustesse des mots de passe d'accès au BIOS permettant de modifier la configuration basique du système ;

-         limiter à quelques minutes la durée de stockage des documents en attente d'impression pour éviter la divulgation de documents à des tiers.

Rappelons que s'agissant de la gestion d'un service d'internet en libre accès, le traitement doit faire l'objet d'une déclaration auprès de la CNIL.