La réglementation de l’accès wifi dans les lieux publics

La publication le 1er mars 2011, au Journal Officiel de la République Française, du décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, a mis fin aux questionnements relatifs à l’application de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Avec le système du wifi, appelé hot spot lorsqu’il est mis en œuvre dans les lieux publics, les fournisseurs d’accès internet (FAI) ont permis de relier entre eux des ordinateurs portables à des liaisons haut débit que ce soit en intérieur ou en milieu ouvert sur plusieurs centaines de mètres. Cette possibilité a été mis en œuvre dans les lieux publics à forte concentration tels que les aéroports, les hôtels, trains…mais aussi dans les bars, les grands magasins qui offraient ainsi une connexion à leur clientèle.

1) la détermination des personnes concernées

Le FAI selon l'article L.32 du Code des postes et communications électroniques, issu d'une loi du 9 juillet 2004, dispose qu'on « entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ». Deux personnes sont ainsi visées par cet article : ceux qui exploitent un réseau de communications et ceux qui fournissent au public ce service de communications.

L’article L 34-1 CPCE ajoute que ce sont les personnes qui au titre d’une activité professionnelle principale ou accessoire offrent au public une connexion. Le terme d’activité professionnelle indirecte a engendré des difficultés d’interprétation au regard des mairies et des bibliothèques. Néanmoins, il s’avère que cela ne concerne pas les administrations qui offrent une connexion à leurs agents, salariés, ni les entreprises. Les fournisseurs sont a priori les chaines d’hôtels, les chaines de restauration rapide et l’ensemble des commerçants qui ont installé une connexion sans fil pour les besoins de leur clientèle. Les cybercafés étant les principaux visés par la loi.

2) Les données à conserver

La loi du 21 juin 2004 pour la confiance dans l’économie numérique dans son article 6 impose trois obligations pour les FAI. La première consiste dans la déclaration que doit faire le FAI, qui exploite des réseaux ouverts au public, à l’Autorité de régulation des communications électroniques et des postes (ARCEP). La deuxième concerne l’obligation de sécurisation de la connexion qui découle de la loi Création et Internet du 12 juin 2009 dite Hadopi, où les FAI doivent informer les utilisateurs des moyens de sécurisation permettant de prévenir les atteintes aux droits de propriété intellectuelle, notamment le téléchargement illégal. La troisième, et la plus importante, est relative à la conservation des données. En effet, l’article 6 de la loi met en place deux obligations pour les fournisseurs d’accès à Internet (FAI) : • La première est celle qui consiste à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne. Celle-ci étant presque impossible pour des petites entités comme les cyber cafés car ils ne relèvent pas l’identification de leurs clients. • La seconde est relative à la remise de ces données aux agents des services de police et de gendarmerie nationales en charge de la lutte contre le terrorisme. Face à cet article, les décisions jurisprudentielles oscillaient quant à la nature des données que pouvaient conserver les FAI.

Le décret d’application précité fixe dorénavant le cadre. Les données à conserver sont l’identifiant de la connexion, l’identifiant attribué par ces personnes à l’abonné, l’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès, les dates et heures de début et de fin de la connexion, les caractéristiques de la ligne de l’abonné. La durée de conservation de ces données est limitée à un an. Cela concerne les opérations de création de contenu. Avec les bornes d’accès wifi, dans les cybercafés, il n’est pas possible de tracer, ni d’identifier les utilisateurs. Les FAI ne doivent conserver que les données techniques, il est interdit d’avoir des « données nominatives sur les utilisateurs ». L’article 34 du CPCE précisant que : « Les données conservées et traitées portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs ».Cela exclut formellement la constitution de fichiers nominatifs sur les utilisateurs.