Pour gérer vos consentements :

La CNIL recadre les fournisseurs de services de libre accès à Internet

Il est urgent, pour les fournisseurs de services de libre accès à Internet, de se mettre en conformité avec la loi « Informatique et Libertés ».

Ce constat, la CNIL l’a établi dans le cadre de son programme annuel de contrôles. Elle a scruté aussi bien les réseaux Wi-Fi ouverts proposés dans des lieux comme les aéroports, les bibliothèques et les centres commerciaux que les postes en libre service disponibles dans les hôtels, les cyber-cafés ou encore les offices de tourisme. Son attention s’est portée sur la collecte et la conservation des données personnelles renseignées par les utilisateurs, mais aussi sur l’information délivrée à ces derniers et sur la qualité des mesures de sécurité associées.

Bilan : la plupart des organismes étudiés ne satisfont pas aux exigences réglementaires qui leur sont imposées en tant qu’opérateurs de communications électroniques (OCE). Au nom de l’article L. 34/1 du code des postes et des communications électroniques, ils sont tenus de conserver – et de communiquer, si nécessaire, aux autorités légalement habilitées – les données de trafic répondant aux « besoins de la recherche, de la constatation  et de la poursuite des infractions pénales ». Problème : ils gardent des informations portant sur le contenu des correspondances échangées ou sur les URL consultées… alors qu’ils n’y sont pas autorisés.

Autre souci selon la CNIL : la plupart des OCE n’ont pas défini de durée de conservation pour les données issues des journaux de connexion. Or, l’article R. 10-13 du code des postes et des communications électroniques fixe cette période à 1 un à compter du jour d’enregistrement. La Commission a également observé des manquements à la suppression « obligatoire » et « régulière » de données comme les informations d’abonnement lorsqu’elles ne sont plus nécessaires (désinscription, inutilisation prolongée du service…). Des dispositions inscrites dans l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée.

Collectes de données : pas toujours justifiées

Concernant l’information délivrée aux utilisateurs sur les modalités de traitement de leurs données, elle est souvent insatisfaisante, voire inexistante au regard de l’article 32 de la loi 78-17. Les OCE sont en l’occurrence tenu d’expliciter leurs démarches dans le formulaire d’inscription au service ou, à défaut, par voie d’affichage, par exemple via une charte informatique. Il leur incombe aussi, en vertu des articles 38, 39 et 40 de la loi 78-17, de prévoir des procédures de gestion des demandes d’accès, de rectification et de suppression d’informations par les utilisateurs. Et c’est loin d’être systématique.

La CNIL appelle aussi les fournisseurs de services d’internet en libre accès à faire preuve de vigilance dans la mise en place d’outils de surveillance destiné à assurer la sécurité des postes informatiques, la gestion des tarifications, les impressions, la prise en main à distance, etc. Leur utilisation est susceptible de donner accès à un grand nombre d’informations « excessives au regard de la finalité pour laquelle elles sont collectées ».

Dans ce même esprit, la CNIL exige la mise en place de solutions de protection des données. Elle évoque le chiffrement des réseaux Wi-Fi, la sécurisation des accès aux journaux de connexion, la définition d’un mot de passe solide pour le BIOS des machines ou encore la limitation de la durée de stockage des documents en attente d’impression. Des recommandations qui s’inscrivent dans la continuité de celles formulées l’année passée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

—— A voir aussi ——
Quiz ITespresso.fr : géants du Web, qui a racheté quoi ?

Crédit photo : Michele Perbellini – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

1 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago