Fournir un accès internet public : L’utilisation d’ordinateurs dans des espaces publics comme les communes ou les cybercafés est devenue une pratique courante. Selon un récent article de la CNIL, les responsables de ces espaces doivent respecter des obligations légales strictes concernant la conservation des données de trafic et la protection des données personnelles des utilisateurs.
Qui est concerné par ces obligations ?
L’article de la CNIL précise que ces obligations s’appliquent à tous les organismes offrant un accès internet au public. Cela inclut les communes, les bars, les restaurants, les cafés, les fast-foods, les trains, les hôtels, et autres lieux similaires.
Les données de trafic, qu’est-ce que c’est ?
Les données de trafic sont des informations techniques générées lors de l’utilisation d’internet. Elles comprennent l’adresse IP, la date, l’heure et la durée de chaque connexion, ainsi que les données permettant d’identifier le destinataire d’une communication. Normalement, ces données doivent être effacées ou anonymisées, mais la législation impose parfois leur conservation pour aider les autorités à poursuivre les infractions pénales.
Quelles données doivent être conservées et pour quelles durées ?
Selon l’avis de la CNIL du 7 octobre 2021, les données de trafic, bien que techniques, sont des données personnelles et leur conservation doit être limitée aux strictes nécessités. Les durées de conservation varient en fonction du type de données :
- Données d’identité civile : nom, prénom, date et lieu de naissance, adresse postale, courriel, numéro de téléphone sont conservés pendant 5 ans.
- Autres informations fournies par l’utilisateur : identifiant, pseudonyme, données permettant de vérifier ou modifier le mot de passe, conservées pendant 1 an.
- Données techniques : adresse IP, port associé, identifiant, numéro de téléphone, conservées pendant 1 an.
- Données sur la sécurité des réseaux : origine de la communication, caractéristiques techniques, destinataires, services complémentaires utilisés, conservées pendant 3 mois maximum.
Quels sont les droits des utilisateurs sur leurs données ?
La CNIL rappelle que les utilisateurs ont le droit d’accéder à leurs données et de les rectifier. Ces droits peuvent être exercés en contactant le responsable de l’organisme fournissant l’accès internet ou le délégué à la protection des données, s’il y en a un.
Quelles mesures de sécurité doivent être prises par les responsables ?
Les responsables doivent sécuriser les réseaux wi-fi publics en les séparant de leur réseau interne et en utilisant un chiffrement de pointe. Ils doivent limiter l’accès aux données personnelles aux seules personnes habilitées et prendre des mesures de sécurité adaptées pour protéger les utilisateurs contre les atteintes à la sécurité.
Et les employeurs ?
L’article de la CNIL précise que les entreprises et administrations fournissant un accès internet à leurs employés ne sont pas concernées par l’obligation de conservation des données de trafic. Cependant, ils peuvent surveiller l’activité internet de leurs salariés sous certaines conditions, comme la définition d’un objectif précis et l’information des intéressés. Si un employeur offre un accès wi-fi à ses visiteurs, il doit respecter les mêmes obligations que les autres lieux publics.
En se conformant à ces obligations, les responsables d’espaces publics peuvent garantir non seulement la conformité légale, mais aussi la sécurité et la confidentialité des données de leurs utilisateurs.
