La CNIL recadre les fournisseurs de services de libre accès à Internet

Il est urgent, pour les fournisseurs de services de libre accès à Internet, de se mettre en conformité avec la loi « Informatique et Libertés ».

Ce constat, la CNIL l’a établi dans le cadre de son programme annuel de contrôles. Elle a scruté aussi bien les réseaux Wi-Fi ouverts proposés dans des lieux comme les aéroports, les bibliothèques et les centres commerciaux que les postes en libre service disponibles dans les hôtels, les cyber-cafés ou encore les offices de tourisme. Son attention s’est portée sur la collecte et la conservation des données personnelles renseignées par les utilisateurs, mais aussi sur l’information délivrée à ces derniers et sur la qualité des mesures de sécurité associées.

Bilan : la plupart des organismes étudiés ne satisfont pas aux exigences réglementaires qui leur sont imposées en tant qu’opérateurs de communications électroniques (OCE). Au nom de l’article L. 34/1 du code des postes et des communications électroniques, ils sont tenus de conserver – et de communiquer, si nécessaire, aux autorités légalement habilitées – les données de trafic répondant aux « besoins de la recherche, de la constatation  et de la poursuite des infractions pénales ». Problème : ils gardent des informations portant sur le contenu des correspondances échangées ou sur les URL consultées… alors qu’ils n’y sont pas autorisés.

Autre souci selon la CNIL : la plupart des OCE n’ont pas défini de durée de conservation pour les données issues des journaux de connexion. Or, l’article R. 10-13 du code des postes et des communications électroniques fixe cette période à 1 un à compter du jour d’enregistrement. La Commission a également observé des manquements à la suppression « obligatoire » et « régulière » de données comme les informations d’abonnement lorsqu’elles ne sont plus nécessaires (désinscription, inutilisation prolongée du service…). Des dispositions inscrites dans l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée.

Collectes de données : pas toujours justifiées

Concernant l’information délivrée aux utilisateurs sur les modalités de traitement de leurs données, elle est souvent insatisfaisante, voire inexistante au regard de l’article 32 de la loi 78-17. Les OCE sont en l’occurrence tenu d’expliciter leurs démarches dans le formulaire d’inscription au service ou, à défaut, par voie d’affichage, par exemple via une charte informatique. Il leur incombe aussi, en vertu des articles 38, 39 et 40 de la loi 78-17, de prévoir des procédures de gestion des demandes d’accès, de rectification et de suppression d’informations par les utilisateurs. Et c’est loin d’être systématique.

La CNIL appelle aussi les fournisseurs de services d’internet en libre accès à faire preuve de vigilance dans la mise en place d’outils de surveillance destiné à assurer la sécurité des postes informatiques, la gestion des tarifications, les impressions, la prise en main à distance, etc. Leur utilisation est susceptible de donner accès à un grand nombre d’informations « excessives au regard de la finalité pour laquelle elles sont collectées ».

Dans ce même esprit, la CNIL exige la mise en place de solutions de protection des données. Elle évoque le chiffrement des réseaux Wi-Fi, la sécurisation des accès aux journaux de connexion, la définition d’un mot de passe solide pour le BIOS des machines ou encore la limitation de la durée de stockage des documents en attente d’impression. Des recommandations qui s’inscrivent dans la continuité de celles formulées l’année passée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

—— A voir aussi ——
Quiz ITespresso.fr : géants du Web, qui a racheté quoi ?

Crédit photo : Michele Perbellini – Shutterstock.com