Respecter la réglementation sur le Wi-Fi public? Plus facile à dire qu'à faire !
Limnetic Technologies
Delivering trustworthy and resilient network communications.
Les smartphones ont rendu plus facile que jamais l'accès à Internet et à toutes les merveilles qu’il contient. De nos jours, il est difficile de se souvenir d'une époque où les cartes géographiques, la météo, les horaires de bus, la communication et les réponses à des questions de tous les jours n'étaient pas au bout de nos doigts. Mais dans les faits, l'adoption massive des smartphones (et l'omniprésence de l'internet qu'ils ont rendue possible) ne s'est produite qu'au cours des vingt dernières années, les réseaux 3G n’ayant commencé à être déployés que vers 2005.
Malgré ce rythme d'adoption et d'évolution effréné, les forfaits de données ne sont toujours pas aussi bon marché que leur contrepartie filaire. Lorsqu'on leur donne le choix entre utiliser leurs propres données ou un Wi-Fi public, beaucoup d’utilisateurs se connectent immédiatement pour épargner leur précieux forfait de données. Cela est encore plus probable s'ils ont l'intention de partager ou de consommer du contenu média (par exemple Netflix, Instagram, etc.).
En 2013, une enquête menée par Honeywell a suggéré que le Wi-Fi en vol était si important qu'environ 15 % des voyageurs ont répondu qu'ils échangeraient leurs privilèges aux toilettes contre un meilleur Internet pendant leur vol.
Bien s?r, cette étude est théorique et ne reflète pas ce que les voyageurs feraient réellement s'ils étaient confrontés à ce choix, et les résultats ne tiennent pas compte de la durée du vol (Va pour Paris-Bruxelles, mais pour Houston-Sydney c’est une autre paire de manches). Ces résultats montrent toutefois l’importance qu’on prête aujourd’hui à une bonne connectivité.
Compte tenu de ces tendances et habitudes, il n'est pas surprenant que Cisco (entreprise informatique américaine spécialisée dans le matériel réseau) prévoie qu'il y aura près de 628 millions de points d'accès Wi-Fi publics dans le monde d'ici à 2023, contre 169 millions en 2018. Et ce n'est pas une surprise. Offrir un Wi-Fi gratuit à des clients ou invités est un moyen simple et peu co?teux de les faire se sentir les bienvenus, et d'améliorer leur expérience globale. Cependant, s’il est facile de mettre en place un hotspot Wi-Fi public, s'assurer qu'il est s?r et conforme aux réglementations locales est une autre histoire.
Lois et conformité
Bien qu'il soit très pratique dans la vie de tous les jours, Internet peut aussi devenir un lieu de chaos et d’anarchie. Aussi vaste soit-il, il est impossible pour les autorités du monde entier de garder un ?il sur les activités illicites qui se déroulent dans ses coins les plus sombres et les plus reculés. C'est pourquoi les instances réglementaires - tant nationales qu'internationales - comptent généralement sur les entreprises et les particuliers pour les aider à le réglementer, soit par des directives, soit en exigeant un certain niveau de conformité.
L'une de ces réglementations les plus connues est sans doute le règlement général sur la protection des données (RGPD, ou PRTG en Anglais) de l'Union européenne, qui couvre la confidentialité et la protection des données. Mais d'autres couvrent spécifiquement l'exploitation d'un Wi-Fi public. Dans cet article, nous nous concentrerons sur les lois et réglementations adoptées en France, car elles sont parmi les plus avancées en la matière.
La France a une longue histoire en matière de législation sur l'accès à Internet, avec la loi de 2006 sur la lutte contre le terrorisme ou la loi Création et Internet de 2009, plus connue sous le nom d'HADOPI, qui ont toutes deux mis la table pour exiger des opérateurs de Wi-Fi publics, quelle que soit leur taille, qu'ils identifient les utilisateurs et collectent les données techniques associé au trafic Internet.
Aujourd'hui, la plupart de ces exigences relèvent de l'autorité de l'ARCOM, qui désigne à la fois la loi et l'agence qui la met en ?uvre.
Pourquoi est-il si important que les autorités établissent des directives concernant l'utilisation du Wi-Fi public ? Pour faire court, en mettant un réseau à la disposition du public, une entreprise se comporte essentiellement comme un tout petit fournisseur d'accès à Internet (FAI) et, dans une certaine mesure, l'ARCOM lui transfère certaines des responsabilités du FAI. De la même manière que l'on peut demander à un opérateur téléphonique (mandat en main) de fournir une liste des appels téléphoniques passés et re?us avec un numéro enregistré, on peut demander aux opérateurs Wi-Fi publics de fournir une liste des sessions établies sur leur réseau, ainsi que les données techniques du réseau ou métadonnées (IP d’origine, IP de la destination, taille, durée, heure, etc.).
Il convient de noter que, dans les deux cas, le fournisseur (FAI ou propriétaire d'entreprise) n'est pas tenu d’enregistrer le contenu des communications, mais uniquement les moyens d'identifier une session et de la relier à un appareil.
Donc, encore une fois... pourquoi ?
Parce qu'en cas de détection d'une infraction, les autorités ont besoin de moyens pour identifier les coupables, tout en protégeant la vie privée du public. Deux des principaux cas d'utilisation seraient la répression de la consommation de contenu média protégé par le droit d'auteur (films, musique, etc.) ou, dans le cadre d'une enquête criminelle ou antiterroriste, pour effectuer le suivi de la localisation et de l'activité en ligne d'un suspect.
Plus facile à dire qu'à faire
Le problème de ces lois est qu'elles obligent les entreprises, quelle que soit leur taille, à collecter ces informations et à les conserver parfois jusqu'à cinq ans - une exigence qui peut être raisonnable pour une entreprise disposant d'une équipe informatique dédiée, mais qui est incompatible avec les entreprises où le Wi-Fi public est généralement mis à disposition (à l'exception peut-être des grands h?tels). Les restaurants, les pubs, les cinémas, les épiceries, les cafés, les magasins de détail... toutes ces entreprises fonctionnent généralement avec des marges très minces et n'ont pas les fonds ni les connaissances informatiques nécessaires pour recueillir ou stocker ces données.
Imaginez Nick, 58 ans, et Cora, 61 ans, qui possèdent une pizzeria à c?té d'une résidence étudiante. Il s'agit du restaurant familial comme tant d’autres, avec un rabais de 10 % pour les étudiants et un spécial deux pour un le mardi. La plupart de leurs ventes sont pour emporter, mais ils insistent toujours pour offrir une connexion Wi-Fi gratuite à leurs clients. Croyez-vous qu'ils aient le temps, l'argent ou les compétences nécessaires pour configurer leur réseau pour collecter le type de données requises par l’ARCOM ? Comme dans beaucoup d'autres commerces similaires, il est plus probable que n'importe qui puisse se connecter et profiter de leur réseau public. Au mieux, on demande à l'utilisateur de saisir son nom et son adresse électronique avant d'être autorisé à continuer.?
La plupart des propriétaires d'entreprise n'hésiteraient pas à se conformer à la réglementation s'ils en avaient la possibilité financière et technique. La réalité est que beaucoup d'entre eux ne connaissent pas ces obligations, ou ne savent pas comment s'y conformer.
Pour donner l’heure juste, ce n'est pas l'absence de collecte de données qui est passible de pénalités, mais plut?t l'absence de conservation, et le stockage ou l'anonymisation inadéquats.?Le RGPD a les doigts plus longs que l'ARCOM, semble-t-il.
Collecter des données est facile. Les organiser et les stocker est une autre histoire ; une mauvaise mise à jour du routeur, un serveur dont la mémoire est insuffisante... toutes sortes de raisons peuvent conduire à une interruption de la collecte de données. L'externalisation de ces taches vers le cloud est un moyen s?r de contrer les limitations de l’équipement local, mais si votre entreprise manque d'expertise informatique, il est peu probable que vous ayez accès à un spécialiste accrédité du cloud AWS ou Azure pour vous aider à configurer vos bases de données.
Limnetic à la rescousse
En réponse à ces défis, Limnetic a développé un service simple et abordable pour éliminer la complexité et permettre aux petites et moyennes entreprises de se concentrer sur leur activité principale. La solution offre plusieurs niveaux de fonctionnalité, à commencer par la possibilité d'enregistrer les données techniques de toutes les sessions qui entrant et sortant de votre réseau, ou encore celles qui s’opèrent au sein de votre réseau. Ces données sont cryptées et stockées dans un Cloud sécurisé, où les données de trafic sont séparées de toute information qui pourrait conduire à l'identification d'un individu.
Cette approche, connue sous le nom de pseudonymisation, garantit que votre entreprise peut être simultanément conforme à l'ARCOM en enregistrant les données techniques de trafic, et au GDPR en garantissant la confidentialité des utilisateurs finaux.
Plus besoin de s'inquiéter du stockage ou des données manquantes.
Mais ce n'est pas là que ?a s'arrête. Avec Limnetic, les données de trafic sont également organisées et analysées afin de pouvoir vous les présenter sous forme de tableaux de bord d'utilisation et d'activité. Et dans le cas où une activité suspecte serait découverte sur votre réseau, Limnetic peut également être utilisé pour prendre des mesures immédiates, que ce soit pour bloquer ces sessions ou pour demander à un utilisateur de se réauthentifier.
Devant un monde de plus en plus interconnecté, de nouvelles réglementations telles que celles décrites ci-dessus continueront de voir le jour. Il n'est pas facile de répondre à ces exigences, et le fait d'opérer dans plusieurs régions ne fera qu'ajouter à cette complexité. Il est essentiel de vous assurer que votre entreprise dispose des outils dont elle a besoin pour relever ce défi, mais n'oubliez pas : il n'est pas nécessaire que la solution soit compliquée !
?
Important : cet article concerne l'offre d'un Wi-Fi public, et non son utilisation. Le consensus dans l'industrie est que la connexion à un Wi-Fi public peut constituer un risque important pour vos données personnelles. L'objectif de cette publication est d'aider les entreprises à comprendre les nuances de conformité liées à loffre d'un Wi-Fi public à leurs clients.
Sources: