Cette table ronde a pour objectif de faire le point sur cette réglementation qui concerne également les opérateurs WiFi. A cet effet, Wireless Link a réuni plusieurs experts qui présentent leur vision de son application et de son impact sur les opérateurs.

• Joël Gaget, Directeur délégué de l’association Wireless Link, animateur de la table ronde.


• Christian Aghroum, Commissaire Divisionnaire à l’Office Central de Lutte contre la Criminalité Liée aux Technologies de l’Information et de la Communication à la Direction Centrale de la Police Judiciaire (OCLCTIC).


• Maître Benoît de la Taille, avocat spécialisé en nouvelles technologies de l’information et de l’Internet


• M. Moulin, CNIL


• François Hery, co-fondateur de Meteor Networks


• Yohan Journo, consultant expert au cabinet de conseil CATEP

Nous présentons ci-après une synthèse des présentations des intervenants et des propos échangés lors des interventions.

Créé en 2000, l’OCLCTIC (dépendant du Ministère de l’Intérieur) est né de la nécessité de réaliser des perquisitions dans le cadre des enquêtes menées auprès des utilisateurs des nouvelles technologies.

Ses missions portent sur les infractions nées des nouvelles technologies en « -ING » (phishing, spamming, hacking…), les infractions facilitées par les nouvelles technologies en « CYBER- » (cyberpornographie, cybercriminalité…), les infractions liées à la carte de paiement (contrefaçon de CB, vol d’identité…).

L’utilisation du WiFi à partir des hotspots vient renforcer la complexité des affaires en favorisant l’anonymat. Les points d’accès WiFi peuvent être mis en œuvre facilement et à bas coût. La mise en place de réseaux communautaires au lancement de cette technologie, il y a quelques années, témoigne de cette facilité de mise en oeuvre. De plus, le matériel utilisé se miniaturise, ce qui complique d’avantage l’identification des usagers.

La réglementation sur la conservation des données de connexion repose sur les textes suivants :

• La Loi relative à la sécurité quotidienne du 15 novembre 2001.


• La directive européenne sur la rétention des données de connexion, adoptée le 21 février 2006, par le conseil européen (entre 6 mois et 2 ans).


• 26 mars 2006, le décret d’application

Ces textes fixent les règles suivantes :

• Conservation de données de trafic pendant un an.


• Catégories de données à conserver (identification de l’utilisateur, des destinataires de la communication, du type d’équipement, de la date, de l’heure et de la durée de chaque échange, des services complémentaires utilisés, des fournisseurs)


• Les tarifs des informations demandées aux opérateurs seront fixés par arrêté(cf. référentiel tarifaire disponible sur le site du ministère de la Justice).

La question de la durée de stockage des informations se pose. Les équipes de l’OCLCTIC, qui travaillent sur la traçabilité des informations, ont besoin de temps pour ces enquêtes. En effet, dans une affaire complexe, les résultats d’une requête peuvent susciter une nouvelle requête et ainsi de suite. La règlementation définit un délai d’un an pour détenir et conserver les données de trafic, ce délai semble un raisonnable pour mener les enquêtes à bien dans les meilleures conditions.

La loi établit un compromis entre le respect des libertés individuelles et l’exhaustivité des informations à stocker pour améliorer l’efficacité des recherches. Ainsi, les enquêteurs doivent se contenter des destinataires des mails alors que leur contenu permettrait probablement d’aboutir plus rapidement.

De même, l’identification des utilisateurs fait appel à des outils tels que les adresses MAC des terminaux utilisés. Il n’existe pas d’annuaire des adresses MAC. Aussi, lorsque cette information est stockée, elle ne permet pas de retrouver l’utilisateur du terminal, mais elle participe à la constitution d’un faisceau de preuves lorsque cet utilisateur est identifié.

La CNIL consultée sur tout projet de loi ou de décret pour avis, s’est exprimée sur le projet de loi de lutte anti-terrorisme et a remis un avis assez sévère.

Selon elle, le flou demeure en ce qui concerne le QUI conserve les données, QUELLES données conserver et COMMENT. Ce flou nuit à la sécurité publique.

Sur le QUI, la loi s’adresse à tous ceux qui offrent (gratuitement ou non) un accès Internet au public (cybercafés, opérateurs WiFi, hôtels…).

Mais quid des universités ? Des mairies ? Des bibliothèques ?
Elles ne sont pas visées dans un premier temps, mais pourtant ces institutions présentent le même caractère de risque qu’un opérateur ou un hébergeur de site.

En revanche, s’agissant d’un domaine privé, l’entreprise n’a pas à conserver les données des employés qui se connectent dans un cadre non-professionnel. Si l’entreprise ouvre un accès Internet à ses visiteurs, la loi s’applique. Concrètement, cette mise à disposition d’un accès Internet via un point d’accès WiFi, se fait souvent via un opérateur. L’obligation légale s’applique alors à cet opérateur.

Dans le cas des particuliers, ils ont obligation se sécuriser l’accès à leur réseau WiFi privé. Ceci dit, cette obligation n’est pas assortie de sanction pénale. Il convient de constater également que les consommateurs devraient être mieux informés de cette obligation et des risques encourus à ouvrir leur réseau.

Dans le cas d’un accès libre, la responsabilité demeure pleine et entière à celui qui fournit l’accès.

Le bon sens devrait s’appliquer. Par exemple, dans le cas d’une université / d’un campus offrant l’accès aux Web aux étudiants, il n’existe pas d’obligation d’identifier les utilisateurs. Cependant, car les étudiants se repassent fréquemment le login et mot de passe uniques édités, ce qui multiplie les utilisateurs identifiés sous les mêmes données.

Pour ce qui est du QUOI (quelles données conserver), on peut s’accorder à dire que le contenu du message / de la communication téléphonique est concerné, les adresses IP des sites consultés, l’horodatage, la date de la connexion, la durée, le mode de connexion, le type de connexion…

L’opérateur ou le cybercafé (par exemple) n’ont aucune obligation d’identifier l’utilisateur, par le biais d’un fichier nominatif.

Des questions s’ajoutent : les destinataires du message doivent-ils être identifiables (dans le cas d’email, de chat, de forum…) ?

La directive de 2006 définit bien les données à conserver (adresse IP ou n° de téléphone pour identifier l’utilisateur).

Dans le domaine de la conservation des données, l’obligation d’identification en WiFi demeure un véritable problème : il n’y a pas d’obligation positive d’identification.

Me de la Taille précise que les données concernées ne recoupent que celles « susceptibles d’être enregistrées par l’opérateur ». Il s’agit là d’une « possibilité » pour l’opérateur, pas d’une obligation.

Il rappelle également que le principe en France est la non conservation des données (effacement des informations), mais pour atteindre l’équilibre entre risque et sécurité, il convient de définir des exceptions à ce principe.

Ce principe concerne les fournisseurs de service Internet (ISP) ainsi que ceux qui fournissent l’accès Internet au public : les FAI ou les opérateurs WiFi.

Selon Me de la Taille, l’insécurité juridique provenant des textes en vigueur réside dans le besoin de compléter la rédaction de l’article 6 de la LCEN (loi prévue au départ dans le cadre des activités de e-commerce) pour préciser la liste des personnes concernées par ceux qui « détiennent et conservent les données ».

CATEP présente les différents modes d’accès aux réseaux WiFi. Cette présentation met en évidence que certains réseaux, qui proposent un accès gratuit à Internet via un simple routeur WiFi, sont dans l’impossibilité d’identifier les utilisateurs et de respecter les obligations légales.

Les opérateurs doivent disposer d’un réseau structuré (contrôleur d’accès, serveur proxy, serveur Radius, système d’information…) pour permettre d’identifier les utilisateurs et de stocker les données de connexion.

Les difficultés liées au stockage des données de connexion ne sont pas liées aux volumes à stocker, contrairement à une idée fréquente, mais à la mise en place d’une structure de réseau adaptée, dès le premier hotspot équipé, et la complexité à reconstituer un historique à partir d’une simple information (adresse IP par exemple).

Les opérateurs WiFi sont confrontés à une réglementation lourde. Le cadre réglementaire (Code des Postes et des Télécoms, Loi antiterroriste, LCEN, Loi Informatique & Liberté) reste flou et les opérateurs sont soumis à une véritable insécurité juridique.

Selon François Héry, pour agir au mieux, les opérateurs devraient avoir à leur disposition un document de référence précisant les données à conserver.

Des moyens humains et techniques sont nécessaires pour être en conformité avec les nouvelles dispositions réglementaires.

Dans l’objectif de respecter les règles, Meteor Networks a donc mis en place des moyens dédiés : ressources humaines, chaîne technique, process dédiés aux questions de la conservation des données, de la suppression des données et de leur divulgation.

La difficulté réside dans la définition du responsable de la détention et de la conservation des données : les WISP (fournisseurs de services Internet WiFi) le sont forcément, et, si le réseau est ouvert au public, celui qui donne accès devient opérateur de fait et donc responsable.

Les contraintes sont parfois contradictoires (obligation de conserver les données et obligation de les effacer au bout du délai légal), l’environnement reste flou, les intervenants sont multiples. Des questions ne trouvent pas de réponse : qu’advient-il si les données d’identification lors du log sont modifiées ? si les données sont divulguées ?

Meteor Networks expose la nécessité de fédérer les opérateurs WiFi pour travailler ensemble sur ces sujets et présenter un interlocuteur unique face aux différents organismes. Il considère que Wireless Link est idéalement cet organisme fédérateur.

Après ces premiers échanges sur la question, il apparaît que le débat reste encore largement ouvert et qu’une zone d’ombre et de flou persiste dans tous les esprits. Difficultés d’interprétation claire des textes, zones de flou sur le qui conserve et quelles données conserver, insécurité juridique liée à la définition des acteurs concernés…

Face à ce constat, l’association Wireless Link prend l’engagement de poursuivre la discussion par le biais d’un atelier de travail réunissant tous les acteurs du marché, pour mettre en commun les idées et les projets.

Nous présentons ci-après une synthèse des présentations des intervenants et des propos échangés lors des interventions.