Il ressort de son enquête que la loi Informatique et Libertés n’est pas appliquée. En découlent des problèmes de sécurité des données personnelles transitant à partir des appareils des utilisateurs connectés aux bornes Wi-Fi.
Type de données et conservation au cœur des contrôles
C’est le Code des Postes et des Communications Electroniques (CPCE) qui s’applique lorsqu’un établissement décide de proposer un service d’Internet gratuit à ses visiteurs. La CNIL a ainsi privilégié le contrôle du type de données récupérées par les établissements dispensateurs de Wi-Fi et sur la mise en œuvre de leur conservation, le CPCE prévoyant une conservation maximale d’un an à compter du jour de leur collecte et seulement dans un but de « recherche, de constatation ou de poursuite » d’infractions pénales (article R10-13).
A l’issue des contrôles, constatant de nombreux manquements, la CNIL a élaboré une série de cinq mesures pour permettre la mise en conformité des établissements avec les textes législatifs : « conserver seulement les données de trafic, définir une durée de conservation des données limitée et proportionnée, fournir une information complète sur le traitement des données, veiller à la conformité des outils utilisés, notamment aux outils de surveillance » et enfin « assurer la confidentialité et la sécurité des données ». Il est ainsi à noter que, contrairement à la pratique des hôtels, restaurants ou bibliothèques, conserver les données personnelles, les correspondances ou encore les URL des sites consultés par les utilisateurs est contraire à la loi ; seules les données de trafic peuvent l’être, pour une durée maximale de conservation d’un an.
