L’hôtelier, dès lors qu’il fournit un accès WiFi à ses clients, est soumis à des obligations légales de traçabilité et de conservation de données. Tout manquement peut donner lieu à de lourdes amendes.
La fourniture d’un réseau wifi par l’hôtel pour le compte de ses clients, qu’elle soit gratuite ou payante (via un portail captif), s’impose comme une évidence pour tous aujourd’hui. Toutefois, encore peu d’hôteliers semblent au fait des obligations légales ou des conséquences pénales qu’implique la mise à disposition d’un réseau wifi pour des tiers.
Les bases légales du WiFi s’appliquent aux hôtels et restaurants
Dès lors qu’ils fournissent un accès Wifi à leurs clients, hôtels et restaurants sont considérés comme « opérateurs WiFi » et sont donc soumis à la législation en vigueur. L’État français a mis en place une suite de réglementations concernant la fourniture d’accès WiFi au public afin de protéger tant l’établissement fournisseur d’accès WiFi que les clients utilisateurs. Les points principaux de la législation s’articulent autour des connexions Internet, la protection des données personnelles et la garantie d’un usage du réseau conforme à la loi.
Dans le cas des hôtels et restaurants, l’accès Wifi proposé aux clients est qualifié de « réseau interne ouvert au public » au regard de la loi. À cet égard l’hôtelier peut donc se soustraire à certaines obligations, telle celle d’effectuer une déclaration d’opérateur à l’ARCEP (Autorité de Régulation des Communications Electronique et des Postes) qui est nécessaire pour être reconnu officiellement comme établissement offrant un accès Wifi.
Toutefois, toutes les autres dispositions de la loi s’appliquent aux hôtels, comme spécifiés sur le site de la CNIL. Celles-ci incluent les dispositifs compris dans la loi de 2001 relative à la sécurité quotidienne ainsi que de la loi de 2006 relative à la lutte contre le terrorisme, et de loi n° 2009-1311 relative à la protection pénale de la propriété littéraire et artistique sur internet, dite « HADOPI 2 ».
Les obligations légales de l’hôtelier et les risques encourus
Concrètement pour l’hôtelier cela implique qu’il puisse être en mesure de fournir a toute personne habilitée par la loi, et ce pour une durée de 1 an après les faits, les éléments suivants :
- les adresses MAC de tous les équipements qui ont eu accès au Wifi de l’établissement,
- la date, l’horaire et la durée de chaque communication,
- les informations techniques pour identifier l’utilisateur par ses logs de connexion (adresses IP…) et,
- les informations techniques permettant d’identifier le ou les destinataires de la communication.
Il est important de noter que l’hôtel ne doit garder que les caractéristiques techniques, et non pas les identités des personnes ayant eu accès au réseau ni le contenu de leur communication, en respect avec les lois RGPD.
Enfin, et non des moindres, tout manquement à ses obligations expose le l’hôtelier a des sanctions financières voir pénales selon les cas. Entre autres, tout manquement à l’obligation de conservation des données expose la personne à laquelle incombe cette obligation aux sanctions visées à l’article L. 39-3 du CPCE, soit un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques, et 375.000 euros pour les personnes morales (en application de l’article 131-38 du Code pénal).
Toutefois, dans le cas ou l’hôtelier souscrit à un contrat de prestation WiFi, celui-ci délègue par là même sa responsabilité légale au prestataire de service. La gestion, la conservation et la mise à disposition des logs de connexion n’incombent plus à l’hôtelier mais au prestataire de service.