wifi au restaurant
Gaëtan Baudry

My Business Plan est un site internet et cabinet d'accompagnement des entrepreneurs.

De plus en plus de restaurants proposent l’accès à un réseau wifi ou hotspot au sein de leur établissement. Comme d’autres éléments, le wifi représente un moyen de se différencier de la concurrence, notamment pour la consommation de boissons entre les repas où les clients ont davantage tendance à surfer sur le net, ou même à travailler grâce à cet outil.

Dans ce genre de situation, le fournisseur est-il tenu d’obéir à certaines lois ? Quelles démarches doit-il suivre ? Voyons ensemble les principales règles de l’utilisation du wifi dans un restaurant.

Ouvrir un accès au wifi, c’est devenir un fournisseur d’accès internet

Il existe 2 possibilités.
Soit le restaurant fait appel à un fournisseur d’accès internet ; c’est-à-dire à un professionnel déclaré à l’ARCEP, dans le but de lui confier son service d’accès public. Dans ces cas-là, le restaurant n’est pas considéré comme un opérateur de communications électroniques et n’est soumis à aucune règlementation. Ce sera le cas en revanche pour le fournisseur.
Soit le restaurant décide de gérer lui-même son service d’accès en achetant le matériel wifi et en faisant appel à un opérateur téléphonique qui se charge de déployer et éventuellement de maintenir les équipements. Par conséquent, le restaurant est le fournisseur d’accès internet. Il doit suivre certaines obligations légales, que l’accès au wifi soit gratuit ou payant pour le client. Le fait que cet accès au réseau ne soit accessible qu’à l’aide d’un identifiant n’a pas d’influence directe. Seul compte le fait que cet accès soit public.

Les obligations d’un opérateur wifi

Si le restaurant est ainsi considéré comme un opérateur, il doit mettre en place des moyens qui permettent d’identifier les utilisateurs de son réseau en enregistrant les données techniques des utilisateurs, et en les archivant pendant 1 an. Ceci dans le but de pouvoir les fournir aux autorités si nécessaire.

Le décret du 24 mars 2006 a ainsi créé un article R.10-13 du CPCE, qui décrit les catégories de données à conserver. Il s’agit :

  • Des informations permettant d’identifier l’utilisateur (par exemple adresse IP, numéro de téléphone, adresse de courrier électronique) ;
  • Les informations des terminaux de connexion utilisés ;
  • Des caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
  • Des données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
  • Des données permettant d’identifier le ou les destinataires de la communication.
  • Les données identifiant l’origine et la localisation de la communication.

En revanche, des informations telles que le contenu des correspondances (comme l’objet ou le texte d’un email) ou des informations consultées (contenu des pages internet visitées) sont prohibées.
Quoi qu’il en soit, la collecte des données ne doit pas permettre l’identification de l’utilisateur, c’est-à-dire la connaissance de son état civil. En effet, le décret du 24 mars 2006 n’oblige pas aux restaurants qui offrent une connexion Wi-Fi, de relever l’identité de leurs clients. Il prévoit seulement la conservation des « données permettant l’identification ». Il s’agit donc, pour ces « fournisseurs de Wi-Fi » de recueillir des informations qui, mises bout à bout, constituent un faisceau d’indices permettant l’identification pour les autorités.

Les conditions de communication des données

Les données de trafic conservées ne peuvent être consultées par la police et la gendarmerie nationales que dans un cadre judiciaire.
En dehors de ce cadre judiciaire, l’article L34-1-1 du CPCE prévoit un dispositif de réquisition administrative pour prévenir le terrorisme. Ainsi, certains agents individuellement habilités des services de police et de gendarmerie spécialisés dans la prévention du terrorisme peuvent se faire communiquer certaines données de trafic générées par les communications électroniques. Les demandes de ces agents sont motivées et soumises à la décision d’une personnalité qualifiée, placée auprès du ministre de l’intérieur.

Les sanctions

Tout manquement à l’obligation de conservation des données expose la personne à laquelle incombe cette obligation aux sanctions visées à l’article L. 39-3 du CPCE, soit un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques, et 375.000 euros pour les personnes morales (en application de l’article 131-38 du code pénal).
La commission Nationale de Contrôle des Interceptions de Sécurité peut à tout moment procéder à des contrôles relatifs aux opérations de communications électroniques. Le fait de refuser est sanctionné pénalement jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.

Ainsi, pour donner un accès wifi à ses clients, le restaurant a l’obligation de collecter les données techniques du client surfant sur le net, et ce, en les archivant pendant 1 an. Un restaurant peut tout à fait récupérer les données personnelles d’un client, mais seulement avec le consentement de ce dernier et avec des données qui soient librement consultables et modifiables.
Mises à part la collecte des données techniques, la loi informatique et Libertés s’applique à la collecte et le traitement de toutes les données à caractère personnel.

On peut conclure qu’un restaurant ne coure aucun danger s’il respecte les lois, même si un acte de terrorisme pouvait se produire à l’aide de son wifi.

La collecte des données pour une navigation sur le wifi du restaurant fait ainsi partie d’une des nombreuses lois auxquelles doit obéir un restaurant. C’est une problématique à laquelle on ne pense pas forcément lorsqu’on souhaite ouvrir son bar-restaurant. Elle fait pourtant parti d’un facteur clé de succès pour ce genre d’activité où des clients recherchent une navigation web à l’extérieur de chez eux.