Un fournisseur d’accès Wi-Fi (bar, hôtel, cybercafé, hotspot municipal…) doit il connaître l’identité des utilisateurs en plus que de conserver les données de trafic ?

 

Le nom wifi correspond initialement au nom donné à la certification délivrée par la WECA (Wireless Ethernet Compatibility Alliance), organisme chargé de veiller à l’interopérabilité entre les matériels répondant aux standards techniques internationaux de réseau local sans fil (« WLAN », norme IEEE 802.11)

Grâce au wifi, il est possible de créer des réseaux locaux sans fil à haut débit, et ainsi de relier des ordinateurs portables, des postes de bureau, des assistants personnels (PDA) ou des périphériques, à une liaison haut débit sur un rayon de plusieurs dizaines de mètres en intérieur, et de plusieurs centaines de mètres en milieu ouvert. Dans les lieux publics, le réseau wifi se traduit le plus souvent par l’installation de bornes wifi (« hot spots »).

Naturellement, ce sont les fournisseurs d’accès internet (FAI) par réseau filaire qui mirent en place les premiers réseaux wifi dans des zones à forte concentration (gares, aéroports, hôtels, trains, etc.), et qui ont proposé cet accès internet sans fil aux particuliers. Ces FAI permettent en outre à de nombreux professionnels (cybercafés, mais également bars, grands magasins, gestionnaires de salons, administrations…) de proposer une connexion wifi à leurs propres clientèles

Le professionnel est donc ici dans la situation d’un client privé qui recourt aux services d’un FAI (les plus connus étant bien entendu Orange, Free, Numéricable, SFR, etc.) afin d’équiper ses locaux d’un réseau wifi et d’en proposer l’utilisation à ses salariés ou à sa propre clientèle au sein de ses locaux.

La question se pose alors de savoir si ce professionnel, qui propose une connexion wifi à ses clients, ne devient pas lui-même FAI, et s’il n’est pas ainsi soumis aux obligations qui incombent aux FAI en tant qu’opérateurs de communications électroniques.

Rappelons d’abord quelles sont ces obligations, qui sont nombreuses.

Les sources légales de la réglementation applicable au wifi, le plus souvent élaborées pour internet quel que soit le mode de connexion, sont plurales.

2.1 L’obligation déclarative

L’article L.33-1 du Code des postes et des communications électroniques (CPCE)dispose que l’établissement et l’exploitation des « réseaux ouverts au public » et la fourniture au public de « services de communications électroniques » sont des activités libres, sous réserve d’une déclaration préalable auprès de l’Autorité de régulation des communications électroniques et des postes (ARCEP)

Toutefois, une telle déclaration n’est pas exigée pour l’établissement et l’exploitation de « réseaux internes ouverts au public » ni pour la fourniture au public de « services de communications électroniques » sur ces réseaux. Par conséquent, l’installation d’un réseau de communications électroniques dans un espace privé, qui bien qu’ouvert au public n’empiète pas sur le domaine public, ne nécessite pas de déclaration préalable auprès de l’ARCEP.

Le CPCE explique en effet la différence entre réseau ouvert au public et réseau interne ouvert au public par le fait que l’espace sur lequel est déployé le wifi est totalement privatif, dans le second cas.

Mais outre cette obligation déclarative, d’autres obligations s’imposent encore aux opérateurs de communications électroniques (OCE), dont relèvent les FAI.

2.2 L’obligation de conservation des données

Premièrement, la loi LCEN du 21 juin 2004 impose aux personnes qui fournissent un accès à internet de garder confidentielles les données personnelles de leurs clients (article 6 III 2 de la loi). Mais en même temps, cette loi leur impose aussi la conservation des données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elle est prestataire » (article 6 II). Certains y ont vu un paradoxe, mais il n’est qu’apparent. Le FAI doit seulement pouvoir déconfidentialiser les données si l’autorité judiciaire lui en fait la demande. Il reste tenu au secret professionnel.

L’article L.34-1 du CPCE reprend cette exigence. Conformément à la LCEN, le code rappelle donc que l’OCE doit conserver les données permettant l’identification des personnes utilisatrices des services fournis par les opérateurs.

En outre, l’article R.10-13 du CPCE issu du décret du 24 mars 2006 décrit les catégories de données à conserver. Il s’agit des données permettant l’identification de la personne qui s’est connectée, les données de connexion dont la date et l’heure, les données relatives aux équipements utilisés et même les données permettant d’identifier les destinataires de toute communication effectuée. Le décret du 24 mars 2006 fixe la durée de conservation des données à un an, durée au-delà de laquelle elles devront être anonymisées.

La loi « Informatique & Libertés » du 6 janvier 1978 intervient également, puisque le FAI doit absolument respecter les obligations d’information des personnes quant à leurs droits d’accès, de rectification, d’opposition et de suppression.

En outre, conformément à la décision de ARCEP du 26 avril 2007 (mettant fin à la phase initiale d’expérimentation des réseaux WLAN), les opérateurs wifi sont dorénavant soumis au respect de l’ensemble des dispositions du CPCE.
2.3 L’obligation de sécurisation de la connexion

Censée lutter contre le téléchargement légal, la médiatique loi « Création & Internet » du 12 juin 2009, dite « Hadopi », a également imposé aux titulaires d’une connexion sans fil de « sécuriser » celle-ci afin d’empêcher que des activités illicites soient pratiquées depuis l’ordinateur d’un abonné à son insu.

La loi a modifié la LCEN en imposant aux FAI d’informer les utilisateurs de l’existence des moyens de sécurisation permettant de prévenir les manquements aux articles L.336-1 et suivants du Code de la propriété intellectuelle sanctionnant le téléchargement illicite. Le législateur a ici pris modèle sur l’obligation incombant aux FAI d’avertir leurs clients des outils de filtrage qu’ils leur mettent à disposition.

La loi « Hadopi » vise également quiconque utilise une connexion wifi, ce qui vise les internautes, mais également les restaurants, les hôtels, les bibliothèques, les jardins publics, les universités, etc. Un nouvel article L.336-3 du CPI dispose en effet que « la personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’oeuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise ».

Cette obligation pèse donc sur tout professionnel qui dispose d’une connexion wifi, qu’elle serve ses activités professionnelles ou qu’elle soit mise à disposition de ses clients. Rien n’est dit toutefois sur les caractéristiques techniques ni le fonctionnement du dispositif de « sécurisation »…

2.4 Sur qui pèsent ces obligations ?

Par conséquent, le FAI qui propose un réseau wifi doit donc de se conformer à l’ensemble des obligations visées ci-dessus. Tout manquement à l’obligation de conservation des données expose la personne à laquelle incombe cette obligation aux sanctions visées aux articles 6-VI de la loi du 21 juin 2004 et à l’article L. 39-3 du CPCE, soit un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques, et 375.000 euros pour les personnes morales.

Or, au regard du volume de données à conserver, comme au regard de la durée minimale de conservation, celle-ci implique une infrastructure matérielle et des espaces-mémoire très conséquents.

Il convient par conséquent d’examiner la notion de « FAI », qui est liée à celle « d’OCE » au sens de la LCEN. De la qualification d’opérateur de communications électroniques dépend en fait l’application de la réglementation analysée ci-dessus à un nombre plus ou moins grand de professionnels.

En clair : qu’est-ce qu’un FAI au sens légal du terme ? Quiconque propose une connexion internet devient-il pour autant OCE ? Une réponse de bon sens voudrait qu’un hôtel ou un restaurant ne soient pas assimilés à SFR ou Iliad. Mais les textes ne sont pas aussi clairs.

3.1 Du FAI, prestataire technique…

L’article 6-I 1° de la LCEN précisait ce que vise la notion de FAI : il s’agit des « personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne (…) ». Cette notion laissait peu de place à l’interprétation, puisqu’ici sont mises en exergue les notions d’activité économique et d’abonnement, qui permettaient ainsi de caractériser la présence d’un FAI. Le FAI est le « prestataire technique », dont l’activité consiste à fournir un accès à internet.

Jusqu’ici, le concept est clair. A s’en tenir à la LCEN, un restaurant ne pourra jamais être soumis aux obligations des FAI, même s’il propose une connexion wifi en terrasse.

3.2 … au FAI, exploitant de réseau / service proposé au public

Seulement, l’article L.32 du CPCE, issu d’une loi du 9 juillet 2004, dispose qu’on« entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ».

Cette définition des OCE est extrêmement large : elle vise les personnes qui « exploitent » un réseau de communications électroniques, et celles qui « fournissent » au public un service de communications électroniques.

Cette deuxième définition semble pouvoir s’appliquer à toute entité mettant à disposition d’un public une connexion internet, que celle-ci soit filaire ou sans fil, sans distinction selon qu’il s’agit de son activité propre ou d’une mise à disposition matérielle dans le cadre d’une activité distincte !

Une lecture extensive de l’article L.32 CPCE permet d’assimiler à la notion de « services de communications électroniques » une multitude de services qui ont toujours échappé à la législation sur les télécommunications, parce qu’ils sont fournis par des entreprises qui interviennent à un stade intermédiaire du processus de communication, ou qui évoluent dans des secteurs économiques radicalement différents des télécommunications, et ne font que mettre à disposition de leurs clients un service de communication électronique en recourant à un opérateur dont c’est précisément l’activité.

3.3 Une lecture aussi extensive doit-elle être retenue ?

L’exposé des motifs de la loi du 9 juillet 2004 comportant l’article 32 du CPCE indique que l’objet principal de la réforme était de tenir compte du phénomène de convergence technologique, rendant obsolète la traditionnelle distinction entre réseaux de voix (téléphonie), de données (réseaux informatiques), et la diffusion audiovisuelle.

Ainsi, la réforme visait essentiellement à règlementer des activités nouvelles échappant à l’industrie classique des télécommunications, tels les fournisseurs d’accès internet, la téléphonie sur IP, la télévision sur ADSL, etc. Partant, elle pouvait être très extensive, puisqu’elle avait précisément pour propos de s’affranchir des catégories professionnelles dépassées.

Pour autant, l’article L.32 du Code peut-il, doit-il s’appliquer à toutes les entreprises qui proposent une connexion internet ? A ce compte, quelle entreprise aujourd’hui ne propose pas de connexion internet, que ce soit à ses préposés ou à ses clients ?

Sentant le risque d’extrapolation, l’ARCEP a précisé dans sa lettre périodique n°41 que la notion de « services de communications électroniques » de l’article L.32 visait principalement les exploitants de réseaux et les fournisseurs de services liés aux réseaux (tels que les FAI), en précisant que cette définition ne comprenait pas « les acteurs n’intervenant pas dans l’émission, la transmission ou la réception des signes, des sons, des signaux ou images constitutifs de la communication électronique ».

Ainsi selon l’ARCEP, n’entrent pas dans la notion d’opérateur de services de communications électroniques « les éditeurs de services de radio et de télévision et les distributeurs qui agrègent ces contenus sous la forme d’une offre de services accessible par voie hertzienne, par câble ou par satellite ».

Rien n’est dit cependant sur les entreprises qui, sans intervenir dans le transit des signaux, proposent un accès internet sans fil à leurs clients, voire aux visiteurs de leurs locaux si ceux-ci sont publics…

Pour compliquer encore la situation, la législation anti-terroriste votée le 23 janvier 2006, consacrée notamment à la « lutte contre l’utilisation à des fins terroristes de moyens anonymes de connexion à internet dans les lieux publics », a ajouté d’autres critères d’appréciation.

4.1 La loi du 23 janvier 2006

Avant cette loi du 23 janvier 2006, on pouvait considérer, au regard des textes susmentionnés, qu’une entreprise qui propose un accès wifi, dans le cadre de son offre de services, mais « sans intervenir sur les contenus accessibles », ne devait pas être considérée comme un OCE, c’est-à-dire ni hébergeur évidemment, ni même FAI.

Mais la loi du 23 janvier 2006 a alourdi les obligations qui pèsent sur le FAI, tout en étendant encore la définition de ce qu’est un FAI !

Modifié par cette loi anti-terroriste, l’article L. 34-1 CPCE dispose que les personnes qui, « au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article.»

Cet article vise très clairement toutes les personnes qui offrent au public une connexion au réseau internet, « à titre principal ou accessoire ». Par rapport à la LCEN, qui visait les entreprises « dont l’activité est d’offrir un accès à des services de communication au public en ligne », l’article L.34-1 du CPCE introduit donc une interprétation très extensive, puisqu’il vise également les personnes qui proposent une connexion « à titre accessoire ». Au pied de la lettre, cette loi de 2006 assimile à un OCE toute entreprise disposant d’une connexion et la mettant à disposition du public.

Ainsi, si on estime que le personnel d’une entreprise constitue un public, l’ensemble des entreprises disposant d’une connexion pourrait ainsi être soumis aux obligations d’effacement et/ou de conservation des données visées à l’article L. 34-1 du CPCE. De même, le bar du coin de la rue qui propose un hot spot serait donc, au sens de cet article, une « personne permettant au public une communication en ligne », et partant, serait soumise aux obligations visées plus haut.

4.2 Les travaux préparatoires de la loi du 23 janvier 2006

Certes, l’examen des motifs de la loi indique que le législateur visait essentiellement les cybercafés et les hots spots des lieux publics.

Ainsi, le rapport de l’Assemblée Nationale mentionne expressément :

–          les « personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes… » ;

–          et les « fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne WIFI » que ce soit à titre payant ou non.

Les débats parlementaires montrent donc que l’article L.34-1 I vise les professionnels non pas en fonction d’un statut propre ou d’une profession particulière (« OCE », « prestataire technique »), mais uniquement en raison de leur activité de fourniture d’une connexion, même si elle n’est pas dans leur objet social.

Ainsi, les mairies, les aéroports, les bibliothèques ou encore les universités peuvent être concernés si leurs activités les conduisent à titre accessoire à fournir une prestation identique à celle d’un cybercafé. Si les travaux parlementaires visent expressément ces derniers, la loi, elle, n’a pas distingué.

A analyser les travaux préparatoires, le doute demeure entier : la notion de « lieux publics ou commerciaux » équipés en hot spots pourrait donc concerner un très grand nombre de professionnels.

D’ailleurs comme il en a pris l’habitude, le législateur renvoie à la charge du juge la mission de déterminer si le lieu ou l’activité de la personne proposant le service de connexion, la rattachent à la catégorie d’opérateur de communications électroniques.

4.3 Les interprétations subséquentes
      La position de la CNIL

La CNIL, dans une délibération n°2005-208 du 10 octobre 2005 relative à la loi de 2006, a indiqué, tout en regrettant l’ambiguïté de la définition retenue, que les entreprises et leurs salariés devaient être exclus du champ d’application de cette loi.

C’est dire que le personnel d’une entreprise ne doit pas être perçu comme un « public ». Premier éclaircissement.

Mais quid des clients d’un bar ? Quid du public fréquentant un centre commercial ? Quid des visiteurs d’un musée ? Quid des visiteurs d’un site gratuit ? Quid des preneurs de bail ? Quid des simples visiteurs d’un salon professionnel ou d’un évènement culturel ? La CNIL ne s’est prononcée que sur la question précise des salariés, et il serait hasardeux d’extrapoler, à partir de sa délibération, une analogie pour les catégories d’utilisateurs qui ne seraient pas liées à l’entreprise par un lien de subordination juridique.

La position de la jurisprudence

La Cour d’appel de Paris, dans un arrêt du 4 février 2005, a estimé quant à elle qu’une banque était assimilable à un OCE. Dans l’affaire déférée, une société de presse s’était adressée à la banque après avoir découvert que des messages électroniques dommageables avaient été émis depuis le routeur de celle-ci.

La Cour d’appel a énoncé que la banque était tenue, en application de l’article 43-9 de la loi du 1er août 2000 modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire. La Cour d’appel a également affirmé que la banque était tenue de communiquer ces données sur réquisition judiciaire.

Autant dire que la Cour d’appel a totalement assimilé la banque à un OCE. Mais il faut souligner que dans cette espèce, la banque n’avait pas contesté son rôle de « prestataire technique » par la banque. Il est donc difficile d’en inférer quoi que ce soit sur le sort qui serait réservé à d’autres professionnels.

Mais cette jurisprudence montre en toute hypothèse que la tendance est à l’interprétation extensive de dispositions légales dont la CNIL a pourtant souligné l’ambigüité. Il faudra d’autres espèces pour qu’on sache si la jurisprudence française compte étendre la notion de FAI aux entreprises qui mettent à disposition de leurs clients un accès internet…

La (les) position(s) de l’ARCEP

L’ARCEP, en revanche, interrogée dans le cadre des contentieux qui lui sont soumis, a déjà eu l’occasion d’affirmer qu’une entreprise « qui ne dispose pas d’infrastructures de communications électroniques et qui est reliée au réseau internet à l’aide de liaisons louées auprès d’opérateurs de communications électroniques et dont les activités se limitent à assurer la configuration, l’administration, la surveillance et la maintenance des serveurs informatiques ne peut être considérée comme un opérateur de communications électroniques et être soumise aux dispositions de l’article L. 34-1 du CPCE ».

L’ARCEP va directement à l’encontre de la décision de la Cour d’appel de Paris, et précise les critères qui, selon elle, doivent départager un véritable OCE d’une entreprise qui propose du wifi à ses clients. L’ARCEP rappelle que si l’entreprise se borne à configurer, surveiller voire maintenir les serveurs, et qu’elle loue des liaisons auprès d’un OCE, elle n’est pas elle-même un OCE.

Dans les faits, à l’évidence, un restaurateur ou un organisateur de salons professionnels qui propose une connexion wifi, prend rarement en charge la configuration ou la maintenance de l’installation. Et surtout, il achète effectivement le service proposé par un « OCE » dans le cadre d’un contrat, et s’en remet à cet opérateur pour la définition, le niveau et la maintenance du service.

Mais malgré cette évidence, l’ARCEP a souligné que la loi de 2006 visait essentiellement les cybercafés, ainsi que « les personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels que hôtels, compagnies aériennes », ainsi encore que les « fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne wifi, généralement par l’utilisation de cartes prépayées permettant d’accéder au réseau, mais parfois également à titre gratuit ».

En reprenant et en complétant les travaux préparatoires de la loi de 2006, l’ARCEP introduit une nouvelle complexité dans les critères de distinction. On retrouve le risque d’assimilation aux OCE de tout professionnel proposant une connexion wifi à ses clients.

C’est donc la notion de « public » qui est à analyser, afin de savoir si n’importe quel professionnel peut être considéré comme un OCE.

En effet, l’ensemble des textes susvisés vise systématiquement la « mise à disposition du public » d’un accès sans fil. Quiconque offre une connexion à un public risque d’être considéré, à l’instar d’un cybercafé, comme un fournisseur d’accès « indirect ».

Afin d’échapper au régime légal des FAI, il est finalement nécessaire pour ce professionnel de combattre la notion de « mise à disposition du public ».

Et comme il revient finalement au juge de décider si l’entreprise est un FAI ou pas, c’est devant le juge qu’il faudra argumenter pour éloigner le risque d’assimilation.

Il est possible pour cela d’en revenir aux définitions de l’article L.32 du CPCE, qui distingue « réseau ouvert au public » (tout réseau de communications électroniques établi ou utilisé pour la fourniture au public de services de communications électroniques ou de services de communication au public par voie électronique) et « réseau interne » (réseau de communications électroniques entièrement établi sur une même propriété, sans emprunter ni le domaine public – y compris hertzien – ni une propriété tierce).

A partir de cette distinction, il semble possible de définir une casuistique en fonction des situations :

–          Dans le cas de clients bénéficiant de la connexion wifi dans un cadre privatif (ex : les locataires d’un complexe immobilier), il peut être soutenu que les occupants des locaux ne constituent en aucun cas un public, mais plutôt des occupants à titre privatif dans le cadre de contrats de bail, et qu’à ce titre il s’agit d’un réseau interne. Le bailleur n’est donc pas un OCE, même s’il fournit internet à titre accessoire. D’ailleurs, il ne viendrait à l’idée de personne de considérer que ce bailleur est un distributeur d’eau courante ou d’électricité ;

–          La question est beaucoup plus difficile pour les visiteurs d’un salon professionnel, les clients d’un restaurant, les clients d’une compagnie aérienne, ou les usagers d’une administration. Leurs locaux, bien que propriétés privées, reçoivent un « public », et peuvent entrer dans les hypothèses visées aux travaux préparatoires de la loi de 2006, en particulier des « lieux publics ou commerciaux, via des bornes d’accès sans fil (WIFI) ». Ces zones font courir le risque à leur exploitant d’être qualifié de « fournisseur d’accès » ;

–          On peut considérer que les clients d’un restaurant ou d’un bar ne sont pas simplement un « public », mais des cocontractants qui viennent acheter des biens ou des services, dans le cadre d’une relation de droit privé ;

–          De même, on peut considérer que les administrés qui visitent une administration ou un établissement public et profitent d’un hot spot ne constituent pas un « public », mais les usagers d’un service public.

Cependant, aucun texte légal ou réglementaire ne vient pour l’heure conforter cette distinction entre « public » et « clientèle ». D’autant qu’un OCE fournit lui-même son service à des clients, dans le cadre d’une relation de droit privé également. La distinction est donc fragile.

Il existe donc aujourd’hui une zone très large d’incertitude, entre la mise à disposition d’une connexion wifi dans le cadre d’un réseau interne, sur une propriété privée, et à titre privatif, (exemple du bailleur) d’une part, et la mise à disposition d’un service de connexion wifi par un opérateur dont c’est l’activité principale (exemple de Free) d’autre part.

Entre les deux se situent l’ensemble des professionnels qui proposent un accès wifi à leur clientèle, aux visiteurs de leurs locaux, sans pour autant qu’il s’agisse de leur activité principale, ou que leur clientèle soit assimilable ipso facto à un « public ».

Une clarification légale, plus encore que jurisprudentielle, est donc nécessaire, afin d’éviter que les restaurants, les administrations ou les hôtels rejoignent SFR, Orange, Iliad ou Numéricâble au sein de l’Association Française des fournisseurs d’Accès…

Journal du Net