La CNIL vient de publier le bilan de son contrôle « Internet et Wi-Fi en libre accès ». La Commission pointe plusieurs manquements et propose cinq mesures afin que chacun puisse se mettre en conformité.
Chaque année, la CNIL procède à de nombreux contrôles, mais depuis quelques mois, elle peut aussi les réaliser directement en ligne. Elle a donc décidé d'ajouter une nouvelle thématique à son bilan annuel, concernant l'accès à internet en libre accès. La Commission des libertés précise que cela peut concerner les connexions « au restaurant, à l'hôtel ou dans les bibliothèques », ce qui correspond donc aussi bien à des organismes privés que publics.
Cette analyse porte sur plusieurs points : le type de données collectées, leur conservation, le niveau d'information des utilisateurs ainsi que la qualité des mesures de sécurité qui y sont associées. Le résultat est sans appel : « la plupart de ces services ne satisfont pas aux exigences de la loi "Informatique et Libertés" ». Aucun détail n'est malheureusement donné pour le moment concernant les établissements contrôlés et leurs manquements respectifs.
Quoi qu'il en soit, la CNIL en profite pour rappeler les mesures à adopter afin de se mettre en conformité :
- Ne conserver que les données de trafic répondant aux « besoins de la recherche, de la constatation et de la poursuite des infractions pénales » et pas le contenu des correspondances ainsi que les informations consultées (URLs).
- Définir une durée de conservation des données « limitée et proportionnée ». Le code des postes et des communications électroniques prévoit ainsi une durée d'un an à compter de leur enregistrement.
- Fournir une information complète sur les traitements de données. Or, celle-ci n'est « pas toujours satisfaisante, voire inexistante ».
- Veiller à la conformité des outils surveillance. Certains vont en effet trop loin (consultation ou prise en main à distance, contrôle de l'historique de la navigation, etc.) et sont « susceptible de donner accès à un grand nombre d'informations excessives au regard de la finalité pour laquelle elles sont collectées ».
- Enfin, assurer la confidentialité et la sécurité des données.
Ce dernier point est d'ailleurs relativement important et fait référence à plusieurs lacunes chez certains, à commencer par l'absence de chiffrement des réseaux Wi-Fi. Mais la CNIL en profite aussi pour rappeler qu'il faut protéger par mot de passe (qui doit être suffisamment complexe) l'accès au BIOS/UEFI des machines et empêcher de les démarrer via un autre système d'exploitation, installé sur une clé USB par exemple.
Les journaux de connexion doivent également être sécurisés afin d'éviter que tout le monde puisse y accéder, tandis que les documents en attente d'impression ne doivent pas être stockés plus de « quelques minutes » afin de préserver leur confidentialité. Reste maintenant à voir si d'autres contrôles seront de nouveau effectués afin de vérifier la mise en conformité des établissements qui ne proposaient pas une gestion suffisamment correcte des données personnelles, et si des sanctions seront prises si tel n'est pas le cas.
[RAPPEL] Qu'est ce qu'un bon mot de passe ? ► http://t.co/1agNyTWU9M pic.twitter.com/MF5HtH5AOs
— CNIL (@CNIL) 18 Décembre 2014
