La mobilité des collaborateurs est l'un des enjeux majeurs d'une transformation digitale de l'entreprise. L'accessibilité aux ressources et le confort de surf sont devenus les préoccupations de tous les employés productifs, eux-même soucieux de fournir un accès internet aux partenaires ou clients qui leur rendent visite. Mais quand on parle d'accès WiFi professionnel se pose forcément la question des usages et du cadre légal qu'on va essayer de traiter avec pédagogie dans cet article.
Un réseau est « ouvert au public » dès lors qu’il est établi ou utilisé pour fournir des « services de communication au public par voie électronique » ou des « services de communications électroniques » à l’attention du public.
(art. L.32-3° du code des poste et des communications électroniques)
La législation est claire : les réseaux WiFi des entreprises ne sont pas considérés comme des réseaux publics. Ils sont privés et ne sont pas soumis aux obligations de gestion et de traçage par opposition aux réseaux accessibles au public et ouverts à tous (dont on a déjà évoqué les obligations légales sur le blog). En effet, un réseau est considéré comme privé dès lors qu’il est accessible uniquement grâce à un mot de passe, quelque soit le cryptage (WEP, WPA…). Il s’agit d’un réseau fermé dont les données qui y transitent sont sécurisées.
Le WiFi "guest" s’inscrit également dans le respect de la législation du WiFi public via l'authentification des utilisateurs et l'enregistrement des logs de connexion.
Mais il existe encore une zone d'incertitude pour l'ensemble des professionnels qui proposent un accès WiFi aux visiteurs de leurs locaux (clients, candidats ou fournisseurs), sans pour autant qu'il s'agisse de leur activité principale ou que leurs visiteurs soit assimilables à du « public ».
En fournissant un accès WiFi public à partir de la connexion Internet de la société, celle-ci endosse de fait les mêmes responsabilités envers ses utilisateurs que son Fournisseur d'Accès Internet envers elle. Ainsi, les dispositifs du RGPD s’appliquent à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu'elle est établie sur le territoire de l'Union européenne ou que son activité cible directement des résidents européens.
On l'aura compris, le vrai enjeu quand une entreprise donne un accès Internet à ses visiteurs, c'est l'exposition aux risques en matière de cybercriminalité. Une entreprise traite quotidiennement des données sensibles et ses collaborateurs sont tous les "cibles" potentielles d'une cyberattaque qui peut avoir de lourdes conséquences :
En 2019, 5,7 milliards de cyberattaques ont été recensées à échelle mondiale selon l’étude « Attack Landscape H2 2019 » publiée par F-Secure en mars 2020)
Les conséquences d'une faille de sécurité peuvent être économiques, financières ou encore administratives avec un impact sur l'image et au niveau opérationnel pouvant mettre en péril la compétitivité d'une société.
En conclusion, on comprend que si la réglementation du WiFi varie selon la destination du réseau, le législateur est là pour fixer des règles concernant l’utilisation des systèmes d’information et des données qui y sont contenues pour tous. Le cadre légal a pour vocation de responsabiliser chacun de nous face aux enjeux auxquels nous sommes soumis en tant qu'individus et personnes morales.
.png?width=130&height=130&name=FT-Logo-Next40_alumni_2023%20(1).png "FT-Logo-Next40_alumni_2023 (1)"){kind=logo}
