Olfeo, Editeur français d’une solution de proxy et filtrage de contenus Internet, publie les résultats de sa première étude sur les accès WiFi visiteurs en France et leur conformité à la législation. C'est pas joli, joli!.

Aujourd’hui, de nombreuses organisations ont franchi le pas et se sont équipées d'un accès Internet Wi-Fi destiné à leurs visiteurs (prestataires, partenaires ou clients) sans être forcément conscientes des enjeux de taille relatifs au respect de la législation française et aux risques de sécurité pour le système d’information.

« Fournir un accès Internet à des visiteurs, liés contractuellement ou non à l’entreprise, n’est pas sans danger pour une organisation », alerte Alexandre Souillé, président d’Olfeo. « En laissant libre accès à leur réseau Internet, certaines organisations engagent leur responsabilité au civil et pénal en étant dans l’incapacité d’identifier leurs visiteurs. C’est pourquoi il vaut mieux maîtriser les obligations et connaître la législation, avant de se lancer. Notre étude montre malheureusement que les organisations n’ont pas pris conscience ou ignorent les risques qui pèsent sur elles. »

Trois piliers à respecter : IDENTIFICATION, INFORMATION ET FILTRAGE

Dans la mesure où le visiteur n’est pas identifié et identifiable, seule l’organisation est responsable des comportements déviants sur Internet. Aujourd’hui il est obligatoire pour une entreprise ou une administration d’identifier et de conserver toutes traces (logs, données de connexion, etc.) qui serviront de preuves pour poursuivre quelqu’un ou pour protéger l’entreprise de quelqu’un qui a mal agit et pour lequel la responsabilité primaire de l’entreprise est engagée.

Une organisation a aussi pour obligation de veiller à limiter les accès Internet afin de bloquer les contenus reconnus illicites en France (jeux d’argents illicites, vente de tabac…). Elle doit également être en mesure d’identifier des populations de mineurs, auprès desquels les accès Internet doivent être spécifiquement limités pour la pornographie, les contenus violents…

Enfin dans la mesure où l’organisation identifie un visiteur, elle collecte des informations personnelles. Ce dernier doit être informé des conditions d’accès et de rectification ou d’opposition à ses données.

Principaux résultats. Sur l’ensemble des hotspots testés par Olfeo on peut noter que :

● Identification : Quatre étapes doivent être respectées au niveau de l’identification et de la conservation des données de connexion. Or, à l’issue de la troisième étape, on peut noter que 91 % des organisations ne connaissent pas l’identité de leurs visiteurs et pire seuls 6 % des lieux testés sont en conformité avec la législation après la quatrième et dernière étape !

Les espaces publics et les administrations testés semblent les plus sensibilisés à ces risques puisque respectivement 50% et 35% d’entre eux respectent les 4 étapes indispensables afin de protéger l’entreprise et répondre favorablement aux obligations légales en la matière.

● Information : Lorsque les données à caractère personnel d’un visiteur sont enregistrées, ce dernier doit être informé de ses droits d'accès, de modification, de rectification et de suppression de ses données conformément au droit Informatique et Libertés. 86 % collectent illégalement des informations personnelles sur leurs visiteurs.

● Filtrage : Un site peut être reconnu illicite au regard de son contenu (pédopornographie, terrorisme, etc.) ou de ce qu’il commercialise (armes, drogues, etc.). L’organisation a également l’obligation de limiter les accès auprès d’un public mineur. Si 48% des organisations limitent certains accès Internet et sont en mesure de filtrer aucune ne filtre l’ensemble des contenus reconnus illicites en France. Pire, sur les 3% d’organisations testées qui contrôlent l’âge de leurs visiteurs seuls 70% des types de contenus interdits à ces populations sont bloqués.

« Lorsque nous avons lancé cette étude, nous étions certains que les chiffres seraient intéressants, mais pas que les résultats seraient si catastrophiques », précise Alexandre Souillé. « Ils démontrent que bien souvent les moyens pour identifier, informer et filtrer sont mis en œuvre mais ne sont pas exhaustifs ou mal implémentés. Les solutions utilisées pour le filtrage sont très souvent des listes noires gratuites objectivement insuffisantes sur des catégories difficiles comme la pédopornographie ou la contrefaçon. Très peu d’entreprises sont en totale conformité avec la législation, il y a donc une véritable prise de conscience qui doit avoir lieu au sein des organisations quand aux obligations et surtout les risques dont elles peuvent être tenues pour responsables. »