Réseau WiFi public, quelles obligations légales ?

Déclaration préalable, obligatoire ou pas ?

Tout opérateur offrant au public un accès Internet, en réseau WiFi ou non, doit en principe effectuer une déclaration préalable auprès de l’ARCEP.

Toutefois, vous pouvez vous en dispenser si le nombre d’utilisateurs est restreint et que votre réseau WiFi émet des ondes uniquement dans les limites physiques de votre établissement et ne vise qu’un public restreint de visiteurs, clients ou collaborateurs.

ARCEP = Autorité de Régulation des Communications Électroniques, des Postes et de la distribution de la Presse

➡️​ L’article L.33‑1 du Code des postes et des communications électroniques (CPCE) encadre l’établissement et l’exploitation des réseaux ouverts au public ainsi que la fourniture de services de communications électroniques.

Cette démarche officialise la qualité « d’opérateur » au sens du droit des télécommunications.​
Une société qui souhaite exploiter un point d’accès WiFi à plus large échelle (par exemple un hotspot multisite ou un réseau communautaire ouvert) devient juridiquement un opérateur de communications électroniques.

Elle doit alors :

• se déclarer auprès de l’Arcep, conformément à l’article L.33‑1 du CPCE ;
• fournir les informations techniques sur la zone de couverture et les modalités d’utilisation du WiFi ;
• respecter les obligations légales attachées au statut d’opérateur, notamment la conservation des données de connexion et la coopération avec les autorités répressives.​

-> Lire également notre article sur la conformité informatique et ses enjeux pour les PME

Loi contre le terrorisme et autres obligations légales en 5 points

• Depuis une loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme, tous les établissements offrant au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont tenues de conserver un certain nombre de données dites de trafic.
• Une directive 2006/24/CE en date du 15 mars 2006 contraint également l’ensemble des Etats membres de l’Union européenne à adopter une loi obligeant l’opérateur (« personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. ») à conserver les données relatives aux communications pour une durée comprise entre 6 et 24 mois.

Votre réseau WiFi est-il conforme ? 

Demandez un audit de votre it !

1. Quelles données devez-vous conserver ?

Conformément au décret n°2006‑358 du 24 mars 2006 et au décret n°2025‑980, en tant qu’opérateur vous devez garder les données permettant d’identifier les utilisateurs et leurs sessions de connexion, notamment :

• Les informations permettant d’identifier l’utilisateur
  -> l’adresse IP publique attribuée lors de la session.
  -> les identifiants techniques des terminaux ou bornes utilisés.
• La date, l’horaire et la durée de connexion de chaque communication.
• La localisation approximative, calculée à partir de la borne d’accès.
• Les informations relatives aux services complémentaires activés et à leurs fournisseurs.​
• Les données permettant d’identifier le ou les destinataires de la communication

Cette obligation vise à permettre l’identification rétrospective d’un utilisateur en cas d’enquête judiciaire ou de menace à la sécurité nationale

2. Quelles données ne devez-vous pas conserver ?

Le contenu des communications, qu’il s’agisse de messages, de courriels ou de sites consultés, ne doit jamais être collecté ni stocké.

➡️​L’article L.34‑1, V du CPCE et le RGPD encadrent strictement cette limitation : seules les métadonnées techniques peuvent l’être, à l’exclusion de tout contenu privé.

La conservation du trafic WiFi doit rester technique, proportionnée et temporaire. Elle ne saurait en aucun cas se transformer en dispositif de surveillance généralisée.

3. A quelles sanctions vous exposez-vous ?

Le non‑respect de l’obligation de conservation des données techniques ou le refus de les communiquer aux autorités constitue une infraction pénale.

❗Les peines sont d’un an d’emprisonnement et 75 000 € d’amende pour les personnes physiques, 375 000 € pour les personnes morales (article L.39‑3 du CPCE).

L’article L.39‑4 indique une sanction de 3 mois d’emprisonnement et 30 000 € d’amende toute entrave à une réquisition légale de données.

4. Combien de temps devez-vous conserver les données d'un réseau WiFi ?

✅​La durée de conservation des données d’un réseau WiFi est fixée à un an : pour le cas de la conservation des données relatives au trafic lorsqu’il s’agit de la recherche, de la constatation et de la poursuite des infractions.

Bon à savoir : Le décret du 24 mars 2006 prévoit des durées de conservations variables en fonction des finalités.

5. Quelles sont les personnes habilitées à recevoir les données ?

Seules les autorités judiciaires et administratives individuellement habilitées peuvent accéder à ces données :

• L’officier de police judiciaire au cours d’une enquête de flagrance
• Le Procureur de la République ou l’officier de police judiciaire sur autorisation du procureur et au cours d’une enquête préliminaire
• Le juge d’instruction ou l’officier de police judiciaire par lui commis au cours de l’instruction
• Les agents individuellement habilités des services de police et de gendarmerie, spécialisés dans la prévention des actes de terrorisme

(Articles 60-1, 77-1-1 et 99-3 du Code de procédure pénale ainsi que l’article L. 34-1-1 du CPCE)

L’article L. 39-4 du CPCE précise que : «sera puni de trois mois d’emprisonnement et de 30.000 euros d’amende ou de l’une de ces deux peines seulement quiconque aura, sans raison valable, refusé de fournir les informations ou documents ou fait obstacle au déroulement de l’enquête ».

Quels sont les droits des utilisateurs sur leurs données ?

Lorsqu’un utilisateur se connecte à un réseau WiFi public, les données techniques conservées (horaires, IP, identifiant de session…) sont soumises au Règlement général sur la protection des données (RGPD) et à l’article L.34‑1 du CPCE.

Concrètement, tout utilisateur dispose du droit d’accès à ses données, du droit de rectification en cas d’erreur, et du droit d’effacement dès que la conservation n’est plus justifiée. Ces droits doivent être clairement mentionnés dans la charte d’utilisation du WiFi ou dans un bandeau d’information visible lors de la connexion.​

L’exploitant du réseau ou son prestataire WiFi, agit en tant que responsable de traitement : il doit assurer la transparence sur la nature des données collectées, obtenir un consentement explicite lorsque des informations personnelles (nom, email, téléphone) sont demandées, et garantir une sécurisation conforme au RGPD afin d’éviter tout accès non autorisé.

Dans cette logique de protection, les entreprises adoptent une approche Zero Trust pour sécuriser leur réseau WiFi invité. 

Le principe simple du ZeroTrust : ne jamais accorder de confiance implicite à un utilisateur ou un terminal, même connecté à votre propre réseau, et vérifier en permanence les accès. Chaque session WiFi est traitée comme potentiellement non fiable, avec une authentification systématique, une segmentation stricte entre réseau interne et réseau invité, le tout sous contrôle continu du trafic. 

➡️ Une approche particulièrement adaptée aux entreprises qui accueillent régulièrement visiteurs, clients ou prestataires.

La mise en place d’une Charte d’Utilisation du Réseau WiFi

L’utilisation de votre réseau WiFi public peut aussi être cadrée par une « Charte d’Utilisation du réseau WiFi », dont la vocation est de vous protéger.

Pourquoi ? Parce que, malgré l’installation de restriction d’accès (codes d’identification, blocage d’accès à certains sites, filtrage URL, cybersécurité, etc.), vous ne pouvez pas contrôler le comportement des utilisateurs. La charte doit stipuler que l’utilisateur n’a pas le droit d’accomplir telle ou telle action ; s’il le fait, il engage directement sa responsabilité. Pour être effective, l’utilisateur devra cocher, dès la première connexion, une case indiquant « J’accepte la Charte d’Utilisation du réseau WiFi. »

Contenu et objectifs de la charte

• Application : préciser les espaces et dispositifs concernés, ainsi que les profils utilisateurs (clients, visiteurs, personnel).
• Règles d’usage : interdictions explicites (accès à des contenus illicites, saturation réseau, tentative de piratage).
• Mesures de sécurité : informer sur les protections techniques en place (authentification, filtrage URL, monitoring).
• Protection des données : mentionner la collecte des données de connexion, leur durée de conservation, et les droits des utilisateurs (accès, rectification, suppression).
• Consentement actif : exiger que l’utilisateur clique explicitement sur “J’accepte la Charte” avant toute connexion, garantissant ainsi une acceptation libre et éclairée, conforme au RGPD.

Pourquoi une charte est indispensable ?

• La charte contribue au respect du RGPD en démontrant la transparence sur la gestion des données (article 5 RGPD) et structure les mesures pour un usage responsable du WiFi public.​
• Elle permet aussi la mise en place de contrôles conformes aux préconisations de l’ANSSI et de la CNIL, notamment autour du chiffrement (WPA3), de la séparation des réseaux interne et invité, et du filtrage actif du trafic.​
• En cas d’abus ou d’incident, la charte engage la responsabilité directe de l’utilisateur, facilitant les actions juridiques auprès des autorités compétentes.

Konica Minolta s’appuie sur des partenaires technologiques à forte valeur ajoutée pour vous accompagner dans vos projets de réseau sans fil, dont Ruckus (3ème constructeur mondial de bornes Wifi aux technologies brevetées) et Ucopia (éditeur français d’une solution pour la gestion des accès, le marketing et la monétisation du WiFi.

Demandez un audit de votre it !