Bonjour à tous, Tout d'abord, j'espère être au bon endroit sur [MISC], étant donné que ce n'est pas du technique réseau pur.
Je dois chiffrer la mise en place d'un Wifi ouvert au public pour un camping, en France. Je me documente depuis plusieurs jours sur les obligations légales et les fameuses données qui doivent être enregistrées et conservées pendant 1 an. Sur le site de la Cnil [1], il est indiqué qu'il ne faut conserver que les données techniques de connexion SAUF si le professionnel qui met à disposition son Wifi peut préalablement identifier ses usagers (ce qui est à priori le cas d'un camping, il faut se présenter à l'accueil etc.). L'article de loi, précise bien "identifier l'utilisateur". Pour moi une adresse mac n'identifie personne. On n'a pas encore des adresses mac collées dans le cerveau. Après avoir un peu digéré tout ça, il parait évident que la mise en place d'un portail captif est nécessaire. A minima pour faire "accepter" à l'utilisateur une charte d'utilisation du réseau Wifi. A maxima pour lui demander d'entrer un nom d'utilisateur/mot de passe. Mais voilà, est-ce que selon vous, selon ce que vous avez déjà mis en place, il parait nécessaire d'identifier formellement une connexion sur le réseau à une personne physique ? C'est à dire, à l'accueil du client, lui fournir un code personnel qu'il devra utiliser pour se connecter au Wifi ? En ce qui concerne les logs eux-même, je pensais à enregistrer : - adresse mac du device - date/heure - adresse ip destination - port destination Et ceci pour chaque nouvelle connexion TCP. Mais la loi indique aussi d'enregistrer la durée de la connexion. Est-ce fait dans la réalité ? Après on revient toujours au "problème de l'adresse mac" : le jour où les flics viennent taper à la porte pour une connexion sur un site louche, le simple fait de leur dire "c'est pas moi c'est mon client 00-1E-33-1D-6A-79" suffit-il vraiment ?! Ca me parait simple comme histoire. D'une part ça ne désigne personne, ça ne désigne qu'un périphérique (et encore... ok !) et non son utilisateur, et ensuite ce périphérique peut avoir été vendu/perdu/volé par n'importe qui... Enregistrer ça ou rien, pour moi, revient à la même chose... Voilà si certains peuvent m'éclairer un petit peu sur tout ça. Le côté technique est maitrisé, c'est la partie législative qui ne me parait pas claire. Merci d'avance ;) Flo [1] https://www.cnil.fr/fr/conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
