Bonjour
Vous devez conserver les éléments techniques qui permettent un
"faisceau" d'identification.
Vous n'êtes pas tenu d'identifier par un nom/prénom chaque connexion,
mais de mettre à disposition les éléments dont vous disposez
techniquement (l'adresse mac, l'ip source/destination, les heures), et
dans le cas du camping, les logins/autre qui ont ouvert une session wifi
ou l'enregistrement au près du camping.
La police se débrouillera avec les éléments techniques fournis pour
recouper.
Et bien sur, si y a une base de donnée (par exemple une liste
d'identifiants wifi associés à des identités de campeurs et/ou fichier
client), il faut enregistrer au près de la CNIL.
La loi est floue parce qu'elle ne veut pas explicitement dépendre de
détails techniques qui peuvent être révolutionnés à l'avenir.
La police fait la part des choses (normalement, le seul cas que j'ai eu
professionnellement, le commissaire semblait être conscient des réalités
techniques) entre adresse mac qui identifie une machine et ce qui permet
d'identifier/suivre une personne.
En somme: faut conserver les détails des connexions de votre réseau,
mais ne pas espionner (conserver le contenu) des communications des
utilisateurs. Les méta-données permettent déjà d'établir tout un roman à
qui sait les exploiter.
j'espère que cela vous éclaire un peu.
On 29/01/2018 16:02, Florent Bautista wrote:
Bonjour à tous,
Tout d'abord, j'espère être au bon endroit sur [MISC], étant donné que
ce n'est pas du technique réseau pur.
Je dois chiffrer la mise en place d'un Wifi ouvert au public pour un
camping, en France.
Je me documente depuis plusieurs jours sur les obligations légales et
les fameuses données qui doivent être enregistrées et conservées pendant
1 an.
Sur le site de la Cnil [1], il est indiqué qu'il ne faut conserver que
les données techniques de connexion SAUF si le professionnel qui met à
disposition son Wifi peut préalablement identifier ses usagers (ce qui
est à priori le cas d'un camping, il faut se présenter à l'accueil etc.).
L'article de loi, précise bien "identifier l'utilisateur". Pour moi une
adresse mac n'identifie personne. On n'a pas encore des adresses mac
collées dans le cerveau.
Après avoir un peu digéré tout ça, il parait évident que la mise en
place d'un portail captif est nécessaire. A minima pour faire "accepter"
à l'utilisateur une charte d'utilisation du réseau Wifi. A maxima pour
lui demander d'entrer un nom d'utilisateur/mot de passe.
Mais voilà, est-ce que selon vous, selon ce que vous avez déjà mis en
place, il parait nécessaire d'identifier formellement une connexion sur
le réseau à une personne physique ? C'est à dire, à l'accueil du client,
lui fournir un code personnel qu'il devra utiliser pour se connecter au
Wifi ?
En ce qui concerne les logs eux-même, je pensais à enregistrer :
- adresse mac du device
- date/heure
- adresse ip destination
- port destination
Et ceci pour chaque nouvelle connexion TCP. Mais la loi indique aussi
d'enregistrer la durée de la connexion. Est-ce fait dans la réalité ?
Après on revient toujours au "problème de l'adresse mac" : le jour où
les flics viennent taper à la porte pour une connexion sur un site
louche, le simple fait de leur dire "c'est pas moi c'est mon client
00-1E-33-1D-6A-79" suffit-il vraiment ?! Ca me parait simple comme
histoire. D'une part ça ne désigne personne, ça ne désigne qu'un
périphérique (et encore... ok !) et non son utilisateur, et ensuite ce
périphérique peut avoir été vendu/perdu/volé par n'importe qui...
Enregistrer ça ou rien, pour moi, revient à la même chose...
Voilà si certains peuvent m'éclairer un petit peu sur tout ça. Le côté
technique est maitrisé, c'est la partie législative qui ne me parait pas
claire.
Merci d'avance ;)
Flo
[1]
https://www.cnil.fr/fr/conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Michel Galle
IT
tel: +33 6 03 05 51 47
http://www.6wind.com/
===============================================================
This e-mail message, including any attachments, is for the sole
use of the intended recipient(s) and contains information that
is confidential and proprietary to 6WIND. All unauthorized
review, use, disclosure or distribution is prohibited. If you
are not the intended recipient, please contact the sender by
reply e-mail and destroy all copies of the original message.
===============================================================
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
