On lundi 29 janvier 2018 16:02:43 CET Florent Bautista - bautista.flor...@gmail.com wrote: > Bonjour à tous, > > Tout d'abord, j'espère être au bon endroit sur [MISC], étant donné que > ce n'est pas du technique réseau pur. > > Je dois chiffrer la mise en place d'un Wifi ouvert au public pour un > camping, en France. > > Je me documente depuis plusieurs jours sur les obligations légales et > les fameuses données qui doivent être enregistrées et conservées pendant > 1 an. > > Sur le site de la Cnil [1], il est indiqué qu'il ne faut conserver que > les données techniques de connexion SAUF si le professionnel qui met à > disposition son Wifi peut préalablement identifier ses usagers (ce qui > est à priori le cas d'un camping, il faut se présenter à l'accueil etc.). > > L'article de loi, précise bien "identifier l'utilisateur". Pour moi une > adresse mac n'identifie personne. On n'a pas encore des adresses mac > collées dans le cerveau. > > Après avoir un peu digéré tout ça, il parait évident que la mise en > place d'un portail captif est nécessaire. A minima pour faire "accepter" > à l'utilisateur une charte d'utilisation du réseau Wifi. A maxima pour > lui demander d'entrer un nom d'utilisateur/mot de passe. > > Mais voilà, est-ce que selon vous, selon ce que vous avez déjà mis en > place, il parait nécessaire d'identifier formellement une connexion sur > le réseau à une personne physique ? C'est à dire, à l'accueil du client, > lui fournir un code personnel qu'il devra utiliser pour se connecter au > Wifi ? > > En ce qui concerne les logs eux-même, je pensais à enregistrer : > > - adresse mac du device > > - date/heure > > - adresse ip destination > > - port destination > > Et ceci pour chaque nouvelle connexion TCP. Mais la loi indique aussi > d'enregistrer la durée de la connexion. Est-ce fait dans la réalité ? > > Après on revient toujours au "problème de l'adresse mac" : le jour où > les flics viennent taper à la porte pour une connexion sur un site > louche, le simple fait de leur dire "c'est pas moi c'est mon client > 00-1E-33-1D-6A-79" suffit-il vraiment ?! Ca me parait simple comme > histoire. D'une part ça ne désigne personne, ça ne désigne qu'un > périphérique (et encore... ok !) et non son utilisateur, et ensuite ce > périphérique peut avoir été vendu/perdu/volé par n'importe qui... > > Enregistrer ça ou rien, pour moi, revient à la même chose... > > Voilà si certains peuvent m'éclairer un petit peu sur tout ça. Le côté > technique est maitrisé, c'est la partie législative qui ne me parait pas > claire. > > Merci d'avance ;) > > Flo > > [1] > https://www.cnil.fr/fr/conservation-des-donnees-de-trafic-hot-spots-wi-fi-cy > bercafes-employeurs-quelles-obligations >
Tu peux aller jeter dans les archives de la liste sur les fils de discussion suivants: avril 2014: [MISC] Conservation des données pour réseau public décembre 2015: [MISC]Hotspot --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
