Académique Documents
Professionnel Documents
Culture Documents
Introduction ......................................................................................................................................................................................... 3
1. 2. 3. Contexte .......................................................................................................................................................................................................... 3 Objectifs de ltude ....................................................................................................................................................................................... 3 Mthodologie de ltude .............................................................................................................................................................................. 3
A. Les enjeux lis aux accs Internet visiteurs dans les organisations ....................................................................................... 4 B. Les rsultats de ltude ................................................................................................................................................................ 5
1. IDENTIFICATION ET CONSERVATION DES DONNES DE CONNEXION : Sassurer de lidentit de leurs visiteurs et tre en mesure de savoir qui fait quoi sur leur accs internet..................................................................................................................................................... 5
ETAPE 1 : Mettre en uvre un moyen technique ou humain permettant de collecter des informations relatives lidentit du visiteur ............ 6 TAPE 2 : Collecter et enregistrer les informations relatives lidentit du visiteur ............................................................................................................. 7 TAPE 3 : Vrifier les informations personnelles fournies par le visiteur ................................................................................................................................... 8 tape 4 : Fournir des identifiants uniques de connexion Internet par visiteur ...................................................................................................................... 9 SYNTHESE : Identification et conservation des donnes de connexion .............................................................................................................................. 10
2. 3.
INFORMATION : les organisations respectent-elles la protection de la vie prive des visiteurs ? ..................................................... 11 FILTRAGE DES ACCS INTERNET : lorganisation est-elle protge des actes illicites de ses visiteurs ? ............................................. 13
Filtrage et contenus illicites : ........................................................................................................................................................................................................ 15 Le cas particulier de la protection des mineurs ....................................................................................................................................................................... 18
INTRODUCTION
1. Contexte
Aujourdhui, de nombreuses organisations ont franchi le pas et se sont quipes d'un accs Internet Wi-Fi destin leurs visiteurs, d'autres sont fortement sensibilises et projettent d'offrir ce service dans les prochains mois. Offrir un accs Internet ses prestataires, ses partenaires ou ses clients soulve des enjeux de taille notamment en matire de respect de la lgislation franaise et de risque de scurit du systme dinformation. Information des visiteurs sur les conditions daccs et le traitement de leurs donnes caractre personnel Filtrage des contenus reconnus illicites en France ou lis protection des mineurs.
Cette tude permet de dvoiler les tendances en termes de moyens mis en uvre par les organisations, puis selon les domaines dactivits , et danalyser si ces moyens sont suffisants pour tre en conformit avec la lgislation.
3. Mthodologie de ltude
Olfeo a ralis cette enqute sur le premier semestre 2013. Cette tude a t mene dans des conditions relles avec un dplacement dans chacun des lieux. Elle exprime donc la ralit. Elle porte sur une centaine de lieux offrant un accs Wi-Fi gratuit ses visiteurs. Plusieurs organisations par secteur dactivit ont t tudies afin dobtenir un rsultat exhaustif quant aux analyses par secteur. Les domaines dactivit tests sont : Les administrations, le transport (aroports, gares, mtro), les muses, les centres commerciaux, les espaces publics (parcs, places, jardins), les centres de confrence, le tourisme (htels, centres de vacances), les bibliothques et mdiathques, la restauration rapide (bars, cafs, restaurants) Pour chacune de ces trois tapes cls, Olfeo prcise le cadre juridique ainsi que les diffrentes phases danalyse.
En effet, fournir un accs Internet des visiteurs, lis contractuellement ou non lentreprise, nest pas sans danger pour une organisation. En laissant libre accs leur rseau Internet, certaines organisations permettent aux visiteurs de surfer librement avec la responsabilit de lentreprise.
2. Objectifs de ltude
Olfeo lance pour la premire fois une tude sur les pratiques des organisations qui offrent un accs Wi-Fi leurs visiteurs. Lobjectif de cette tude est de prsenter les pratiques actuelles des organisations en matire daccs leurs visiteurs et ainsi analyser dans quelles mesures elles respectent la lgislation franaise travers trois tapes cls : Identification et conservation des donnes de connexion
A. LES ENJEUX LIS AUX ACCS INTERNET VISITEURS DANS LES ORGANISATIONS
Offrir un accs Internet aux visiteurs et par extension inviter un inconnu dans le systme dinformation de son organisation nest pas sans risque. En effet, un visiteur qui dispose dun libre accs au rseau Internet de lorganisation surfe librement sous la responsabilit de lorganisation et de ses dirigeants. Si le visiteur nest pas identifi et identifiable, seule lorganisation est responsable des comportements dviants sur Internet. Aujourdhui il est obligatoire pour une entreprise ou une administration didentifier et de conserver toutes traces, logs, donnes de connexion, qui serviront de preuves pour poursuivre quelquun ou pour protger lentreprise de quelquun qui a mal agit et pour lequel la responsabilit primaire de lentreprise est engage. Dune part, lorganisation a une obligation de veiller limiter les accs Internet afin de bloquer les contenus reconnus illicites en France (jeux dargents illicites, vente de tabac). Dautre part, elle doit galement tre en mesure didentifier notamment des populations de mineurs, auprs desquels les accs Internet doivent tre spcifiquement limits pour la pornographie, les contenus violents Enfin dans la mesure o lorganisation identifie un visiteur, elle collecte des informations personnelles . Ce dernier doit tre inform des conditions daccs et de rectification ou dopposition ses donnes. Les enjeux lis aux accs Internet visiteurs reposent ainsi sur trois piliers : identification, information et filtrage.
OLFEO A DONC ANALYS SI LES ORGANISATIONS QUI OFFRENT UN ACCS INTERNET UN VISITEUR SONT EN MESURE DIDENTIFIER CE VISITEUR ET DE CONSERVER SES TRACES, DONNES, LOGS DE CONNEXION TRAVERS 4 TAPES INCONTOURNABLES
ETAPE 1
Mettre en uvre un moyen technique ou humain permettant de collecter des informations relatives lidentit du visiteur
ETAPE 2
Collecter et enregistrer les informations relatives lidentit du visiteur
ETAPE 3
Vrifier les informations relatives lidentit du visiteur
ETAPE 4
Fournir des identifiants* uniques de connexion Internet par visiteur
L'authentification est la procdure qui consiste, pour un systme informatique, vrifier l'identit d'une entit : personne, ordinateur..., autrement dit de certifier lidentit. En informatique, on appelle identifiants les informati ons permettant une personne de s'identifier auprs d'un systme. Un identifiant est souvent compos dun login et dun mot de passe
1 *
ETAPE 1 : Mettre en uvre un moyen technique ou humain permettant de collecter des informations relatives lidentit du visiteur Les seuls moyens qui permettent de collecter des informations relatives lidentit dun visiteur avant quil se connecte au rseau Internet de lorganisation sont : La mise en place dun formulaire de renseignements en ligne Lobligation de demander laccs Internet une personne physique
LA
MAJORIT
DES
ORGANISATIONS
TESTES
:
sensibiliss
Dans chaque lieu, Olfeo a test comment un visiteur se connecte au Wi-Fi de lorganisation.
42%
des
lieux
tests
semblent
limportance de sassurer de lidentit dun visiteur en proposant un formulaire en ligne ou lobligation de demander Internet une personne physique. Pour
95%
Top 3 des domaines dactivit tests mettant en uvre un moyen permettant de connaitre lidentit dun visiteur :
1. 2.
Administration
organisations)
et
Tourisme (95%
des
Seulement
5%
TAPE 2 : Collecter et enregistrer les informations relatives lidentit du visiteur ZOOM SUR LES RSULTATS : Bien que certaines organisations aient mis en uvre des moyens pour collecter les informations relatives lidentit de leurs visiteurs, ces informations ne sont pas ncessairement collectes et enregistres. Dans chaque lieu o un moyen de collecte dinformations est dploy, Olfeo a observ si des informations sont demandes et si celles-ci peuvent tre techniquement enregistres. Par exemple lorsquun formulaire en ligne doit tre rempli avant la connexion, Olfeo est parti du principe que ces donnes taient enregistres. De mme lorsquun visiteur doit demander son accs auprs dune personne, Olfeo a observ si des informations sont demandes et si celles-ci sont enregistres informatiquement.
DES INFORMATIONS SUR LIDENTIT DU VISITEUR GNRALEMENT ENREGISTRS LORSQUUN MOYEN TECHNIQUE OU HUMAIN EST MIS EN UVRE
Dans 71% des organisations lorsque des informations personnelles sont demandes, elles sont enregistres. Dans
80%
collecte pas et nenregistre pas dinformations personnelles sur les visiteurs. Elle fournit les identifiants de connexion soit sur un papier soit loral. Dans
aucune
information nest enregistre Top 3 des domaines dactivit tests qui enregistrent les informations relatives lidentit dun visiteur :
1. 2.
29%
Demande et enregistrement d'informations personnelles sur le visteur Aucune demande et enregistrement d'informations personnelles sur le visteur
des
3. Espace public (50% des organisations) Les domaines dactivit tests qui ne se soucient pas de lidentit de leurs visiteurs suite cette deuxime tape : Les centres de confrence et les bibliothques mdiathques. Dans ces deux secteurs dactivit, nimporte quel visiteur peut donc faire nimporte quoi sur Internet sans risque.
71%
TAPE 3 : Vrifier les informations personnelles fournies par le visiteur ZOOM SUR LES RSULTATS : Lorsque lorganisation a collect puis enregistr les informations relatives lidentit dun visiteur, il est important de vrifier que les informations dlivres sont exactes afin de sassurer de lidentit relle du visiteur. En effet il est facile dans ces situations de fournir un faux nom, mail, il est de la responsabilit de lentreprise ou de ladministration de vrifier la validit de ces informations. Il existe plusieurs moyens pour vrifier ces informations qui offrent un degr de certitude diffrents quant cette vrification : 1. Une personne physique enregistre le numro de pice didentit du visiteur 2. Les codes de connexion sont envoys par SMS ou par mail (renseign par le visiteur) 3. Les codes de connexion sont envoys par mail (renseign par le visiteur) Olfeo a test pour chaque lieu, dans quelle mesure les informations collectes taient vrifies :
UN
VISITEUR
RESTE
UN
INCONNU
MALGR
:
des cas les informations fournies par le
70%
visiteur ne sont pas vrifies et ne permettent pas de sassurer de lidentit du visiteur. Seulement
9%
de ces informations. Classement des domaines dactivit tests qui enregistrent les informations relatives lidentit dun visiteur et les vrifient : 1. Espace public : 50% des organisations font une vrification par mail 2. Administration : 35% des organisations grce lenregistrement du numro dune pice didentit 3. Magasin et centre commercial : 8% des organisations grce lenvoi par SMS
50%
10% Aucune verification : impression de code par une personne physique Aucune vrification : accs direct Internet
67%
20%
en incapacit didentifier clairement un visiteur la suite de cette tape : Transport Muse Centre de confrence Tourisme Bibliothque et mdiathque Bar, caf restauration rapide
tape 4 : Fournir des identifiants uniques de connexion Internet par visiteur ZOOM SUR LES RSULTATS : Lorsque des informations personnelles sont collectes, enregistres et vrifies, les organisations sont en mesure didentifier chaque visiteur. Afin de conserver les donnes de connexion nominatives de chaque visiteur, ce dernier doit disposer didentifiants uniques attachs ses donnes personnelles. Techniquement il sera ainsi possible pour lorganisation de conna tre la navigation Internet dun visiteur grce ses identifiants ddis associs son identit. Olfeo a donc test pour chaque lieu, si les identifiants de connexion fournis sont gnriques, autrement dit les mmes pour lensemble des visiteurs ou bien si ils sont uniques.
67%
mis en uvre les moyens pour respecter les 3 premires tapes de cette partie de ltude fournissent des identifiants uniques associs aux visiteurs. Classement des domaines dactivit tests qui respectent la lgislation en matire didentification et de conservation de donnes de connexion : 1. Espace public (50% des organisations) 2. Administration (35% des organisations)
78%
conformes la lgislation en matire didentification et de conservation des donnes : Magasin et centre commercial Transport Muse Centre de confrence Tourisme Bibliothque et mdiathque Bar, caf restauration rapide
SYNTHESE : Identification et conservation des donnes de connexion Offrir un accs Internet des visiteurs nest pas un geste anodin et peut engager la responsabilit de lorganisation et de ses dirigeants. Au regard de cette premire analyse portant sur lidentification et la conservation des donnes de connexion Internet dun visiteur, le sujet semble loin dtre matris par les entits quel que soit le domaine dactivit.
testes
connaissent lidentit de
6% des organisations testes sont en mesure didentifier lauteur dun acte illicite ou dviant sur leur
rseau Internet. Ce qui implique que dans
42% 30%
Etape 1 : Mettre en oeuvre un moyen technique ou humain permettant de collecter des informations relatives l'identit du visiteur
peut naviguer librement sur Internet et adopter un comportement dviant sans tre identifiable. Seule
sa responsabilit en cas de navigation illicite. Les espaces publics et les administrations tests semblent les plus sensibiliss ces risques puisque respectivement 50% et 35% dentre eux respectent les 4 tapes indispensables afin de protger lentreprise
et rpondre favorablement aux obligations lgales en la matire.
9%
6%
6% des
avec la
lieux tests
lgislation.
sont
en
conformit
Lorsque les donnes caractre personnel dun visiteur sont enregistres, ce dernier doit tre inform de ses droits d'accs, de modification, de rectification et de suppression de ses donnes conformment au droit Informatique et Liberts. Dans chaque lieu, Olfeo a analys dune part si un moyen permettant une diffusion dinformation tait dploy et dautre part si le contenu du document diffus expos ait les mentions obligatoires dictes par la Loi informatique et Liberts.
86%
53%
Diffusion de conditions d'utilisation aux visiteurs 67%
respecter la protection de la vie prive de leurs visiteurs, puisquelles diffusent un document dinformation, ne mentionnent pas les informations relatives la loi informatique et Liberts.
14%
100%
charte auprs des visiteurs, demandent validation de cette charte par le visiteur. 40% 60% 80% 100%
0%
20%
35%
des administrations et
65%
Le non-respect des obligations de la loi Informatiques et Liberts est passible de sanctions administratives et pcuniaires. Des sanctions pnales peuvent tre galement prononces en fonction de lobligation non-respecte.
respectent
Les autres domaines dactivit ne respectent pas la Loi Informatique et Liberts et peuvent tre notamment poursuivis par la CNIL.
3. FILTRAGE DES ACCS INTERNET : lorganisation est-elle protge des actes illicites de ses visiteurs ?
Aujourdhui, les organisations ont lobligation de limiter laccs certains contenus reconnus illicites par le droit frana is. Un site peut tre reconnu illicite au regard de son contenu ou de ce quil commercialise. Lorganisation a galement lobligation de limiter les accs auprs dun public mineur. Les types de contenus reconnus illicites en France : Type de contenu
Alcool et Tabac Condamns par la Loi Franaise Vente d'Armes Condamne par la Loi Franaise Atteinte Physique et Morale
Description
Contenu faisant la promotion de l'alcool et du tabac contrevenant l'article 2 de la loi Evin du 10 janvier 1991 et l'article L33232 du Code de la sant publique ou proposant la vente de tabac, contrevenant l'article 568 ter du Code gnral des impts ou la vente dalcool contrevenant les articles L3331-4, L3342-1 et L3342-4 du Code de la Sant Publique. Contenu proposant la vente des armes contrevenant l'article 20 du Dcret n95-589 du 6 mai 1995 relatif l'application du Dcret du 18 avril 1939 fixant le rgime des matriels de guerre, armes et munitions. Contenu incitant la pratique de jeux dangereux pour les enfants, ainsi qu' toute pratique menaant l'intgrit physique et mentale des personnes et messages violents lorsqu'ils sont susceptibles d'tre accessibles aux mineurs contrevenant l'article 22724 du Code pnal. Contenu portant provocation au suicide d'autrui ou faisant la publicit de moyens de se donner la mort (art 223-13 et 223-14 du Code pnal) Contenu proposant la vente d'objets contrefaits, contrevenant aux articles L335-2 et L335-3 du Code de la proprit intellectuelle ainsi qu' la Loi relative la contrefaon du 30 octobre 2007. Contenu attestant de pratiques de piratage informatique contrevenant aux articles 323-1 323-7 du Code Pnal. Cette catgorie intgre plus largement le piratage de tout outil de technologie de communication numrique ainsi que les sites permettant de tricher aux examens. Contenu faisant la promotion de la drogue et contrevenant notamment l'article L3421-1 du Code de la Sant publique et larticle 222-37 du Code pnal. Sont notamment intgrs les sites qui expliquent comment bien faire pousser des plantations ou acheter du matriel pour la culture et la consommation. Les associations daide aux toxicomanes sont intgres dans la catgorie Sant . Contenu proposant des jeux dargent de type casino ou loterie enfreignant l'article 56 de la Loi du 12 mai 2010 (sites non labelliss par lARJEL). Contenus pirats et liens de tlchargement de contenu pirat contrevenant notamment larticle L122 -4 du Code de la proprit intellectuelle. Contenu de logiciels Peer to Peer et serveurs associs proposant des liens pour fichier et logiciels pirats qui enfreignent
Contrefaon
Promotion Drogue
et
Vente
de
Jeux d'Argent et Casinos Condamns par la Loi Franaise Musiques, Films, Logiciels Pirats Peer to Peer
Pornographie Condamne par la Loi Franaise Racisme, Discrimination, Rvisionnisme Terrorisme, Incitation la Violence, Explosifs et Poisons Vente de Mdicaments Condamne par la Loi Franaise
notamment l'article L122-4 du Code de la proprit intellectuelle. Contenu pdopornographique contrevenant aux articles 227-22, 23, 24 du Code pnal. Contenu faisant la promotion de la prostitution et des escortes contrevenant notamment aux articles 225-4 et 225-10-1 du Code pnal. Contenu portant provocation ou incitation des crimes, dlits, haine ou violence l'gard de personnes en raison de leur origine ou de leur appartenance une ethnie, une nation, une race ou une religion, injure et diffamation raciale, contenus contestant ou faisant l'apologie des crimes de guerre, des crimes contre l'humanit (Articles 23, 24, 24 bis, 32 et 33 de la loi du 29 juillet 1881). Contenu faisant la promotion du terrorisme ou de la violence (art 421-1 422-7 du Code pnal). Cette catgorie inclut les contenus expliquant la cration d'explosifs, poisons, ... Contenu proposant la vente de mdicaments contrevenant au Code de la sant publique, notamment aux articles L4211-1et L5125 -20.
Sexe, Pornographie
De nombreuses lois encadrent aujourdhui lusage dInternet en France et plus spcifiquement lusage illicite dInternet. Filtrage et contenus illicites : Afin de contrler si les accs aux contenus illicites sont bloqus ou autoriss, Olfeo a test 10 sites plus ou moins connus par type de contenus illicites. Parmi lensemble des organisations testes, Olfeo sest dabord intress la proportion dentits qui bloquent laccs au moins un site par type de contenus illicites :
FILTRAGE DES CONTENUS ILLICITES : LE PORNO ET LA DROGUE EN TTE DES CONTENUS LES PLUS BLOQUS
En moyenne 48% des organisations ont dploy un systme de filtrage afin de bloquer laccs au moins un type de contenu illicite. Dans 9% des organisations les sites de pdopornographies sont bloqus. Les organisations bloquent plus la pornographie, uniquement illicite auprs dun public mineur que la pdopornographie. Les sites faisant la promotion ou proposant de la vente dalcool et de tabac ne sont jamais bloqus.
Proportion des organisations testes qui filtrent les accs par type de contenus
Protection des mineurs : Sexe, Pornographie Types de contenus illicites en France Vente de Mdicaments Condamne par la Loi 6% 48%
6%
6% 9% 3% 3% 6% 45% 3% 15% 6%
Top 3 des contenus les plus bloqus : 1. La pornographie (qui rappelons-le nest illicite que pour les mineurs) 2. Promotion et vente de drogue 3. Atteinte physique et morale
20%
40%
60%
80%
100%
ZOOM SUR LES RSULTATS : Puis, parmi les organisations testes qui filtrent les contenus, Olfeo a mesur sur les 10 sites tests, combien taient bloqus. Naturellement les contenus lis lalcool et le tabac ne sont pas analyss ici puisquaucune organisation ne bloque ce type de contenus.
Proportion des sites tests bloqus lorsqu'un filtrage est mis en oeuvre
Protection des mineurs : Sexe, Pornographie Vente de Mdicaments Condamne par la Terrorisme, Incitation la Violence, Racisme, Discrimination, Rvisionnisme Pornographie Condamne par la Loi Franaise Peer to Peer Musiques, Films, Logiciels Pirats Jeux d'Argent et Casinos Condamns par la Promotion et Vente de Drogue Contrefaon Atteinte Physique et Morale Vente d'Armes Condamne par la Loi 0% 20% 25% 40% 60% 80% 100% 18% 57% 45% 72% 22% 15% 53% 7% 36% 75%
Top 3 des contenus les mieux bloqus : 1. La pornographie 2. Les jeux dargent 3. Les sites lis la drogue
62%
Enfin, Olfeo a analys la proportion des sites illicites bloqus par domaine dactivit :
FILTRAGE DES CONTENUS ILLICITES PAR DOMAINE DACTIVIT : AUCUN DOMAINE TEST EN PARFAITE CONFORMIT
77%
0% 0%
5% 8% 17% 38% 0% 20% 40% 60% 80% 100%
uvre un moyen de filtrage puisque laccs certains types de contenus est limit Aucun domaine ne limite laccs tous les types de contenus reconnus illicites en France
Centre de confrence
Tourisme : hotel et centre de vacances Bibliothque Mdiathque Bar - caf - restauration rapide Administration
55%
uniquement la pornographie et les sites faisant la promotion et de la vente de drogues Top 3 des domaines dactivit qui bloquent le plus les accs du contenu illicite : 1. Administration 2. Muse 3. Bar caf et restauration Les domaines dactivits tests qui nont dploy aucun moyen de filtrage : Les espaces publics Les centres de confrence
Le cas particulier de la protection des mineurs Il existe plus spcifiquement des lois en matire de protection des mineurs. Une organisation mettant disposition du public son accs Internet doit veiller ce que les mineurs naient pas accs aux contenus violents, pornographiques, aux jeux dargents ou encore aux sites faisant la promotion ou proposant la vente dalcool et de tabac Olfeo a tout dabord vrifi si les organisations testes taient en mesure didentifier un public mineur afin bloquer les accs spcifiquement interdits ces populations comme lexige la loi. Puis Olfeo a test deux sites distincts propres chaque type de contenus li la protection des mineurs.
contenus
0% 6% 6%
des organisations testes bloquent les des organisations testes bloquent les des organisations testes bloquent les des organisations testes bloquent les des organisations testes bloquent les
contenus lis lalcool et le tabac contenus sur les armes Contle de l'age du visiteur Aucun contrle 97% jeux dargent en ligne
15% 48%
42%
6%
dentre-elles sont en
mesure de respecter parfaitement lobligation dauthentifier et de conserver les logs de connexion internet de leur visiteur.
INFORMATION
67%
14%
dentre elles mentionnent les dispositions imposs par la loi informatiques et Liberts.
Avoir les moyens de diffuser et de faire valider chaque visiteur ce que lon appelle communment une charte WiFI prsentant les conditions dutilisation ainsi que les mentions imposes par la loi informatiques et Liberts.
FILTRAGE
48% des organisations limitent certains accs Internet et sont donc en mesure de filtrer mais 100% dentre elles ne filtrent
pas lensemble des contenus reconnus illicites en France.
Mettre en uvre un moyen de filtrage conforme la lgislation franaise et diffrent selon un profil visiteur mineur ou majeur.
propos dOlfeo
Olfeo, diteur franais dune solution de proxy et de filtrage de contenus Internet, est une socit indpendante base Paris. Avec plus de 10 ans dexpertise dans le domaine de la scurit Internet, Olfeo dveloppe une solution adapte aux besoins des entreprises et des administrations franaises grce une approche innovante base sur la proximit culturelle. Olfeo garantit ainsi ses clients une protection juridique optimale, une qualit de filtrage ingale, une haute scurit du systme dinformation et lassociation des utilisateurs la politique de scurit de lentreprise. La solution Olfeo permet aux entreprises et administrations de matriser les accs Internet de leurs utilisateurs internes et de leurs visiteurs, grce 5 produits complmentaires : le Proxy cache QoS, le Filtrage dURL, le Filtrage protocolaire, lAntivirus de flux et le Portail public. Cette stratgie dinnovation est aujourdhui plbiscite par plus de 1 500 clients reprsentant plus de 2 millions dutilisateurs. Olfeo : www.olfeo.com