SOMMAIRE

Introduction ......................................................................................................................................................................................... 3
1. 2. 3. Contexte .......................................................................................................................................................................................................... 3 Objectifs de ltude ....................................................................................................................................................................................... 3 Mthodologie de ltude .............................................................................................................................................................................. 3

A. Les enjeux lis aux accs Internet visiteurs dans les organisations ....................................................................................... 4 B. Les rsultats de ltude ................................................................................................................................................................ 5
1. IDENTIFICATION ET CONSERVATION DES DONNES DE CONNEXION : Sassurer de lidentit de leurs visiteurs et tre en mesure de savoir qui fait quoi sur leur accs internet..................................................................................................................................................... 5
ETAPE 1 : Mettre en uvre un moyen technique ou humain permettant de collecter des informations relatives lidentit du visiteur ............ 6 TAPE 2 : Collecter et enregistrer les informations relatives lidentit du visiteur ............................................................................................................. 7 TAPE 3 : Vrifier les informations personnelles fournies par le visiteur ................................................................................................................................... 8 tape 4 : Fournir des identifiants uniques de connexion Internet par visiteur ...................................................................................................................... 9 SYNTHESE : Identification et conservation des donnes de connexion .............................................................................................................................. 10

2. 3.

INFORMATION : les organisations respectent-elles la protection de la vie prive des visiteurs ? ..................................................... 11 FILTRAGE DES ACCS INTERNET : lorganisation est-elle protge des actes illicites de ses visiteurs ? ............................................. 13
Filtrage et contenus illicites : ........................................................................................................................................................................................................ 15 Le cas particulier de la protection des mineurs ....................................................................................................................................................................... 18

C. Conclusion : Des moyens souvent insuffisants ou mal dploys .......................................................................................... 19

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 2

INTRODUCTION
1. Contexte
Aujourdhui, de nombreuses organisations ont franchi le pas et se sont quipes d'un accs Internet Wi-Fi destin leurs visiteurs, d'autres sont fortement sensibilises et projettent d'offrir ce service dans les prochains mois. Offrir un accs Internet ses prestataires, ses partenaires ou ses clients soulve des enjeux de taille notamment en matire de respect de la lgislation franaise et de risque de scurit du systme dinformation. Information des visiteurs sur les conditions daccs et le traitement de leurs donnes caractre personnel Filtrage des contenus reconnus illicites en France ou lis protection des mineurs.

Cette tude permet de dvoiler les tendances en termes de moyens mis en uvre par les organisations, puis selon les domaines dactivits , et danalyser si ces moyens sont suffisants pour tre en conformit avec la lgislation.

3. Mthodologie de ltude
Olfeo a ralis cette enqute sur le premier semestre 2013. Cette tude a t mene dans des conditions relles avec un dplacement dans chacun des lieux. Elle exprime donc la ralit. Elle porte sur une centaine de lieux offrant un accs Wi-Fi gratuit ses visiteurs. Plusieurs organisations par secteur dactivit ont t tudies afin dobtenir un rsultat exhaustif quant aux analyses par secteur. Les domaines dactivit tests sont : Les administrations, le transport (aroports, gares, mtro), les muses, les centres commerciaux, les espaces publics (parcs, places, jardins), les centres de confrence, le tourisme (htels, centres de vacances), les bibliothques et mdiathques, la restauration rapide (bars, cafs, restaurants) Pour chacune de ces trois tapes cls, Olfeo prcise le cadre juridique ainsi que les diffrentes phases danalyse.

En effet, fournir un accs Internet des visiteurs, lis contractuellement ou non lentreprise, nest pas sans danger pour une organisation. En laissant libre accs leur rseau Internet, certaines organisations permettent aux visiteurs de surfer librement avec la responsabilit de lentreprise.

2. Objectifs de ltude
Olfeo lance pour la premire fois une tude sur les pratiques des organisations qui offrent un accs Wi-Fi leurs visiteurs. Lobjectif de cette tude est de prsenter les pratiques actuelles des organisations en matire daccs leurs visiteurs et ainsi analyser dans quelles mesures elles respectent la lgislation franaise travers trois tapes cls : Identification et conservation des donnes de connexion

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 3

A. LES ENJEUX LIS AUX ACCS INTERNET VISITEURS DANS LES ORGANISATIONS
Offrir un accs Internet aux visiteurs et par extension inviter un inconnu dans le systme dinformation de son organisation nest pas sans risque. En effet, un visiteur qui dispose dun libre accs au rseau Internet de lorganisation surfe librement sous la responsabilit de lorganisation et de ses dirigeants. Si le visiteur nest pas identifi et identifiable, seule lorganisation est responsable des comportements dviants sur Internet. Aujourdhui il est obligatoire pour une entreprise ou une administration didentifier et de conserver toutes traces, logs, donnes de connexion, qui serviront de preuves pour poursuivre quelquun ou pour protger lentreprise de quelquun qui a mal agit et pour lequel la responsabilit primaire de lentreprise est engage. Dune part, lorganisation a une obligation de veiller limiter les accs Internet afin de bloquer les contenus reconnus illicites en France (jeux dargents illicites, vente de tabac). Dautre part, elle doit galement tre en mesure didentifier notamment des populations de mineurs, auprs desquels les accs Internet doivent tre spcifiquement limits pour la pornographie, les contenus violents Enfin dans la mesure o lorganisation identifie un visiteur, elle collecte des informations personnelles . Ce dernier doit tre inform des conditions daccs et de rectification ou dopposition ses donnes. Les enjeux lis aux accs Internet visiteurs reposent ainsi sur trois piliers : identification, information et filtrage.

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 4

B. LES RSULTATS DE LTUDE

1. IDENTIFICATION ET CONSERVATION DES DONNES DE CONNEXION : Sassurer de lidentit de leurs visiteurs et tre en mesure de savoir qui fait quoi sur leur accs internet
Aujourdhui, authentifier1 les utilisateurs qui naviguent sur le rseau Internet et conserver leurs donnes de connexion Internet sont des obligations lgales que les entreprises et les administrations doivent respecter pour tre en conformit avec la lgislation et ainsi pouvoir rpondre favorablement une ventuelle rquisition judicaire. Ces obligations trouvent leurs fondements dans deux textes : Article 6 de la loi pour la confiance dans lconomie numrique (LCEN) qui dispose que Les personnes qui fournissent un accs doivent conserver les donnes de nature permettre l'identification de quiconque a contribu la cration de contenus Article L. 34 du Code des postes et des communications lectroniques complt par la loi relative la lutte contre le terrorisme (2006) qui dispose que les personnes qui, au titre dune activit professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne [] y compris titre gratuit, sont soumises au respect des dispositions applicables aux oprateurs de communications lectroniques en vertu du prsent titre . Sous-entendu la LCEN, pralablement cite.

OLFEO A DONC ANALYS SI LES ORGANISATIONS QUI OFFRENT UN ACCS INTERNET UN VISITEUR SONT EN MESURE DIDENTIFIER CE VISITEUR ET DE CONSERVER SES TRACES, DONNES, LOGS DE CONNEXION TRAVERS 4 TAPES INCONTOURNABLES

ETAPE 1
Mettre en uvre un moyen technique ou humain permettant de collecter des informations relatives lidentit du visiteur

ETAPE 2
Collecter et enregistrer les informations relatives lidentit du visiteur

ETAPE 3
Vrifier les informations relatives lidentit du visiteur

ETAPE 4
Fournir des identifiants* uniques de connexion Internet par visiteur

L'authentification est la procdure qui consiste, pour un systme informatique, vrifier l'identit d'une entit : personne, ordinateur..., autrement dit de certifier lidentit. En informatique, on appelle identifiants les informati ons permettant une personne de s'identifier auprs d'un systme. Un identifiant est souvent compos dun login et dun mot de passe
1 *

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 5

ETAPE 1 : Mettre en uvre un moyen technique ou humain permettant de collecter des informations relatives lidentit du visiteur Les seuls moyens qui permettent de collecter des informations relatives lidentit dun visiteur avant quil se connecte au rseau Internet de lorganisation sont : La mise en place dun formulaire de renseignements en ligne Lobligation de demander laccs Internet une personne physique

ZOOM SUR LES RSULTATS :

LA

MAJORIT

DES

ORGANISATIONS

TESTES

INVITENT DES INCONNUS SE CONNECTER LIBREMENT LEUR RSEAU INTERNET

:
sensibiliss

Dans chaque lieu, Olfeo a test comment un visiteur se connecte au Wi-Fi de lorganisation.

42%

des

lieux

tests

semblent

limportance de sassurer de lidentit dun visiteur en proposant un formulaire en ligne ou lobligation de demander Internet une personne physique. Pour

Par quel moyen un visiteur se connecte au rseau Internet ?

18% Accs direct sans authentification Formulaire en ligne 24% 58% Demande d'accs auprs d'une personne

95%

des administrations testes, laccs systmatiquement demander

Internet est laccueil.

Top 3 des domaines dactivit tests mettant en uvre un moyen permettant de connaitre lidentit dun visiteur :
1. 2.

Administration
organisations)

et

Tourisme (95%

des

Transport (70% des organisations) 3. Centre de confrence et Espace public (50%

des organisations)

Seulement

5%

des bibliothques et mdiathques permettant de

mettent en uvre un moyen connaitre lidentit dun visiteur.

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 6

TAPE 2 : Collecter et enregistrer les informations relatives lidentit du visiteur ZOOM SUR LES RSULTATS : Bien que certaines organisations aient mis en uvre des moyens pour collecter les informations relatives lidentit de leurs visiteurs, ces informations ne sont pas ncessairement collectes et enregistres. Dans chaque lieu o un moyen de collecte dinformations est dploy, Olfeo a observ si des informations sont demandes et si celles-ci peuvent tre techniquement enregistres. Par exemple lorsquun formulaire en ligne doit tre rempli avant la connexion, Olfeo est parti du principe que ces donnes taient enregistres. De mme lorsquun visiteur doit demander son accs auprs dune personne, Olfeo a observ si des informations sont demandes et si celles-ci sont enregistres informatiquement.

DES INFORMATIONS SUR LIDENTIT DU VISITEUR GNRALEMENT ENREGISTRS LORSQUUN MOYEN TECHNIQUE OU HUMAIN EST MIS EN UVRE

Dans 71% des organisations lorsque des informations personnelles sont demandes, elles sont enregistres. Dans

80%

des cas, une personne physique ne

Des informations personnelles sur les visiteurs sont-elles collectes et enregistres ?

collecte pas et nenregistre pas dinformations personnelles sur les visiteurs. Elle fournit les identifiants de connexion soit sur un papier soit loral. Dans

domaines dactivit tests sur

aucune

information nest enregistre Top 3 des domaines dactivit tests qui enregistrent les informations relatives lidentit dun visiteur :
1. 2.

29%

Demande et enregistrement d'informations personnelles sur le visteur Aucune demande et enregistrement d'informations personnelles sur le visteur

Tourisme (97% des organisations) Administration et Transport (70%

organisations)

des

3. Espace public (50% des organisations) Les domaines dactivit tests qui ne se soucient pas de lidentit de leurs visiteurs suite cette deuxime tape : Les centres de confrence et les bibliothques mdiathques. Dans ces deux secteurs dactivit, nimporte quel visiteur peut donc faire nimporte quoi sur Internet sans risque.

71%

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 7

TAPE 3 : Vrifier les informations personnelles fournies par le visiteur ZOOM SUR LES RSULTATS : Lorsque lorganisation a collect puis enregistr les informations relatives lidentit dun visiteur, il est important de vrifier que les informations dlivres sont exactes afin de sassurer de lidentit relle du visiteur. En effet il est facile dans ces situations de fournir un faux nom, mail, il est de la responsabilit de lentreprise ou de ladministration de vrifier la validit de ces informations. Il existe plusieurs moyens pour vrifier ces informations qui offrent un degr de certitude diffrents quant cette vrification : 1. Une personne physique enregistre le numro de pice didentit du visiteur 2. Les codes de connexion sont envoys par SMS ou par mail (renseign par le visiteur) 3. Les codes de connexion sont envoys par mail (renseign par le visiteur) Olfeo a test pour chaque lieu, dans quelle mesure les informations collectes taient vrifies :

UN

VISITEUR

RESTE

UN

INCONNU

MALGR

LENREGISTREMENT DES INFORMATIONS QUIL A FOURNIES

Dans

:
des cas les informations fournies par le

70%

visiteur ne sont pas vrifies et ne permettent pas de sassurer de lidentit du visiteur. Seulement

9%

des lieux tests vrifient lexactitude

de ces informations. Classement des domaines dactivit tests qui enregistrent les informations relatives lidentit dun visiteur et les vrifient : 1. Espace public : 50% des organisations font une vrification par mail 2. Administration : 35% des organisations grce lenregistrement du numro dune pice didentit 3. Magasin et centre commercial : 8% des organisations grce lenvoi par SMS

Les informations du visiteur sont-elles vrifies ? Numro de la carte d'identit par

une personne physique 10%

Envoi des identifiants par SMS 10%

Envoi des identifiants par mail

50%

10% Aucune verification : impression de code par une personne physique Aucune vrification : accs direct Internet

67%

des domaines dactivit tests sont dsormais

20%

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 8

en incapacit didentifier clairement un visiteur la suite de cette tape : Transport Muse Centre de confrence Tourisme Bibliothque et mdiathque Bar, caf restauration rapide

tape 4 : Fournir des identifiants uniques de connexion Internet par visiteur ZOOM SUR LES RSULTATS : Lorsque des informations personnelles sont collectes, enregistres et vrifies, les organisations sont en mesure didentifier chaque visiteur. Afin de conserver les donnes de connexion nominatives de chaque visiteur, ce dernier doit disposer didentifiants uniques attachs ses donnes personnelles. Techniquement il sera ainsi possible pour lorganisation de conna tre la navigation Internet dun visiteur grce ses identifiants ddis associs son identit. Olfeo a donc test pour chaque lieu, si les identifiants de connexion fournis sont gnriques, autrement dit les mmes pour lensemble des visiteurs ou bien si ils sont uniques.

9% DES ORGANISATIONS EN MESURE DIDENTIFIER UN VISITEUR, LA MAJORIT EST EN

PARMI LES MESURE DE CONSERVER LES DONNES DE CONNEXION NOMINATIVES DE SES VISITEURS
Dans

67%

des cas, les organisations testes ayant

mis en uvre les moyens pour respecter les 3 premires tapes de cette partie de ltude fournissent des identifiants uniques associs aux visiteurs. Classement des domaines dactivit tests qui respectent la lgislation en matire didentification et de conservation de donnes de connexion : 1. Espace public (50% des organisations) 2. Administration (35% des organisations)

Types d'identifiants de connexion fournis par les organisations

33% Code gnrique Login et mot de passe unique 67%

78%

des domaines dactivit tests ne sont pas

conformes la lgislation en matire didentification et de conservation des donnes : Magasin et centre commercial Transport Muse Centre de confrence Tourisme Bibliothque et mdiathque Bar, caf restauration rapide

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 9

SYNTHESE : Identification et conservation des donnes de connexion Offrir un accs Internet des visiteurs nest pas un geste anodin et peut engager la responsabilit de lorganisation et de ses dirigeants. Au regard de cette premire analyse portant sur lidentification et la conservation des donnes de connexion Internet dun visiteur, le sujet semble loin dtre matris par les entits quel que soit le domaine dactivit.

9% des organisations leurs visiteurs.

Seulement

testes

connaissent lidentit de

100% DES ORGANISATIONS TESTES

6% des organisations testes sont en mesure didentifier lauteur dun acte illicite ou dviant sur leur
rseau Internet. Ce qui implique que dans

42% 30%

Etape 1 : Mettre en oeuvre un moyen technique ou humain permettant de collecter des informations relatives l'identit du visiteur

94% des organisations un visiteur lorganisation engage

peut naviguer librement sur Internet et adopter un comportement dviant sans tre identifiable. Seule

Etape 2 : Collecter et enregistrer les informations relatives l'identit du visiteur

sa responsabilit en cas de navigation illicite. Les espaces publics et les administrations tests semblent les plus sensibiliss ces risques puisque respectivement 50% et 35% dentre eux respectent les 4 tapes indispensables afin de protger lentreprise
et rpondre favorablement aux obligations lgales en la matire.

9%
6%

Etape 3 : Vrifier les informations personnelles fournies par le visiteur

Etape 4 : Fournir un identifiant unique chaque visiteur

lissue de ces 4 tapes, seulement

6% des
avec la

lieux tests
lgislation.

sont

en

conformit

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 10

2. INFORMATION : les organisations respectent-elles la protection de la vie prive des visiteurs ?

Lorsquune organisation authentifie ses visiteurs, elle collecte et traite ncessairement des donnes caractre personnel2 au sens de la Loi Informatique et Liberts3 pour pouvoir les identifier. Ds lors, un visiteur dont les donnes caractre personnel font lobjet dun traitement doit tre inform, au plus tard au moment de la collecte des donnes4 : De lidentit du responsable du traitement et, le cas chant, de celle de son reprsentant ; De la finalit poursuivie par le traitement ; Du caractre obligatoire ou facultatif des rponses ; Des consquences ventuelles, son gard, dun dfaut de rponse ; Des destinataires ou catgories de destinataires des donnes ; Des droits quil dtient : Le droit linformation ; Le droit daccs ; Le droit dinterrogation ; Le droit dopposition ; Le droit de rectification. Des transferts de donnes destination dun Etat non-membre de la Communaut europenne. Ces droits ont pour but dencourager la transparence dans lexploitation des donnes caractre personnel . Les personnes concernes par le traitement ont en outre le droit de sopposer, pour des motifs lgitimes, ce que des donnes caractre personnel les concernant fassent lobjet dun traitement5. Ces informations sont gnralement diffuses par le biais dune charte, appele galement charte Wi -Fi ou encore charte daccs. Il est par ailleurs vivement conseill de diffuser galement dans cette charte, les conditions gnrales dutilisation dInternet ad aptes au cas spcifique des visiteurs, autrement dit dutilisateurs qui nont aucun lien contractuel avec lorganisation. Olfeo sest donc attach dans cette seconde partie analyser si les organisations qui offrent un accs Internet aux visiteurs et qui collectent et enregistrent des donnes caractre personnel informent les visiteurs quant aux rgles daccs et leurs droits travers 2 tapes incontournables : 1. Est-ce quun moyen de diffusion dinformation est diffus aux visiteurs ? 2. Est-ce que les organisations informent les visiteurs sur les conditions daccs et leurs droits dopposition et de rectification de leurs donnes ?
Il s'agit principalement des informations qui permettent d'identifier soit directement, soit indirectement par recoupement d'informations, une personne. La loi Informatique et Liberts, vise ce que lon nomme les donnes caractre personnel et les traitements de donnes caractre personnel. 4 Loi 78-17 du 6-1-1978, art.32. 5 Loi 78-17 du 6-1-1978, art. 38.
2 3

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 11

Lorsque les donnes caractre personnel dun visiteur sont enregistres, ce dernier doit tre inform de ses droits d'accs, de modification, de rectification et de suppression de ses donnes conformment au droit Informatique et Liberts. Dans chaque lieu, Olfeo a analys dune part si un moyen permettant une diffusion dinformation tait dploy et dautre part si le contenu du document diffus expos ait les mentions obligatoires dictes par la Loi informatique et Liberts.

ZOOM SUR LES RSULTATS :

UNE COLLECTE DE DONNES CARACTRE PERSONNEL SOUVENT ILLGALE

86%

des organisations testes qui collectent et

Informations lgales aux visiteurs

enregistrent des informations personnelles sur les visiteurs le font illgalement

53%
Diffusion de conditions d'utilisation aux visiteurs 67%

des organisations qui ont les moyens de

respecter la protection de la vie prive de leurs visiteurs, puisquelles diffusent un document dinformation, ne mentionnent pas les informations relatives la loi informatique et Liberts.

Informations relatives la Loi Informatique et Liberts dans les conditions d'utilisation

14%

100%

des organisations testes qui diffusent une une

charte auprs des visiteurs, demandent validation de cette charte par le visiteur. 40% 60% 80% 100%

0%

20%

35%

des administrations et

65%

des organisations le droit

Le non-respect des obligations de la loi Informatiques et Liberts est passible de sanctions administratives et pcuniaires. Des sanctions pnales peuvent tre galement prononces en fonction de lobligation non-respecte.

du secteur du transport Informatique et Liberts.

respectent

Les autres domaines dactivit ne respectent pas la Loi Informatique et Liberts et peuvent tre notamment poursuivis par la CNIL.

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 12

3. FILTRAGE DES ACCS INTERNET : lorganisation est-elle protge des actes illicites de ses visiteurs ?
Aujourdhui, les organisations ont lobligation de limiter laccs certains contenus reconnus illicites par le droit frana is. Un site peut tre reconnu illicite au regard de son contenu ou de ce quil commercialise. Lorganisation a galement lobligation de limiter les accs auprs dun public mineur. Les types de contenus reconnus illicites en France : Type de contenu
Alcool et Tabac Condamns par la Loi Franaise Vente d'Armes Condamne par la Loi Franaise Atteinte Physique et Morale

Description
Contenu faisant la promotion de l'alcool et du tabac contrevenant l'article 2 de la loi Evin du 10 janvier 1991 et l'article L33232 du Code de la sant publique ou proposant la vente de tabac, contrevenant l'article 568 ter du Code gnral des impts ou la vente dalcool contrevenant les articles L3331-4, L3342-1 et L3342-4 du Code de la Sant Publique. Contenu proposant la vente des armes contrevenant l'article 20 du Dcret n95-589 du 6 mai 1995 relatif l'application du Dcret du 18 avril 1939 fixant le rgime des matriels de guerre, armes et munitions. Contenu incitant la pratique de jeux dangereux pour les enfants, ainsi qu' toute pratique menaant l'intgrit physique et mentale des personnes et messages violents lorsqu'ils sont susceptibles d'tre accessibles aux mineurs contrevenant l'article 22724 du Code pnal. Contenu portant provocation au suicide d'autrui ou faisant la publicit de moyens de se donner la mort (art 223-13 et 223-14 du Code pnal) Contenu proposant la vente d'objets contrefaits, contrevenant aux articles L335-2 et L335-3 du Code de la proprit intellectuelle ainsi qu' la Loi relative la contrefaon du 30 octobre 2007. Contenu attestant de pratiques de piratage informatique contrevenant aux articles 323-1 323-7 du Code Pnal. Cette catgorie intgre plus largement le piratage de tout outil de technologie de communication numrique ainsi que les sites permettant de tricher aux examens. Contenu faisant la promotion de la drogue et contrevenant notamment l'article L3421-1 du Code de la Sant publique et larticle 222-37 du Code pnal. Sont notamment intgrs les sites qui expliquent comment bien faire pousser des plantations ou acheter du matriel pour la culture et la consommation. Les associations daide aux toxicomanes sont intgres dans la catgorie Sant . Contenu proposant des jeux dargent de type casino ou loterie enfreignant l'article 56 de la Loi du 12 mai 2010 (sites non labelliss par lARJEL). Contenus pirats et liens de tlchargement de contenu pirat contrevenant notamment larticle L122 -4 du Code de la proprit intellectuelle. Contenu de logiciels Peer to Peer et serveurs associs proposant des liens pour fichier et logiciels pirats qui enfreignent

Contrefaon

Promotion Drogue

et

Vente

de

Jeux d'Argent et Casinos Condamns par la Loi Franaise Musiques, Films, Logiciels Pirats Peer to Peer

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 13

Pornographie Condamne par la Loi Franaise Racisme, Discrimination, Rvisionnisme Terrorisme, Incitation la Violence, Explosifs et Poisons Vente de Mdicaments Condamne par la Loi Franaise

notamment l'article L122-4 du Code de la proprit intellectuelle. Contenu pdopornographique contrevenant aux articles 227-22, 23, 24 du Code pnal. Contenu faisant la promotion de la prostitution et des escortes contrevenant notamment aux articles 225-4 et 225-10-1 du Code pnal. Contenu portant provocation ou incitation des crimes, dlits, haine ou violence l'gard de personnes en raison de leur origine ou de leur appartenance une ethnie, une nation, une race ou une religion, injure et diffamation raciale, contenus contestant ou faisant l'apologie des crimes de guerre, des crimes contre l'humanit (Articles 23, 24, 24 bis, 32 et 33 de la loi du 29 juillet 1881). Contenu faisant la promotion du terrorisme ou de la violence (art 421-1 422-7 du Code pnal). Cette catgorie inclut les contenus expliquant la cration d'explosifs, poisons, ... Contenu proposant la vente de mdicaments contrevenant au Code de la sant publique, notamment aux articles L4211-1et L5125 -20.

Les types de contenus illicites spcifiquement auprs des populations mineures :

Alcool et Tabac Armes, Chasse, quipement de Scurit Contenu Agressif, de Mauvais Got Jeux d'Argent, Micro Paiement, Loteries Contenu prsentant de l'alcool et/ou du tabac respectant strictement le cadre de la loi Evin du 10 janvier 1991, le code de la Sant Publique (article L3323, 3511-1, ...) Contenu traitant d'activits impliquant des armes, chasse, clubs de tirs... Cette catgorie inclut galement les sites prsentant des armes inscrites dans le cadre d'un usage lgal et contrl destination professionnelle (agents de scurit, ...). Contenu prsentant des sujets et des images agressives ou d'un got douteux. Sites de jeux d'argent et de hasard en ligne rguls par les lois du 21 mai 1836 (Prohibition des loteries), du 2 juin 1891 (les paris sur les courses de chevaux, du 12 juillet 1983 (prohibition des jeux de hasard dans une maison de jeu ou sur la voie publique) et compltes par la loi n2010-476 du 12 mai 2010 relative l'ouverture la concurrence et la rgulation du secteur des jeux d'argent et de hasard en ligne (L'ARJEL : l'Autorit de Rgulation des Jeux En Ligne). Contenu pornographique et rotique. Les sites incluant un nombre de liens publicitaires pornographiques significatifs sont aussi classs dans cette catgorie

Sexe, Pornographie

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 14

De nombreuses lois encadrent aujourdhui lusage dInternet en France et plus spcifiquement lusage illicite dInternet. Filtrage et contenus illicites : Afin de contrler si les accs aux contenus illicites sont bloqus ou autoriss, Olfeo a test 10 sites plus ou moins connus par type de contenus illicites. Parmi lensemble des organisations testes, Olfeo sest dabord intress la proportion dentits qui bloquent laccs au moins un site par type de contenus illicites :

ZOOM SUR LES RSULTATS :

FILTRAGE DES CONTENUS ILLICITES : LE PORNO ET LA DROGUE EN TTE DES CONTENUS LES PLUS BLOQUS
En moyenne 48% des organisations ont dploy un systme de filtrage afin de bloquer laccs au moins un type de contenu illicite. Dans 9% des organisations les sites de pdopornographies sont bloqus. Les organisations bloquent plus la pornographie, uniquement illicite auprs dun public mineur que la pdopornographie. Les sites faisant la promotion ou proposant de la vente dalcool et de tabac ne sont jamais bloqus.

Proportion des organisations testes qui filtrent les accs par type de contenus
Protection des mineurs : Sexe, Pornographie Types de contenus illicites en France Vente de Mdicaments Condamne par la Loi 6% 48%

Terrorisme, Incitation la Violence, Explosifs et

Racisme, Discrimination, Rvisionnisme Pornographie Condamne par la Loi Franaise Peer to Peer Musiques, Films, Logiciels Pirats Jeux d'Argent et Casinos Condamns par la Loi Promotion et Vente de Drogue Contrefaon Atteinte Physique et Morale Vente d'Armes Condamne par la Loi Franaise Alcool et Tabac Condamns par la Loi Franaise 0% 0%

6%
6% 9% 3% 3% 6% 45% 3% 15% 6%

Top 3 des contenus les plus bloqus : 1. La pornographie (qui rappelons-le nest illicite que pour les mineurs) 2. Promotion et vente de drogue 3. Atteinte physique et morale

20%

40%

60%

80%

100%

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 15

ZOOM SUR LES RSULTATS : Puis, parmi les organisations testes qui filtrent les contenus, Olfeo a mesur sur les 10 sites tests, combien taient bloqus. Naturellement les contenus lis lalcool et le tabac ne sont pas analyss ici puisquaucune organisation ne bloque ce type de contenus.

FILTRAGE DES CONTENUS ILLICITES : UN BLOCAGE DE MAUVAISE QUALIT

En moyenne 6 sites tests sur 10 sont accessibles lorsquun filtrage est mis en uvre. Seulement bloqus.

Proportion des sites tests bloqus lorsqu'un filtrage est mis en oeuvre
Protection des mineurs : Sexe, Pornographie Vente de Mdicaments Condamne par la Terrorisme, Incitation la Violence, Racisme, Discrimination, Rvisionnisme Pornographie Condamne par la Loi Franaise Peer to Peer Musiques, Films, Logiciels Pirats Jeux d'Argent et Casinos Condamns par la Promotion et Vente de Drogue Contrefaon Atteinte Physique et Morale Vente d'Armes Condamne par la Loi 0% 20% 25% 40% 60% 80% 100% 18% 57% 45% 72% 22% 15% 53% 7% 36% 75%

15% des sites de pdopornographie sont

Top 3 des contenus les mieux bloqus : 1. La pornographie 2. Les jeux dargent 3. Les sites lis la drogue

8% des organisations mettent en place des filtres et

au regard de la trs faible qualit de blocage constate, le filtrage savre inefficace. Bloquer 75 % des sites pornos revient dans les faits laisser accessible cette catgorie car il sera trs facile daccder au 25 % de sites non reconnus. Les solutions utilises sont trs souvent des listes noires gratuites objectivement insuffisantes. Ce problme saggrave sur les catgories beaucoup plus difficiles comme la pdopornographie ou la contrefaon pour lesquelles les listes gratuites sont inoprantes. Aujourdhui, le choix dune solution de filtrage repose sur 3 critres : des catgories reprenant lintgralit des types de contenus illicites en France, une qualit de classement, autrement dit un classement des sites dans les bonnes catgories au regard de la loi et de la culture des utilisateurs et un taux de reconnaissance des sites lev.

62%

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 16

Enfin, Olfeo a analys la proportion des sites illicites bloqus par domaine dactivit :

ZOOM SUR LES RSULTATS :

Proportion de contenus illicites bloqus par domaine d'activit

Transport Muse Magasin / Centre commercial Espace public : Parc et jardin place 9% 5% 26%

FILTRAGE DES CONTENUS ILLICITES PAR DOMAINE DACTIVIT : AUCUN DOMAINE TEST EN PARFAITE CONFORMIT

77%

des domaines dactivit tests ont mis en

0% 0%
5% 8% 17% 38% 0% 20% 40% 60% 80% 100%

uvre un moyen de filtrage puisque laccs certains types de contenus est limit Aucun domaine ne limite laccs tous les types de contenus reconnus illicites en France

Centre de confrence
Tourisme : hotel et centre de vacances Bibliothque Mdiathque Bar - caf - restauration rapide Administration

55%

des domaines dactivit tests bloquent

uniquement la pornographie et les sites faisant la promotion et de la vente de drogues Top 3 des domaines dactivit qui bloquent le plus les accs du contenu illicite : 1. Administration 2. Muse 3. Bar caf et restauration Les domaines dactivits tests qui nont dploy aucun moyen de filtrage : Les espaces publics Les centres de confrence

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 17

Le cas particulier de la protection des mineurs Il existe plus spcifiquement des lois en matire de protection des mineurs. Une organisation mettant disposition du public son accs Internet doit veiller ce que les mineurs naient pas accs aux contenus violents, pornographiques, aux jeux dargents ou encore aux sites faisant la promotion ou proposant la vente dalcool et de tabac Olfeo a tout dabord vrifi si les organisations testes taient en mesure didentifier un public mineur afin bloquer les accs spcifiquement interdits ces populations comme lexige la loi. Puis Olfeo a test deux sites distincts propres chaque type de contenus li la protection des mineurs.

ZOOM SUR LES RSULTATS :

ACCS WI-FI VISITEUR ET PROTECTION DES MINEURS : UN CONTRLE QUASI INEXISTANT

97% des organisations testes ne sassurent pas de

lge de ses visiteurs et ne sont donc pas en mesure de rpondre favorablement aux obligations lies la protection des mineurs en termes daccs Internet Les 3% dorganisations testes qui contrlent lge de

Proportion des organisations mettant en oeuvre un moyen didentifier un public mineur

3%

leurs visiteurs bloquent

70% des types de

contenus

interdits ces populations. Dans lensemble des organisations testes : -

0% 6% 6%

des organisations testes bloquent les des organisations testes bloquent les des organisations testes bloquent les des organisations testes bloquent les des organisations testes bloquent les

contenus lis lalcool et le tabac contenus sur les armes Contle de l'age du visiteur Aucun contrle 97% jeux dargent en ligne

15% 48%

contenus agressifs contenus pornographiques

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 18

C. CONCLUSION : DES MOYENS SOUVENT INSUFFISANTS OU MAL DPLOYS

Les rsultats de cette tude dmontrent que bien souvent les moyens pour identifier, informer et filtrer sont mis en uvre mais ne sont pas exhaustifs. MOYENS METTRE EN UVRE : Mettre en uvre un moyen technique : formulaire en ligne ou outil de gestion des accs visiteurs disposition dune personne laccueil permettant : - denregistrer des donnes relatives lidentit dun visiteur et de gnrer des identifiants uniques attachs ces donnes - de transmettre ces identifiants par mail ou par SMS au visiteur - de conserver les donnes de connexion nominatives de chaque visiteur

IDENTIFICATION et CONSERVATION DES DONNES

42%

des organisations ont dploy un moyen permettant

dtre en conformit mais seulement

6%

dentre-elles sont en

mesure de respecter parfaitement lobligation dauthentifier et de conserver les logs de connexion internet de leur visiteur.

INFORMATION

67%

des organisations diffusent des conditions gnrales

dutilisation auprs de leurs visiteurs mais seulement

14%

dentre elles mentionnent les dispositions imposs par la loi informatiques et Liberts.

Avoir les moyens de diffuser et de faire valider chaque visiteur ce que lon appelle communment une charte WiFI prsentant les conditions dutilisation ainsi que les mentions imposes par la loi informatiques et Liberts.

FILTRAGE

48% des organisations limitent certains accs Internet et sont donc en mesure de filtrer mais 100% dentre elles ne filtrent
pas lensemble des contenus reconnus illicites en France.

Mettre en uvre un moyen de filtrage conforme la lgislation franaise et diffrent selon un profil visiteur mineur ou majeur.

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 19

 propos dOlfeo
Olfeo, diteur franais dune solution de proxy et de filtrage de contenus Internet, est une socit indpendante base Paris. Avec plus de 10 ans dexpertise dans le domaine de la scurit Internet, Olfeo dveloppe une solution adapte aux besoins des entreprises et des administrations franaises grce une approche innovante base sur la proximit culturelle. Olfeo garantit ainsi ses clients une protection juridique optimale, une qualit de filtrage ingale, une haute scurit du systme dinformation et lassociation des utilisateurs la politique de scurit de lentreprise. La solution Olfeo permet aux entreprises et administrations de matriser les accs Internet de leurs utilisateurs internes et de leurs visiteurs, grce 5 produits complmentaires : le Proxy cache QoS, le Filtrage dURL, le Filtrage protocolaire, lAntivirus de flux et le Portail public. Cette stratgie dinnovation est aujourdhui plbiscite par plus de 1 500 clients reprsentant plus de 2 millions dutilisateurs. Olfeo : www.olfeo.com

tude Olfeo 2013 : Accs Wi-Fi visiteurs - Septembre 2013 Page 20