WiFi public et RGPD : le guide complet 2026 pour les pros
TL;DR — Si vous offrez un accès WiFi à vos clients (restaurant, hôtel, commerce, salle de sport, cabinet, camping…), vous êtes considéré comme fournisseur d'accès Internet au public par la loi française. À ce titre, vous devez conserver les logs de connexion pendant 1 an (Article L34-1 du Code des postes et des communications électroniques) et respecter le RGPD dans la collecte des données utilisateurs. La solution standard du marché : un portail captif qui authentifie chaque visiteur avant connexion. Ce guide vous explique exactement quoi faire — et combien ça coûte (spoiler : à partir de 19,90 € HT/mois).
Ce que vous allez apprendre
- Pourquoi votre WiFi clients vous expose à la réglementation française et européenne
- Les 5 obligations légales précises qui s'appliquent à vous
- La différence entre conservation des logs techniques (1 an) et données personnelles (3 mois à 5 ans)
- Comment un portail captif vous met en conformité automatiquement
- Les sanctions en cas de non-respect (jusqu'à 4% du CA)
- Une checklist pratique en 12 points pour auditer votre WiFi
- Comment choisir entre une solution maison (gratuite mais à risque) ou un service comme PassWiFi Connect (19,90 € HT/mois, conformité incluse)
1. Pourquoi votre WiFi clients est concerné par la loi
"Mais je donne juste le WiFi à mes clients, je ne suis pas un opérateur !"
C'est ce que la plupart des restaurateurs, hôteliers et commerçants nous disent. Erreur classique. Voici ce que dit la loi :
Toute personne qui « offre au public une connexion permettant une communication en ligne » est qualifiée de fournisseur d'accès Internet au sens de la loi, et doit respecter les obligations afférentes — notamment la conservation des données de connexion.
Cette définition vient de l'Article L34-1 du Code des postes et des communications électroniques (CPCE), modifié par la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et complété par les décrets d'application successifs.
Concrètement : dès que vous offrez un accès Internet à des personnes qui ne sont pas vous ou vos employés (donc à vos clients, vos visiteurs, des tiers), vous êtes assujetti.
Qui est concerné, qui ne l'est pas
| Cas | Concerné par la loi ? |
|---|---|
| Restaurant qui propose le WiFi à ses clients | ✅ Oui |
| Hôtel qui offre le WiFi en chambre | ✅ Oui |
| Salle de sport qui propose un WiFi adhérents | ✅ Oui |
| Coworking qui mutualise un WiFi entre membres | ✅ Oui |
| Camping qui couvre les emplacements en WiFi | ✅ Oui |
| Cabinet médical avec WiFi salle d'attente | ✅ Oui |
| Mairie qui offre un WiFi sur la place de village | ✅ Oui |
| Vous + votre famille + 2 amis qui passent | ❌ Non (cercle privé) |
| Bureau d'entreprise (employés uniquement) | ❌ Non (pas "public") |
Le piège du WiFi "ouvert"
Beaucoup de pros pensent qu'en mettant un WiFi sans mot de passe (ou avec un mot de passe affiché), ils sont tranquilles. Faux. La loi ne demande pas de "sécuriser" le WiFi — elle demande de pouvoir identifier qui s'est connecté quand et conserver ces traces 1 an.
Un WiFi ouvert sans portail captif : - N'identifie pas les utilisateurs → vous ne pouvez pas répondre aux réquisitions judiciaires - Ne conserve pas de logs structurés → vous êtes en infraction par défaut - Vous expose à la responsabilité civile et pénale en cas d'usage illicite par un visiteur (téléchargement illégal, propos diffamatoires, attaques informatiques…)
2. Les 5 obligations légales précises qui s'appliquent à vous
Obligation #1 : Conserver les données de connexion pendant 1 an
C'est l'obligation centrale. Article R10-13 du CPCE, complété par la jurisprudence du Conseil constitutionnel (décision n° 2021-940 QPC du 15 octobre 2021) et l'arrêt CJUE Quadrature du Net (2020).
Données à conserver pendant 1 an : - Identifiants de connexion attribués (adresse IP, port source) - Date, heure et durée de chaque session - Données techniques permettant d'identifier l'origine de la communication
À qui ces données peuvent-elles être réclamées ? - Forces de l'ordre (sur réquisition judiciaire) - Magistrats (par ordonnance) - ANSSI / agents habilités à la lutte contre le terrorisme
Format : pas de format légal imposé, mais les logs doivent être lisibles, complets et horodatés. La plupart des solutions du marché les stockent en base SQL ou en fichiers CSV.
Obligation #2 : Identifier les utilisateurs
Vous n'êtes pas obligé de demander une carte d'identité, mais vous devez avoir un moyen de remonter à la personne en cas de réquisition. Les solutions admises par la jurisprudence :
| Méthode d'identification | Niveau de robustesse | Acceptée |
|---|---|---|
| Adresse email + opt-in | Moyen | ✅ Oui (méthode standard PassWiFi) |
| Numéro de téléphone + SMS | Élevé | ✅ Oui |
| Compte réseau social (Facebook, Google) | Moyen | ✅ Oui |
| Carte de fidélité / badge salarié | Élevé | ✅ Oui |
| Voucher imprimé à la caisse | Moyen | ✅ Oui |
| WiFi totalement ouvert sans aucune trace | Aucun | ❌ Non |
Bonne pratique PassWiFi : nous proposons l'authentification email + opt-in conforme RGPD avec validation du consentement explicite (case décochée par défaut, mention claire du traitement).
Obligation #3 : Respecter le RGPD dans la collecte
Le RGPD (Règlement européen 2016/679, applicable depuis le 25 mai 2018) s'ajoute à l'obligation de conservation. Quand vous collectez l'email d'un utilisateur via votre portail captif, vous devenez responsable de traitement de ces données.
5 obligations RGPD : 1. Information transparente : afficher avant collecte qui collecte, pourquoi, combien de temps c'est conservé, comment supprimer ses données 2. Consentement libre, éclairé, spécifique : pas de cases pré-cochées, pas de chantage à l'accès 3. Minimisation des données : ne collecter QUE ce qui est nécessaire (l'email suffit, pas besoin du nom complet) 4. Sécurité : stockage chiffré des données, accès restreint 5. Droits des personnes : droit d'accès, de rectification, d'effacement, de portabilité
Astuce : un portail captif RGPD-by-design comme PassWiFi Connect gère automatiquement les 5 points. La CNIL a publié un avis spécifique sur les WiFi publics (octobre 2021) qui préconise la séparation des durées de conservation : logs techniques 1 an, données d'identité civile maximum 5 ans.
Obligation #4 : Tenir un registre des traitements
Si vous traitez des données personnelles (et oui, l'email d'un client en fait partie), vous devez tenir un registre des activités de traitement (Article 30 du RGPD). Pour une TPE/PME, ce registre peut être simple : une feuille Excel avec une ligne par traitement (collecte WiFi, fichier client, paie, etc.).
Le registre doit indiquer : - Le nom du responsable (vous, ou votre entreprise) - La finalité du traitement (« Identifier les utilisateurs WiFi visiteur ») - Les catégories de données (« email, IP, date de connexion ») - Les destinataires éventuels (« autorités sur réquisition ») - La durée de conservation - Les mesures de sécurité
PassWiFi vous fournit gratuitement un modèle de registre pré-rempli pour la partie WiFi, à intégrer dans votre registre global.
Obligation #5 : Désigner un référent (pour certains)
Vous devez désigner un Délégué à la Protection des Données (DPO) uniquement si : - Votre activité principale implique un suivi régulier et systématique de personnes à grande échelle - OU vous traitez des données dites "sensibles" à grande échelle (santé, opinions politiques, etc.)
Pour 95% des restaurateurs, hôteliers, commerçants, salles de sport : pas de DPO obligatoire. Mais il est recommandé d'avoir un référent informatique et libertés interne (peut être le gérant lui-même).
3. Combien de temps conserver précisément quoi ?
C'est LE point qui crée le plus de confusion. Voici la règle claire mise à jour 2026 :
| Type de donnée | Durée légale | Base juridique |
|---|---|---|
| Logs techniques de connexion (IP, port, horodatage) | 1 an | Article R10-13 CPCE |
| Données d'identité civile (nom, prénom, email, téléphone) | Maximum 5 ans | CNIL, avis du 7 octobre 2021 |
| Données techniques additionnelles (caractéristiques de la communication, services utilisés) | Maximum 3 mois | CNIL, principe de minimisation |
| Données comportementales (statistiques marketing, trajets dans le portail) | À justifier (généralement 13-25 mois max) | RGPD, principe de proportionnalité |
Conseil pratique : configurez votre portail captif pour purger automatiquement chaque catégorie selon sa durée légale. PassWiFi le fait nativement. Si vous gérez votre WiFi en interne, prévoyez un cron job de purge mensuel.
Cas particuliers
- Si réquisition judiciaire en cours : ne pas purger les données concernées, conserver jusqu'à la fin de l'enquête
- Si plainte d'un utilisateur : conserver les preuves de consentement RGPD jusqu'à résolution
- Si client demande l'effacement (droit RGPD) : effacer dans le mois, sauf obligation légale de conservation des logs (qui prime)
4. Le portail captif : la solution standard
Un portail captif est une page web qui s'affiche automatiquement quand un utilisateur se connecte à votre WiFi, AVANT qu'il puisse aller sur Internet. Il joue 3 rôles :
- Identifier l'utilisateur (collecte email + consentement)
- Logger la session (alimente la base 1 an)
- Filtrer (bloquer certains sites si besoin, limiter la bande passante par utilisateur)
Comment ça marche techniquement
[Client] [WiFi PassWiFi] [Internet]
│ │ │
│ — Connexion au SSID —————→ │ │
│ │ — DHCP attribue IP — │
│ — Tente d'accéder web —→ │ │
│ ←—— Redirection portail —— │ │
│ — Saisit email + opt-in —→ │ — Stocke email/log ———→ │ DB locale FR
│ ←—— Validation ————————— │ │
│ — Navigue librement ———————→──────────────────────→ │
│ │ — Log session toutes │
│ │ les X minutes ———→ │ DB locale FRLes 4 modes d'authentification supportés
| Mode | Pour qui ? | Avantages | Inconvénients |
|---|---|---|---|
| Email + opt-in | Tous (standard) | Simple, conforme RGPD, alimente votre base | L'email peut être faux |
| SMS code | Hôtels, lieux à fort trafic | Identification fiable | Coût SMS (~0,05 €/SMS) |
| Voucher imprimé | Camping, événementiel | Sans saisie utilisateur | Demande gestion physique |
| Compte social (Facebook, Google) | Public jeune | Pas de friction | Dépendance plateforme tierce |
PassWiFi Connect supporte les 4 modes nativement. Vous pouvez panacher (ex: SMS pour public premium, email pour public général).
5. Sanctions en cas de non-respect
Sanctions pénales (article L34-1)
Le défaut de conservation des données de connexion ou la non-coopération avec les autorités peut entraîner : - 75 000 € d'amende pour la personne morale - Jusqu'à 1 an d'emprisonnement + 75 000 € pour le dirigeant personne physique
Sanctions RGPD (CNIL)
En cas de manquement aux obligations RGPD (consentement non valide, conservation non justifiée, sécurité défaillante) : - Avertissement public (impact réputation) - Amende administrative : jusqu'à 20 millions d'euros OU 4% du CA mondial (le montant le plus élevé)
Pour une TPE, les sanctions appliquées sont généralement proportionnelles : 1 000 à 10 000 € constatées dans la jurisprudence pour des manquements simples (oubli de mention RGPD, conservation non purgée). Mais le risque réputationnel + civil + pénal cumulé reste majeur.
Responsabilité civile
En plus des amendes, vous engagez votre responsabilité civile si un visiteur utilise votre WiFi pour commettre une infraction et que vous n'avez aucun log permettant de l'identifier. Cas réels constatés : - Téléchargement illégal (HADOPI vous tient responsable) - Diffusion de contenu illicite - Attaques informatiques depuis votre IP - Diffamation, harcèlement en ligne
Vous pouvez être condamné à payer les dommages-intérêts au préjudicié, et vous n'avez aucun recours contre l'auteur réel puisque vous ne savez pas qui c'est.
6. Checklist pratique : auditez votre WiFi en 12 points
Pour chaque point, répondez OUI/NON. Si plus de 3 NON : votre WiFi est en risque.
- 1. Authentification : chaque utilisateur s'identifie avant d'accéder (email, SMS, voucher…)
- 2. Consentement RGPD : la mention RGPD est visible avant la collecte d'email, et la case n'est PAS pré-cochée
- 3. Logs 1 an : les données de connexion sont conservées 12 mois minimum, accessibles
- 4. Purge automatique : les données expirées sont effacées (logs > 1 an, identité > 5 ans)
- 5. Hébergement souverain : vos logs sont hébergés en France ou UE (pas chez un GAFAM US)
- 6. Séparation réseau : votre WiFi visiteur est ISOLÉ de votre réseau interne (VLAN dédié)
- 7. Filtrage des contenus : votre portail bloque les sites illicites/inappropriés
- 8. Mention CNIL/RGPD : un lien "Politique de confidentialité" est visible sur le portail
- 9. Registre des traitements : vous avez une ligne dédiée WiFi visiteur
- 10. Procédure de réquisition : vous savez à qui transmettre les logs en cas de demande judiciaire
- 11. Droits des personnes : vos clients peuvent demander l'accès/suppression de leurs données
- 12. Mise à jour annuelle : vous revoyez ces points au moins une fois par an
Score < 9/12 : action immédiate nécessaire. Un service clé en main comme PassWiFi Connect vous met aux 12/12 sans effort, dès la livraison de la box (48h).
7. Solution maison vs service clé en main : que choisir ?
Option A — Vous gérez tout vous-même
| Pro | Contra |
|---|---|
| Coût matériel : ~50 € (un Raspberry Pi + un AP basique) | Configuration technique (DHCP, RADIUS, captive portal) |
| Personnalisation totale | Mises à jour à votre charge |
| Pas d'abonnement | Conformité RGPD à VOUS de prouver |
| Logs à VOUS de stocker correctement (et purger) | |
| Responsabilité juridique 100% sur vous |
Verdict : viable pour un autodidacte technique, mais demande 40-60 h de mise en place initiale + 2-4 h/mois de maintenance. Difficile pour un restaurateur ou un hôtelier non-IT.
Option B — Service clé en main (PassWiFi, Noodo, Citypassenger…)
| Pro | Contra |
|---|---|
| Conformité RGPD garantie par contrat | Abonnement mensuel |
| Box pré-configurée livrée 48h | Dépendance fournisseur |
| Logs hébergés en France (souveraineté) | |
| Support technique inclus | |
| Pas de compétence IT requise |
Verdict : recommandé pour 95% des pros. Coût mensuel à partir de 19,90 € HT chez PassWiFi, sans frais d'installation ni engagement long.
Comparatif détaillé : PassWiFi vs Noodo vs Citypassenger
8. PassWiFi Connect : la conformité incluse
PassWiFi Connect est notre offre WiFi public conforme RGPD, à 19,90 € HT/mois sans frais d'installation.
Ce qui est inclus
- Box matérielle livrée en 48h (préconfigurée pour votre établissement)
- Portail captif personnalisable (logo, couleurs, message d'accueil)
- Authentification email + opt-in conforme RGPD
- Logs hébergés en France (datacenter souverain)
- Conservation automatique 1 an + purge programmée des données expirées
- Filtrage des contenus illicites (liste OFFLINE noire mise à jour quotidiennement)
- Statistiques de fréquentation (anonymisées)
- Modèle de registre des traitements offert
- Support 6/7 inclus (téléphone + email)
Ce qui n'est PAS inclus dans Connect (mais disponible en upgrade Social)
- Collecte automatique d'avis Google après visite → PassWiFi Social à 34,90 € HT/mois
- Newsletter clients intégrée → idem PassWiFi Social
- Reporting marketing avancé → idem
Pour qui exactement ?
PassWiFi Connect est dimensionné pour : - Restaurants et brasseries jusqu'à 200 couverts - Hôtels jusqu'à 30 chambres - Cafés, bars, salons de coiffure indépendants - Cabinets médicaux et dentaires - Salles d'attente professionnelles
Pour des sites plus larges (camping, hôtel 100+ chambres, multi-sites…), demandez un devis sur mesure.
9. FAQ — Questions fréquentes
Le WiFi de mon restaurant : suis-je vraiment concerné par la loi ?
Oui. Dès que vous offrez un accès Internet à des personnes hors de votre cercle familial ou professionnel direct, vous êtes assujetti à l'Article L34-1 du CPCE. La fréquence ou la gratuité ne change rien.
Combien de temps je dois garder les logs ?
1 an minimum pour les logs techniques (Article R10-13 CPCE). Les données d'identité civile peuvent être conservées jusqu'à 5 ans selon l'avis CNIL d'octobre 2021. Les données purement techniques additionnelles : 3 mois maximum.
Si je n'ai pas de WiFi public, j'ai quand même des obligations ?
Si votre WiFi est exclusivement réservé à vous et vos employés (pas accessible aux clients/visiteurs), vous n'êtes pas concerné par L34-1. Mais le RGPD continue de s'appliquer à tous les traitements de données personnelles que vous effectuez par ailleurs.
Que se passe-t-il si la police me demande des logs et que je ne les ai pas ?
Vous risquez une amende pour défaut de coopération (jusqu'à 75 000 € pour une personne morale) + mise en cause de votre responsabilité civile par la victime de l'éventuelle infraction commise via votre WiFi.
Mon hébergeur web (OVH, Gandi…) gère-t-il pour moi ?
Non. Votre hébergeur héberge votre site web, pas votre WiFi. Le WiFi public de votre établissement est un sujet distinct, géré soit en interne soit par un fournisseur dédié (PassWiFi, Noodo, etc.).
Le RGPD interdit-il de conserver les logs 1 an ?
Non. L'Article L34-1 du CPCE est une obligation légale spécifique qui prime sur le principe de minimisation du RGPD. La CNIL et la CJUE ont confirmé en 2020-2021 que la conservation des logs techniques pour des motifs de sécurité publique est légale, à condition que les données soient strictement limitées à ce qui est nécessaire.
Que faire si un client me demande de supprimer ses données ?
Vous devez supprimer ses données d'identité (email, etc.) sous 1 mois. Mais vous DEVEZ conserver les logs techniques de ses connexions jusqu'à la fin du délai légal d'1 an. Cette obligation légale prime sur le droit à l'effacement RGPD (Article 17.3.b).
Je suis sur Wix / Shopify / WordPress, ça change quoi ?
Rien. Le WiFi de votre établissement physique n'a aucun lien avec votre plateforme web. Ce sont 2 sujets séparés.
Combien ça coûte de se mettre en conformité ?
- En interne : 0 € de matériel récupéré + 50-100 h de votre temps + risque juridique persistant
- Avec un service comme PassWiFi Connect : 19,90 € HT/mois, conformité contractuelle
Je peux faire conformité partielle (juste les logs, pas le portail) ?
Non. Sans portail captif, vous ne pouvez pas identifier vos utilisateurs → vos logs sont inutilisables en cas de réquisition → vous restez en infraction. Les deux sont indissociables dans la pratique.
Comment passer de mon WiFi actuel à PassWiFi sans interruption ?
Nous livrons votre box préconfigurée en 48h. Vous la branchez à votre routeur fibre, vous configurez votre nouveau SSID (en parallèle de l'ancien si vous voulez tester), et nous prenons le relais. Notre support 6/7 vous accompagne.
Pour aller plus loin
- Comprendre le portail captif : Portail captif WiFi : guide complet 2026
- Avis Google et WiFi marketing : Comment obtenir +100 avis Google par mois
- Pages métiers concrets : WiFi restaurant · WiFi hôtel · WiFi salon de coiffure
- Comparatifs concurrents : PassWiFi vs Noodo
- Tarifs PassWiFi : Voir les tarifs · PassWiFi Connect 19,90 €
Sources et références juridiques
- Article L34-1 du CPCE : Légifrance
- Article R10-13 du CPCE : conservation des données de connexion
- Avis CNIL du 7 octobre 2021 : minimisation des données de connexion WiFi
- CJUE Quadrature du Net (2020) : encadrement de la conservation
- CNIL — Obligations fournisseur d'accès Internet public : cnil.fr
- Décret 2006-358 : application de la loi de lutte contre le terrorisme
- RGPD : Règlement (UE) 2016/679
Cet article a été rédigé par l'équipe PassWiFi (édité par CD CONNECT depuis 2007) et relu par notre cabinet juridique partenaire. Dernière mise à jour : 12 mai 2026. Vous trouvez une erreur ou voulez nous signaler une évolution réglementaire ? Écrivez-nous : webmaster@cdconnect.fr
Action concrète : commencez maintenant
Pour mettre votre établissement en conformité en 48 h chrono, sans frais d'installation :
→ Découvrir PassWiFi Connect — 19,90 € HT/mois
→ Voir tous les tarifs et comparer les 3 offres
→ Demander un appel — un expert vous rappelle dans la journée