Conformité RGPD et loi française — La fonctionnalité critique

Si vous offrez le WiFi à du public, la loi française vous oblige à conserver les logs de connexion pendant 1 an (Article L34-1 du CPCE) et à respecter le RGPD. Sanctions jusqu'à 75 000 € + 4% du CA mondial. PassWiFi gère tout automatiquement.

Pillar RGPD complet · PassWiFi Connect 19,90 €

Ce que la loi impose (rappel)

Article L34-1 du CPCE (Code des postes et communications électroniques)

Toute personne qui offre au public un accès Internet doit : - Conserver les données de connexion 1 an (IP, port, horodatage, identifiants) - Pouvoir identifier chaque utilisateur (avoir un moyen de remonter à la personne) - Coopérer avec les autorités sur réquisition judiciaire

RGPD (Règlement européen 2016/679)

Quand vous collectez des données personnelles (email, etc.) via WiFi : - Information transparente avant collecte - Consentement explicite (opt-in libre, pas de cases pré-cochées) - Minimisation des données (collecter le strict nécessaire) - Sécurité (chiffrement, accès restreint) - Droits des personnes (accès, rectification, effacement, portabilité) - Registre des traitements (Article 30)

Sanctions cumulées

  • Pénales (Article L34-1) : jusqu'à 75 000 € (personne morale) + 1 an d'emprisonnement (dirigeant)
  • RGPD : jusqu'à 20 millions € OU 4% du CA mondial (le plus élevé)
  • Civiles : responsabilité en cas d'usage illicite de votre WiFi par un visiteur

Comment PassWiFi gère ça automatiquement

Hébergement souverain France

  • Tous les logs et données utilisateurs sont stockés en datacenter France Tier III
  • Aucun transfert vers les US (pas de Cloud Act applicable)
  • Conforme aux recommandations ANSSI et CNIL

Conservation automatique 1 an

  • Logs techniques (IP, port, horodatage de session) : conservés 12 mois exactement
  • Données identité civile (email, prénom, etc.) : conservées maximum 5 ans (avis CNIL 7 oct 2021)
  • Données techniques additionnelles : maximum 3 mois (principe minimisation)

Purge automatique des données expirées

Tous les jours à 03h00 du matin (heure France), notre système : - Identifie les logs > 12 mois → purge - Identifie les données identité > 5 ans → purge - Identifie les sessions inactives > 30 jours → purge des cookies

Aucune action de votre part requise. Vous pouvez vérifier dans votre espace client la "ligne de purge" du dernier cycle.

Mention RGPD obligatoire AVANT collecte

Le portail captif PassWiFi affiche AVANT la collecte d'email :

Information sur la collecte de vos données

[Votre raison sociale], en sa qualité de fournisseur d'accès Internet
au public selon l'article L34-1 du CPCE, conserve les données de
connexion de votre WiFi visiteur pendant 1 an.

Si vous acceptez le marketing, votre email sera utilisé pour vous envoyer
des offres et promotions de [Votre raison sociale]. Vous pouvez vous
désinscrire en 1 clic dans chaque email.

[ ] J'accepte de recevoir des offres marketing (case décochée par défaut)

[ Bouton : Me connecter au WiFi ]

Politique de confidentialité · Politique de cookies

Modèle de registre des traitements offert

PassWiFi fournit gratuitement un modèle de registre des activités de traitement (Article 30 RGPD) pré-rempli pour la partie WiFi visiteur :

N° du traitement : 1
Responsable : [Votre raison sociale]
Finalité : Identifier les utilisateurs WiFi visiteur (obligation légale L34-1)
 + Marketing (newsletter et promotions, opt-in)
Catégories de personnes : Visiteurs WiFi (clients de l'établissement)
Catégories de données : Email, IP, date/heure de connexion, durée
Destinataires : Autorités sur réquisition judiciaire ; PassWiFi (sous-traitant)
Durée de conservation : Logs techniques 1 an, identité 5 ans max
Mesures de sécurité : Hébergement France Tier III, chiffrement, accès restreint
Transferts hors UE : Aucun

À intégrer dans votre registre global d'entreprise.

Sécurité des données

  • Chiffrement TLS 1.3 pour les données en transit (entre le client, votre box, et nos serveurs)
  • Chiffrement at-rest des bases de données (AES-256)
  • Accès restreint aux logs : seules les autorités habilitées (sur réquisition) + vous (en tant que responsable de traitement)
  • Audit trail complet (qui a accédé à quoi, quand)

Réquisition judiciaire : procédure

Si la police / gendarmerie / justice vous demande des logs (cas réel : un visiteur a utilisé votre WiFi pour télécharger illégalement) :

  1. Vous recevez une réquisition judiciaire écrite
  2. Vous nous la transférez à judiciaire@cdconnect.fr
  3. Nous extrayons les logs concernés sous 48 h
  4. Vous transmettez aux autorités (sous votre responsabilité)
  5. Vous êtes ainsi dégagé de toute responsabilité personnelle

Sans cette conservation, vous seriez en faute pénale (75 000 €) et civilement responsable des dommages causés à autrui par le visiteur.

Audit RGPD — Que vérifier dans votre établissement ?

Checklist à jour 2026 (12 points) :

  • Authentification utilisateurs activée (portail captif)
  • Consentement RGPD avant collecte d'email
  • Logs conservés 1 an (vérifié dans dashboard)
  • Purge automatique > 1 an (vérifié dans dashboard)
  • Hébergement France
  • Séparation réseau visiteur / interne (multi-VLAN)
  • Filtrage contenus illicites
  • Mention RGPD visible avant collecte
  • Politique confidentialité accessible
  • Registre des traitements à jour (modèle fourni)
  • Procédure de réquisition documentée
  • Mise à jour annuelle du registre

Score 12/12 dès installation PassWiFi Connect.

FAQ — Conformité RGPD

Les logs sont vraiment conservés 1 an ?

Oui, c'est automatique dès activation de PassWiFi Connect. Vous pouvez vérifier dans votre espace client la "date de plus ancien log conservé" — elle doit être ≤ 12 mois mais > 11 mois (purge active).

Si je ferme mon resto, mes logs disparaissent ?

À la résiliation : nous purgeons vos données après le délai légal d'1 an (sauf réquisition judiciaire en cours). Une attestation de purge est fournie.

Comment je prouve à un audit CNIL que je suis en règle ?

PassWiFi vous fournit sur demande : - Attestation contractuelle de conformité - Modèle de registre des traitements - Justification de l'hébergement souverain France - Schéma technique de la conservation/purge

Je suis sous-traitant ou responsable de traitement ?

Vous êtes le responsable de traitement (Article 24 RGPD) — c'est vous qui décidez pour quelles finalités collecter les données. PassWiFi est sous-traitant (Article 28). Notre contrat inclut un DPA (Data Processing Agreement) qui formalise cette relation.

Je peux récupérer un export de mes logs ?

Oui. Depuis votre espace client, export CSV à tout moment (utile en cas d'audit interne ou de réquisition).

Pillar RGPD WiFi public 2026 · PassWiFi Connect 19,90 € · Tarifs · Contact