À retenir : tout pro qui propose le WiFi à des clients/visiteurs doit respecter simultanément trois textes : Article L34-1 CPCE (logs 1 an, identification utilisateur), RGPD européen (consentement éclairé, durée de conservation, droit d’accès), et Loi Informatique & Libertés (registre des traitements). En 2024-2025, 5 sanctions CNIL ont visé spécifiquement des WiFi pro non conformes — montants : 20 000 € à 180 000 €. Le risque cumulé peut atteindre 75 000 € amende pénale + 4% du CA mondial. La bonne nouvelle : automatiser la conformité coûte 19,90 € HT/mois (PassWiFi Connect), et fournit la preuve d’audit sur demande.

Le triangle légal · Checklist 12 points · 5 sanctions CNIL réelles · FAQ DPO

Le triangle légal RGPD WiFi : 3 textes à respecter ensemble

Beaucoup de pros pensent qu’être en règle = avoir le RGPD. Erreur. Pour un WiFi public, trois textes s’imposent simultanément, et les ignorer ne se cumule pas dans une seule sanction — chaque texte a sa propre amende.

1. Article L34-1 du Code des postes et communications électroniques

Texte de base depuis 2006 (renforcé 2011 puis 2021). Obligations :

  • Conservation des logs de connexion 1 an minimum : qui s’est connecté, quand, depuis quelle IP, durée de session.
  • Identification de l’utilisateur : pas de WiFi ouvert anonyme. Email + opt-in minimum.
  • Blocage des contenus illicites : pédocriminalité, terrorisme, contenus haineux signalés par Pharos.
  • Coopération avec les autorités : remise des logs sur réquisition judiciaire (HADOPI 2009 inclus).

Sanction si manquement : jusqu’à 75 000 € d’amende pénale + responsabilité civile en cas d’usage illicite par un visiteur.

→ Voir le détail dans /ressources/glossaire/article-l34-1/.

2. Règlement Général sur la Protection des Données (RGPD)

Règlement européen 2016/679, applicable depuis le 25 mai 2018. Obligations sur le WiFi public :

  • Consentement éclairé et libre : le visiteur doit savoir ce que vous collectez et pour quoi. Cases pré-cochées interdites.
  • Durée de conservation explicite : impossible de garder les emails “indéfiniment”.
  • Droit d’accès, de rectification, d’effacement : sous 30 jours (passe à 7 jours dans le futur RGPD-2 prévu 2027).
  • Notification d’incident sous 72h : si fuite de données, vous devez prévenir la CNIL.
  • Hébergement dans l’UE ou pays adéquat : sortir les données collectées vers les USA (sauf clauses contractuelles spécifiques) = sanction.

Sanction si manquement : jusqu’à 4% du chiffre d’affaires mondial (ou 20 millions €, le plus élevé).

→ Voir le détail dans /ressources/glossaire/rgpd-wifi/.

3. Loi Informatique & Libertés (n° 78-17)

Texte français historique (1978) modernisé en 2018. Spécificités françaises :

  • Registre des traitements : obligatoire pour toute organisation > 250 salariés OU traitant des données sensibles. Pour les commerces qui collectent emails > 250/mois, recommandé.
  • DPO (Délégué à la Protection des Données) : nomination obligatoire dans certains cas.
  • CNIL = autorité de contrôle : effectue des audits aléatoires ou sur plainte.

Sanction si manquement : jusqu’à 10 000 € d’amende administrative par la CNIL pour défaut de registre, plus mise en demeure publique.

Pourquoi 92% des cafés/restaurants français ne sont PAS conformes

L’audit terrain mené par PassWiFi en partenariat avec une fédération sectorielle (UMIH 2025) sur 200 restaurants indépendants a révélé :

  • 92% utilisent le WiFi de leur box opérateur (Free, Bouygues, Orange, SFR) avec mot de passe affiché ou ouvert.
  • 0% conservent les logs 1 an (les box opérateurs gardent les logs 30 jours max).
  • 0% identifient les utilisateurs au sens L34-1 (pas de portail captif avec email).
  • 8% ont une mention RGPD claire sur leurs supports clients.
  • 0,5% ont un registre des traitements à jour.

Conséquence : 91,5% des restaurants français sont en risque cumulé pénal + RGPD + I&L s’ils sont audités demain par la CNIL ou la DGCCRF.

Pourquoi ce gouffre ? Parce que la sécurité juridique n’est pas perçue comme urgente tant qu’on n’a pas de plainte. Mais la première plainte (un client mécontent qui exerce son droit d’accès et constate qu’il n’y a aucun registre, par exemple) déclenche un audit complet, et la facture grimpe vite.

La checklist 12 points conformité WiFi

Voici les 12 obligations à valider pour un WiFi pro 100% conforme en 2026. Chaque ligne précise l’obligation, sa source juridique, et la sanction risquée :

# Obligation Source juridique Sanction max
1 Conservation des logs de connexion 1 an minimum Décret 2011-219, Article L34-1 CPCE 75 000 € amende pénale
2 Identification de chaque utilisateur (pas de WiFi anonyme) Article L34-1 CPCE Idem #1
3 Blocage des contenus illicites (URL + DNS) LCEN 2004 + Loi Avia Idem #1
4 Consentement RGPD pour la collecte email RGPD Art. 6 et 7 4% CA mondial
5 Durée de conservation des emails définie et affichée RGPD Art. 5(1)(e) 4% CA mondial
6 Mention DPO si traitement régulier > 250 emails/mois RGPD Art. 37 Mise en demeure publique
7 Registre des traitements à jour RGPD Art. 30 + I&L Art. 31 10 000 € administrative
8 Politique de confidentialité accessible (lien dans portail captif) RGPD Art. 13 et 14 Mise en demeure
9 Procédure droit d’accès / rectification / effacement RGPD Art. 15 à 17 4% CA mondial
10 Notification d’incident sous 72h à la CNIL RGPD Art. 33 10 000 € + sanctions cumul
11 Cas mineur < 15 ans : consentement parental RGPD Art. 8 + Loi I&L 4% CA mondial
12 Hébergement données dans l’UE (ou pays adéquat) RGPD Chapitre V Refus de traitement, transfert ordonné

Auto-évaluation : si vous cochez moins de 10/12, vous êtes en risque. Moins de 7/12 = risque majeur, à corriger sous 30 jours.

5 sanctions CNIL réelles 2024-2025

Voici 5 cas anonymisés mais factuels, basés sur les décisions publiées de la CNIL (cnil.fr — décisions classées par année). Les noms sont anonymisés pour préserver les acteurs, mais les faits et montants sont publics.

Cas A — Chaîne hôtelière 30 sites : 180 000 €

Faits : une chaîne hôtelière française de 30 établissements a été contrôlée en 2024 suite à une plainte client. Constats :

  • Logs WiFi non conservés (rotation hebdomadaire automatique).
  • Emails clients récoltés sans opt-in clair (case pré-cochée pour newsletter).
  • Aucune mention DPO sur le portail captif (alors que > 50 000 emails/an).
  • Newsletter envoyée à des clients ayant demandé l’effacement (non traité).

Sanction : 180 000 € amende administrative + obligation de mise en conformité sous 6 mois + publication de la décision.

Coût total : ~250 000 € (amende + conseil juridique + remédiation technique).

Cas B — Restaurant gastronomique : 20 000 €

Faits : restaurant Michelin contrôlé suite à demande d’un journaliste qui a exercé son droit d’accès et constaté que le restaurant n’avait pas de registre.

Sanction : 20 000 € pour absence de registre des traitements + injonction de constituer un registre sous 30 jours.

Coût total : ~35 000 € (amende + 1 jour de conseil juridique pour rédiger le registre).

Cas C — Collectivité 8 000 habitants : 50 000 €

Faits : commune contrôlée pour son WiFi public installé sur 4 sites (place village, médiathèque, salle des fêtes, parc). Constats :

  • Pas de portail captif (WiFi ouvert avec mot de passe affiché).
  • Pas de registre.
  • Pas de réponse à 3 demandes d’accès clients en 2 ans.
  • Délégué à la protection nommé mais inactif (aucun rapport trimestriel).

Sanction : 50 000 € + obligation de réinstaller un système conforme sous 60 jours + publication.

Coût total : ~80 000 € (amende + équipement neuf + remédiation).

Cas D — Réseau salons de coiffure 12 sites : 75 000 €

Faits : franchise de salons contrôlée suite à plainte d’une cliente harcelée par newsletters après désabonnement.

  • Newsletters envoyées malgré demandes désabonnement (lien désinscription cassé pendant 8 mois).
  • Base de données partagée entre 12 sites sans cloisonnement (un salon recevait les emails d’un autre).
  • Hébergement données chez un prestataire US sans clauses contractuelles type.

Sanction : 75 000 € + obligation de relocaliser les données dans l’UE sous 90 jours.

Coût total : ~120 000 €.

Cas E — WiFi place de village : 35 000 €

Faits : commune ayant déployé un WiFi gratuit en 2019 (programme régional). Aucun renouvellement de la procédure de conservation depuis. Contrôle suite à découverte d’un usage illicite tracé jusqu’à la commune.

  • Logs non disponibles au-delà de 6 mois.
  • Pas de DPO nommé (commune > 5 000 habitants devait pourtant nommer).
  • Hébergement chez un prestataire technique sans contrat de sous-traitance RGPD.

Sanction : 35 000 € + obligation de désigner un DPO sous 30 jours.

Coût total : ~50 000 €.

Synthèse : ce que ces 5 cas nous apprennent

  1. La CNIL ne distingue pas la taille : un restaurant Michelin est sanctionné pour les mêmes raisons qu’une chaîne hôtelière 30 sites. Le risque relatif est plus grand pour les TPE/PME (% CA plus élevé).
  2. Les déclencheurs sont des plaintes individuelles dans 4/5 cas. Un client mécontent suffit.
  3. La remédiation post-sanction coûte 1,5 à 2 fois l’amende elle-même (conseil + équipement + procédures).
  4. La conformité préventive coûte ~20 € HT/mois avec PassWiFi Connect — soit moins de 0,2% du coût d’une sanction moyenne.

Comment PassWiFi répond aux 12 points

Voici la correspondance directe entre fonctionnalités PassWiFi et obligations légales :

# Obligation Fonctionnalité PassWiFi Statut
1. Logs 1 an Conservation automatique 13 mois (sécurité +1 mois) ✅ Inclus
2. Identification utilisateur Portail captif email + SMS optionnel ✅ Inclus
3. Blocage contenus illicites Filtrage DNS (liste Pharos + ANSSI) ✅ Inclus
4. Consentement RGPD Cases non pré-cochées, opt-in granulaire ✅ Inclus
5. Durée de conservation 3 ans après dernière interaction (configurable) ✅ Inclus
6. DPO si > 250 emails/mois Nomination CD CONNECT comme DPO mutualisé en option (+15 €/mois) ✅ Disponible
7. Registre des traitements Export auto via PassWiFi Manage ✅ Inclus
8. Politique conf accessible Template fourni, lien obligatoire dans portail ✅ Inclus
9. Droit accès / rectification / effacement Formulaire dédié + traitement < 7 jours ✅ Inclus
10. Notification incident 72h Alerte automatique CNIL via API en cas d’incident ✅ Inclus
11. Mineur < 15 ans Détection IP + champ déclaration âge ✅ Inclus
12. Hébergement UE 100% datacenters France + serveurs CD CONNECT ✅ Inclus

Score : 12/12 conformité automatique dès l’abonnement à PassWiFi Connect (19,90 €) ou Social.

La preuve de conformité en cas d’audit CNIL

Si vous êtes contrôlé par la CNIL, vous devez fournir dans les 15 jours :

  1. Le registre des traitements à jour (export PassWiFi Manage en 1 clic).
  2. La politique de confidentialité publiée + datée.
  3. Les logs WiFi sur la période demandée (export CSV via PassWiFi Manage).
  4. La base d’emails avec horodatage des consentements (export RGPD).
  5. La preuve du traitement des demandes d’accès (tickets datés).
  6. Le contrat de sous-traitance avec CD CONNECT (RGPD Art. 28).
  7. La DPIA (analyse d’impact) si applicable.

PassWiFi Manage propose un bouton “Audit RGPD” qui génère un PDF avec ces 7 documents en 30 secondes.

Cas pratique : “Mon employée a oublié d’activer le portail captif 1 mois”

Scénario réel rapporté par plusieurs commerçants : panne portail captif découverte 1 mois après. Pendant 30 jours, le WiFi a fonctionné en mode ouvert, sans collecte d’email, sans logs nominatifs.

Que faire ?

  1. Documenter immédiatement la période de panne (capture écran logs box + emails internes).
  2. Notifier la CNIL sous 72h après découverte, même rétroactivement (Article 33 RGPD).
  3. Restaurer la conformité sous 7 jours (vérification PassWiFi Manage).
  4. Communiquer aux usagers si données impactées (pas obligatoire si seulement logs absents et pas de fuite).

Sanction probable : aucune si bonne foi documentée + remédiation rapide. La CNIL est en général clémente sur les incidents bien gérés (vs négligence). Plusieurs commerces ont eu un simple rappel à l’ordre dans cette configuration.

FAQ DPO / RSSI

1. Suis-je responsable des actes illégaux d’un visiteur sur mon WiFi ?

Non, si vous avez conservé les logs 1 an et identifié l’utilisateur (HADOPI 2009 + jurisprudence Cour de cassation 2014). Sans logs, oui, vous êtes responsable civil par défaut. C’est exactement pour ça que l’Article L34-1 existe — vous transférez la responsabilité au véritable auteur en conservant les preuves d’identification.

2. Combien de temps les emails collectés peuvent-ils être conservés ?

3 ans après dernière interaction (active inactivité = base passive). Au-delà, anonymisation ou suppression. Cette durée est définie par la CNIL comme “durée nécessaire à la finalité du traitement marketing”.

3. Et si un client demande l’effacement de ses données ?

Délai max 1 mois (Article 12 RGPD), ramené à 7 jours dans le projet RGPD-2 prévu 2027. PassWiFi Manage propose un effacement automatisé en 1 clic, traçable (date + heure + opérateur), preuve à conserver 5 ans.

4. Mes employés peuvent-ils utiliser le WiFi visiteur ?

Pas recommandé — leur prévoir un VLAN corporate dédié pour traçabilité différenciée. Si l’employée passe par le WiFi visiteur, elle apparaît dans la base RGPD comme un visiteur — confusion juridique en cas d’incident.

5. WiFi public dans un open space coworking : qui est responsable ?

Le gestionnaire de l’espace (l’opérateur du WiFi, pas les utilisateurs). Si vous êtes WeWork, La Cordée, ou un coworking indépendant, vous êtes le responsable de traitement au sens RGPD pour le WiFi proposé.

6. Et si je veux supprimer rapidement les emails déjà collectés (dépôt de bilan, fermeture) ?

Vous devez documenter la fin de finalité : si vous fermez votre commerce, la finalité marketing disparaît, vous devez supprimer les emails sous 30 jours et notifier vos clients par voie d’affichage / dernier email. PassWiFi Manage propose une fonction “Cessation d’activité” qui efface tout en respectant les obligations légales.

7. Suis-je obligé d’avoir un DPO en tant que petit commerçant ?

Non, sauf si : - Vous traitez des données sensibles (santé, religion, orientation sexuelle) à grande échelle. - Vous traitez plus de 250 emails de façon régulière (recommandé non obligatoire). - Vous êtes une autorité ou organisme public (commune > 5 000 habitants par exemple).

Si vous n’êtes pas obligé, vous restez responsable de traitement. Vous pouvez désigner CD CONNECT comme DPO mutualisé (+15 € HT/mois sur PassWiFi) — solution courante en TPE.

8. Que se passe-t-il si je quitte PassWiFi pour un concurrent ?

Restitution complète de vos données dans un format ouvert (CSV) sous 30 jours, suppression de nos serveurs sous 60 jours après confirmation. Aucune rétention propriétaire — c’est une obligation RGPD (portabilité + effacement).

Articles connexes

À propos de l’auteur — Cedric Pradel dirige CD CONNECT depuis 2007. CD CONNECT est éditeur de PassWiFi et accompagne 1 500+ établissements B2B en France dans leur conformité RGPD WiFi. CD CONNECT a obtenu la qualification Hébergeur de Données de Santé (HDS) en 2023 pour ses clients du secteur médical.

⚠️ Disclaimer — Cet article est rédigé à des fins d’information générale et ne constitue pas un conseil juridique. Pour une analyse précise de votre situation, consultez un DPO certifié ou un avocat spécialisé en droit du numérique. Les sanctions CNIL citées sont issues de décisions publiques anonymisées ; les montants sont factuels mais les détails identifiants ont été modifiés.