Etude Olfeo 2013 Acces Wi-Fi visiteurs

Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 2

SOMMAIRE

Introduction ......................................................................................................................................................................................... 3

1. Contexte .......................................................................................................................................................................................................... 3

2. Objectifs de l’étude ....................................................................................................................................................................................... 3

3. Méthodologie de l’étude .............................................................................................................................................................................. 3

A. Les enjeux liés aux accès Internet visiteurs dans les organisations ....................................................................................... 4

B. Les résultats de l’étude ................................................................................................................................................................ 5

1. IDENTIFICATION ET CONSERVATION DES DONNÉES DE CONNEXION : S’assurer de l’identité de leurs visiteurs et être en mesure

de savoir qui fait quoi sur leur accès internet ..................................................................................................................................................... 5

ETAPE 1 : Mettre en œuvre un moyen technique ou humain permettant de collecter des informations relatives à l’identité du visiteur ............ 6

ÉTAPE 2 : Collecter et enregistrer les informations relatives à l’identité du visiteur ............................................................................................................. 7

ÉTAPE 3 : Vérifier les informations personnelles fournies par le visiteur ................................................................................................................................... 8

Étape 4 : Fournir des identifiants uniques de connexion Internet par visiteur ...................................................................................................................... 9

SYNTHESE : Identification et conservation des données de connexion .............................................................................................................................. 10

2. INFORMATION : les organisations respectent-elles la protection de la vie privée des visiteurs ? ..................................................... 11

3. FILTRAGE DES ACCÈS INTERNET : l’organisation est-elle protégée des actes illicites de ses visiteurs ? ............................................. 13

Filtrage et contenus illicites : ........................................................................................................................................................................................................ 15

Le cas particulier de la protection des mineurs ....................................................................................................................................................................... 18

C. Conclusion : Des moyens souvent insuffisants ou mal déployés .......................................................................................... 19


INTRODUCTION

1. Contexte

Aujourd’hui, de nombreuses organisations ont franchi le pas et se sont

équipées d'un accès Internet Wi-Fi destiné à leurs visiteurs, d'autres sont

fortement sensibilisées et projettent d'offrir ce service dans les prochains

mois.

Offrir un accès Internet à ses prestataires, ses partenaires ou ses clients

soulève des enjeux de taille notamment en matière de respect de la

législation française et de risque de sécurité du système d’information.

En effet, fournir un accès Internet à des visiteurs, liés

contractuellement ou non à l’entreprise, n’est pas sans danger pour

une organisation. En laissant libre accès à leur réseau Internet,

certaines organisations permettent aux visiteurs de surfer librement

avec la responsabilité de l’entreprise.

2. Objectifs de l’étude

Olfeo lance pour la première fois une étude sur les pratiques des

organisations qui offrent un accès Wi-Fi à leurs visiteurs.

L’objectif de cette étude est de présenter les pratiques actuelles des

organisations en matière d’accès à leurs visiteurs et ainsi analyser dans

quelles mesures elles respectent la législation française à travers trois

étapes clés :

- Identification et conservation des données de connexion

- Information des visiteurs sur les conditions d’accès et le

traitement de leurs données à caractère personnel

- Filtrage des contenus reconnus illicites en France ou liés à

protection des mineurs.

Cette étude permet de dévoiler les tendances en termes de moyens

mis en œuvre par les organisations, puis selon les domaines d’activités,

et d’analyser si ces moyens sont suffisants pour être en conformité avec

la législation.

3. Méthodologie de l’étude

Olfeo a réalisé cette enquête sur le premier semestre 2013. Cette

étude a été menée dans des conditions réelles avec un

déplacement dans chacun des lieux. Elle exprime donc la réalité.

Elle porte sur une centaine de lieux offrant un accès Wi-Fi gratuit à ses

visiteurs.

Plusieurs organisations par secteur d’activité ont été étudiées afin

d’obtenir un résultat exhaustif quant aux analyses par secteur.

Les domaines d’activité testés sont : Les administrations, le transport

(aéroports, gares, métro…), les musées, les centres commerciaux, les

espaces publics (parcs, places, jardins…), les centres de

conférence, le tourisme (hôtels, centres de vacances…), les

bibliothèques et médiathèques, la restauration rapide (bars, cafés,

restaurants…)

Pour chacune de ces trois étapes clés, Olfeo précise le cadre

juridique ainsi que les différentes phases d’analyse.


A. LES ENJEUX LIÉS AUX ACCÈS INTERNET VISITEURS DANS LES ORGANISATIONS

Offrir un accès Internet aux visiteurs et par extension inviter un inconnu

dans le système d’information de son organisation n’est pas sans risque.

En effet, un visiteur qui dispose d’un libre accès au réseau Internet de

l’organisation surfe librement sous la responsabilité de l’organisation et

de ses dirigeants. Si le visiteur n’est pas identifié et identifiable, seule

l’organisation est responsable des comportements déviants sur Internet.

Aujourd’hui il est obligatoire pour une entreprise ou une administration

d’identifier et de conserver toutes traces, logs, données de connexion,…

qui serviront de preuves pour poursuivre quelqu’un ou pour protéger

l’entreprise de quelqu’un qui a mal agit et pour lequel la responsabilité

primaire de l’entreprise est engagée.

D’une part, l’organisation a une obligation de veiller à limiter les accès

Internet afin de bloquer les contenus reconnus illicites en France (jeux

d’argents illicites, vente de tabac…).

D’autre part, elle doit également être en mesure d’identifier notamment

des populations de mineurs, auprès desquels les accès Internet doivent

être spécifiquement limités pour la pornographie, les contenus violents…

Enfin dans la mesure où l’organisation identifie un visiteur, elle collecte des informations personnelles. Ce dernier doit être informé des conditions

d’accès et de rectification ou d’opposition à ses données.

Les enjeux liés aux accès Internet visiteurs reposent ainsi sur trois piliers : identification, information et filtrage.


B. LES RÉSULTATS DE L’ÉTUDE

1. IDENTIFICATION ET CONSERVATION DES DONNÉES DE CONNEXION : S’assurer de l’identité de leurs

visiteurs et être en mesure de savoir qui fait quoi sur leur accès internet

Aujourd’hui, authentifier1 les utilisateurs qui naviguent sur le réseau Internet et conserver leurs données de connexion Internet sont des obligations

légales que les entreprises et les administrations doivent respecter pour être en conformité avec la législation et ainsi pouvoir répondre

favorablement à une éventuelle réquisition judicaire. Ces obligations trouvent leurs fondements dans deux textes :

Article 6 de la loi pour la confiance dans l’économie numérique (LCEN) qui dispose que « Les personnes qui fournissent un accès doivent

conserver les données de nature à permettre l'identification de quiconque a contribué à la création de contenus … »

Article L. 34 du Code des postes et des communications électroniques complété par la loi relative à la lutte contre le terrorisme (2006)

qui dispose que « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion

permettant une communication en ligne […] y compris à titre gratuit, sont soumises au respect des dispositions applicables aux

opérateurs de communications électroniques en vertu du présent titre ». Sous-entendu la LCEN, préalablement citée.

OLFEO A DONC ANALYSÉ SI LES ORGANISATIONS QUI OFFRENT UN ACCÈS INTERNET À UN VISITEUR SONT EN MESURE D’IDENTIFIER CE VISITEUR ET DE CONSERVER SES

TRACES, DONNÉES, LOGS DE CONNEXION À TRAVERS 4 ÉTAPES INCONTOURNABLES :

1 L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité : personne, ordinateur..., autrement dit de certifier l‘identité. * En informatique, on appelle identifiants les informations permettant à une personne de s'identifier auprès d'un système. Un identifiant est souvent composé d’un login et d’un mot

de passe

ETAPE 1

Mettre en œuvre un moyen technique ou humain permettant

de collecter des informations relatives à l’identité du visiteur

ETAPE 2

Collecter et enregistrer les

informations relatives à l’identité du visiteur

ETAPE 3

Vérifier les informations

relatives à l’identité du visiteur

ETAPE 4

Fournir des identifiants* uniques

de connexion à Internet par visiteur


ETAPE 1 : Mettre en œuvre un moyen technique ou humain permettant de

collecter des informations relatives à l’identité du visiteur

Les seuls moyens qui permettent de collecter des informations relatives à l’identité d’un

visiteur avant qu’il se connecte au réseau Internet de l’organisation sont :

La mise en place d’un formulaire de renseignements en ligne

L’obligation de demander l’accès Internet à une personne physique

Dans chaque lieu, Olfeo a testé comment un visiteur se connecte au Wi-Fi de

l’organisation.

58% 24%

18%

Par quel moyen un visiteur se connecte au

réseau Internet ?

Accès direct sans authentification

Formulaire en ligne

Demande d'accès auprès d'unepersonne

LA MAJORITÉ DES ORGANISATIONS TESTÉES

INVITENT DES INCONNUS À SE CONNECTER

LIBREMENT À LEUR RÉSEAU INTERNET :

42% des lieux testés semblent sensibilisés à

l’importance de s’assurer de l’identité d’un visiteur en

proposant un formulaire en ligne ou l’obligation de

demander Internet à une personne physique.

Pour 95% des administrations testées, l’accès

Internet est systématiquement à demander à

l’accueil.

Top 3 des domaines d’activité testés mettant en

œuvre un moyen permettant de connaitre l’identité

d’un visiteur :

1. Administration et Tourisme (95% des

organisations)

2. Transport (70% des organisations)

3. Centre de conférence et Espace public (50%

des organisations)

Seulement 5% des bibliothèques et médiathèques

mettent en œuvre un moyen permettant de

connaitre l’identité d’un visiteur.

ZOOM SUR LES RÉSULTATS :


ÉTAPE 2 : Collecter et enregistrer les informations relatives à l’identité du visiteur

Bien que certaines organisations aient mis en œuvre des moyens pour collecter les

informations relatives à l’identité de leurs visiteurs, ces informations ne sont pas

nécessairement collectées et enregistrées.

Dans chaque lieu où un moyen de collecte d’informations est déployé, Olfeo a observé

si des informations sont demandées et si celles-ci peuvent être techniquement

enregistrées. Par exemple lorsqu’un formulaire en ligne doit être rempli avant la

connexion, Olfeo est parti du principe que ces données étaient enregistrées. De même

lorsqu’un visiteur doit demander son accès auprès d’une personne, Olfeo a observé si

des informations sont demandées et si celles-ci sont enregistrées informatiquement.

71%

29%

Des informations personnelles sur les visiteurs sont-elles collectées et enregistrées ?

Demande et enregistrementd'informations personnelles surle visteur

Aucune demande etenregistrement d'informationspersonnelles sur le visteur

DES INFORMATIONS SUR L’IDENTITÉ DU VISITEUR

GÉNÉRALEMENT ENREGISTRÉS LORSQU’UN MOYEN

TECHNIQUE OU HUMAIN EST MIS EN ŒUVRE :

Dans 71% des organisations lorsque des

informations personnelles sont demandées, elles sont

enregistrées.

Dans 80% des cas, une personne physique ne

collecte pas et n’enregistre pas d’informations

personnelles sur les visiteurs. Elle fournit les identifiants

de connexion soit sur un papier soit à l’oral.

Dans 2 domaines d’activité testés sur 9 aucune

information n’est enregistrée

Top 3 des domaines d’activité testés qui enregistrent

les informations relatives à l’identité d’un visiteur :

1. Tourisme (97% des organisations)

2. Administration et Transport (70% des

organisations)

3. Espace public (50% des organisations)

Les domaines d’activité testés qui ne se soucient pas

de l’identité de leurs visiteurs suite à cette deuxième

étape : Les centres de conférence et les

bibliothèques – médiathèques.

Dans ces deux secteurs d’activité, n’importe quel

visiteur peut donc faire n’importe quoi sur Internet

sans risque.



ÉTAPE 3 : Vérifier les informations personnelles fournies par le visiteur

Lorsque l’organisation a collecté puis enregistré les informations relatives à l’identité d’un

visiteur, il est important de vérifier que les informations délivrées sont exactes afin de

s’assurer de l’identité réelle du visiteur. En effet il est facile dans ces situations de fournir un

faux nom, mail, … il est de la responsabilité de l’entreprise ou de l’administration de vérifier

la validité de ces informations.

Il existe plusieurs moyens pour vérifier ces informations qui offrent un degré de certitude

différents quant à cette vérification :

1. Une personne physique enregistre le numéro de pièce d’identité du visiteur

2. Les codes de connexion sont envoyés par SMS ou par mail (renseigné par le visiteur)

3. Les codes de connexion sont envoyés par mail (renseigné par le visiteur)

Olfeo a testé pour chaque lieu, dans quelle mesure les informations collectées étaient

vérifiées :

10%

10%

10%

20%

50%

Les informations du visiteur sont-elles vérifiées ? Numéro de la carte d'identité par

une personne physique

Envoi des identifiants par SMS

Envoi des identifiants par mail

Aucune verification : impressionde code par une personnephysiqueAucune vérification : accès directà Internet

UN VISITEUR RESTE UN INCONNU MALGRÉ

L’ENREGISTREMENT DES INFORMATIONS QU’IL A

FOURNIES :

Dans 70% des cas les informations fournies par le

visiteur ne sont pas vérifiées et ne permettent pas de

s’assurer de l’identité du visiteur.

Seulement 9% des lieux testés vérifient l’exactitude

de ces informations.

Classement des domaines d’activité testés qui

enregistrent les informations relatives à l’identité d’un

visiteur et les vérifient :

1. Espace public : 50% des organisations font

une vérification par mail

2. Administration : 35% des organisations grâce

à l’enregistrement du numéro d’une pièce

d’identité

3. Magasin et centre commercial : 8% des

organisations grâce à l’envoi par SMS

67% des domaines d’activité testés sont désormais

en incapacité d’identifier clairement un visiteur à la

suite de cette étape :

- Transport

- Musée

- Centre de conférence

- Tourisme

- Bibliothèque et médiathèque

- Bar, café restauration rapide



Étape 4 : Fournir des identifiants uniques de connexion Internet par visiteur

Lorsque des informations personnelles sont collectées, enregistrées et vérifiées, les

organisations sont en mesure d’identifier chaque visiteur.

Afin de conserver les données de connexion nominatives de chaque visiteur, ce dernier doit

disposer d’identifiants uniques attachés à ses données personnelles. Techniquement il sera

ainsi possible pour l’organisation de connaître la navigation Internet d’un visiteur grâce à

ses identifiants dédiés associés à son identité.

Olfeo a donc testé pour chaque lieu, si les identifiants de connexion fournis sont génériques,

autrement dit les mêmes pour l’ensemble des visiteurs ou bien si ils sont uniques.

33%

67%

Types d'identifiants de connexion fournis par les organisations

Code générique

Login et mot de passe unique

PARMI LES 9% DES ORGANISATIONS EN MESURE

D’IDENTIFIER UN VISITEUR, LA MAJORITÉ EST EN

MESURE DE CONSERVER LES DONNÉES DE

CONNEXION NOMINATIVES DE SES VISITEURS

Dans 67% des cas, les organisations testées ayant

mis en œuvre les moyens pour respecter les 3

premières étapes de cette partie de l’étude

fournissent des identifiants uniques associés aux

visiteurs.

Classement des domaines d’activité testés qui

respectent la législation en matière d’identification et

de conservation de données de connexion :

1. Espace public (50% des organisations)

2. Administration (35% des organisations)

78% des domaines d’activité testés ne sont pas

conformes à la législation en matière d’identification

et de conservation des données :

- Magasin et centre commercial

- Transport

- Musée

- Centre de conférence

- Tourisme

- Bibliothèque et médiathèque

- Bar, café restauration rapide



SYNTHESE : Identification et conservation des données de connexion

Offrir un accès Internet à des visiteurs n’est pas un geste anodin et peut engager la responsabilité de l’organisation et de ses dirigeants. Au

regard de cette première analyse portant sur l’identification et la conservation des données de connexion Internet d’un visiteur, le sujet semble

loin d’être maîtrisé par les entités quel que soit le domaine d’activité.

9% des organisations testées connaissent l’identité de

leurs visiteurs.

Seulement 6% des organisations testées sont en mesure

d’identifier l’auteur d’un acte illicite ou déviant sur leur

réseau Internet.

Ce qui implique que dans 94% des organisations un visiteur

peut naviguer librement sur Internet et adopter un comportement

déviant sans être identifiable. Seule l’organisation engage

sa responsabilité en cas de navigation illicite.

Les espaces publics et les administrations testés

semblent les plus sensibilisés à ces risques puisque

respectivement 50% et 35% d’entre eux respectent

les 4 étapes indispensables afin de protéger l’entreprise

et répondre favorablement aux obligations légales en la matière.

42%

•Etape 1 : Mettre en oeuvre un moyen technique ou humain permettant de collecter des informations relatives à l'identité du visiteur

30% •Etape 2 : Collecter et enregistrer les informations relatives à l'identité du visiteur

9% •Etape 3 : Vérifier les informations personnelles fournies par le visiteur

6% •Etape 4 : Fournir un identifiant unique à chaque visiteur

100% DES ORGANISATIONS TESTÉES

À l’issue de ces 4 étapes, seulement 6% des

lieux testés sont en conformité avec la

législation.


2. INFORMATION : les organisations respectent-elles la protection de la vie privée des visiteurs ?

Lorsqu’une organisation authentifie ses visiteurs, elle collecte et traite nécessairement des données à caractère personnel2 au sens de la Loi

Informatique et Libertés3 pour pouvoir les identifier.

Dès lors, un visiteur dont les données à caractère personnel font l’objet d’un traitement doit être informé, au plus tard au moment de la collecte

des données4 :

De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

De la finalité poursuivie par le traitement ;

Du caractère obligatoire ou facultatif des réponses ;

Des conséquences éventuelles, à son égard, d’un défaut de réponse ;

Des destinataires ou catégories de destinataires des données ;

Des droits qu’il détient : Le droit à l’information ; Le droit d’accès ; Le droit d’interrogation ; Le droit d’opposition ; Le droit de rectification.

Des transferts de données à destination d’un Etat non-membre de la Communauté européenne.

Ces droits ont pour but « d’encourager la transparence dans l’exploitation des données à caractère personnel ». Les personnes concernées par

le traitement ont en outre le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel les concernant fassent

l’objet d’un traitement5.

Ces informations sont généralement diffusées par le biais d’une charte, appelée également charte Wi-Fi ou encore charte d’accès.

Il est par ailleurs vivement conseillé de diffuser également dans cette charte, les conditions générales d’utilisation d’Internet adaptées au cas

spécifique des visiteurs, autrement dit d’utilisateurs qui n’ont aucun lien contractuel avec l’organisation.

Olfeo s’est donc attaché dans cette seconde partie à analyser si les organisations qui offrent un accès Internet aux visiteurs et qui collectent et

enregistrent des données à caractère personnel informent les visiteurs quant aux règles d’accès et leurs droits à travers 2 étapes

incontournables :

1. Est-ce qu’un moyen de diffusion d’information est diffusé aux visiteurs ?

2. Est-ce que les organisations informent les visiteurs sur les conditions d’accès et leurs droits d’opposition et de rectification de leurs

données ?

2 Il s'agit principalement des informations qui permettent d'identifier soit directement, soit indirectement par recoupement d'informations, une personne. 3 La loi Informatique et Libertés, vise ce que l’on nomme les données à caractère personnel et les traitements de données à caractère personnel. 4 Loi 78-17 du 6-1-1978, art.32. 5 Loi 78-17 du 6-1-1978, art. 38.


Lorsque les données à caractère personnel d’un visiteur sont enregistrées, ce dernier doit

être informé de ses droits d'accès, de modification, de rectification et de suppression de

ses données conformément au droit Informatique et Libertés.

Dans chaque lieu, Olfeo a analysé d’une part si un moyen permettant une diffusion

d’information était déployé et d’autre part si le contenu du document diffusé exposait les

mentions obligatoires dictées par la Loi informatique et Libertés.

Le non-respect des obligations de la loi Informatiques et Libertés est passible de sanctions

administratives et pécuniaires. Des sanctions pénales peuvent être également prononcées

en fonction de l’obligation non-respectée.

0% 20% 40% 60% 80% 100%

Informations relatives à la Loi Informatique etLibertés dans les conditions d'utilisation

Diffusion de conditions d'utilisation aux visiteurs

14%

67%

Informations légales aux visiteurs

UNE COLLECTE DE DONNÉES À CARACTÈRE

PERSONNEL SOUVENT ILLÉGALE :

86% des organisations testées qui collectent et

enregistrent des informations personnelles sur les

visiteurs le font illégalement

53% des organisations qui ont les moyens de

respecter la protection de la vie privée de leurs

visiteurs, puisqu’elles diffusent un document

d’information, ne mentionnent pas les informations

relatives à la loi informatique et Libertés.

100% des organisations testées qui diffusent une

charte auprès des visiteurs, demandent une

validation de cette charte par le visiteur.

35% des administrations et 65% des organisations

du secteur du transport respectent le droit

Informatique et Libertés.

Les autres domaines d’activité ne respectent pas la

Loi Informatique et Libertés et peuvent être

notamment poursuivis par la CNIL.



3. FILTRAGE DES ACCÈS INTERNET : l’organisation est-elle protégée des actes illicites de ses visiteurs ?

Aujourd’hui, les organisations ont l’obligation de limiter l’accès à certains contenus reconnus illicites par le droit frança is. Un site peut être

reconnu illicite au regard de son contenu ou de ce qu’il commercialise. L’organisation a également l’obligation de limiter les accès auprès d’un

public mineur.

Les types de contenus reconnus illicites en France :

Type de contenu Description

Alcool et Tabac

Condamnés par la Loi

Française

Contenu faisant la promotion de l'alcool et du tabac contrevenant à l'article 2 de la loi Evin du 10 janvier 1991 et à l'article L3323-

2 du Code de la santé publique ou proposant la vente de tabac, contrevenant à l'article 568 ter du Code général des impôts ou

la vente d’alcool contrevenant à les articles L3331-4, L3342-1 et L3342-4 du Code de la Santé Publique.

Vente d'Armes

Condamnée par la Loi

Française

Contenu proposant à la vente des armes contrevenant à l'article 20 du Décret n°95-589 du 6 mai 1995 relatif à l'application du

Décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions.

Atteinte Physique et Morale Contenu incitant à la pratique de jeux dangereux pour les enfants, ainsi qu'à toute pratique menaçant l'intégrité physique et

mentale des personnes et messages violents lorsqu'ils sont susceptibles d'être accessibles aux mineurs contrevenant à l'article 227-

24 du Code pénal. Contenu portant provocation au suicide d'autrui ou faisant la publicité de moyens de se donner la mort (art

223-13 et 223-14 du Code pénal)

Contrefaçon Contenu proposant la vente d'objets contrefaits, contrevenant aux articles L335-2 et L335-3 du Code de la propriété intellectuelle

ainsi qu'à la Loi relative à la contrefaçon du 30 octobre 2007. Contenu attestant de pratiques de piratage informatique

contrevenant aux articles 323-1 à 323-7 du Code Pénal. Cette catégorie intègre plus largement le piratage de tout outil de

technologie de communication numérique ainsi que les sites permettant de tricher aux examens.

Promotion et Vente de

Drogue

Contenu faisant la promotion de la drogue et contrevenant notamment à l'article L3421-1 du Code de la Santé publique et à

l’article 222-37 du Code pénal. Sont notamment intégrés les sites qui expliquent comment bien faire pousser des plantations ou

acheter du matériel pour la culture et la consommation. Les associations d’aide aux toxicomanes sont intégrées dans la

catégorie « Santé ».

Jeux d'Argent et Casinos

Condamnés par la Loi

Française

Contenu proposant des jeux d’argent de type casino ou loterie enfreignant l'article 56 de la Loi du 12 mai 2010 (sites non labellisés

par l’ARJEL).

Musiques, Films, Logiciels

Piratés

Contenus piratés et liens de téléchargement de contenu piraté contrevenant notamment à l’article L122-4 du Code de la

propriété intellectuelle.

Peer to Peer Contenu de logiciels Peer to Peer et serveurs associés proposant des liens pour fichier et logiciels piratés qui enfreignent


notamment l'article L122-4 du Code de la propriété intellectuelle.

Pornographie Condamnée

par la Loi Française

Contenu pédopornographique contrevenant aux articles 227-22, 23, 24 du Code pénal. Contenu faisant la promotion de la

prostitution et des escortes contrevenant notamment aux articles 225-4 et 225-10-1 du Code pénal.

Racisme, Discrimination,

Révisionnisme

Contenu portant provocation ou incitation à des crimes, délits, haine ou violence à l'égard de personnes en raison de leur origine

ou de leur appartenance à une ethnie, une nation, une race ou une religion, injure et diffamation raciale, contenus contestant

ou faisant l'apologie des crimes de guerre, des crimes contre l'humanité (Articles 23, 24, 24 bis, 32 et 33 de la loi du 29 juillet 1881).

Terrorisme, Incitation à la

Violence, Explosifs et

Poisons

Contenu faisant la promotion du terrorisme ou de la violence (art 421-1 à 422-7 du Code pénal). Cette catégorie inclut les

contenus expliquant la création d'explosifs, poisons, ...

Vente de Médicaments

Condamnée par la Loi

Française

Contenu proposant la vente de médicaments contrevenant au Code de la santé publique, notamment aux articles L4211-1et

L5125 -20.

Les types de contenus illicites spécifiquement auprès des populations mineures :

Alcool et Tabac Contenu présentant de l'alcool et/ou du tabac respectant strictement le cadre de la loi Evin du 10 janvier 1991, le code de la

Santé Publique (article L3323, 3511-1, ...)

Armes, Chasse, Équipement

de Sécurité

Contenu traitant d'activités impliquant des armes, chasse, clubs de tirs... Cette catégorie inclut également les sites présentant des

armes inscrites dans le cadre d'un usage légal et contrôlé à destination professionnelle (agents de sécurité, ...).

Contenu Agressif, de

Mauvais Goût Contenu présentant des sujets et des images agressives ou d'un goût douteux.

Jeux d'Argent, Micro

Paiement, Loteries

Sites de jeux d'argent et de hasard en ligne régulés par les lois du 21 mai 1836 (Prohibition des loteries), du 2 juin 1891 (les paris sur

les courses de chevaux, du 12 juillet 1983 (prohibition des jeux de hasard dans une maison de jeu ou sur la voie publique) et

complétées par la loi n°2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux

d'argent et de hasard en ligne (L'ARJEL : l'Autorité de Régulation des Jeux En Ligne).

Sexe, Pornographie Contenu pornographique et érotique. Les sites incluant un nombre de liens publicitaires pornographiques significatifs sont aussi

classés dans cette catégorie


0%

6%

15%

3%

45%

6%

3%

3%

9%

6%

6%

6%

48%

0% 20% 40% 60% 80% 100%

Alcool et Tabac Condamnés par la Loi Française

Vente d'Armes Condamnée par la Loi Française

Atteinte Physique et Morale

Contrefaçon

Promotion et Vente de Drogue

Jeux d'Argent et Casinos Condamnés par la Loi…

Musiques, Films, Logiciels Piratés

Peer to Peer

Pornographie Condamnée par la Loi Française

Racisme, Discrimination, Révisionnisme

Terrorisme, Incitation à la Violence, Explosifs et…

Vente de Médicaments Condamnée par la Loi…

Protection des mineurs : Sexe, Pornographie

Typ

es

de

co

nte

nu

s ill

icit

es

en

Fra

nce

Proportion des organisations testées qui filtrent les accès par type de contenus

De nombreuses lois encadrent aujourd’hui l’usage d’Internet en France et plus

spécifiquement l’usage illicite d’Internet.

Filtrage et contenus i l licites :

Afin de contrôler si les accès aux contenus illicites sont bloqués ou autorisés, Olfeo a testé 10

sites plus ou moins connus par type de contenus illicites.

Parmi l’ensemble des organisations testées, Olfeo s’est d’abord intéressé à la proportion

d’entités qui bloquent l’accès à au moins un site par type de contenus illicites :

FILTRAGE DES CONTENUS ILLICITES : LE PORNO ET

LA DROGUE EN TÊTE DES CONTENUS LES PLUS

BLOQUÉS

En moyenne 48% des organisations ont déployé un

système de filtrage afin de bloquer l’accès à au

moins un type de contenu illicite.

Dans 9% des organisations les sites de

pédopornographies sont bloqués. Les organisations

bloquent plus la pornographie, uniquement illicite

auprès d’un public mineur que la pédopornographie.

Les sites faisant la promotion ou proposant de la

vente d’alcool et de tabac ne sont jamais bloqués.

Top 3 des contenus les plus bloqués :

1. La pornographie (qui rappelons-le n’est

illicite que pour les mineurs)

2. Promotion et vente de drogue

3. Atteinte physique et morale



Puis, parmi les organisations testées qui filtrent les contenus, Olfeo a mesuré sur les 10 sites

testés, combien étaient bloqués. Naturellement les contenus liés à l’alcool et le tabac ne

sont pas analysés ici puisqu’aucune organisation ne bloque ce type de contenus.

25%

57%

18%

62%

72%

45%

53%

15%

22%

36%

7%

75%

0% 20% 40% 60% 80% 100%

Vente d'Armes Condamnée par la Loi…

Atteinte Physique et Morale

Contrefaçon

Promotion et Vente de Drogue

Jeux d'Argent et Casinos Condamnés par la…

Musiques, Films, Logiciels Piratés

Peer to Peer

Pornographie Condamnée par la Loi Française

Racisme, Discrimination, Révisionnisme

Terrorisme, Incitation à la Violence,…

Vente de Médicaments Condamnée par la…

Protection des mineurs : Sexe, Pornographie

Proportion des sites testés bloqués lorsqu'un filtrage est mis en oeuvre

FILTRAGE DES CONTENUS ILLICITES : UN BLOCAGE

DE MAUVAISE QUALITÉ

En moyenne 6 sites testés sur 10 sont

accessibles lorsqu’un filtrage est mis en œuvre.

Seulement 15% des sites de pédopornographie sont

bloqués.

Top 3 des contenus les mieux bloqués :

1. La pornographie

2. Les jeux d’argent

3. Les sites liés à la drogue

8% des organisations mettent en place des filtres et

au regard de la très faible qualité de blocage

constatée, le filtrage s’avère inefficace. Bloquer 75 %

des sites pornos revient dans les faits à laisser

accessible cette catégorie car il sera très facile

d’accéder au 25 % de sites non reconnus. Les

solutions utilisées sont très souvent des listes noires

gratuites objectivement insuffisantes. Ce problème

s’aggrave sur les catégories beaucoup plus difficiles

comme la pédopornographie ou la contrefaçon

pour lesquelles les listes gratuites sont inopérantes.

Aujourd’hui, le choix d’une solution de filtrage

repose sur 3 critères : des catégories reprenant

l’intégralité des types de contenus illicites en France,

une qualité de classement, autrement dit un

classement des sites dans les bonnes catégories au

regard de la loi et de la culture des utilisateurs et un

taux de reconnaissance des sites élevé.



Enfin, Olfeo a analysé la proportion des sites illicites bloqués par domaine d’activité :

FILTRAGE DES CONTENUS ILLICITES PAR DOMAINE

D’ACTIVITÉ : AUCUN DOMAINE TESTÉ EN PARFAITE

CONFORMITÉ !

77% des domaines d’activité testés ont mis en

œuvre un moyen de filtrage puisque l’accès à

certains types de contenus est limité

Aucun domaine ne limite l’accès à tous les types de

contenus reconnus illicites en France

55% des domaines d’activité testés bloquent

uniquement la pornographie et les sites faisant la

promotion et de la vente de drogues

Top 3 des domaines d’activité qui bloquent le

plus les accès à du contenu illicite :

1. Administration

2. Musée

3. Bar café et restauration

Les domaines d’activités testés qui n’ont

déployé aucun moyen de filtrage :

Les espaces publics

Les centres de conférence

38%

17%

8%

5%

0%

0%

9%

26%

5%

0% 20% 40% 60% 80% 100%

Administration

Bar - café - restauration rapide

Bibliothèque Médiathèque

Tourisme : hotel et centre de vacances

Centre de conférence

Espace public : Parc et jardin place

Magasin / Centre commercial

Musée

Transport

Proportion de contenus illicites bloqués par domaine d'activité



Le cas particulier de la protection des mineurs

Il existe plus spécifiquement des lois en matière de protection des mineurs. Une organisation

mettant à disposition du public son accès Internet doit veiller à ce que les mineurs n’aient

pas accès aux contenus violents, pornographiques, aux jeux d’argents ou encore aux sites

faisant la promotion ou proposant à la vente d’alcool et de tabac…

Olfeo a tout d’abord vérifié si les organisations testées étaient en mesure d’identifier un

public mineur afin bloquer les accès spécifiquement interdits à ces populations comme

l’exige la loi. Puis Olfeo a testé deux sites distincts propres à chaque type de contenus lié à

la protection des mineurs.

3%

97%

Proportion des organisations mettant en oeuvre un moyen d’identifier un public mineur

Contôle de l'age du visiteur

Aucun contrôle

ACCÈS WI-FI VISITEUR ET PROTECTION DES

MINEURS : UN CONTRÔLE QUASI INEXISTANT

97% des organisations testées ne s’assurent pas de

l’âge de ses visiteurs et ne sont donc pas en mesure

de répondre favorablement aux obligations liées à la

protection des mineurs en termes d’accès Internet

Les 3% d’organisations testées qui contrôlent l’âge de

leurs visiteurs bloquent 70% des types de contenus

interdits à ces populations.

Dans l’ensemble des organisations testées :

- 0% des organisations testées bloquent les

contenus liés à l’alcool et le tabac


contenus sur les armes


jeux d’argent en ligne


contenus agressifs


contenus pornographiques



C. CONCLUSION : DES MOYENS SOUVENT INSUFFISANTS OU MAL DÉPLOYÉS

Les résultats de cette étude démontrent que bien souvent les moyens pour identifier, informer et filtrer sont mis en œuvre mais ne sont pas

exhaustifs.

IDENTIFICATION et CONSERVATION DES DONNÉES

42% des organisations ont déployé un moyen permettant

d’être en conformité mais seulement 6% d’entre-elles sont en

mesure de respecter parfaitement l’obligation d’authentifier et

de conserver les logs de connexion internet de leur visiteur.

INFORMATION

67% des organisations diffusent des conditions générales

d’utilisation auprès de leurs visiteurs mais seulement 14%

d’entre elles mentionnent les dispositions imposés par la loi

informatiques et Libertés.

FILTRAGE

48% des organisations limitent certains accès Internet et sont

donc en mesure de filtrer mais 100% d’entre elles ne filtrent

pas l’ensemble des contenus reconnus illicites en France.

MOYENS À METTRE EN ŒUVRE :

Mettre en œuvre un moyen technique : formulaire en ligne

ou outil de gestion des accès visiteurs à disposition d’une

personne à l’accueil permettant :

- d’enregistrer des données relatives à l’identité d’un

visiteur et de générer des identifiants uniques

attachés à ces données

- de transmettre ces identifiants par mail ou par SMS

au visiteur

- de conserver les données de connexion

nominatives de chaque visiteur

Avoir les moyens de diffuser et de faire valider à chaque

visiteur ce que l’on appelle communément une charte Wi-

FI présentant les conditions d’utilisation ainsi que les

mentions imposées par la loi informatiques et Libertés.

Mettre en œuvre un moyen de filtrage conforme à la

législation française et différent selon un profil visiteur

mineur ou majeur.


À propos d’Olfeo

Olfeo, éditeur français d’une solution de proxy et de filtrage de contenus

Internet, est une société indépendante basée à Paris.

Avec plus de 10 ans d’expertise dans le domaine de la sécurité Internet,

Olfeo développe une solution adaptée aux besoins des entreprises et

des administrations françaises grâce à une approche innovante basée

sur la proximité culturelle.

Olfeo garantit ainsi à ses clients une protection juridique optimale, une

qualité de filtrage inégalée, une haute sécurité du système d’information

et l’association des utilisateurs à la politique de sécurité de l’entreprise.

La solution Olfeo permet aux entreprises et administrations de maîtriser

les accès Internet de leurs utilisateurs internes et de leurs visiteurs, grâce

à 5 produits complémentaires : le Proxy cache QoS, le Filtrage d’URL, le

Filtrage protocolaire, l’Antivirus de flux et le Portail public.

Cette stratégie d’innovation est aujourd’hui plébiscitée par plus de 1500

clients représentant plus de 2 millions d’utilisateurs.

Olfeo : www.olfeo.com

Technology

Etude Olfeo 2013 Acces Wi-Fi visiteurs