Etude Olfeo 2013 Acces Wi-Fi visiteurs

1,208 views

Published on

Olfeo publie les résultats de sa première étude sur les accès Wi-Fi visiteurs en France et leur conformité à la législation.

Aujourd’hui, de nombreuses organisations ont franchi le pas et se sont équipées d'un accès Internet Wi-Fi destiné à leurs visiteurs (prestataires, partenaires ou clients) sans être forcément conscientes des enjeux de taille relatifs au respect de la législation française et aux risques de sécurité pour le système d’information.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,208
On SlideShare
0
From Embeds
0
Number of Embeds
276
Actions
Shares
0
Downloads
8
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Etude Olfeo 2013 Acces Wi-Fi visiteurs

  1. 1. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 2 SOMMAIRE Introduction.........................................................................................................................................................................................3 1. Contexte .......................................................................................................................................................................................................... 3 2. Objectifs de l’étude ....................................................................................................................................................................................... 3 3. Méthodologie de l’étude.............................................................................................................................................................................. 3 A. Les enjeux liés aux accès Internet visiteurs dans les organisations .......................................................................................4 B. Les résultats de l’étude................................................................................................................................................................5 1. IDENTIFICATION ET CONSERVATION DES DONNÉES DE CONNEXION : S’assurer de l’identité de leurs visiteurs et être en mesure de savoir qui fait quoi sur leur accès internet..................................................................................................................................................... 5 ETAPE 1 : Mettre en œuvre un moyen technique ou humain permettant de collecter des informations relatives à l’identité du visiteur ............ 6 ÉTAPE 2 : Collecter et enregistrer les informations relatives à l’identité du visiteur ............................................................................................................. 7 ÉTAPE 3 : Vérifier les informations personnelles fournies par le visiteur................................................................................................................................... 8 Étape 4 : Fournir des identifiants uniques de connexion Internet par visiteur ...................................................................................................................... 9 SYNTHESE : Identification et conservation des données de connexion .............................................................................................................................. 10 2. INFORMATION : les organisations respectent-elles la protection de la vie privée des visiteurs ? ..................................................... 11 3. FILTRAGE DES ACCÈS INTERNET : l’organisation est-elle protégée des actes illicites de ses visiteurs ? ............................................. 13 Filtrage et contenus illicites : ........................................................................................................................................................................................................ 15 Le cas particulier de la protection des mineurs....................................................................................................................................................................... 18 C. Conclusion : Des moyens souvent insuffisants ou mal déployés..........................................................................................19
  2. 2. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 3 INTRODUCTION 1. Contexte Aujourd’hui, de nombreuses organisations ont franchi le pas et se sont équipées d'un accès Internet Wi-Fi destiné à leurs visiteurs, d'autres sont fortement sensibilisées et projettent d'offrir ce service dans les prochains mois. Offrir un accès Internet à ses prestataires, ses partenaires ou ses clients soulève des enjeux de taille notamment en matière de respect de la législation française et de risque de sécurité du système d’information. En effet, fournir un accès Internet à des visiteurs, liés contractuellement ou non à l’entreprise, n’est pas sans danger pour une organisation. En laissant libre accès à leur réseau Internet, certaines organisations permettent aux visiteurs de surfer librement avec la responsabilité de l’entreprise. 2. Objectifs de l’étude Olfeo lance pour la première fois une étude sur les pratiques des organisations qui offrent un accès Wi-Fi à leurs visiteurs. L’objectif de cette étude est de présenter les pratiques actuelles des organisations en matière d’accès à leurs visiteurs et ainsi analyser dans quelles mesures elles respectent la législation française à travers trois étapes clés : - Identification et conservation des données de connexion - Information des visiteurs sur les conditions d’accès et le traitement de leurs données à caractère personnel - Filtrage des contenus reconnus illicites en France ou liés à protection des mineurs. Cette étude permet de dévoiler les tendances en termes de moyens mis en œuvre par les organisations, puis selon les domaines d’activités, et d’analyser si ces moyens sont suffisants pour être en conformité avec la législation. 3. Méthodologie de l’étude Olfeo a réalisé cette enquête sur le premier semestre 2013. Cette étude a été menée dans des conditions réelles avec un déplacement dans chacun des lieux. Elle exprime donc la réalité. Elle porte sur une centaine de lieux offrant un accès Wi-Fi gratuit à ses visiteurs. Plusieurs organisations par secteur d’activité ont été étudiées afin d’obtenir un résultat exhaustif quant aux analyses par secteur. Les domaines d’activité testés sont : Les administrations, le transport (aéroports, gares, métro…), les musées, les centres commerciaux, les espaces publics (parcs, places, jardins…), les centres de conférence, le tourisme (hôtels, centres de vacances…), les bibliothèques et médiathèques, la restauration rapide (bars, cafés, restaurants…) Pour chacune de ces trois étapes clés, Olfeo précise le cadre juridique ainsi que les différentes phases d’analyse.
  3. 3. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 4 A. LES ENJEUX LIÉS AUX ACCÈS INTERNET VISITEURS DANS LES ORGANISATIONS Offrir un accès Internet aux visiteurs et par extension inviter un inconnu dans le système d’information de son organisation n’est pas sans risque. En effet, un visiteur qui dispose d’un libre accès au réseau Internet de l’organisation surfe librement sous la responsabilité de l’organisation et de ses dirigeants. Si le visiteur n’est pas identifié et identifiable, seule l’organisation est responsable des comportements déviants sur Internet. Aujourd’hui il est obligatoire pour une entreprise ou une administration d’identifier et de conserver toutes traces, logs, données de connexion,… qui serviront de preuves pour poursuivre quelqu’un ou pour protéger l’entreprise de quelqu’un qui a mal agit et pour lequel la responsabilité primaire de l’entreprise est engagée. D’une part, l’organisation a une obligation de veiller à limiter les accès Internet afin de bloquer les contenus reconnus illicites en France (jeux d’argents illicites, vente de tabac…). D’autre part, elle doit également être en mesure d’identifier notamment des populations de mineurs, auprès desquels les accès Internet doivent être spécifiquement limités pour la pornographie, les contenus violents… Enfin dans la mesure où l’organisation identifie un visiteur, elle collecte des informations personnelles. Ce dernier doit être informé des conditions d’accès et de rectification ou d’opposition à ses données. Les enjeux liés aux accès Internet visiteurs reposent ainsi sur trois piliers : identification, information et filtrage.
  4. 4. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 5 B. LES RÉSULTATS DE L’ÉTUDE 1. IDENTIFICATION ET CONSERVATION DES DONNÉES DE CONNEXION : S’assurer de l’identité de leurs visiteurs et être en mesure de savoir qui fait quoi sur leur accès internet Aujourd’hui, authentifier1 les utilisateurs qui naviguent sur le réseau Internet et conserver leurs données de connexion Internet sont des obligations légales que les entreprises et les administrations doivent respecter pour être en conformité avec la législation et ainsi pouvoir répondre favorablement à une éventuelle réquisition judicaire. Ces obligations trouvent leurs fondements dans deux textes :  Article 6 de la loi pour la confiance dans l’économie numérique (LCEN) qui dispose que « Les personnes qui fournissent un accès doivent conserver les données de nature à permettre l'identification de quiconque a contribué à la création de contenus … »  Article L. 34 du Code des postes et des communications électroniques complété par la loi relative à la lutte contre le terrorisme (2006) qui dispose que « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne […] y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent titre ». Sous-entendu la LCEN, préalablement citée. OLFEO A DONC ANALYSÉ SI LES ORGANISATIONS QUI OFFRENT UN ACCÈS INTERNET À UN VISITEUR SONT EN MESURE D’IDENTIFIER CE VISITEUR ET DE CONSERVER SES TRACES, DONNÉES, LOGS DE CONNEXION À TRAVERS 4 ÉTAPES INCONTOURNABLES : 1 L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité : personne, ordinateur..., autrement dit de certifier l‘identité. * En informatique, on appelle identifiants les informations permettant à une personne de s'identifier auprès d'un système. Un identifiant est souvent composé d’un login et d’un mot de passe ETAPE 1 Mettre en œuvre un moyen technique ou humain permettant de collecter des informations relatives à l’identité du visiteur ETAPE 2 Collecter et enregistrer les informations relatives à l’identité du visiteur ETAPE 3 Vérifier les informations relatives à l’identité du visiteur ETAPE 4 Fournir des identifiants*uniques de connexion à Internet par visiteur
  5. 5. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 6 ETAPE 1 : Mettre en œuvre un moyen technique ou humain permettant de collecter des informations relatives à l’identité du visiteur Les seuls moyens qui permettent de collecter des informations relatives à l’identité d’un visiteur avant qu’il se connecte au réseau Internet de l’organisation sont :  La mise en place d’un formulaire de renseignements en ligne  L’obligation de demander l’accès Internet à une personne physique Dans chaque lieu, Olfeo a testé comment un visiteur se connecte au Wi-Fi de l’organisation. 58%24% 18% Par quel moyen un visiteur se connecte au réseau Internet ? Accès direct sans authentification Formulaire en ligne Demande d'accès auprès d'une personne LA MAJORITÉ DES ORGANISATIONS TESTÉES INVITENT DES INCONNUS À SE CONNECTER LIBREMENT À LEUR RÉSEAU INTERNET : 42% des lieux testés semblent sensibilisés à l’importance de s’assurer de l’identité d’un visiteur en proposant un formulaire en ligne ou l’obligation de demander Internet à une personne physique. Pour 95% des administrations testées, l’accès Internet est systématiquement à demander à l’accueil. Top 3 des domaines d’activité testés mettant en œuvre un moyen permettant de connaitre l’identité d’un visiteur : 1. Administration et Tourisme (95% des organisations) 2. Transport (70% des organisations) 3. Centre de conférence et Espace public (50% des organisations) Seulement 5% des bibliothèques et médiathèques mettent en œuvre un moyen permettant de connaitre l’identité d’un visiteur. ZOOM SUR LES RÉSULTATS :
  6. 6. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 7 ÉTAPE 2 : Collecter et enregistrer les informations relatives à l’identité du visiteur Bien que certaines organisations aient mis en œuvre des moyens pour collecter les informations relatives à l’identité de leurs visiteurs, ces informations ne sont pas nécessairement collectées et enregistrées. Dans chaque lieu où un moyen de collecte d’informations est déployé, Olfeo a observé si des informations sont demandées et si celles-ci peuvent être techniquement enregistrées. Par exemple lorsqu’un formulaire en ligne doit être rempli avant la connexion, Olfeo est parti du principe que ces données étaient enregistrées. De même lorsqu’un visiteur doit demander son accès auprès d’une personne, Olfeo a observé si des informations sont demandées et si celles-ci sont enregistrées informatiquement. 71% 29% Des informations personnelles sur les visiteurs sont-elles collectées et enregistrées ? Demande et enregistrement d'informations personnelles sur le visteur Aucune demande et enregistrement d'informations personnelles sur le visteur DES INFORMATIONS SUR L’IDENTITÉ DU VISITEUR GÉNÉRALEMENT ENREGISTRÉS LORSQU’UN MOYEN TECHNIQUE OU HUMAIN EST MIS EN ŒUVRE : Dans 71% des organisations lorsque des informations personnelles sont demandées, elles sont enregistrées. Dans 80% des cas, une personne physique ne collecte pas et n’enregistre pas d’informations personnelles sur les visiteurs. Elle fournit les identifiants de connexion soit sur un papier soit à l’oral. Dans 2 domaines d’activité testés sur 9 aucune information n’est enregistrée Top 3 des domaines d’activité testés qui enregistrent les informations relatives à l’identité d’un visiteur : 1. Tourisme (97% des organisations) 2. Administration et Transport (70% des organisations) 3. Espace public (50% des organisations) Les domaines d’activité testés qui ne se soucient pas de l’identité de leurs visiteurs suite à cette deuxième étape : Les centres de conférence et les bibliothèques – médiathèques. Dans ces deux secteurs d’activité, n’importe quel visiteur peut donc faire n’importe quoi sur Internet sans risque. ZOOM SUR LES RÉSULTATS :
  7. 7. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 8 ÉTAPE 3 : Vérifier les informations personnelles fournies par le visiteur Lorsque l’organisation a collecté puis enregistré les informations relatives à l’identité d’un visiteur, il est important de vérifier que les informations délivrées sont exactes afin de s’assurer de l’identité réelle du visiteur. En effet il est facile dans ces situations de fournir un faux nom, mail, … il est de la responsabilité de l’entreprise ou de l’administration de vérifier la validité de ces informations. Il existe plusieurs moyens pour vérifier ces informations qui offrent un degré de certitude différents quant à cette vérification : 1. Une personne physique enregistre le numéro de pièce d’identité du visiteur 2. Les codes de connexion sont envoyés par SMS ou par mail (renseigné par le visiteur) 3. Les codes de connexion sont envoyés par mail (renseigné par le visiteur) Olfeo a testé pour chaque lieu, dans quelle mesure les informations collectées étaient vérifiées : 10% 10% 10% 20% 50% Les informations du visiteur sont-elles vérifiées ? Numéro de la carte d'identité par une personne physique Envoi des identifiants par SMS Envoi des identifiants par mail Aucune verification : impression de code par une personne physique Aucune vérification : accès direct à Internet UN VISITEUR RESTE UN INCONNU MALGRÉ L’ENREGISTREMENT DES INFORMATIONS QU’IL A FOURNIES : Dans 70% des cas les informations fournies par le visiteur ne sont pas vérifiées et ne permettent pas de s’assurer de l’identité du visiteur. Seulement 9% des lieux testés vérifient l’exactitude de ces informations. Classement des domaines d’activité testés qui enregistrent les informations relatives à l’identité d’un visiteur et les vérifient : 1. Espace public : 50% des organisations font une vérification par mail 2. Administration : 35% des organisations grâce à l’enregistrement du numéro d’une pièce d’identité 3. Magasin et centre commercial : 8% des organisations grâce à l’envoi par SMS 67% des domaines d’activité testés sont désormais en incapacité d’identifier clairement un visiteur à la suite de cette étape : - Transport - Musée - Centre de conférence - Tourisme - Bibliothèque et médiathèque - Bar, café restauration rapide ZOOM SUR LES RÉSULTATS :
  8. 8. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 9 Étape 4 : Fournir des identifiants uniques de connexion Internet par visiteur Lorsque des informations personnelles sont collectées, enregistrées et vérifiées, les organisations sont en mesure d’identifier chaque visiteur. Afin de conserver les données de connexion nominatives de chaque visiteur, ce dernier doit disposer d’identifiants uniques attachés à ses données personnelles. Techniquement il sera ainsi possible pour l’organisation de connaître la navigation Internet d’un visiteur grâce à ses identifiants dédiés associés à son identité. Olfeo a donc testé pour chaque lieu, si les identifiants de connexion fournis sont génériques, autrement dit les mêmes pour l’ensemble des visiteurs ou bien si ils sont uniques. 33% 67% Types d'identifiants de connexion fournis par les organisations Code générique Login et mot de passe unique PARMI LES 9% DES ORGANISATIONS EN MESURE D’IDENTIFIER UN VISITEUR, LA MAJORITÉ EST EN MESURE DE CONSERVER LES DONNÉES DE CONNEXION NOMINATIVES DE SES VISITEURS Dans 67% des cas, les organisations testées ayant mis en œuvre les moyens pour respecter les 3 premières étapes de cette partie de l’étude fournissent des identifiants uniques associés aux visiteurs. Classement des domaines d’activité testés qui respectent la législation en matière d’identification et de conservation de données de connexion : 1. Espace public (50% des organisations) 2. Administration (35% des organisations) 78% des domaines d’activité testés ne sont pas conformes à la législation en matière d’identification et de conservation des données : - Magasin et centre commercial - Transport - Musée - Centre de conférence - Tourisme - Bibliothèque et médiathèque - Bar, café restauration rapide ZOOM SUR LES RÉSULTATS :
  9. 9. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 10 SYNTHESE : Identification et conservation des données de connexion Offrir un accès Internet à des visiteurs n’est pas un geste anodin et peut engager la responsabilité de l’organisation et de ses dirigeants. Au regard de cette première analyse portant sur l’identification et la conservation des données de connexion Internet d’un visiteur, le sujet semble loin d’être maîtrisé par les entités quel que soit le domaine d’activité. 9% des organisations testées connaissent l’identité de leurs visiteurs. Seulement 6% des organisations testées sont en mesure d’identifier l’auteur d’un acte illicite ou déviant sur leur réseau Internet. Ce qui implique que dans 94% des organisations un visiteur peut naviguer librement sur Internet et adopter un comportement déviant sans être identifiable. Seule l’organisation engage sa responsabilité en cas de navigation illicite. Les espaces publics et les administrations testés semblent les plus sensibilisés à ces risques puisque respectivement 50% et 35% d’entre eux respectent les 4 étapes indispensables afin de protéger l’entreprise et répondre favorablement aux obligations légales en la matière. 42% •Etape 1 : Mettre en oeuvre un moyen technique ou humain permettant de collecter des informations relatives à l'identité du visiteur 30% •Etape 2 : Collecter et enregistrer les informations relatives à l'identité du visiteur 9% •Etape 3 : Vérifier les informations personnelles fournies par le visiteur 6% •Etape 4 : Fournir un identifiant unique à chaque visiteur 100% DES ORGANISATIONS TESTÉES À l’issue de ces 4 étapes, seulement 6% des lieux testés sont en conformité avec la législation.
  10. 10. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 11 2. INFORMATION : les organisations respectent-elles la protection de la vie privée des visiteurs ? Lorsqu’une organisation authentifie ses visiteurs, elle collecte et traite nécessairement des données à caractère personnel2 au sens de la Loi Informatique et Libertés3 pour pouvoir les identifier. Dès lors, un visiteur dont les données à caractère personnel font l’objet d’un traitement doit être informé, au plus tard au moment de la collecte des données4 :  De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;  De la finalité poursuivie par le traitement ;  Du caractère obligatoire ou facultatif des réponses ;  Des conséquences éventuelles, à son égard, d’un défaut de réponse ;  Des destinataires ou catégories de destinataires des données ;  Des droits qu’il détient : Le droit à l’information ; Le droit d’accès ; Le droit d’interrogation ; Le droit d’opposition ; Le droit de rectification.  Des transferts de données à destination d’un Etat non-membre de la Communauté européenne. Ces droits ont pour but « d’encourager la transparence dans l’exploitation des données à caractère personnel ». Les personnes concernées par le traitement ont en outre le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel les concernant fassent l’objet d’un traitement5. Ces informations sont généralement diffusées par le biais d’une charte, appelée également charte Wi-Fi ou encore charte d’accès. Il est par ailleurs vivement conseillé de diffuser également dans cette charte, les conditions générales d’utilisation d’Internet adaptées au cas spécifique des visiteurs, autrement dit d’utilisateurs qui n’ont aucun lien contractuel avec l’organisation. Olfeo s’est donc attaché dans cette seconde partie à analyser si les organisations qui offrent un accès Internet aux visiteurs et qui collectent et enregistrent des données à caractère personnel informent les visiteurs quant aux règles d’accès et leurs droits à travers 2 étapes incontournables : 1. Est-ce qu’un moyen de diffusion d’information est diffusé aux visiteurs ? 2. Est-ce que les organisations informent les visiteurs sur les conditions d’accès et leurs droits d’opposition et de rectification de leurs données ? 2 Il s'agit principalement des informations qui permettent d'identifier soit directement, soit indirectement par recoupement d'informations, une personne. 3 La loi Informatique et Libertés, vise ce que l’on nomme les données à caractère personnel et les traitements de données à caractère personnel. 4 Loi 78-17 du 6-1-1978, art.32. 5 Loi 78-17 du 6-1-1978, art. 38.
  11. 11. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 12 Lorsque les données à caractère personnel d’un visiteur sont enregistrées, ce dernier doit être informé de ses droits d'accès, de modification, de rectification et de suppression de ses données conformément au droit Informatique et Libertés. Dans chaque lieu, Olfeo a analysé d’une part si un moyen permettant une diffusion d’information était déployé et d’autre part si le contenu du document diffusé exposait les mentions obligatoires dictées par la Loi informatique et Libertés. Le non-respect des obligations de la loi Informatiques et Libertés est passible de sanctions administratives et pécuniaires. Des sanctions pénales peuvent être également prononcées en fonction de l’obligation non-respectée. 0% 20% 40% 60% 80% 100% Informations relatives à la Loi Informatique et Libertés dans les conditions d'utilisation Diffusion de conditions d'utilisation aux visiteurs 14% 67% Informations légales aux visiteurs UNE COLLECTE DE DONNÉES À CARACTÈRE PERSONNEL SOUVENT ILLÉGALE : 86% des organisations testées qui collectent et enregistrent des informations personnelles sur les visiteurs le font illégalement 53% des organisations qui ont les moyens de respecter la protection de la vie privée de leurs visiteurs, puisqu’elles diffusent un document d’information, ne mentionnent pas les informations relatives à la loi informatique et Libertés. 100% des organisations testées qui diffusent une charte auprès des visiteurs, demandent une validation de cette charte par le visiteur. 35% des administrations et 65% des organisations du secteur du transport respectent le droit Informatique et Libertés. Les autres domaines d’activité ne respectent pas la Loi Informatique et Libertés et peuvent être notamment poursuivis par la CNIL. ZOOM SUR LES RÉSULTATS :
  12. 12. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 13 3. FILTRAGE DES ACCÈS INTERNET : l’organisation est-elle protégée des actes illicites de ses visiteurs ? Aujourd’hui, les organisations ont l’obligation de limiter l’accès à certains contenus reconnus illicites par le droit français. Un site peut être reconnu illicite au regard de son contenu ou de ce qu’il commercialise. L’organisation a également l’obligation de limiter les accès auprès d’un public mineur. Les types de contenus reconnus illicites en France : Type de contenu Description Alcool et Tabac Condamnés par la Loi Française Contenu faisant la promotion de l'alcool et du tabac contrevenant à l'article 2 de la loi Evin du 10 janvier 1991 et à l'article L3323- 2 du Code de la santé publique ou proposant la vente de tabac, contrevenant à l'article 568 ter du Code général des impôts ou la vente d’alcool contrevenant à les articles L3331-4, L3342-1 et L3342-4 du Code de la Santé Publique. Vente d'Armes Condamnée par la Loi Française Contenu proposant à la vente des armes contrevenant à l'article 20 du Décret n°95-589 du 6 mai 1995 relatif à l'application du Décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions. Atteinte Physique et Morale Contenu incitant à la pratique de jeux dangereux pour les enfants, ainsi qu'à toute pratique menaçant l'intégrité physique et mentale des personnes et messages violents lorsqu'ils sont susceptibles d'être accessibles aux mineurs contrevenant à l'article 227- 24 du Code pénal. Contenu portant provocation au suicide d'autrui ou faisant la publicité de moyens de se donner la mort (art 223-13 et 223-14 du Code pénal) Contrefaçon Contenu proposant la vente d'objets contrefaits, contrevenant aux articles L335-2 et L335-3 du Code de la propriété intellectuelle ainsi qu'à la Loi relative à la contrefaçon du 30 octobre 2007. Contenu attestant de pratiques de piratage informatique contrevenant aux articles 323-1 à 323-7 du Code Pénal. Cette catégorie intègre plus largement le piratage de tout outil de technologie de communication numérique ainsi que les sites permettant de tricher aux examens. Promotion et Vente de Drogue Contenu faisant la promotion de la drogue et contrevenant notamment à l'article L3421-1 du Code de la Santé publique et à l’article 222-37 du Code pénal. Sont notamment intégrés les sites qui expliquent comment bien faire pousser des plantations ou acheter du matériel pour la culture et la consommation. Les associations d’aide aux toxicomanes sont intégrées dans la catégorie « Santé ». Jeux d'Argent et Casinos Condamnés par la Loi Française Contenu proposant des jeux d’argent de type casino ou loterie enfreignant l'article 56 de la Loi du 12 mai 2010 (sites non labellisés par l’ARJEL). Musiques, Films, Logiciels Piratés Contenus piratés et liens de téléchargement de contenu piraté contrevenant notamment à l’article L122-4 du Code de la propriété intellectuelle. Peer to Peer Contenu de logiciels Peer to Peer et serveurs associés proposant des liens pour fichier et logiciels piratés qui enfreignent
  13. 13. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 14 notamment l'article L122-4 du Code de la propriété intellectuelle. Pornographie Condamnée par la Loi Française Contenu pédopornographique contrevenant aux articles 227-22, 23, 24 du Code pénal. Contenu faisant la promotion de la prostitution et des escortes contrevenant notamment aux articles 225-4 et 225-10-1 du Code pénal. Racisme, Discrimination, Révisionnisme Contenu portant provocation ou incitation à des crimes, délits, haine ou violence à l'égard de personnes en raison de leur origine ou de leur appartenance à une ethnie, une nation, une race ou une religion, injure et diffamation raciale, contenus contestant ou faisant l'apologie des crimes de guerre, des crimes contre l'humanité (Articles 23, 24, 24 bis, 32 et 33 de la loi du 29 juillet 1881). Terrorisme, Incitation à la Violence, Explosifs et Poisons Contenu faisant la promotion du terrorisme ou de la violence (art 421-1 à 422-7 du Code pénal). Cette catégorie inclut les contenus expliquant la création d'explosifs, poisons, ... Vente de Médicaments Condamnée par la Loi Française Contenu proposant la vente de médicaments contrevenant au Code de la santé publique, notamment aux articles L4211-1et L5125 -20. Les types de contenus illicites spécifiquement auprès des populations mineures : Alcool et Tabac Contenu présentant de l'alcool et/ou du tabac respectant strictement le cadre de la loi Evin du 10 janvier 1991, le code de la Santé Publique (article L3323, 3511-1, ...) Armes, Chasse, Équipement de Sécurité Contenu traitant d'activités impliquant des armes, chasse, clubs de tirs... Cette catégorie inclut également les sites présentant des armes inscrites dans le cadre d'un usage légal et contrôlé à destination professionnelle (agents de sécurité, ...). Contenu Agressif, de Mauvais Goût Contenu présentant des sujets et des images agressives ou d'un goût douteux. Jeux d'Argent, Micro Paiement, Loteries Sites de jeux d'argent et de hasard en ligne régulés par les lois du 21 mai 1836 (Prohibition des loteries), du 2 juin 1891 (les paris sur les courses de chevaux, du 12 juillet 1983 (prohibition des jeux de hasard dans une maison de jeu ou sur la voie publique) et complétées par la loi n°2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne (L'ARJEL : l'Autorité de Régulation des Jeux En Ligne). Sexe, Pornographie Contenu pornographique et érotique. Les sites incluant un nombre de liens publicitaires pornographiques significatifs sont aussi classés dans cette catégorie
  14. 14. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 15 0% 6% 15% 3% 45% 6% 3% 3% 9% 6% 6% 6% 48% 0% 20% 40% 60% 80% 100% Alcool et Tabac Condamnés par la Loi Française Vente d'Armes Condamnée par la Loi Française Atteinte Physique et Morale Contrefaçon Promotion et Vente de Drogue Jeux d'Argent et Casinos Condamnés par la Loi… Musiques, Films, Logiciels Piratés Peer to Peer Pornographie Condamnée par la Loi Française Racisme, Discrimination, Révisionnisme Terrorisme, Incitation à la Violence, Explosifs et… Vente de Médicaments Condamnée par la Loi… Protection des mineurs : Sexe, Pornographie TypesdecontenusillicitesenFrance Proportion des organisations testées qui filtrent les accès par type de contenus De nombreuses lois encadrent aujourd’hui l’usage d’Internet en France et plus spécifiquement l’usage illicite d’Internet. Filtrage et contenus illicites : Afin de contrôler si les accès aux contenus illicites sont bloqués ou autorisés, Olfeo a testé 10 sites plus ou moins connus par type de contenus illicites. Parmi l’ensemble des organisations testées, Olfeo s’est d’abord intéressé à la proportion d’entités qui bloquent l’accès à au moins un site par type de contenus illicites : FILTRAGE DES CONTENUS ILLICITES : LE PORNO ET LA DROGUE EN TÊTE DES CONTENUS LES PLUS BLOQUÉS En moyenne 48% des organisations ont déployé un système de filtrage afin de bloquer l’accès à au moins un type de contenu illicite. Dans 9% des organisations les sites de pédopornographies sont bloqués. Les organisations bloquent plus la pornographie, uniquement illicite auprès d’un public mineur que la pédopornographie. Les sites faisant la promotion ou proposant de la vente d’alcool et de tabac ne sont jamais bloqués. Top 3 des contenus les plus bloqués : 1. La pornographie (qui rappelons-le n’est illicite que pour les mineurs) 2. Promotion et vente de drogue 3. Atteinte physique et morale ZOOM SUR LES RÉSULTATS :
  15. 15. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 16 Puis, parmi les organisations testées qui filtrent les contenus, Olfeo a mesuré sur les 10 sites testés, combien étaient bloqués. Naturellement les contenus liés à l’alcool et le tabac ne sont pas analysés ici puisqu’aucune organisation ne bloque ce type de contenus. 25% 57% 18% 62% 72% 45% 53% 15% 22% 36% 7% 75% 0% 20% 40% 60% 80% 100% Vente d'Armes Condamnée par la Loi… Atteinte Physique et Morale Contrefaçon Promotion et Vente de Drogue Jeux d'Argent et Casinos Condamnés par la… Musiques, Films, Logiciels Piratés Peer to Peer Pornographie Condamnée par la Loi Française Racisme, Discrimination, Révisionnisme Terrorisme, Incitation à la Violence,… Vente de Médicaments Condamnée par la… Protection des mineurs : Sexe, Pornographie Proportion des sites testés bloqués lorsqu'un filtrage est mis en oeuvre FILTRAGE DES CONTENUS ILLICITES : UN BLOCAGE DE MAUVAISE QUALITÉ En moyenne 6 sites testés sur 10 sont accessibles lorsqu’un filtrage est mis en œuvre. Seulement 15% des sites de pédopornographie sont bloqués. Top 3 des contenus les mieux bloqués : 1. La pornographie 2. Les jeux d’argent 3. Les sites liés à la drogue 8% des organisations mettent en place des filtres et au regard de la très faible qualité de blocage constatée, le filtrage s’avère inefficace. Bloquer 75 % des sites pornos revient dans les faits à laisser accessible cette catégorie car il sera très facile d’accéder au 25 % de sites non reconnus. Les solutions utilisées sont très souvent des listes noires gratuites objectivement insuffisantes. Ce problème s’aggrave sur les catégories beaucoup plus difficiles comme la pédopornographie ou la contrefaçon pour lesquelles les listes gratuites sont inopérantes. Aujourd’hui, le choix d’une solution de filtrage repose sur 3 critères : des catégories reprenant l’intégralité des types de contenus illicites en France, une qualité de classement, autrement dit un classement des sites dans les bonnes catégories au regard de la loi et de la culture des utilisateurs et un taux de reconnaissance des sites élevé. ZOOM SUR LES RÉSULTATS :
  16. 16. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 17 Enfin, Olfeo a analysé la proportion des sites illicites bloqués par domaine d’activité : FILTRAGE DES CONTENUS ILLICITES PAR DOMAINE D’ACTIVITÉ : AUCUN DOMAINE TESTÉ EN PARFAITE CONFORMITÉ ! 77% des domaines d’activité testés ont mis en œuvre un moyen de filtrage puisque l’accès à certains types de contenus est limité Aucun domaine ne limite l’accès à tous les types de contenus reconnus illicites en France 55% des domaines d’activité testés bloquent uniquement la pornographie et les sites faisant la promotion et de la vente de drogues Top 3 des domaines d’activité qui bloquent le plus les accès à du contenu illicite : 1. Administration 2. Musée 3. Bar café et restauration Les domaines d’activités testés qui n’ont déployé aucun moyen de filtrage :  Les espaces publics  Les centres de conférence 38% 17% 8% 5% 0% 0% 9% 26% 5% 0% 20% 40% 60% 80% 100% Administration Bar - café - restauration rapide Bibliothèque Médiathèque Tourisme : hotel et centre de vacances Centre de conférence Espace public : Parc et jardin place Magasin / Centre commercial Musée Transport Proportion de contenus illicites bloqués par domaine d'activité ZOOM SUR LES RÉSULTATS :
  17. 17. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 18 Le cas particulier de la protection des mineurs Il existe plus spécifiquement des lois en matière de protection des mineurs. Une organisation mettant à disposition du public son accès Internet doit veiller à ce que les mineurs n’aient pas accès aux contenus violents, pornographiques, aux jeux d’argents ou encore aux sites faisant la promotion ou proposant à la vente d’alcool et de tabac… Olfeo a tout d’abord vérifié si les organisations testées étaient en mesure d’identifier un public mineur afin bloquer les accès spécifiquement interdits à ces populations comme l’exige la loi. Puis Olfeo a testé deux sites distincts propres à chaque type de contenus lié à la protection des mineurs. 3% 97% Proportion des organisations mettant en oeuvre un moyen d’identifier un public mineur Contôle de l'age du visiteur Aucun contrôle ACCÈS WI-FI VISITEUR ET PROTECTION DES MINEURS : UN CONTRÔLE QUASI INEXISTANT 97% des organisations testées ne s’assurent pas de l’âge de ses visiteurs et ne sont donc pas en mesure de répondre favorablement aux obligations liées à la protection des mineurs en termes d’accès Internet Les 3% d’organisations testées qui contrôlent l’âge de leurs visiteurs bloquent 70% des types de contenus interdits à ces populations. Dans l’ensemble des organisations testées : - 0% des organisations testées bloquent les contenus liés à l’alcool et le tabac - 6% des organisations testées bloquent les contenus sur les armes - 6% des organisations testées bloquent les jeux d’argent en ligne - 15% des organisations testées bloquent les contenus agressifs - 48% des organisations testées bloquent les contenus pornographiques ZOOM SUR LES RÉSULTATS :
  18. 18. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 19 C. CONCLUSION : DES MOYENS SOUVENT INSUFFISANTS OU MAL DÉPLOYÉS Les résultats de cette étude démontrent que bien souvent les moyens pour identifier, informer et filtrer sont mis en œuvre mais ne sont pas exhaustifs. IDENTIFICATION et CONSERVATION DES DONNÉES 42% des organisations ont déployé un moyen permettant d’être en conformité mais seulement 6% d’entre-elles sont en mesure de respecter parfaitement l’obligation d’authentifier et de conserver les logs de connexion internet de leur visiteur. INFORMATION 67% des organisations diffusent des conditions générales d’utilisation auprès de leurs visiteurs mais seulement 14% d’entre elles mentionnent les dispositions imposés par la loi informatiques et Libertés. FILTRAGE 48% des organisations limitent certains accès Internet et sont donc en mesure de filtrer mais 100% d’entre elles ne filtrent pas l’ensemble des contenus reconnus illicites en France. MOYENS À METTRE EN ŒUVRE : Mettre en œuvre un moyen technique : formulaire en ligne ou outil de gestion des accès visiteurs à disposition d’une personne à l’accueil permettant : - d’enregistrer des données relatives à l’identité d’un visiteur et de générer des identifiants uniques attachés à ces données - de transmettre ces identifiants par mail ou par SMS au visiteur - de conserver les données de connexion nominatives de chaque visiteur Avoir les moyens de diffuser et de faire valider à chaque visiteur ce que l’on appelle communément une charte Wi- FI présentant les conditions d’utilisation ainsi que les mentions imposées par la loi informatiques et Libertés. Mettre en œuvre un moyen de filtrage conforme à la législation française et différent selon un profil visiteur mineur ou majeur.
  19. 19. Étude Olfeo 2013 : Accès Wi-Fi visiteurs - Septembre 2013 – Page 20 À propos d’Olfeo Olfeo, éditeur français d’une solution de proxy et de filtrage de contenus Internet, est une société indépendante basée à Paris. Avec plus de 10 ans d’expertise dans le domaine de la sécurité Internet, Olfeo développe une solution adaptée aux besoins des entreprises et des administrations françaises grâce à une approche innovante basée sur la proximité culturelle. Olfeo garantit ainsi à ses clients une protection juridique optimale, une qualité de filtrage inégalée, une haute sécurité du système d’information et l’association des utilisateurs à la politique de sécurité de l’entreprise. La solution Olfeo permet aux entreprises et administrations de maîtriser les accès Internet de leurs utilisateurs internes et de leurs visiteurs, grâce à 5 produits complémentaires : le Proxy cache QoS, le Filtrage d’URL, le Filtrage protocolaire, l’Antivirus de flux et le Portail public. Cette stratégie d’innovation est aujourd’hui plébiscitée par plus de 1500 clients représentant plus de 2 millions d’utilisateurs. Olfeo : www.olfeo.com

×