Que signifie le GDPR pour les points d’accès WiFi ?

Les utilisateurs allemands consultent leur téléphone portable en moyenne 214 fois par jour. Même en vacances, à l’hôpital, chez le médecin, en faisant du shopping, au restaurant ou à la bibliothèque, ils n’aiment pas se priver. Ceux qui ne suivent pas le mouvement risquent de perdre des clients. Cependant, les opérateurs sont confrontés à de nouvelles obligations qui sont entrées en vigueur le 25 mai 2018 avec le GDPR. La nouvelle réglementation se traduit non seulement par des amendes plus élevées qu’auparavant, mais elle fait également de l’imposition de sanctions une obligation plutôt qu’une question de discrétion.

Que devez-vous faire pour rester du bon côté de la loi ? Le processus de connexion est très important à cet égard, car c’est à ce stade que les données sont traitées. Voici les critères les plus importants :

• La base juridique : Pas de base juridique, pas de traitement des données ! Si, par exemple, un client réserve une chambre avec service WiFi, achète un billet WiFi ou si l’accès WiFi fait partie d’une adhésion à un club, d’une relation de travail ou d’une inscription à un cours universitaire, la base juridique du traitement des données de réservation est indiquée.
• Transparence et économie des données : Les responsables du traitement ne doivent traiter que les données nécessaires à la réalisation de la finalité prévue, mais pas à des fins supplémentaires telles que le marketing – et surtout pas à l’insu de la personne concernée.
• Exportation de données : Les personnes concernées doivent être informées de l’exportation de données à des tiers et y consentir. Il est interdit, par exemple, de mettre un réseau WiFi gratuit à la disposition des visiteurs d’un spa, à condition qu’ils consentent à l’exportation de leurs données. Les inscriptions, par exemple à une liste de diffusion de l’institut cosmétique affilié, doivent être indépendantes de ce service.
• Périodes de conservation : Le client doit être informé de la durée de conservation de ses données et doit avoir la possibilité de les effacer, de les rectifier, de les transférer ou de les limiter sur demande. Tout opérateur a intérêt à ne pas conserver les données personnelles de ses clients plus longtemps qu’il n’est nécessaire ou que la loi ne l’exige.
• Notification de la protection des données : C’est le bon moyen de remplir votre obligation d’information en tant qu’opérateur. Elle doit expliquer, dans un langage clair et compréhensible, quelles données sont conservées et pendant combien de temps, quelle est la base juridique de cette conservation et si les données sont exportées vers des tiers. Une option de contact doit être fournie dans ce contexte.

L’IACBOX vous maintient du bon côté de la loi en ce qui concerne la confidentialité des données. L’IACBOX offrait déjà des réglages de base permettant d’économiser des données et de respecter la vie privée, ainsi que des fonctions de suppression et d’anonymisation. Désormais, il propose également des informations sur la protection des données à l’intention des utilisateurs finaux ; chaque page de connexion fournit des informations sur les périodes d’anonymisation et de suppression. Le nouveau module optionnel Privacy Toolkit offre des options supplémentaires pour la création d’un répertoire de traitement des données en tenant compte des méthodes de connexion spécifiques et des connexions aux bases de données, ainsi que des options pratiques pour la protection de la vie privée dès la conception/les paramètres par défaut, un accord de non-divulgation et de traitement des données, des vérifications, des textes d’aide et l’enregistrement des accès.

Cet article a également été publié dans IT-BUSINESS 4.2018.