Comment créer une page de connexion WiFi personnalisée pour votre marque

Ce guide fournit une référence complète et prête à l'emploi pour les responsables informatiques, les architectes réseau et les directeurs d'exploitation de sites sur la façon de créer une page de connexion WiFi invité entièrement personnalisée — couvrant l'architecture du Captive Portal, la personnalisation HTML/CSS, la conformité GDPR et la stratégie de capture de données. Il passe des fondations techniques aux scénarios de déploiement réels dans l'hôtellerie et le commerce de détail, avec des résultats commerciaux mesurables à chaque étape. Pour les organisations utilisant la plateforme WiFi invité de Purple, le guide correspond directement aux capacités de création de portail, d'analyse et de gestion du consentement de la plateforme.

📖 5 min de lecture📝 1,172 mots🔧 3 exemples❓ 3 questions📚 10 termes clés

🎧 Écouter ce guide

Voir la transcription

Welcome to the Enterprise Network Briefing. Today, we are looking at captive portals. Specifically, how to create a custom WiFi login page for your brand that actually delivers business value, rather than just acting as a technical hurdle for your guests.

For many venues — whether that is retail, hospitality, or large public spaces — the guest WiFi login page is the very first digital touchpoint a customer has with your brand when they walk through the door. And yet, in the majority of deployments we see, that page is a generic, unbranded splash screen served directly from the hardware vendor's firmware. It looks clinical, it does not match the brand, and it often provides a poor user experience. That is a missed opportunity.

So let us talk about what a fully branded captive portal actually involves, how you build one, and why it matters commercially.

First, the architecture. At its core, a captive portal works by intercepting the guest device's initial HTTP request and redirecting it to a login page hosted by the captive portal controller. The controller is typically a software component running on your wireless LAN controller, your cloud management platform, or a dedicated gateway appliance. Once the user completes the authentication flow on the branded login page, the controller communicates with a RADIUS server — using IEEE 802.1X or MAC authentication bypass — to grant the device access to the network. The data captured during that authentication flow is then securely routed to your guest data platform or CRM.

Now, the key word there is branded. The login page itself is a standard HTML and CSS document. That means you have complete control over every visual element. You can inject your brand's primary colour palette, your typography, your logo, your headline copy, and your background imagery. You can also control the layout, the form fields, the social login buttons, and the consent checkboxes. In short, you can make it look and feel exactly like any other page on your website.

But there is a critical technical constraint that many marketing teams do not appreciate: the captive portal page loads before the device has full internet access. That means you cannot rely on external CDN resources, Google Fonts, or third-party JavaScript libraries. Everything — every stylesheet, every font file, every image — must be self-hosted and served from the portal controller itself. This is why page weight optimisation is so important. A background image that is five megabytes might look stunning in a design mockup, but it will time out on a slow connection before the page even renders.

The practical rule of thumb is this: keep your total portal page weight under 500 kilobytes. Use compressed SVG files for logos, system fonts or locally embedded WOFF2 files for typography, and CSS gradients rather than raster images for backgrounds wherever possible.

Let us look at a real-world example from the hospitality sector. A mid-scale hotel chain with 45 properties across the UK was using the default splash page provided by their wireless LAN vendor. Their email capture rate was around 8 percent of connecting guests. They deployed a fully branded captive portal with a clean, on-brand design, a single email field, a first-name field, and a clear GDPR consent checkbox. The page was optimised to under 400 kilobytes. Within 90 days, their email capture rate had risen to 38 percent. That translated directly into a measurable increase in direct booking revenue through their CRM-driven email campaigns.

Now let us talk about compliance, because this is non-negotiable. Under GDPR, you must obtain explicit, freely given, specific, informed, and unambiguous consent before processing a guest's personal data. That means your captive portal must present a clearly worded consent statement, with a separate, unticked checkbox for marketing communications. You cannot bundle consent into the terms of service acceptance. The consent must be granular, and you must maintain a timestamped record of each consent event. Platforms like Purple handle this automatically, storing consent records in a compliant data store that can be audited or exported on request.

On the security side, the portal must be served over HTTPS with a valid SSL certificate. If a user sees a browser warning indicating an untrusted connection, they will abandon the login immediately. Beyond that, you should ensure that the pre-authentication network segment is properly isolated — guests should not be able to reach internal network resources before they have authenticated. This is typically handled through VLAN segmentation at the access layer.

Let us move on to the design principles. A good captive portal design follows the same principles as any high-converting landing page. Keep the headline clear and welcoming. Use a single, prominent call-to-action button. Minimise the number of form fields — email address alone is sufficient for most use cases. And make the terms of service and privacy policy accessible via a clearly labelled link, rather than embedding the full text on the page.

For brand consistency, you need to define four things before you write a single line of CSS. First, your primary colour, which will be used for buttons and interactive elements. Second, your secondary colour, for headings and accents. Third, your background treatment, whether that is a flat colour, a subtle gradient, or a light photographic background. And fourth, your typography stack, specifying the exact font family, weight, and size for headings, body text, and labels.

A useful framework here is what we call the Brand Fidelity Checklist. Does the portal use the correct logo variant at the correct minimum size? Does the primary button colour match the brand's primary colour exactly? Is the font family consistent with the brand's digital typography guidelines? Is the tone of the headline copy consistent with the brand's voice? And finally, is the page visually consistent with the brand's website and app? If you can answer yes to all five, you have a portal that reinforces brand trust rather than undermining it.

Now, a word on social login. Offering Facebook, Google, or Apple login options can significantly increase conversion rates, particularly in retail and hospitality environments where guests are reluctant to type in an email address. However, social login introduces additional compliance considerations. You must ensure that your data processing agreements with the social login providers are in place, and that your privacy policy accurately describes the data you receive from those providers. You should also offer an email-based fallback for users who do not have or do not wish to use a social account.

Let us look at a second case study, this time from the retail sector. A large fashion retailer with 120 stores across Europe was rolling out a guest WiFi programme as part of a broader digital transformation initiative. Their requirement was a single, consistent branded portal across all stores, with localised language support for five different markets. They deployed a guest WiFi platform that allowed them to manage all portal configurations centrally while applying per-venue and per-region customisations. The result was a consistent brand experience across all 120 locations, with a single CRM integration feeding all captured data into their Salesforce instance. Within six months, they had built a first-party data asset of over 400,000 opted-in guest profiles, which they used to drive personalised email campaigns with an average open rate of 28 percent.

Now, let us talk about the implementation process itself. There are five stages to a successful captive portal deployment.

Stage one is requirements gathering. Work with your marketing team to define the brand assets, the data capture fields, the consent language, and the post-authentication redirect destination. Work with your legal team to validate the GDPR consent mechanism. And work with your network team to confirm the VLAN architecture and the RADIUS configuration.

Stage two is design and development. Build the portal page as a standalone HTML and CSS document. Test it on multiple device types and screen sizes. Optimise the page weight. Validate the SSL certificate.

Stage three is integration. Connect the portal to your guest data platform or CRM. Configure the RADIUS server. Set up the post-authentication redirect. Test the end-to-end flow on a staging network.

Stage four is deployment. Roll out to your first venue or a pilot group of venues. Monitor the authentication success rate, the page load time, and the data capture rate. Identify and resolve any issues before the full rollout.

Stage five is ongoing optimisation. Review your data capture rates monthly. Test different headlines, button copy, and form layouts. Update the portal design when your brand guidelines change. And review your GDPR consent language whenever your data processing activities change.

Before we close, let me give you three rapid-fire questions that come up repeatedly in client briefings.

Question one: What is the difference between a splash page and a landing page? A splash page is the captive portal itself — the gate through which the user must pass to access the network. A landing page is where the user is redirected after they successfully authenticate. The landing page is your opportunity to drive engagement — promoting a loyalty app, a special offer, or a piece of content. Do not confuse the two, and do not neglect the landing page. It is often more valuable than the portal itself.

Question two: How do we measure the ROI of a custom captive portal? Measure it through your email capture rate, your CRM attribution data, and your repeat visit metrics. If a branded portal increases your email capture rate from 10 percent to 40 percent, and those captured emails drive a measurable uplift in repeat visits or direct revenue, that is your ROI. Purple's WiFi analytics platform provides exactly this kind of attribution reporting.

Question three: Can we use a captive portal on a WPA3-secured network? Yes, but with caveats. WPA3 with Simultaneous Authentication of Equals is the recommended security standard for enterprise guest networks. However, the captive portal mechanism operates at the network layer, not the encryption layer, so WPA3 and captive portals are fully compatible. The portal simply intercepts the first HTTP request after the device associates with the access point, regardless of the encryption standard in use.

To summarise: a custom WiFi login page is not a cosmetic exercise. It is a critical business asset that sits at the intersection of brand identity, data strategy, and network security. Get the architecture right, keep the design on-brand and the page weight low, ensure strict GDPR compliance, and connect the captured data to your CRM. Do those four things, and your captive portal will deliver measurable commercial value from day one.

Thank you for listening to the Enterprise Network Briefing. For more on guest WiFi strategy, captive portal design, and WiFi analytics, visit purple dot ai.

Points clés à retenir

✓A branded captive portal is a data acquisition asset, a trust signal, and a compliance instrument — not a cosmetic upgrade. Treat it as a strategic deployment, not an IT afterthought.
✓Keep total portal page weight under 500 KB. Self-host all assets on the portal controller — the Captive Network Assistant has no internet access before authentication, so external CDNs and Google Fonts will fail.
✓GDPR requires two separate, unticked checkboxes: one for terms of service acceptance and one for marketing communications opt-in. Bundling them into a single checkbox is non-compliant.
✓Decouple the portal platform from the wireless hardware vendor. A cloud-hosted portal platform enables centralised brand management across all venues without per-site IT intervention.
✓The post-authentication redirect is a high-value commercial touchpoint. Set it to a landing page that drives a specific action — loyalty sign-up, app download, or current promotion — not the user's originally requested URL.
✓Measure ROI through email capture rate, CRM attribution, and repeat visit metrics. A well-deployed branded portal typically increases email capture rates from under 10% to 30–40% of connecting guests.
✓For multi-site deployments, use template variables for per-venue customisation (store name, localised copy) while locking brand colours, typography, and logo at the global configuration level.

Résumé exécutif

La page de connexion WiFi invité — communément appelée Captive Portal ou page d'accueil — est souvent la première interaction numérique de marque qu'un visiteur a avec votre organisation. Malgré cela, la majorité des déploiements d'entreprise s'appuient sur des écrans d'accueil génériques fournis par les fournisseurs qui n'ont aucune identité de marque et ne capturent aucune donnée utile. Ce guide comble directement cette lacune.

Une expérience de connexion Guest WiFi entièrement personnalisée n'est pas une amélioration cosmétique. C'est à la fois un atout d'acquisition de données, un signal de confiance et un instrument de conformité. Lorsqu'elle est déployée correctement, elle peut augmenter les taux de capture d'e-mails de quelques pour cent à 30-40 % des invités se connectant, alimenter les données de première partie directement dans votre CRM et fournir un enregistrement de consentement GDPR vérifiable pour chaque session utilisateur. Pour les organisations opérant dans les environnements de l' hôtellerie , du commerce de détail , des soins de santé ou des transports , le cas commercial est simple.

Ce guide couvre l'architecture technique sous-jacente aux Captive Portals, la couche de personnalisation HTML/CSS, le processus de mise en œuvre en cinq étapes, les exigences de conformité au titre du GDPR et deux études de cas détaillées avec des résultats mesurables. La plateforme WiFi Analytics de Purple est référencée tout au long comme exemple concret de mise en œuvre.

Approfondissement technique

Comment fonctionne un Captive Portal

Un Captive Portal fonctionne au niveau de la couche réseau, interceptant la requête HTTP initiale d'un appareil invité et la redirigeant vers une page de connexion avant d'accorder un accès complet à Internet. Le mécanisme est standardisé chez tous les principaux fournisseurs de réseaux locaux sans fil et fonctionne indépendamment de la norme de chiffrement utilisée — ce qui signifie qu'il est entièrement compatible avec les déploiements WPA3 utilisant l'Authentification Simultanée des Égaux (SAE).

Les composants essentiels d'une architecture de Captive Portal moderne sont illustrés ci-dessous.

Le flux est le suivant. Lorsqu'un appareil invité s'associe au point d'accès et tente de charger une URL HTTP, le contrôleur de réseau local sans fil ou l'appliance de passerelle intercepte la requête et émet une redirection 302 vers le contrôleur du Captive Portal. Le contrôleur sert la page de connexion HTML/CSS personnalisée. Une fois que l'utilisateur a terminé le flux d'authentification — que ce soit via un formulaire d'e-mail, une connexion sociale (OAuth 2.0 via Facebook, Google ou Apple) ou une méthode transparente telle qu'OpenRoaming — le contrôleur communique avec un serveur RADIUS en utilisant IEEE 802.1X ou MAC Authentication Bypass (MAB) pour accorder à l'appareil l'accès au VLAN Internet. Les données capturées lors de l'authentification sont simultanément acheminées vers la plateforme de données invités ou le CRM via un appel API sécurisé, l'enregistrement de consentement GDPR étant écrit dans un magasin de données conforme.

Il est important de noter que la page du Captive Portal elle-même se charge dans un environnement de navigateur restreint — le Captive Network Assistant (CNA) sur iOS et Android — avant que l'appareil n'ait un accès complet à Internet. Cela a une implication critique pour le développement front-end : tous les actifs doivent être auto-hébergés sur le contrôleur de portail. Les ressources CDN externes, les Google Fonts et les bibliothèques JavaScript tierces ne se chargeront pas dans cet environnement. Chaque feuille de style, fichier de police et image doit être regroupé avec la page du portail et servi à partir du propre serveur web du contrôleur.

La couche de personnalisation HTML/CSS

La page de connexion elle-même est un document HTML5 standard avec une feuille de style CSS associée. Les plateformes de Captive Portal modernes — y compris Purple — exposent un éditeur visuel qui génère ce code, mais comprendre la structure sous-jacente est essentiel pour les équipes informatiques qui doivent appliquer les normes de marque ou résoudre les problèmes de rendu.

Les variables CSS clés à contrôler sont :

Propriété CSS	Élément de marque	Approche recommandée
`background-color`	Arrière-plan de la page	Utiliser une valeur hexadécimale plate ou un dégradé CSS ; éviter les images raster
`font-family`	Typographie	Intégrer les fichiers de police WOFF2 localement ; ne pas référencer Google Fonts
`color` (titres)	Couleur secondaire de la marque	Correspondre exactement aux directives de la marque
`background-color` (bouton CTA)	Couleur principale de la marque	Utiliser la valeur hexadécimale exacte des directives de la marque
`border-radius`	Forme du bouton et du conteneur	12px pour les conteneurs, 6px pour les petits éléments
`max-width` (conteneur de formulaire)	Disposition mobile-first	480px maximum pour un rendu mobile optimal

La contrainte de poids de la page est l'exigence technique la plus fréquemment violée dans les déploiements de Captive Portal. La limite pratique est de 500 kilo-octets au total pour l'ensemble de la page, y compris tous les actifs. Cela garantit un rendu fiable sur des connexions lentes ou encombrées avant l'authentification. Utilisez le format SVG pour les logos (généralement 5 à 20 Ko), les polices WOFF2 intégrées localement (généralement 30 à 80 Ko par poids) et les dégradés CSS ou les couleurs plates plutôt que les arrière-plans photographiques.

Méthodes d'authentification

Le choix de la méthode d'authentification a un impact direct sur les taux de capture de données et la posture de conformité.

Méthode	Données capturées	Taux de conversion	Notes de conformité
Formulaire e-mail	E-mail, nom, champs personnalisés	Moyen (25–40%)	Contrôle GDPR complet ; recommandé
Connexion sociale (OAuth)	E-mail, nom, données de profil	Élevé (35–55%)	Nécessite un DPA avec le fournisseur social
SMS / OTP	Numéro de mobile	Moyen (20–35%)	Nécessite une passerelle SMS ; le PECR s'applique
Clic direct (pas de données)	Aucune	Très élevé (70–90%)	Pas de donune valeur ; à utiliser uniquement si nécessaire
OpenRoaming / Passpoint	Identité vérifiée par l'opérateur	Transparente	Écosystème Eduroam/WBA ; utilisation en entreprise

Pour la plupart des déploiements commerciaux, une combinaison de formulaire d'e-mail et de connexion sociale — avec une case à cocher de consentement GDPR clairement présentée — offre l'équilibre optimal entre taux de conversion et qualité des données.

Guide d'implémentation

Un déploiement réussi de Captive Portal suit cinq étapes distinctes. Sauter ou compresser une étape est la cause principale des problèmes post-déploiement.

Étape 1 — Collecte des exigences. Réunir un groupe de travail interfonctionnel comprenant le marketing (actifs de marque, contenu, langage de consentement), le service juridique (examen GDPR, politique de confidentialité) et l'ingénierie réseau (architecture VLAN, configuration RADIUS, liste blanche DNS). Définir les champs de données exacts à capturer, l'URL de redirection post-authentification et le langage d'opt-in pour le consentement marketing. Obtenir l'approbation écrite du service juridique sur le mécanisme de consentement avant le début du développement.

Étape 2 — Conception et développement. Construire la page du portail comme un document HTML/CSS autonome. Appliquer la limite de poids de page de 500 Ko. Tester le rendu sur iOS Safari (CNA), Android Chrome (CNA) et les navigateurs de bureau. Valider la chaîne de certificats SSL — le domaine du portail doit avoir un certificat de confiance, car un avertissement de certificat non fiable entraînera l'abandon de la connexion par la majorité des utilisateurs. S'assurer que le formulaire est entièrement accessible (WCAG 2.1 AA minimum).

Étape 3 — Intégration. Connecter le portail à votre plateforme de données invités ou CRM via l'API de la plateforme. Configurer le serveur RADIUS (ou utiliser le service RADIUS hébergé de la plateforme). Configurer la redirection post-authentification. Configurer la segmentation VLAN pour isoler le segment réseau de pré-authentification des ressources internes. Tester le flux complet de bout en bout — association de l'appareil, redirection du portail, authentification, autorisation RADIUS, écriture des données CRM et redirection post-authentification — sur un réseau de staging avant de passer en production.

Étape 4 — Déploiement pilote. Déployer sur un seul site ou un groupe pilote défini. Surveiller quatre métriques clés pendant les 30 premiers jours : taux de réussite de l'authentification (cible >95%), temps de chargement moyen de la page (cible <3 secondes), taux de capture de données (mesure de référence) et échecs d'autorisation RADIUS (cible <1%). Résoudre tout problème avant de procéder au déploiement complet.

Étape 5 — Optimisation et gouvernance. Examiner les taux de capture de données mensuellement. Tester les variantes de titres et de textes de boutons CTA. Mettre à jour la conception du portail lorsque les directives de marque changent. Examiner le langage de consentement GDPR chaque fois que les activités de traitement des données changent. Effectuer un examen de sécurité annuel de l'infrastructure du portail, y compris le renouvellement du certificat SSL, la mise à jour du serveur RADIUS et l'examen de la liste blanche DNS.

Bonnes pratiques

Fidélité à la marque

Le portail doit passer un contrôle de fidélité à la marque en cinq points avant le déploiement : variante de logo correcte à la taille minimale (30px numérique) ; couleur du bouton principal correspondant à la valeur hexadécimale exacte de la marque ; famille de polices cohérente avec les directives de marque numériques ; ton du titre cohérent avec la voix de la marque ; et cohérence visuelle avec le site web et l'application de la marque. Tout portail qui échoue à ce contrôle doit être renvoyé à l'étape de conception.

En vertu du UK GDPR et de l'EU GDPR, le mécanisme de consentement doit être explicite, dégroupé et granulaire. L'acceptation des conditions de service et l'opt-in pour les communications marketing doivent être présentés comme des cases à cocher séparées et non pré-cochées. Les regrouper en une seule case à cocher est non conforme. Chaque événement de consentement doit être enregistré avec un horodatage, le texte de consentement exact présenté et l'identifiant de l'utilisateur. La plateforme de Purple stocke ces enregistrements dans un registre de consentement vérifiable qui peut être exporté pour examen réglementaire.

Posture de sécurité

Le segment réseau de pré-authentification doit être isolé de toutes les ressources internes via la segmentation VLAN. Seules les entrées de la liste blanche DNS requises pour le fonctionnement du portail — le domaine du contrôleur de portail, les points de terminaison OAuth de connexion sociale et tous les domaines CDN utilisés pour les actifs auto-hébergés — doivent être accessibles avant l'authentification. Après l'authentification, les invités doivent être placés sur un VLAN invité dédié avec un accès Internet uniquement, sans aucune route vers les sous-réseaux internes. Cette architecture est conforme à l'exigence PCI DSS 1.3 pour la segmentation réseau.

Pour une comparaison détaillée des types de pages de portail, voir WiFi Landing Page vs. Splash Page : Quelle est la différence ? .

Études de cas réelles

Étude de cas 1 : Chaîne hôtelière britannique — Hôtellerie

Un groupe hôtelier de taille moyenne exploitant 45 établissements à travers le Royaume-Uni utilisait la Splash Page par défaut fournie par son fournisseur de réseau local sans fil. La page n'était pas personnalisée, se chargeait lentement sur mobile et ne présentait aucun formulaire de capture de données. Taux de capture d'e-mails : environ 8 % des invités se connectant.

L'équipe informatique a déployé la plateforme Guest WiFi de Purple dans les 45 établissements, remplaçant la Splash Page du fournisseur par un Captive Portal entièrement personnalisé. Le nouveau portail utilisait les couleurs exactes de la marque du groupe hôtelier, la typographie Poppins et une mise en page à écran unique avec un champ d'e-mail, un champ de prénom et une case à cocher de consentement marketing conforme au GDPR. Le poids total de la page a été optimisé à 380 Ko. La redirection post-authentification a été configurée vers la page d'accueil du programme de fidélité de l'hôtel.

Résultats à 90 jours : le taux de capture d'e-mails est passé de 8 % à 38 % des invités se connectant. Les données capturées ont été intégrées au CRM du groupe hôtelier, permettant une campagne d'e-mails de réengagement ciblée auprès des anciens clients. Les revenus de réservation directe attribuables à la campagne d'e-mails ont augmenté de 14 % d'une année sur l'autre dans les propriétés pilotes. Le registre de consentement GDPR a fourni une piste d'audit complète pour les 45 sites.

Étude de cas 2 : Détaillant de mode européen — Commerce de détail

Un détaillant de mode exploitant 120 magasins sur cinq marchés européens déployait le WiFi invité dans le cadre d'un programme de transformation numérique. L'exigence était un portail de marque unique, géré de manière centralisée, avec une langue par marchélocalisation linguistique (anglais, français, allemand, espagnol, italien) et une intégration CRM unique dans Salesforce.

Le détaillant a déployé une plateforme WiFi invité gérée dans le cloud avec une configuration de portail centralisée. Les éléments de marque et le CSS étaient gérés depuis une console d'administration unique, avec des surcharges par site et par région appliquées pour la langue et le texte de consentement localisé. L'intégration Salesforce utilisait le connecteur CRM natif de la plateforme.

Résultats à six mois : un actif de données de première partie de plus de 400 000 profils d'invités ayant donné leur consentement a été constitué dans les 120 magasins. Les campagnes d'e-mail auprès de cette audience ont atteint un taux d'ouverture moyen de 28 %, contre une référence sectorielle de 12 % pour le commerce de détail. Le détaillant a attribué une augmentation de 9 % des visites répétées en magasin au cours des six mois suivant le déploiement, basée sur la modélisation d'attribution CRM. Voir la plateforme WiFi Analytics de Purple pour les capacités d'analyse et d'attribution utilisées dans ce déploiement.

Dépannage et atténuation des risques

Le portail ne s'affiche pas sur iOS. iOS utilise un Captive Network Assistant (CNA) qui affiche le portail dans une vue WebKit restreinte. Assurez-vous que le domaine du portail ne figure pas sur la liste des réseaux connus d'Apple, que le portail répond correctement à la sonde de détection de Captive Portal d'Apple (/hotspot-detect.html), et que tous les actifs sont servis via HTTP (et non HTTPS) lors de la redirection initiale — le CNA ne suit pas les redirections HTTPS lors de la première requête.

Taux d'échec d'authentification élevé. Vérifiez les journaux du serveur RADIUS pour les codes d'erreur spécifiques. Les causes courantes incluent un décalage horaire entre le serveur RADIUS et le point d'accès (synchronisation NTP requise), des certificats expirés sur le serveur RADIUS et des incompatibilités de format d'adresse MAC entre le point d'accès et le serveur RADIUS.

Faible taux de capture de données malgré un volume de connexions élevé. Examinez le nombre de champs du formulaire — chaque champ supplémentaire réduit la conversion d'environ 5 à 10 %. Examinez le temps de chargement de la page — si le portail prend plus de 3 secondes à charger, l'abandon augmente fortement. Examinez le langage de consentement — un texte de consentement trop juridique réduit les taux d'adhésion.

Demande d'audit GDPR. La plateforme de Purple exporte un enregistrement de consentement complet pour toute adresse e-mail ou plage de dates donnée, sur demande. Assurez-vous que votre politique de conservation des données est configurée correctement — en vertu du GDPR britannique, les données personnelles ne doivent pas être conservées au-delà de la période nécessaire à la finalité déclarée.

Incohérence de marque entre les sites. Centralisez la gestion de la configuration du portail. Toute personnalisation au niveau du site doit être limitée au contenu et à la langue localisés ; les couleurs de la marque, la typographie et le logo doivent être verrouillés au niveau de la configuration globale.

ROI et impact commercial

Le ROI d'un Captive Portal personnalisé est mesuré selon trois dimensions : la valeur de l'actif de données, l'attribution directe des revenus et l'efficacité opérationnelle.

Valeur de l'actif de données. Le principal résultat d'un déploiement de Captive Portal est un actif de données de première partie — une base de données de profils d'invités ayant donné leur consentement avec des adresses e-mail vérifiées. La valeur de cet actif est déterminée par le taux de capture, le taux d'adhésion et la qualité des données. Un site avec 500 connexions quotidiennes, un taux de capture de 35 % et un taux d'adhésion de 70 % construira une base de données d'environ 44 000 profils ayant donné leur consentement par an. Avec un ROI de marketing par e-mail standard de l'industrie de 42 £ pour 1 £ dépensé, la valeur commerciale de cet actif est substantielle.

Attribution directe des revenus. La plateforme WiFi Analytics de Purple fournit des rapports d'attribution au niveau CRM, reliant des campagnes d'e-mail spécifiques aux visites et transactions en magasin. Cela permet un calcul direct des revenus attribuables au programme de capture de données du Captive Portal.

Efficacité opérationnelle. Une plateforme de portail gérée de manière centralisée élimine le besoin de travail de configuration informatique par site lorsque les directives de marque changent. Une seule mise à jour CSS se propage simultanément sur tous les sites, réduisant les frais généraux opérationnels de maintien de la cohérence de la marque à grande échelle.

Métrique	Portail non marqué typique	Portail de marque (Purple)	Amélioration
Taux de capture d'e-mail	5–10%	30–40%	3–4x
Taux d'adhésion marketing	N/A	60–75% of captures	—
Engagement post-authentification	Aucun	Page de fidélité / offre	Direct
Préparation à l'audit GDPR	Manuel	Exportation automatisée	Significatif
Cohérence de la marque	Aucun	Appliquée centralement	Complète

Pour le contexte d'architecture réseau pertinent aux déploiements multi-sites, voir Les avantages clés du SD-WAN pour les entreprises modernes , qui explique comment le SD-WAN simplifie la couche réseau sous-jacente pour les déploiements de Captive Portal distribués.

Termes clés et définitions

Captive Portal

A network mechanism that intercepts a guest device's HTTP requests and redirects them to a login or authentication page before granting full internet access. Operates at the network layer, independent of the wireless encryption standard in use.

IT teams encounter this term when configuring wireless LAN controllers, cloud WiFi management platforms, or gateway appliances. It is the technical name for what end users experience as a 'WiFi login page'.

Captive Network Assistant (CNA)

A restricted browser environment built into iOS and Android that automatically opens when the operating system detects a captive portal. It renders the portal page in a sandboxed WebKit view with no access to cookies, local storage, or external CDN resources.

Critical for front-end developers building portal pages. Any asset that cannot be loaded from the portal controller itself will fail to render in the CNA, causing visual breakage or page load failures.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol that provides centralised authentication, authorisation, and accounting (AAA) for network access. In a captive portal deployment, the portal controller communicates with the RADIUS server to grant or deny network access after the user completes the authentication flow.

Network engineers configure RADIUS servers (or use a hosted RADIUS service provided by the portal platform) as part of the captive portal backend. IEEE 802.1X uses RADIUS as its authentication protocol.

IEEE 802.1X

An IEEE standard for port-based network access control that provides an authentication mechanism for devices connecting to a LAN or WLAN. In enterprise guest WiFi deployments, it is used in conjunction with a RADIUS server to authenticate users before granting network access.

Relevant when configuring enterprise-grade captive portals, particularly in environments where MAC Authentication Bypass (MAB) is insufficient and stronger identity verification is required.

MAC Authentication Bypass (MAB)

An authentication method in which a device's MAC address is used as its credential for network access. The access point sends the MAC address to the RADIUS server, which either approves or denies access based on a pre-configured allowlist.

Used in captive portal deployments to enable automatic re-authentication for returning devices without requiring the user to re-enter credentials. Commonly used for known corporate devices or returning guests.

GDPR Consent Record

A timestamped record of a user's explicit consent to data processing, including the exact consent text presented, the date and time of consent, and the user's identifier (typically email address). Required under UK GDPR and EU GDPR Article 7(1) as evidence that consent was obtained.

Captive portal platforms must generate and store a consent record for every user who opts in to marketing communications. This record must be exportable for regulatory audit purposes.

DNS Whitelist

A list of domain names that are accessible to a guest device before it has completed captive portal authentication. The whitelist must include the portal controller domain, any social login OAuth endpoints, and any CDN domains used for self-hosted portal assets.

Network engineers configure the DNS whitelist on the wireless LAN controller or gateway appliance. An incorrectly configured whitelist is a common cause of portal rendering failures, particularly for social login flows.

Post-Authentication Redirect

The URL to which a guest device's browser is redirected immediately after the user successfully completes the captive portal authentication flow. This is the first page the user sees with full internet access.

The post-authentication redirect is a high-value commercial touchpoint. It should be set to a landing page that drives a specific action — loyalty programme sign-up, app download, current promotion — rather than defaulting to the user's originally requested URL.

WPA3-SAE (Simultaneous Authentication of Equals)

The authentication protocol used in WPA3 Personal mode, replacing the Pre-Shared Key (PSK) handshake used in WPA2. SAE provides stronger resistance to offline dictionary attacks and forward secrecy. It is fully compatible with captive portal deployments.

IT teams evaluating network security upgrades should be aware that migrating from WPA2 to WPA3 does not require changes to the captive portal architecture. The portal mechanism operates at the network layer, above the encryption layer.

OpenRoaming

A WiFi roaming standard developed by the Wireless Broadband Alliance (WBA) that allows users to automatically connect to participating networks using their existing credentials (carrier, enterprise, or identity provider). Eliminates the need for manual captive portal authentication for enrolled users.

Relevant for enterprise and transport deployments where seamless connectivity is a priority. Purple operates as an identity provider within the OpenRoaming ecosystem under its Connect licence, enabling venues to offer automatic connection to enrolled users.

Études de cas

A 200-room hotel in central London wants to replace its vendor-supplied splash page with a fully branded captive portal. The hotel's brand guidelines specify a dark navy primary colour (#011638), a gold accent (#C9A84C), and the Playfair Display serif font. The IT manager is concerned about iOS compatibility and GDPR compliance. How should this be approached?

Begin with a requirements workshop involving IT, marketing, and legal. Confirm the exact brand assets: SVG logo file, hex colour values, and font files (WOFF2 format for Playfair Display). For iOS compatibility, configure the wireless LAN controller to respond correctly to Apple's captive portal detection probe at /hotspot-detect.html, and ensure the initial redirect is HTTP (not HTTPS) — the CNA on iOS does not follow HTTPS redirects on the first request. The portal page itself should be served over HTTPS once the CNA has loaded it. For GDPR, present two separate, unticked checkboxes: one for terms of service acceptance (required to connect) and one for marketing communications (optional). Record each consent event with a timestamp and the exact consent text version. Optimise the page to under 500 KB by embedding the Playfair Display WOFF2 file locally (do not reference Google Fonts), using the SVG logo, and using a CSS gradient for the background rather than a photographic image. Set the post-authentication redirect to the hotel's loyalty programme or a current promotions page. Deploy to a single floor as a pilot, monitor authentication success rate and page load time for 14 days, then roll out to the full property.

Notes de mise en œuvre : This scenario tests the candidate's understanding of three distinct domains: iOS captive portal behaviour (the HTTP/HTTPS redirect sequence), GDPR consent architecture (unbundled checkboxes and consent records), and front-end performance constraints (self-hosted assets, page weight). The key insight is that these three requirements interact: the SSL certificate is required for GDPR-compliant data transmission, but the initial redirect must be HTTP for iOS CNA compatibility. Modern portal platforms handle this automatically via a redirect chain, but IT teams need to understand the mechanism to troubleshoot it effectively.

A national retail chain with 85 stores wants to deploy a consistent branded captive portal across all locations. Each store has a different wireless LAN vendor (a mix of Cisco, Aruba, and Ruckus hardware from historical acquisitions). The marketing team wants to be able to update the portal design centrally without involving IT at each site. How should the architecture be designed?

Deploy a cloud-hosted captive portal platform — such as Purple — that operates as a vendor-neutral overlay, independent of the underlying wireless hardware. The platform communicates with each access point via a RADIUS proxy or a cloud RADIUS service, meaning the portal controller is entirely decoupled from the hardware vendor. The portal page is hosted on the platform's CDN (with all assets self-hosted on the platform, not on external CDNs), and the platform's admin console allows centralised management of brand assets, CSS, and copy. Per-store customisations (store name in the headline, localised promotions) are managed via venue-level variables in the platform's template engine. When the marketing team updates the brand CSS, the change propagates to all 85 stores within minutes, with no per-site IT intervention required. The CRM integration is configured once at the platform level and applies to all venues. VLAN configuration at each site is a one-time setup task handled by the local IT team or the platform's onboarding service.

Notes de mise en œuvre : The critical insight here is the decoupling of the portal platform from the hardware vendor. Many IT teams make the mistake of using the captive portal functionality built into their wireless LAN controller, which locks them into a single vendor and requires per-controller configuration changes for every brand update. A cloud-hosted portal platform eliminates this dependency entirely. The secondary insight is the use of template variables for per-venue customisation, which allows marketing autonomy without compromising brand consistency.

A conference centre hosting 50 events per year wants to offer event sponsors a co-branded WiFi login experience — showing the sponsor's logo alongside the venue's own branding — for the duration of each event. The IT team needs to be able to switch portal configurations between events with minimal manual effort. How should this be implemented?

Configure the captive portal platform with a library of portal templates — one master template per event type (conference, exhibition, gala dinner) — with sponsor logo and colour variables that can be updated via the admin console or API. For each event, the event operations team updates the sponsor logo URL and primary accent colour in the admin console, and the portal updates in real time. If the platform supports it, configure SSID-to-portal mapping so that a sponsor-specific SSID (e.g., 'EventName-WiFi') serves the co-branded portal, while the venue's permanent SSID serves the standard venue portal. Set the portal to revert to the standard venue template at a scheduled time after the event ends. Ensure the sponsor's logo is provided in SVG format and is pre-approved by the venue's brand team to ensure it meets the page weight and quality standards. The post-authentication redirect for event portals should point to the event's own landing page or the sponsor's campaign URL, with UTM parameters for attribution tracking.

Notes de mise en œuvre : This scenario tests operational efficiency and multi-tenancy architecture. The key requirements are: template-based portal management (to avoid rebuilding from scratch for each event), SSID-to-portal mapping (to serve different portals on different SSIDs simultaneously), and scheduled reversion (to avoid manual cleanup after events). The UTM parameter requirement on the post-auth redirect is a detail that demonstrates commercial awareness — event sponsors will expect attribution data for their investment in the co-branded WiFi experience.

Analyse de scénario

Q1. Your marketing director has sent you a Figma mockup of the new branded captive portal. It includes a full-screen photographic background image (exported as a 4.2 MB JPEG), the brand's custom serif font loaded from Google Fonts, and a Facebook Login button. You need to implement this design. What changes must you make before development begins, and why?

💡 Astuce :Consider the technical constraints of the Captive Network Assistant environment and the page weight limit.

Afficher l'approche recommandée

Three changes are required. First, the background image must be replaced with a CSS gradient or a heavily compressed WebP/SVG alternative under 100 KB — a 4.2 MB JPEG will cause the portal to time out on slow connections before it renders. Second, the Google Fonts reference must be replaced with a locally embedded WOFF2 font file served from the portal controller — the CNA environment has no internet access before authentication, so external font CDNs will fail to load. Third, the Facebook Login OAuth flow requires the Facebook OAuth endpoint domains to be added to the DNS whitelist on the wireless LAN controller, so the OAuth redirect can complete before full internet access is granted. Additionally, ensure the Facebook Login is accompanied by an email-based fallback option for users without Facebook accounts, and that the Facebook data processing agreement is in place with your legal team.

Q2. You are the IT manager for a hospital trust deploying guest WiFi across three sites. Your legal team has told you that the consent mechanism on the current portal is non-compliant with UK GDPR. You review the portal and find a single checkbox that reads: 'I agree to the Terms of Service and consent to receive marketing communications.' What is wrong with this, and how do you fix it?

💡 Astuce :Consider the GDPR requirements for consent to be freely given, specific, and granular.

Afficher l'approche recommandée

The consent mechanism is non-compliant on two counts. First, it bundles terms of service acceptance (a contractual requirement for network access) with marketing communications consent (an optional data processing activity) into a single checkbox. Under UK GDPR Article 7 and Recital 43, consent is not freely given if it is bundled with a service that the user cannot access without consenting. Second, the checkbox appears to be pre-ticked or required — marketing consent must be presented as an unticked, optional checkbox. The fix is to separate the two into distinct checkboxes: one required checkbox for terms of service acceptance (worded as 'I agree to the Terms of Service and Privacy Policy'), and one separate, unticked, optional checkbox for marketing communications (worded as 'I would like to receive news and offers from [Organisation Name] by email'). The consent record stored for each user must capture which checkboxes were ticked, the exact text of each consent statement, and the timestamp of the consent event. In a healthcare environment, additional care must be taken to ensure the privacy policy accurately describes all data processing activities, including any sharing with third-party analytics platforms.

Q3. A stadium operator wants to deploy a branded captive portal for 40,000 concurrent users during match days. Their current wireless infrastructure supports a maximum of 500 concurrent RADIUS authentication requests per second. The match starts at 15:00, and the majority of fans arrive in the 30 minutes before kick-off. What are the key infrastructure risks, and how should they be mitigated?

💡 Astuce :Consider the authentication load profile and the impact of RADIUS server capacity on the user experience.

Afficher l'approche recommandée

The primary risk is RADIUS server overload during the pre-match authentication surge. If 40,000 users attempt to authenticate in a 30-minute window, that is approximately 22 authentication requests per second on average — well within the 500 rps capacity. However, the arrival pattern will not be uniform: the peak surge in the final 5 minutes before kick-off could generate 5–10x the average rate, potentially exceeding 200 rps. Mitigations include: (1) deploying a load-balanced RADIUS cluster rather than a single server, with automatic failover; (2) configuring MAC Authentication Bypass (MAB) for returning devices, which bypasses the full authentication flow and significantly reduces RADIUS load for repeat visitors; (3) pre-caching the portal page on the wireless LAN controller to reduce portal controller load; (4) setting a short session timeout (e.g., 8 hours) so that devices that authenticated at a previous match do not consume RADIUS sessions unnecessarily; and (5) conducting a load test simulating the peak authentication rate before the first match day. Additionally, the portal page must be optimised for maximum performance — a slow-loading portal during a surge will cause users to abandon the login, reducing data capture rates and increasing support calls.

Comment créer une page de connexion WiFi personnalisée pour votre marque

🎧 Écouter ce guide

Résumé exécutif

Approfondissement technique

Comment fonctionne un Captive Portal

La couche de personnalisation HTML/CSS

Méthodes d'authentification

Guide d'implémentation

Bonnes pratiques

Fidélité à la marque

Architecture de conformité GDPR

Posture de sécurité

Études de cas réelles

Étude de cas 1 : Chaîne hôtelière britannique — Hôtellerie

Étude de cas 2 : Détaillant de mode européen — Commerce de détail

Dépannage et atténuation des risques

ROI et impact commercial

Termes clés et définitions

Captive Portal

Captive Network Assistant (CNA)

RADIUS (Remote Authentication Dial-In User Service)

IEEE 802.1X

MAC Authentication Bypass (MAB)

GDPR Consent Record

DNS Whitelist

Post-Authentication Redirect

WPA3-SAE (Simultaneous Authentication of Equals)

OpenRoaming

Études de cas

Analyse de scénario