Conformité WiFi GDPR : Comment collecter les données des invités en toute sécurité via des portails captifs
Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs d'exploitation de sites un cadre pratique pour assurer la conformité GDPR sur l'ensemble des déploiements WiFi invités. Il explique comment les portails captifs collectent les données personnelles, comment obtenir un consentement explicite et comment mettre en œuvre des politiques de rétention des données automatisées afin de protéger votre entreprise contre des amendes réglementaires pouvant atteindre 4 % du chiffre d'affaires mondial. La plateforme WiFi invités de Purple s'aligne directement sur chaque exigence de conformité, de l'enregistrement du consentement à la suppression des données en un clic.
Écouter ce guide
Voir la transcription du podcast
- Résumé opérationnel
- Analyse technique approfondie : quelles données collectez-vous et pourquoi est-ce important ?
- Architecture du consentement
- Exigences de sécurité réseau
- Guide de mise en œuvre : Déploiement d'un portail conforme
- Étape 1 : Auditez votre collecte de données actuelle
- Étape 2 : Redessiner les formulaires du portail
- Étape 3 : Configurer la rétention automatisée des données
- Étape 4 : Activer la gestion des droits des personnes concernées
- Étape 5 : Réaliser une analyse d'impact sur la protection des données
- Étude de cas : Premier Inn et Whitbread
- Étude de cas : Manchester Airports Group (MAG)
- Bonnes pratiques
- Résolution des problèmes et atténuation des risques
- ROI et impact commercial

Résumé opérationnel
Le WiFi invité n'est plus une simple commodité. Chaque connexion via un Captive Portal est un événement de collecte de données réglementé. Lorsque les invités se connectent à votre réseau, vous capturez des données d'enregistrement, des identifiants d'appareil, des métadonnées de session et potentiellement des données de localisation. En vertu du GDPR, vous êtes le responsable du traitement de toutes ces données.
En date de janvier 2025, les autorités de contrôle du GDPR ont infligé des amendes cumulées s'élevant à environ 5,88 milliards d'euros (DLA Piper GDPR Fines and Data Breaches Survey, janvier 2025). Une seule infraction peut entraîner des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu. Pour les groupes hôteliers ou les chaînes de magasins, cela représente un risque financier important.
Ce guide détaille l'architecture technique requise pour collecter les données des invités de manière sécurisée et légale. Nous abordons la conception du consentement sur le Captive Portal, la segmentation du réseau, l'automatisation de la conservation des données et la manière de répondre aux demandes d'accès des personnes concernées (DSAR) dans le délai légal de 30 jours. La plateforme Guest WiFi et les outils WiFi Analytics de Purple répondent directement à chacune de ces exigences, fonctionnant dans plus de 80 000 sites physiques et traitant jusqu'à 440 million de connexions par an (données internes Purple, 2024).
Analyse technique approfondie : quelles données collectez-vous et pourquoi est-ce important ?
Comprendre l'importance de la conformité au GDPR pour le WiFi invité commence par la classification correcte des données traitées par votre réseau. De nombreux opérateurs sous-estiment cette portée. La définition des données personnelles selon le GDPR est extrêmement large : toute information relative à une personne physique identifiée ou identifiable. Dans le cadre du WiFi invité, cela englobe bien plus que les simples champs de votre formulaire de connexion.
| Catégorie de données | Exemple | Classification GDPR | Base légale requise |
|---|---|---|---|
| Données d'enregistrement | Nom, adresse e-mail, numéro de téléphone | Données personnelles | Consentement |
| Identifiants d'appareil | Adresse MAC, type d'appareil | Données personnelles | Consentement ou intérêt légitime |
| Métadonnées de session | Heure de connexion, durée, volume de données | Données personnelles | Intérêt légitime (gestion du réseau) |
| Données de localisation | Cartes thermiques de fréquentation, temps de présence par zone | Données personnelles sensibles | Consentement explicite |
| Même sans nom associé, une adresse MAC constitue une donnée personnelle. Parce qu'elle identifie un appareil spécifique et suit ses déplacements physiques au sein d'un établissement, cette possibilité d'identification est suffisante pour constituer une donnée personnelle en vertu du GDPR. La randomisation des adresses MAC sur les appareils iOS et Android modernes complique l'analyse, mais n'élimine pas les obligations de conformité lors de la collecte. |
Architecture du consentement
Le Captive Portal est votre interface de conformité principale. L'article 7 du GDPR exige que le consentement soit donné librement, de manière spécifique, éclairée et univoque. En pratique, cela signifie que votre portail doit faire deux choses correctement.
Premièrement, séparez l'accès au réseau du consentement marketing. Vous ne pouvez pas conditionner l'accès au WiFi au fait qu'un utilisateur accepte de recevoir des e-mails promotionnels. Si une case à cocher marketing doit être cochée pour se connecter, il s'agit d'un consentement forcé, et non d'un consentement libre. La case à cocher doit être décochée par défaut, et les utilisateurs doivent pouvoir se connecter sans la cocher.
Deuxièmement, enregistrez chaque événement de consentement. Votre plateforme de gestion des consentements (CMP) doit enregistrer qui a consenti, quand il a consenti, à quoi il a consenti et la version exacte de la politique de confidentialité qui lui a été présentée. Cette piste d'audit est votre première ligne de défense lors d'une enquête réglementaire.

La solution Purple Capture comprend une CMP intégrée qui enregistre les horodatages et les versions de la politique de confidentialité pour tous les événements de consentement. Lorsque l'ICO demande une preuve de conformité, vous pouvez simplement exporter les journaux plutôt que d'essayer de les reconstituer de mémoire.
Exigences de sécurité réseau
L'article 32 du GDPR exige des mesures techniques appropriées pour protéger les données personnelles. Pour le WiFi invité, cela se traduit par trois contrôles non négociables.
Chiffrement en transit. Tout le trafic du Captive Portal doit utiliser HTTPS. Les déploiements modernes doivent implémenter WPA3 pour un chiffrement sans fil plus fort, en remplaçant WPA2 là où le support matériel existe. Le protocole de handshaking SAE (Simultaneous Authentication of Equals) de WPA3 élimine les attaques par dictionnaire hors ligne qui compromettent les réseaux WPA2-PSK.
Segmentation du réseau. Le trafic WiFi invité doit être isolé du réseau de l'entreprise à l'aide d'un VLAN dédié. Cela empêche les appareils invités compromis d'accéder aux systèmes internes. Sur les déploiements Cisco Meraki, HPE Aruba et Juniper Mist, Purple configure automatiquement cette segmentation dans le cadre de la configuration de la superposition cloud.
Souveraineté des données. Les données des invités européens doivent résider sur des serveurs hébergés au sein de l'UE. Si votre plateforme WiFi stocke des données dans une infrastructure basée aux États-Unis sans mécanismes de transfert adéquats, vous enfreignez le chapitre V du GDPR. Purple maintient la résidence des données au sein de l'UE pour les déploiements européens.
Pour en savoir plus sur l'architecture de sécurité des réseaux d'entreprise, veuillez consulter notre guide Enterprise WiFi Security: A Complete Guide for 2026 .
Guide de mise en œuvre : Déploiement d'un portail conforme
Étape 1 : Auditez votre collecte de données actuelle
Avant de reconfigurer quoi que ce soit, cartographiez chaque point de données collecté par votre portail actuel. Cela inclut les champs des formulaires, les données enregistrées par les serveurs RADIUS et toutes les intégrations tierces recevant des données clients. Ce registre des activités de traitement (RoPA) est une exigence du GDPR pour la plupart des organisations et constitue le point de départ pour identifier les lacunes.
Étape 2 : Redessiner les formulaires du portail
Appliquez le principe de minimisation des données. Si votre objectif est de fournir un accès réseau de base, une adresse e-mail suffit. Si vous constituez une base de données marketing pour une chaîne de distribution , incluez un prénom. N'incluez pas d'adresses postales, de dates de naissance ou de numéros de téléphone à moins d'avoir un besoin commercial spécifique et documenté.
Implémentez la vérification des e-mails pour rejeter les adresses invalides. Cela protège l'intégrité de la base de données et simplifie les futures demandes d'accès aux données personnelles. Les portails de Purple imposent une vérification des e-mails en temps réel avant d'autoriser l'accès.
Lors de la conception de la structure de votre Captive Portal, vous devez inclure deux interactions distinctes :
- Acceptation des conditions d'utilisation - requise pour la connexion, couvrant le traitement de base des données nécessaire à la fourniture du service réseau.
- Case à cocher pour le consentement marketing - facultative, décochée par défaut, accompagnée d'une explication en langage simple de ce à quoi l'utilisateur consent.

Étape 3 : Configurer la rétention automatisée des données
Le GDPR interdit le stockage indéfini des données. Définissez des périodes de rétention pour chaque catégorie de données et automatisez leur suppression.

Les périodes de rétention indiquées ci-dessus sont des bases de référence recommandées. Ajustez-les à vos besoins opérationnels spécifiques et documentez la justification de chaque période. Purple applique nativement ces règles, purgeant les journaux sans nécessiter de requêtes de base de données manuelles de la part de votre équipe informatique.
Étape 4 : Activer la gestion des droits des personnes concernées
En vertu du GDPR, les utilisateurs ont le droit d'accéder, de rectifier et de supprimer leurs données. Vous disposez de 30 jours pour répondre à une demande. Vos systèmes doivent être capables de :
- Localiser un utilisateur dans tous les stocks de données à l'aide de son adresse e-mail ou de son adresse MAC.
- Exporter l'historique complet dans un format lisible par machine (JSON ou CSV).
- Exécuter une suppression définitive dans les bases de données actives et marquer les enregistrements pour suppression des sauvegardes.
Purple centralise cette opération dans un tableau de bord unique. Les demandes d'accès aux données personnelles qui prenaient auparavant des heures de requêtes SQL manuelles peuvent désormais être traitées en quelques minutes.
Étape 5 : Réaliser une analyse d'impact sur la protection des données
Si vous déployez des analyses de localisation, des cartes de chaleur de fréquentation ou du profilage comportemental via votre réseau WiFi, une analyse d'impact sur la protection des données (DPIA) est une obligation légale avant le lancement. Une DPIA identifie les risques pour la vie privée et documente les mesures d'atténuation que vous avez mises en œuvre. Pour les grands sites tels que les stades ou les centres de congrès accueillant des milliers de participants simultanément, il s'agit d'une étape critique.
Pour obtenir un modèle détaillé, reportez-vous à notre guide complet : The Network Administrator's Guide to GDPR and Guest Data Privacy Compliance .
-
Étude de cas : Premier Inn et Whitbread
Whitbread, la société mère de Premier Inn, exploite l'un des plus grands réseaux WiFi pour les clients de l'hôtellerie au Royaume-Uni. En déployant Purple dans l'ensemble de leurs parcs hospitality , ils ont centralisé la gestion du consentement sur des centaines de sites. Chaque page de portail présente un parcours de consentement clair et conforme. Grâce à un échange de valeur transparent plutôt qu'à un groupement forcé, ils ont atteint un taux d'adhésion marketing de 30 à 40 %. Le résultat est un actif de données de première partie vérifié qui alimente directement leur CRM et leurs programmes de fidélité, avec une piste d'audit complète pour chaque événement de consentement.
Étude de cas : Manchester Airports Group (MAG)
MAG exploite trois grands aéroports britanniques, gérant les données des passagers à grande échelle au sein des hubs de transport . Le WiFi pour les visiteurs des aéroports est confronté à des défis de conformité spécifiques : des passagers provenant de plusieurs juridictions se connectent simultanément, chacun étant potentiellement soumis à des réglementations différentes en matière de protection des données. Le déploiement de Purple pour MAG impose des parcours de consentement conformes au GDPR pour les voyageurs de l'UE tout en conservant la flexibilité opérationnelle nécessaire pour ajuster les configurations des portails pour chaque terminal. Les journaux de session sont automatiquement purgés après 30 jours, et l'équipe de sécurité peut répondre aux demandes d'accès des personnes concernées (DSAR) sans avoir à interroger des journaux RADIUS fragmentés.
-
Bonnes pratiques
Réaliser des évaluations des fournisseurs. Le fournisseur de votre plateforme WiFi agit en tant que sous-traitant au sens du GDPR. Avant de partager des données personnelles avec lui, vous devez avoir mis en place un avenant sur le traitement des données (DPA) formel. Vérifiez leurs certifications de sécurité. Purple est certifié ISO 27001, GDPR, CCPA et Cyber Essentials.
Surveiller les taux de complétion des portails. Des taux d'abandon élevés sur votre portail captif indiquent des formulaires trop complexes ou des formulations de consentement peu claires. Simplifiez les demandes de données. Moins de champs améliorent la conformité et renforcent l'expérience client.
Former le personnel de première ligne. Le personnel doit comprendre comment répondre aux questions des clients sur la collecte de données, vers qui orienter les demandes des personnes concernées et pourquoi les cases pré-cochées ne sont pas autorisées. Un briefing de 30 minutes peut prévenir les erreurs de conformité courantes. Passez vos portails en revue chaque trimestre. Les réglementations évoluent. Les formulations d'avis de confidentialité suffisantes en 2023 peuvent ne pas refléter les directives actuelles. Planifiez un examen trimestriel des configurations de vos portails, de vos politiques de confidentialité et de vos journaux de consentement.
Pour obtenir des conseils sur la conception de formulaires de collecte de données performants qui concilient conformité et taux de conversion, consultez notre guide : Design of a Survey: A Practical Guide for Physical Spaces .
-
Résolution des problèmes et atténuation des risques
Cases de consentement pré-cochées. C'est le manquement à la conformité le plus courant. Auditez chaque portail de votre parc et vérifiez que toutes les cases de marketing sont décochées par défaut. Sur un portail à fort trafic, une seule case pré-cochée peut constituer une violation systémique du GDPR.
Avis de confidentialité vagues. Remplacez les phrases génériques telles que "Nous pouvons utiliser vos données à diverses fins" par des descriptions spécifiques : "Nous utilisons votre adresse e-mail pour vous envoyer des offres promotionnelles de [Brand]. Vous pouvez vous désabonner à tout moment." Un langage vague ne répond pas à l'exigence de "consentement éclairé" pour un consentement valide.
Accumulation de données obsolètes. Si votre base de données contient des profils d'invités datant de trois ans ou plus sans aucune activité récente, vous conservez des données au-delà de leur finalité légale. Lancez un audit pour purger immédiatement les enregistrements inactifs et configurez une suppression automatisée pour l'avenir.
Stockage de données fragmenté. Les données des invités finissent souvent par être dispersées sur plusieurs systèmes : la plateforme WiFi, le CRM, les outils d'e-mail marketing et les serveurs RADIUS. Lorsqu'une demande d'accès (DSAR) est reçue, vous devez localiser et supprimer les données sur l'ensemble de ces systèmes. Cartographiez vos flux de données dès maintenant pour éviter d'agir dans l'urgence sous la pression du temps.
Notification de violation. En vertu de l'article 33 du GDPR, vous devez notifier la violation de données personnelles à l'autorité de contrôle dans les 72 heures après en avoir pris connaissance. Intégrez ce délai dans votre plan de réponse aux incidents. Le compte à rebours commence lorsque vous détectez la violation, et non lorsque l'enquête est terminée.
-
ROI et impact commercial
La conformité n'est pas un centre de coûts. Un déploiement de WiFi invité conforme au GDPR et bien configuré génère trois résultats commerciaux mesurables.
Données marketing de meilleure qualité. Les visiteurs qui choisissent activement de s'inscrire au marketing sont plus engagés que ceux qui y sont contraints. Les portails captifs conformes génèrent des listes d'e-mails qui, bien que plus petites, sont de meilleure qualité, ce qui se traduit par des taux d'ouverture plus élevés, moins de plaintes et une meilleure réputation d'expéditeur.
Frais opérationnels réduits. Les fonctionnalités d'enregistrement automatisé du consentement et de conservation des données éliminent des heures de gestion manuelle des bases de données. Les équipes informatiques peuvent consacrer leur temps à l'infrastructure plutôt qu'à la maintenance de la conformité.
Atténuation du risque réglementaire. Avec des amendes cumulées au titre du GDPR dépassant 5,88 milliards d'euros au début de l'année 2025 (DLA Piper, janvier 2025), le coût de la non-conformité est important. Une plateforme conforme élimine le risque d'amendes pouvant atteindre 4 % du chiffre d'affaires mondial.
Purple a collecté 29 milliards de points de données dans plus de 80 000 sites, prouvant que la conformité de niveau entreprise s'adapte à la croissance des entreprises. Le taux de disponibilité de 99,999 % de la plateforme garantit que l'infrastructure de conformité ne pose jamais de risque pour la disponibilité du réseau.
Définitions clés
Portail captif
Une page web qu'un utilisateur doit consulter et avec laquelle il doit interagir avant de pouvoir accéder à un réseau WiFi public. Généralement affichée en interceptant le trafic HTTP et en le redirigeant vers l'URL du portail.
Le portail captif est l'interface principale pour la conformité GDPR. C'est là que vous présentez l'avis de confidentialité, obtenez un consentement explicite et validez les identifiants des utilisateurs avant d'accorder l'accès au réseau.
Responsable du traitement
L'entité qui détermine les finalités et les moyens du traitement des données personnelles.
Lorsqu'un établissement propose un accès WiFi invités, l'exploitant du site est le Responsable du traitement. Il assume la responsabilité légale principale de la conformité GDPR, y compris l'obligation de répondre aux demandes d'accès et de notifier l'autorité de contrôle en cas de violation.
Sous-traitant de données
Une entité qui traite des données personnelles pour le compte du Responsable du traitement, dans le cadre d'un avenant formel de traitement des données (DPA).
Une plateforme de WiFi pour invités comme Purple agit en tant que Sous-traitant de données. L'établissement doit disposer d'un DPA signé avec Purple avant tout partage de données personnelles. Vérifiez les certifications ISO 27001 et GDPR du sous-traitant avant le déploiement.
Consentement explicite
Une action claire et affirmative de l'utilisateur acceptant le traitement de ses données personnelles pour un but précis. Les cases précochées, le silence et l'inactivité ne constituent pas un consentement valide en vertu de l'article 7 du GDPR.
Dans les portails captifs, le consentement explicite nécessite une case à cocher non précochée accompagnée d'une description en langage clair de l'activité de traitement. Une case à cocher distincte est requise pour chaque finalité différente.
Minimisation des données
Le principe du GDPR selon lequel les données personnelles collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Les équipes IT doivent appliquer le principe de minimisation des données lors de la configuration des formulaires de portail captif. Collecter une date de naissance ou une adresse postale dans le but de fournir un accès internet est excessif et non conforme.
Droit à l'effacement
Aussi connu sous le nom de droit à l'oubli, il permet aux utilisateurs de demander la suppression de leurs données personnelles lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.
Les équipes IT doivent disposer d'un système capable d'exécuter une purge complète des données sur toutes les bases de données et sauvegardes dans les 30 jours suivant une demande. Les stockages de données fragmentés rendent cette opération complexe sans une plateforme centralisée.
Adresse MAC
Un identifiant unique attribué à un contrôleur d'interface réseau, utilisé pour les communications au niveau de la couche liaison de données d'un réseau.
Sous le GDPR, une adresse MAC est une donnée personnelle car elle permet d'identifier un appareil spécifique et de suivre ses déplacements physiques. La randomisation des adresses MAC sur les appareils modernes complique les analyses mais n'élimine pas l'obligation de conformité au moment de la collecte.
Politique de conservation des données
Un cadre documenté définissant la durée pendant laquelle les différentes catégories de données personnelles seront stockées avant leur suppression automatisée.
Une politique de conservation est une exigence du GDPR. Les établissements doivent définir et appliquer des limites de conservation par catégorie de données : généralement 30 jours pour les journaux de session, 12 mois pour les journaux de sécurité, et jusqu'au retrait du consentement pour les profils marketing.
DPIA (Analyse d'impact relative à la protection des données)
Un processus visant à identifier et atténuer les risques liés à la vie privée avant de déployer une nouvelle activité de traitement de données, légalement requis en vertu de l'article 35 du GDPR pour les traitements à haut risque.
Une DPIA est obligatoire avant de déployer des systèmes de WiFi pour invités qui impliquent un suivi de localisation à grande échelle, un profilage comportemental ou le traitement de données de groupes vulnérables tels que les enfants.
VLAN (Réseau local virtuel)
Une segmentation logique d'un réseau physique qui isole le trafic entre des groupes d'appareils.
Le trafic du WiFi pour invités doit être isolé des réseaux d'entreprise à l'aide de VLAN dédiés. Cela empêche un appareil invité compromis d'accéder aux systèmes internes et constitue une exigence technique de sécurité essentielle du GDPR.
Exemples concrets
Une chaîne de vente au détail de 150 magasins souhaite collecter les e-mails des clients via le WiFi invités pour les intégrer à leur CRM, mais le directeur informatique s'inquiète de la conformité GDPR concernant le consentement marketing. Comment le portail doit-il être configuré ?
Déployez un portail captif via Purple sur les points d'accès Cisco Meraki existants. Configurez le portail avec deux interactions distinctes. Premièrement, une case à cocher d'acceptation des Conditions d'utilisation - requise pour se connecter - qui établit la base légale du traitement des données de connexion de base au titre de l'intérêt légitime. Deuxièmement, une case à cocher distincte, non cochée par défaut, indiquant : « J'accepte de recevoir des offres promotionnelles par e-mail de la part de [Marque]. » Activez la validation des e-mails en temps réel pour rejeter les adresses invalides. Configurez l'intégration CRM pour ne transmettre que les profils dont le paramètre de consentement marketing est défini sur « true ». Si un client se connecte sans cocher la case marketing, Purple enregistre la connexion mais marque le profil comme exclu et l'exclut de la synchronisation CRM. Les journaux de session sont purgés automatiquement après 30 jours. L'équipe informatique peut exporter le journal d'audit des consentements à tout moment pour prouver la conformité.
Un responsable informatique de stade reçoit une demande d'accès aux données personnelles de la part d'un supporter qui souhaite que tout son historique de connexion et ses données personnelles soient supprimés. Le supporter s'est connecté au WiFi invités lors de cinq événements sur deux ans. Comment l'équipe informatique doit-elle répondre ?
À l'aide du tableau de bord Purple, le responsable informatique recherche l'adresse e-mail validée de l'utilisateur. La recherche renvoie le profil complet : les adresses MAC associées à son appareil, les horodatages de connexion pour les cinq événements, les métadonnées de session et le journal de consentement indiquant quand et ce qu'il a accepté. Le responsable clique sur « Supprimer les données utilisateur ». Purple exécute une suppression définitive de la base de données active et marque les enregistrements pour suppression des sauvegardes. Le système génère une confirmation de suppression avec un horodatage, que le responsable informatique envoie au supporter comme preuve de conformité. L'ensemble du processus prend moins de cinq minutes et se déroule largement dans le délai légal de 30 jours.
Questions d'entraînement
Q1. L'équipe marketing demande que le formulaire de connexion au WiFi pour invités oblige les utilisateurs à fournir leur adresse e-mail, leur date de naissance et leur adresse personnelle avant de leur accorder l'accès. Comment le responsable IT doit-il réagir, et quel principe du GDPR s'applique ?
Conseil : Considérez quel principe du GDPR régit la quantité de données collectées par rapport à la finalité du service fourni.
Voir la réponse type
Le responsable IT doit rejeter la demande au motif du principe de minimisation des données, un principe fondamental du GDPR en vertu de l'article 5(1)(c). Collecter une date de naissance et une adresse personnelle est excessif pour fournir un accès internet. Le formulaire doit être limité à l'adresse e-mail pour des raisons d'accès. Le consentement marketing doit rester un champ distinct et facultatif. Le responsable IT doit consigner cette décision dans le registre des activités de traitement.
Q2. Un utilisateur se connecte au WiFi du site, accepte les Conditions d'utilisation, mais laisse la case de consentement marketing décochée. Le système lui accorde l'accès. Trois jours plus tard, l'équipe marketing lui envoie un e-mail promotionnel en utilisant l'adresse e-mail collectée lors de la connexion. Est-ce conforme ?
Conseil : Examinez les exigences relatives au consentement explicite et à la séparation de l'accès réseau et des communications marketing.
Voir la réponse type
Non. L'utilisateur n'a pas donné son consentement explicite pour les communications marketing. L'envoi d'un e-mail promotionnel à un utilisateur ayant laissé la case marketing décochée viole l'article 7 du GDPR. L'adresse e-mail a été collectée dans le but de fournir un accès au réseau, et non à des fins de marketing. L'utiliser dans un autre but sans consentement enfreint le principe de limitation des finalités. L'équipe marketing doit exclure tous les profils pour lesquels le statut de consentement est défini sur refusé.
Q3. Un hôtel propose un WiFi pour les clients depuis quatre ans et n'a jamais supprimé aucun journal de connexion ni profil utilisateur. Un audit GDPR est prévu dans six semaines. Quelles sont les trois mesures techniques immédiates que l'architecte réseau doit prendre ?
Conseil : Pensez à la limitation de la conservation, à la suppression automatisée et aux exigences de documentation.
Voir la réponse type
Premièrement, mettre en œuvre immédiatement une politique de conservation des données automatisée. Configurer le système pour purger les journaux de session datant de plus de 30 jours et signaler les journaux de sécurité datant de plus de 12 mois pour examen. Deuxièmement, mener un audit des données pour identifier et supprimer les profils inactifs depuis une période prolongée et pour lesquels il n'existe aucun motif légitime documenté de conservation. Troisièmement, documenter la politique de conservation dans le registre des activités de traitement, en précisant la durée de conservation pour chaque catégorie de données et la justification. Ces trois étapes démontrent une conformité proactive et réduisent le volume de données à risque avant l'audit.
Continuer la lecture de cette série
Captive Portal pour Ruijie : configurez-le avec le WiFi invité Purple
Découvrez comment le WiFi invité cloud de Purple se superpose aux points d'accès Ruijie RG Series en utilisant l'authentification web et RADIUS, configuré en ligne de commande, et où trouver les étapes exactes de configuration.
Conception de Captive Portals B2B : Collecter le Nom Enregistré et les Données de l'Entreprise
Ce guide fournit aux responsables informatiques et aux exploitants de sites un cadre technique indépendant des fournisseurs pour concevoir des Captive Portals B2B. Il détaille comment structurer les champs d'inscription pour capturer le nom enregistré et les données de l'entreprise, garantissant des taux de complétion élevés tout en maintenant la conformité GDPR et en développant une intelligence au niveau des comptes.
Architecture de Captive Portal : Sécurité, redirection et bonnes pratiques
Une référence technique définitive sur l'architecture de captive portal d'entreprise. Ce guide détaille l'isolation réseau, la redirection DNS, l'authentification RADIUS et la conformité en matière de sécurité pour les responsables informatiques déployant des réseaux WiFi invités sécurisés et riches en données.