Passer au contenu principal
Français

GDPR et Guest WiFi : Guide de conformité pour les marketeurs de lieux et l'IT

Ce guide fournit aux responsables IT et aux exploitants de sites un cadre pratique pour garantir que les services Guest WiFi sont pleinement conformes au GDPR. Il couvre l'architecture technique, les mécanismes de consentement, la conservation des données et la manière de transformer la conformité en un actif de données de première partie sécurisé.

📖 6 min de lecture📝 1,473 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
GDPR and Guest WiFi: Compliance Guide for Venue Marketers and IT A Purple Technical Briefing - Approximately 10 minutes --- INTRODUCTION AND CONTEXT (approximately 1 minute) Welcome to the Purple Technical Briefing. I am a Senior Technical Content Strategist at Purple, and today we are covering something that every IT manager, network architect, and venue operations director needs to get right: GDPR compliance for guest WiFi. Over the next ten minutes, I will walk you through the technical architecture, the consent mechanics, the data retention requirements, and the specific pitfalls that get organisations into trouble with regulators. This is not a legal lecture. Think of it as a senior consultant briefing you before you go into a board meeting or a regulatory audit. Let us start with the stakes. The ICO can impose fines of up to twenty million euros, or four percent of global annual turnover, for serious GDPR infringements. More than two thousand eight hundred GDPR fines totalling over six point two billion euros have been issued across Europe since 2018. Marriott International received a proposed fine of one hundred and twenty four million dollars from the ICO following a data breach. The risk is real, and guest WiFi is a live data collection endpoint in every venue you operate. --- TECHNICAL DEEP-DIVE (approximately 5 minutes) Let us get into the architecture. When you provide guest WiFi at a hotel, a retail store, a stadium, or a conference centre, you become a Data Controller under GDPR. That is a specific legal designation. It means you are responsible for every byte of personal data your network collects, stores, and processes. Your WiFi vendor - whether that is Purple or anyone else - is your Data Processor. You need a signed Data Processing Addendum in place before any personal data flows to them. The ICO is explicit: MAC addresses, IP addresses, session timestamps, and location data are all personal data when they can be linked to an identifiable individual. In a guest WiFi environment, they almost always can be. The moment a guest enters their email address on your splash page, every other data point you collect about that device becomes personal data. So what data are you actually collecting? There are four categories to understand. First, Registration Data. This is what you ask for on your captive portal: name, email address, phone number, or social login credentials. This requires explicit consent under GDPR Article 6. Data minimisation applies here. Only ask for what is strictly necessary. Second, Device and Session Data. This covers MAC addresses, IP addresses, connection and disconnection times, and session duration. Basic session logging for network security and troubleshooting can be justified under legitimate interest, but you must conduct a Legitimate Interest Assessment and document it. Third, Location Data. If you are using WiFi analytics to generate footfall heatmaps or measure dwell time, you are processing location data. Even when aggregated, the initial collection from an individual device is personal data. This requires clear disclosure and, in most cases, explicit consent. Fourth, Usage and Behavioural Data. Pages visited, bandwidth consumed, application usage patterns. This requires consent, and you must be specific about what you are collecting and why. Now let us talk about the captive portal, because this is where most venues make their most serious compliance errors. The captive portal is your primary compliance interface. It is the splash page guests see before they access the internet. The most common mistake is bundling. This is where a venue requires a guest to accept marketing emails as a condition of getting online. Under GDPR, consent must be freely given. If you bundle network access with marketing consent, the consent is invalid. Full stop. Your captive portal must present at minimum two separate consent elements. The first is mandatory: acceptance of your terms of service for network access. The second is optional and unticked by default: consent to receive marketing communications. A guest must be able to connect to the WiFi without agreeing to marketing. GDPR Recital 32 explicitly prohibits pre-ticked boxes. Beyond the consent structure, your portal must serve a clear and concise privacy notice before the user submits any data. It must explain what data you collect, why you collect it, how long you keep it, and who you share it with. It must link to your full privacy policy. And critically, your system must log every consent event: who consented, when they consented, what they consented to, and the exact version of the privacy notice they saw. This consent audit trail is your proof of compliance. From a network architecture perspective, VLAN segmentation is non-negotiable. Guest WiFi traffic must be isolated on a dedicated VLAN, completely separate from your corporate network. Use access control lists to block guest devices from accessing internal subnets, and enable client isolation so guest devices cannot communicate with each other. This applies whether you are running Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, or Ubiquiti UniFi. For authentication, integrate your wireless LAN controller with a cloud RADIUS server. When a user completes the captive portal flow, the platform sends a RADIUS Access-Accept message to the controller, granting network access. This creates a clean separation between the authentication layer and the data collection layer. On encryption: deploy WPA3 where your hardware supports it. WPA3 uses Simultaneous Authentication of Equals, which eliminates the vulnerabilities in WPA2's four-way handshake and provides stronger protection against offline dictionary attacks. At a minimum, enforce WPA2 with AES-CCMP encryption. And your captive portal must be served over HTTPS with a valid TLS certificate. Serving a form that collects personal data over HTTP is a serious security failure and an immediate compliance red flag. Now, data retention. This is where organisations accumulate risk silently over time. GDPR's storage limitation principle requires that personal data is kept no longer than necessary for the stated purpose. A defensible baseline looks like this. Session logs - IP addresses, MAC addresses, connection timestamps - should be purged after 30 days. That is sufficient for network troubleshooting and security incident investigation. Network security logs, such as firewall events and intrusion detection alerts, can be retained for up to 12 months. Consent records must be kept for the duration of the service relationship plus a period to cover potential legal challenges - typically two years after the last interaction. Marketing profiles should be retained only while the user's consent is valid. The moment a user withdraws consent, their marketing profile must be deleted. Not archived. Deleted. The challenge is enforcing these policies at scale. If you are managing guest WiFi across dozens or hundreds of venues, manual data deletion is not viable. You need a platform that automates retention enforcement. Purple applies configurable retention rules to each data category, automatically purging records when they reach the end of their retention period, across all 80,000-plus venues on the platform. --- IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Let me give you two real-world scenarios that illustrate how this plays out in practice. Scenario one: a 200-room hotel. The property team wants to collect guest emails to drive loyalty programme sign-ups. Their current system requires guests to accept marketing to get online. This is a clear GDPR violation. The fix is straightforward. Deploy a compliant captive portal with separate consent checkboxes. The mandatory checkbox covers terms of service. The optional, unticked checkbox covers marketing consent. The hotel will likely see a lower raw volume of marketing opt-ins compared to the bundled approach, but the quality and legality of the list improves dramatically. Guests who actively opt in are far more likely to engage with subsequent communications. Premier Inn, which uses Purple across its estate, operates exactly this model. Scenario two: a stadium IT team. They want to use WiFi analytics to monitor crowd density and manage safety. The concern from the legal team is that tracking device locations without consent is a GDPR violation. The solution is two-fold. First, update the captive portal privacy notice to explicitly disclose that location data is processed for crowd management and safety purposes. Second, implement MAC address pseudonymisation at the edge - on the access points themselves - before the data reaches the cloud analytics platform. The analytics system then works with pseudonymous identifiers rather than raw MAC addresses, significantly reducing the privacy risk and the scope of your DPIA. The three pitfalls I see most often in venue deployments are these. One: consent fatigue. If your portal is too complex, guests abandon the connection or click blindly. Keep the language plain. Explain the value exchange clearly. Two: failing to honour data subject rights. Under GDPR, guests have the right to access, rectify, and erase their data. You must have a process for this. A self-service preference centre is the gold standard. Purple's platform provides tools to facilitate Data Subject Access Requests, reducing the operational burden significantly. Three: no signed Data Processing Addendum with your WiFi vendor. Before any personal data flows to a third-party platform, you need that DPA in place. Check your vendor agreements today. --- RAPID-FIRE Q AND A (approximately 1 minute) Let me run through the questions we get asked most often. Question: Do we need consent if we are only collecting MAC addresses for analytics? Answer: Yes. If those analytics can be tied back to a device and its user's behaviour, it is personal data. You need either explicit consent or a robust anonymisation process that occurs immediately upon collection. Question: Is a social media login GDPR compliant? Answer: It can be, but you must be transparent about what data you receive from the social platform, and you must obtain separate consent for any use beyond basic authentication. Question: What happens if we have a data breach? Answer: The 72-hour notification clock starts the moment you become aware of the breach. You must notify the ICO within 72 hours, even if your investigation is not complete. Build this into your incident response plan now. Question: Does GDPR apply to us if we are a small venue? Answer: Yes. GDPR applies regardless of organisation size. The scale of any fine may be proportionate, but the obligation to comply is absolute. --- SUMMARY AND NEXT STEPS (approximately 1 minute) Let me close with your action list. First, audit your current captive portal. Check whether marketing consent is bundled with network access terms. If it is, fix it before your next ICO audit. Second, review your data retention settings. If you do not have automated deletion policies in place, you are accumulating risk with every passing day. Third, check your vendor agreements. Ensure you have a signed Data Processing Addendum with every third-party platform that processes guest data on your behalf. Fourth, implement a preference centre. Give your guests a self-service way to manage their consent and submit data subject access requests. Fifth, conduct a Data Protection Impact Assessment before deploying any large-scale location tracking or behavioural profiling capability. It is legally mandatory under GDPR Article 35. Purple is ISO 27001 certified, GDPR and CCPA compliant, and Cyber Essentials certified. We operate across 80,000-plus live venues and have processed 440 million logins in 2024 alone. Our platform automates consent logging, data retention enforcement, and DSAR management, so your team can focus on running the network rather than managing compliance spreadsheets. For more resources on guest WiFi compliance, visit purple.ai. Thank you for joining this Purple Technical Briefing. Stay compliant, and stay secure. --- END OF SCRIPT

header_image.png

Résumé exécutif

Le Guest WiFi est un point de collecte de données réglementé. Chaque hôtel, chaîne de magasins, stade et centre de conférences qui fournit un accès au réseau public devient un responsable du traitement des données (Data Controller) en vertu du Règlement général sur la protection des données (GDPR) dès qu'un visiteur se connecte. L'ICO peut imposer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de non-conformité. Marriott International a reçu une proposition d'amende de 124 millions de dollars de l'ICO à la suite d'une violation de données.

Ce guide fournit aux responsables IT, aux architectes réseau et aux exploitants de sites un cadre pratique et exploitable pour garantir que leurs services Guest WiFi sont pleinement conformes. Nous explorons les types spécifiques de données collectées via le Guest WiFi, les exigences légales en matière de consentement et de traitement des données, ainsi que les meilleures pratiques indépendantes des fournisseurs pour mettre en œuvre une solution conforme. Pour le directeur de la technologie (CTO), ce document décrit comment atténuer les risques juridiques et financiers. Pour le directeur des opérations, il démontre comment un déploiement Guest WiFi conforme peut renforcer la confiance des clients et fournir une intelligence d'affaires précieuse et éthique.

Analyse technique approfondie

Comprendre la conformité au GDPR pour le Guest WiFi commence par une évaluation claire des données traitées. En vertu du règlement, les données personnelles sont définies de manière large comme toute information relative à une personne physique identifiée ou identifiable. Dans le contexte d'un réseau Guest WiFi, cela englobe un éventail de points de données plus large que ce que supposent de nombreuses organisations.

gdpr_data_categories_chart.png

Catégories de données dans le Guest WiFi

Les données collectées via un réseau Guest WiFi peuvent être segmentées en quatre catégories principales. Chacune a des implications distinctes pour la conformité au GDPR, notamment en ce qui concerne la base légale du traitement et la période de conservation requise.

  1. Données d'inscription : Nom, adresse e-mail, numéro de téléphone et données de profil de réseaux sociaux. La base légale est le Consentement. Vous devez obtenir un consentement explicite pour collecter ces données et appliquer les principes de minimisation des données pour ne demander que ce qui est strictement nécessaire.
  2. Données d'appareil et de session : Adresse MAC, adresse IP, heures de connexion et durée de la session. La base légale est généralement l'Intérêt légitime pour la sécurité du réseau et le dépannage, à condition de réaliser et de documenter une évaluation de l'intérêt légitime.
  3. Données de localisation : Cartes de chaleur de fréquentation et suivi du temps de présence. La base légale est le Consentement. Même lorsqu'elle est agrégée, la collecte initiale à partir d'un appareil individuel constitue une donnée personnelle.
  4. Données d'utilisation et de comportement : Pages visitées et bande passante consommée. La base légale est le Consentement. Vous devez être précis sur ce que vous collectez et pourquoi.

Mécanismes de consentement du Captive Portal

Le Captive Portal est votre interface de conformité principale. C'est la page d'accueil que les visiteurs voient avant d'accéder à Internet. Le manquement à la conformité le plus courant est le couplage (bundling), où un site exige d'un visiteur qu'il accepte les e-mails marketing comme condition pour se connecter. En vertu du GDPR, le consentement doit être donné librement. Si vous couplez l'accès au réseau avec le consentement marketing, le consentement est invalide.

Votre Captive Portal doit présenter au minimum deux éléments de consentement distincts :

  • Une case à cocher obligatoire pour l'acceptation de vos conditions d'utilisation pour l'accès au réseau.
  • Une case à cocher facultative et non pré-cochée pour le consentement à recevoir des communications marketing.

Le considérant 32 du GDPR interdit explicitement les cases pré-cochées. Au-delà de la structure du consentement, votre portail doit présenter une politique de confidentialité claire et concise avant que l'utilisateur ne soumette des données. Elle doit expliquer quelles données vous collectez, pourquoi vous les collectez, combien de temps vous les conservez et avec qui vous les partagez. Votre système doit enregistrer chaque événement de consentement : qui a consenti, quand il a consenti, à quoi il a consenti et la version exacte de la politique de confidentialité qu'il a vue. Cette piste d'audit du consentement est votre preuve de conformité.

Architecture réseau et sécurité

gdpr_compliance_architecture.png

Du point de vue de l'architecture réseau, la segmentation VLAN est non négociable. Le trafic Guest WiFi doit être isolé sur un VLAN dédié, complètement séparé de votre réseau d'entreprise. Utilisez des listes de contrôle d'accès (ACL) pour empêcher les appareils des visiteurs d'accéder aux sous-réseaux internes, et activez l'isolation des clients afin que les appareils des visiteurs ne puissent pas communiquer entre eux. Cela s'applique que vous déployiez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou Ubiquiti UniFi.

Pour l'authentification, intégrez votre contrôleur LAN sans fil à un serveur RADIUS cloud. Lorsqu'un utilisateur termine le parcours du Captive Portal, la plateforme envoie un message RADIUS Access-Accept au contrôleur, accordant l'accès au réseau. Cela crée une séparation nette entre la couche d'authentification et la couche de collecte de données.

Concernant le chiffrement : déployez le WPA3 là où votre matériel le prend en charge. Le WPA3 utilise l'authentification simultanée d'égaux (SAE), ce qui élimine les vulnérabilités de la poignée de main à quatre voies du WPA2 et offre une protection plus forte contre les attaques par dictionnaire hors ligne. Au minimum, imposez le WPA2 avec chiffrement AES. Votre Captive Portal doit être servi via HTTPS avec un certificat TLS valide. Servir un formulaire qui collecte des données personnelles via HTTP est une grave faille de sécurité.

Guide de mise en œuvre

Le déploiement d'une solution Guest WiFi conforme nécessite une planification et une exécution minutieuses. Les étapes suivantes décrivent une approche de mise en œuvre indépendante des fournisseurs.

Étape 1 : Auditer les flux de données actuels

Cartographiez exactement les données collectées par votre réseau Guest WiFi actuel. Identifiez chaque champ sur votre Captive Portal, chaque fichier journal généré par votre contrôleur sans fil et chaque intégration tierce. Documentez l'objectif de chaque point de données. Si vous ne pouvez pas justifier la collecte d'un point de données spécifique, éliminez-le.

Étape 2 : Redessiner le Captive Portal

Implémentez un Captive Portal conforme avec des cases à cocher distinctes et non cochées par défaut pour les conditions du réseau et le consentement marketing. Assurez-vous que le langage est simple et que l'échange de valeur est clair. Intégrez un lien direct vers votre politique de confidentialité complète.

Étape 3 : Automatiser la rétention des données

Configurez des politiques de suppression automatisées dans votre plateforme WiFi Analytics . La suppression manuelle n'est pas viable à grande échelle.

  • Journaux de session : Purger après 30 jours.
  • Journaux de sécurité réseau : Conserver jusqu'à 12 mois.
  • Registres de consentement : Conserver pendant la durée de la relation de service plus deux ans.
  • Profils marketing : Supprimer immédiatement lorsqu'un utilisateur retire son consentement.

Étape 4 : Sécuriser la périphérie du réseau

Segmentez le trafic invité sur un VLAN dédié. Implémentez l'isolation des clients. Imposez le chiffrement WPA3 lorsqu'il est pris en charge. Assurez-vous que votre Captive Portal est desservi via HTTPS.

Étape 5 : Implémenter un centre de préférences

Offrez aux invités un centre de préférences en libre-service où ils peuvent gérer leurs paramètres de consentement et soumettre des demandes d'accès des personnes concernées (DSAR). Cela réduit la charge opérationnelle de votre équipe informatique et vous permet de respecter efficacement les droits des personnes concernées.

Bonnes pratiques

Pour maintenir la conformité et élaborer une stratégie de Guest WiFi robuste, respectez ces bonnes pratiques standard du secteur :

  • Réaliser une DPIA : Une analyse d'impact relative à la protection des données (DPIA) est légalement obligatoire en vertu de l'article 35 du GDPR avant de déployer toute fonctionnalité de suivi de localisation ou de profilage comportemental à grande échelle.
  • Signer un DPA : Assurez-vous de disposer d'un accord de traitement des données (DPA) signé avec chaque plateforme tierce qui traite des données d'invités pour votre compte.
  • Minimiser la collecte de données : Ne demandez que les données dont vous avez réellement besoin et que vous avez l'intention d'utiliser. Si vous êtes un point de vente Retail , avez-vous vraiment besoin de la date de naissance d'un invité pour lui fournir un accès Internet ?
  • Se préparer aux violations : Le délai de notification de 72 heures commence dès que vous prenez connaissance d'une violation. Intégrez ce calendrier dans votre plan de réponse aux incidents et assurez-vous que votre équipe sait qu'elle doit notifier l'ICO dans les 72 heures, même si l'enquête n'est pas terminée.

Dépannage et atténuation des risques

Les modes de défaillance courants dans les déploiements de Guest WiFi découlent souvent d'une mauvaise compréhension des exigences du GDPR.

Mode de défaillance : La fatigue du consentement Si votre portail est trop complexe, les invités abandonneront la connexion ou cliqueront à l'aveugle. Utilisez un langage simple. Expliquez clairement l'échange de valeur. Par exemple : "Renseignez votre e-mail pour un accès WiFi rapide et gratuit, et recevez occasionnellement nos offres."

Mode de défaillance : Ignorer les droits des personnes concernées En vertu du GDPR, les invités ont le droit d'accéder à leurs données, de les rectifier et de les supprimer. Si vous ne disposez pas d'un processus pour gérer ces demandes, vous vous exposez à un risque important. Un centre de préférences en libre-service est la stratégie d'atténuation la plus efficace.

Mode de défaillance : Rétention indéfinie des données Conserver les données indéfiniment est une violation directe du principe de limitation de conservation du GDPR. Si vous n'avez pas mis en place de politiques de suppression automatisées, vous accumulez des risques jour après jour. Configurez des règles de rétention dans votre plateforme pour purger automatiquement les enregistrements lorsqu'ils atteignent la fin de leur période de conservation.

ROI et impact commercial

La conformité au GDPR pour le Guest WiFi n'est pas seulement un coût ; c'est un levier stratégique. Une plateforme conforme atténue le risque d'amendes réglementaires, renforce la confiance des clients et fournit une intelligence d'affaires sourcée de manière éthique.

Lorsqu'un invité s'inscrit activement aux communications marketing via un Captive Portal conforme, la qualité de ce contact est nettement supérieure à celle d'un opt-in groupé. Les invités qui consentent explicitement sont plus susceptibles de s'engager dans les communications ultérieures, ce qui génère des taux de conversion plus élevés pour vos campagnes marketing.

De plus, une plateforme Guest WiFi bien conçue fournit des informations précieuses sur le comportement des visiteurs. Dans les environnements de l' Hospitality , ces données peuvent orienter les niveaux d'effectifs, optimiser l'agencement et améliorer l'expérience globale des invités. En traitant la conformité comme un élément fondamental de votre stratégie Guest WiFi, vous transformez une exigence réglementaire en un actif commercial mesurable.

Écoutez notre podcast pour approfondir ces sujets :

Définitions clés

Data Controller

The entity that determines the purposes and means of processing personal data. When you provide Guest WiFi, you are the Data Controller.

This designation makes the venue legally responsible for compliance, regardless of which vendor supplies the WiFi hardware or software.

Data Processor

The entity that processes personal data on behalf of the Data Controller. Your WiFi analytics vendor is a Data Processor.

A signed Data Processing Addendum (DPA) is legally required before sharing data with a Processor.

MAC Address

Media Access Control address. A unique identifier assigned to a network interface controller for use as a network address in communications within a network segment.

Under GDPR, a MAC address is considered personal data when it can be linked to an identifiable individual.

Captive Portal

A web page that the user of a public-access network is obliged to view and interact with before access is granted.

This is the primary interface for collecting consent and serving privacy notices to guests.

VLAN Segmentation

The practice of dividing a physical network into multiple logical networks.

Guest WiFi traffic must be isolated on a dedicated VLAN to prevent access to the corporate network.

Legitimate Interest

A lawful basis for processing personal data when the processing is necessary for your legitimate interests or the legitimate interests of a third party, unless there is a good reason to protect the individual's personal data which overrides those legitimate interests.

Often used as the basis for basic session logging for network security and troubleshooting.

Data Subject Access Request (DSAR)

A request made by an individual to access the personal data an organisation holds about them.

Venues must have a process to handle DSARs efficiently, often facilitated by a self-service preference centre.

WPA3

Wi-Fi Protected Access 3. The latest security certification program developed by the Wi-Fi Alliance.

Provides stronger encryption and protection against offline dictionary attacks compared to WPA2. Should be deployed where hardware supports it.

Exemples concrets

A 200-room hotel wants to collect guest emails to drive loyalty programme sign-ups. Their current system requires guests to accept marketing to get online.

Deploy a compliant captive portal with separate consent checkboxes. The mandatory checkbox covers terms of service. The optional, unticked checkbox covers marketing consent. The hotel will likely see a lower raw volume of marketing opt-ins compared to the bundled approach, but the quality and legality of the list improves dramatically. Guests who actively opt in are far more likely to engage with subsequent communications. Premier Inn, which uses Purple across its estate, operates exactly this model.

Commentaire de l'examinateur : This approach resolves the GDPR violation of bundled consent. While the raw number of opt-ins may decrease, the resulting database consists of high-intent contacts, improving marketing ROI and ensuring legal compliance.

A stadium IT team wants to use WiFi analytics to monitor crowd density and manage safety, but the legal team is concerned that tracking device locations without consent is a GDPR violation.

Update the captive portal privacy notice to explicitly disclose that location data is processed for crowd management and safety purposes. Implement MAC address pseudonymisation at the edge, on the access points themselves, before the data reaches the cloud analytics platform. The analytics system then works with pseudonymous identifiers rather than raw MAC addresses.

Commentaire de l'examinateur : By pseudonymising the data at the edge, the venue significantly reduces the privacy risk and the scope of the required Data Protection Impact Assessment (DPIA), while still achieving the operational goal of monitoring crowd density.

Questions d'entraînement

Q1. A retail chain wants to implement WiFi footfall tracking across 50 stores to measure dwell time. The IT Director suggests logging raw MAC addresses centrally for analysis. Is this compliant?

Conseil : Consider the definition of personal data and the principle of data minimisation.

Voir la réponse type

No, this is high risk. Raw MAC addresses are personal data. The recommended approach is to implement MAC address pseudonymisation at the edge (on the access points) before transmitting the data to the central analytics platform. Additionally, a Data Protection Impact Assessment (DPIA) must be conducted before deployment, and clear signage must inform shoppers that analytics are in operation.

Q2. During an audit, you discover that your captive portal requires users to accept both the network terms of service and marketing emails via a single checkbox to connect to the WiFi. What is the immediate required action?

Conseil : Review the requirements for valid consent under GDPR Article 6.

Voir la réponse type

Immediately redesign the captive portal to unbundle the consent. Implement two separate checkboxes: a mandatory one for the network terms of service, and an optional, unticked checkbox for marketing consent. The current bundled approach renders all collected marketing consent invalid under GDPR.

Q3. A guest submits a Data Subject Access Request (DSAR) asking for all data your venue holds on them, including WiFi session logs. Your current retention policy is to keep session logs indefinitely. What are the implications?

Conseil : Consider the storage limitation principle.

Voir la réponse type

Keeping session logs indefinitely violates the GDPR storage limitation principle. You must fulfill the DSAR by providing the requested data, but you must also urgently implement an automated data retention policy. Session logs should typically be purged after 30 days. Holding them indefinitely exposes the venue to significant regulatory risk.

Continuer la lecture de cette série

Le guide de l'entreprise pour SCEP : Déployer Simple Certificate Enrollment Protocol pour une sécurité WiFi automatisée des campus

Ce guide de référence technique fournit un modèle d'architecture définitif et une stratégie de mise en œuvre étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il couvre les différences critiques entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, et des stratégies concrètes de réduction des risques pour les responsables informatiques.

Lire le guide →

Pourquoi mon WiFi invité ne se connecte-t-il pas ? Dépannage des problèmes de Captive Portal

Ce guide de référence technique faisant autorité explique les mécanismes sous-jacents de la détection de Captive Portal et détaille les six principaux modes de défaillance qui empêchent le WiFi invité de se connecter. Il fournit aux responsables informatiques et aux architectes réseau un cadre de dépannage pratique pour résoudre les problèmes de redirection HTTP, les conflits DNS et les défis liés à la randomisation des adresses MAC.

Lire le guide →

Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et de l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et aux architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et répondre aux exigences PCI DSS et GDPR à grande échelle.

Lire le guide →