Le guide de l'administrateur réseau pour la conformité au GDPR et à la confidentialité des données des invités
Une référence technique complète pour les responsables informatiques, les architectes réseau et les directeurs de sites sur l'architecture de réseaux WiFi invités conformes au GDPR. Ce guide couvre les quatre catégories de données personnelles collectées par les réseaux invités, la base légale de chacune, les mécanismes de consentement du Captive Portal, la segmentation VLAN, l'automatisation de la rétention des données, et comment la plateforme indépendante du matériel de Purple s'aligne sur chaque exigence de conformité. Les exploitants de sites apprendront à transformer la conformité du WiFi invité d'un risque réglementaire en un actif de données de première main défendable.
Écouter ce guide
Voir la transcription du podcast
- Synthèse
- Analyse technique approfondie
- Quelles données votre réseau invité collecte-t-il réellement ?
- Le Captive Portal comme interface de conformité
- Architecture réseau : segmentation et chiffrement
- Conservation des données : le risque invisible en matière de conformité
- Accords de traitement des données et audits préalables des fournisseurs
- Guide d'implémentation
- Étape 1 : Réaliser un inventaire des données
- Étape 2 : Repenser votre Captive Portal
- Étape 3 : Configurer la segmentation du réseau
- Étape 4 : Imposer l'HTTPS et le WPA3
- Étape 5 : Mettre en œuvre la rétention automatisée des données
- Étape 6 : Établir un processus de DSAR
- Étape 7 : Signer des DPA avec chaque fournisseur
- Bonnes pratiques
- Dépannage et atténuation des risques
- ROI et impact commercial

Synthèse
Le WiFi invité est un point de collecte de données réglementé. En vertu du Règlement Général sur la Protection des Données (GDPR), chaque hôtel, chaîne de vente au détail, stade et centre de conférence proposant un accès au réseau public devient un responsable du traitement des données dès qu'un invité se connecte. Les autorités de contrôle peuvent imposer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les infractions - et plus de 2 800 amendes GDPR totalisant plus de 6,2 milliards d'euros ont été émises depuis 2018, les violations de consentement étant la catégorie la plus fréquemment sanctionnée (SecurePrivacy, 2026).
Ce guide vous fournit le cadre technique pour concevoir un réseau invité conforme. Nous couvrons les quatre catégories de données personnelles que votre réseau traite, la base légale requise pour chacune d'elles, l'architecture de consentement du Captive Portal, la segmentation VLAN, le chiffrement WPA3, l'intégration RADIUS et la rétention automatisée des données. Nous montrons également comment la plateforme Guest WiFi de Purple - déployée sur plus de 80 000 sites et traitant 440 millions de connexions en 2024 (données internes de Purple) - répond à chacune de ces exigences, vous permettant de combler les lacunes de conformité sans remplacer votre matériel existant.
Que vous gériez la connectivité des invités pour un Premier Inn, un magasin phare Harrods, un terminal de Manchester Airports Group ou un parc commercial multisite, l'architecture présentée dans ce guide s'applique directement à votre environnement.
Analyse technique approfondie
Quelles données votre réseau invité collecte-t-il réellement ?
La première étape de tout programme de conformité est un inventaire honnête des données. Un réseau WiFi invité traite quatre catégories distinctes de données personnelles, chacune ayant des implications juridiques différentes.

| Catégorie de données | Exemples | Base légale | Principales considérations de conformité |
|---|---|---|---|
| Données d'inscription | Nom, e-mail, numéro de téléphone, profil de connexion réseau social | Consentement | Doivent être collectées via un opt-in clair et granulaire. Ne peuvent pas être associées aux conditions d'accès au réseau. |
| Données d'appareil et de session | Adresse MAC, adresse IP, heures de début/fin de connexion, bande passante consommée | Intérêts légitimes | Nécessite une évaluation de l'intérêt légitime (LIA). À conserver 30 jours maximum, uniquement pour le dépannage. |
| Données de localisation | Journaux d'association AP, triangulation RSSI, cartes de chaleur de fréquentation | Consentement | À divulguer explicitement dans l'avis de confidentialité. Pseudonymiser à la périphérie (edge) avant d'atteindre la plateforme d'analyse. |
| Données d'utilisation | Requêtes DNS, plages d'adresses IP de destination | Intérêts légitimes | Limiter au filtrage de sécurité. Ne pas créer de profils de navigation individuels sans consentement explicite. |
| Les adresses MAC constituent des données personnelles. L'Information Commissioner's Office (ICO) du Royaume-Uni a confirmé cette position en 2023 : une adresse MAC, combinée à des horodatages de connexion et à la localisation du lieu, suffit à identifier la présence et le comportement d'un individu. La randomisation des adresses MAC (désormais par défaut sur iOS 14+, Android 10+ et Windows 10+) réduit la persistance du suivi des appareils mais ne supprime pas les obligations de protection des données au moment de la collecte. |
Le Captive Portal comme interface de conformité
Un Captive Portal (parfois appelé page d'accueil ou « walled garden ») est l'interface web qui intercepte le trafic HTTP d'un invité et le redirige vers une page de consentement et d'authentification avant d'accorder l'accès au réseau. C'est votre principal mécanisme pour établir une base légale pour le traitement des données.
Selon les articles 7 et 13 du GDPR, une architecture de Captive Portal conforme doit satisfaire à cinq exigences :
1. Consentement distinct. Les conditions d'accès au réseau et le consentement marketing doivent être présentés sous forme d'éléments séparés. Un utilisateur doit pouvoir se connecter au WiFi sans accepter le marketing. Si ce n'est pas le cas, le consentement marketing n'est pas donné librement et est donc invalide. Il s'agit de la violation de consentement la plus contestée en justice au sein de l'UE.
2. Cases à cocher non pré-cochées. Chaque élément de consentement optionnel doit être présenté sous forme de case non pré-cochée. Les cases pré-cochées sont explicitement interdites en vertu du considérant 32 du GDPR. L'utilisateur doit effectuer une action positive pour s'inscrire.
3. Divulgation granulaire des finalités. Chaque finalité de traitement doit être décrite clairement. La mention « À des fins commerciales » est insuffisante. « Pour vous envoyer des e-mails promotionnels sur notre programme de fidélité » est suffisante.
4. Journalisation d'audit du consentement. Votre système doit enregistrer l'horodatage exact, l'adresse IP de l'utilisateur, l'adresse MAC de l'appareil, les choix de consentement spécifiques effectués et la version de l'avis de confidentialité présentée. Purple enregistre chaque événement de consentement et conserve ces enregistrements pendant deux ans après la dernière interaction (données internes de Purple), fournissant ainsi une piste d'audit défendable.
5. Lien vers l'avis de confidentialité. La page d'accueil doit renvoyer directement à votre politique de confidentialité complète avant que l'utilisateur ne soumette la moindre donnée.
Architecture réseau : segmentation et chiffrement
Le traitement des données conforme commence au niveau de la couche réseau. Le trafic des invités doit être isolé de votre infrastructure d'entreprise.
Segmentation VLAN. Configurez un VLAN dédié pour l'SSID invité. Appliquez des ACL bloquant les appareils invités des plages d'adresses RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Activez l'isolation des clients au niveau du point d'accès pour empêcher le trafic d'invité à invité. Les plateformes Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet prennent toutes cela en charge de manière native.
Chiffrement WPA3. Déployez le WPA3 sur votre SSID invité si le matériel le prend en charge. Le protocole de handshake Simultaneous Authentication of Equals (SAE) du WPA3 élimine la vulnérabilité KRACK présente dans le handshake à quatre voies du WPA2 et assure la confidentialité persistante, ce qui signifie qu'une clé de session compromise ne peut pas être utilisée pour déchiffrer le trafic passé. Pour le matériel qui ne prend pas encore en charge le WPA3, imposez le WPA2 avec AES-CCMP, et non TKIP.
HTTPS sur le Captive Portal. Diffusez votre page de connexion via HTTPS avec un certificat TLS 1.2 ou 1.3 valide. La collecte de données personnelles via HTTP est une faille de sécurité grave qui sera signalée lors de toute enquête de l'ICO. Le Captive Portal hébergé dans le cloud de Purple applique le protocole HTTPS par défaut.
Intégration RADIUS. Intégrez votre contrôleur LAN sans fil à un serveur RADIUS pour l'authentification. Lorsqu'un utilisateur termine le parcours sur le Captive Portal, la plateforme envoie un message RADIUS Access-Accept au contrôleur sans fil, autorisant l'accès au réseau. Cela crée une séparation claire et vérifiable entre l'événement d'authentification et la couche de collecte des données. Purple s'intègre avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks et Fortinet via un protocole RADIUS standard, sans qu'aucun serveur sur site ne soit requis.
Pour en savoir plus sur l'architecture d'authentification d'entreprise, consultez notre guide sur l' authentification WiFi d'entreprise sans Active Directory ni serveurs sur site .
Conservation des données : le risque invisible en matière de conformité
La plupart des organisations concentrent leurs efforts de conformité sur la couche de collecte du consentement et négligent le principe de limitation de la conservation. En vertu de l'article 5, paragraphe 1, point e), du GDPR, les données personnelles ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles elles ont été collectées. Conserver indéfiniment les journaux de session constitue une violation, même si la collecte initiale était légale.
Un calendrier de conservation défendable pour le WiFi invité :
| Type de données | Conservation recommandée | Justification |
|---|---|---|
| Journaux de session (IP, MAC, horodatages) | 30 jours | Suffisant pour le dépannage réseau et les enquêtes de sécurité |
| Registres de consentement | 2 ans après la dernière interaction | Couvre les éventuels litiges juridiques et les audits réglementaires |
| Profils marketing | Jusqu'au retrait du consentement | Supprimer immédiatement en cas de désabonnement ou de demande d'effacement DSAR |
| Journaux de sécurité réseau | 12 mois | Conforme aux directives du NCSC sur la réponse aux incidents |
| Journaux DHCP/DNS | 30 - 90 jours | Utile pour l'analyse forensique de sécurité ; documentez la justification |
Purple applique des règles de conservation configurables par catégorie de données et exécute la suppression automatiquement, de sorte que vous ne dépendez pas de processus manuels sur un parc multisite.
Accords de traitement des données et audits préalables des fournisseurs
Conformément à l'article 28 du GDPR, votre fournisseur de WiFi invité est un sous-traitant de données (Data Processor). Vous devez avoir mis en place un accord de traitement des données (DPA) signé avant que toute donnée personnelle ne soit transmise à une plateforme tierce. Le DPA doit spécifier les catégories de données traitées, les finalités du traitement, les sous-traitants ultérieurs utilisés, les mesures de sécurité en place, ainsi que les procédures de gestion des DSAR (demandes d'accès des personnes concernées) et des violations de données.
Lors de l'évaluation des fournisseurs, demandez la certification ISO 27001, un rapport SOC 2 Type II et des preuves documentées de leur propre conformité au GDPR. Purple détient la certification ISO 27001, est conforme au GDPR et à la CCPA, et détient les certifications Cyber Essentials et B Corp.
Pour plus d'informations sur l'architecture de sécurité WiFi d'entreprise, consultez notre guide de sécurité WiFi d'entreprise .
-
Guide d'implémentation
Étape 1 : Réaliser un inventaire des données
Cartographiez chaque point de données collecté par votre réseau invité. Incluez les champs du Captive Portal, les journaux de session générés par le WLC, toutes les données analytiques envoyées aux plateformes tierces et toutes les intégrations CRM. Attribuez une base légale à chaque catégorie de données. Identifiez tout traitement qui ne repose pas actuellement sur une base valide.
Étape 2 : Repenser votre Captive Portal
Auditez votre page de connexion actuelle par rapport aux cinq exigences ci-dessus. Si le consentement marketing est lié à l'accès au réseau, séparez-les. Si les cases sont pré-cochées, décochez-les. Si votre politique de confidentialité est enfouie dans un document de conditions d'utilisation, affichez-la sous forme de lien direct sur la page de connexion. L'offre Purple Capture fournit un modèle de Captive Portal conforme et prêt à l'emploi qui répond à ces exigences.
Étape 3 : Configurer la segmentation du réseau
Créez un VLAN invité dédié sur votre WLC. Appliquez des ACL bloquant l'accès aux sous-réseaux internes. Activez l'isolation des clients. Testez la configuration en connectant un appareil invité et en essayant d'accéder aux ressources internes - vous ne devriez obtenir aucune réponse.
Étape 4 : Imposer l'HTTPS et le WPA3
Vérifiez que votre Captive Portal est desservi via HTTPS. Vérifiez la date d'expiration de votre certificat SSL et configurez le renouvellement automatique. Activez le WPA3 sur le SSID invité si vos points d'accès le prennent en charge. Pour Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist, le WPA3 est disponible dans les versions actuelles du firmware.
Étape 5 : Mettre en œuvre la rétention automatisée des données
Configurez des calendriers de suppression dans votre plateforme d'analyse WiFi. Configurez les journaux de session pour qu'ils soient purgés après 30 jours. Configurez les profils marketing pour qu'ils soient supprimés immédiatement en cas de retrait du consentement. Documentez votre calendrier de conservation dans votre politique de confidentialité.
Étape 6 : Établir un processus de DSAR
Créez une procédure écrite pour gérer les demandes d'accès des personnes concernées (DSAR). Vous disposez de 30 jours pour y répondre. Un centre de préférences en libre-service, où les invités peuvent consulter, modifier et supprimer leurs données, réduit considérablement la charge opérationnelle. La plateforme de Purple fournit un centre de préférences auquel les invités peuvent accéder via un lien dans n'importe quel e-mail marketing.
Étape 7 : Signer des DPA avec chaque fournisseur
Passez en revue chaque plateforme tierce qui reçoit des données d'invités : votre fournisseur d'analyses WiFi, votre CRM, votre plateforme d'email marketing et tous les réseaux publicitaires. Assurez-vous qu'un DPA est en place avec chacune d'entre elles.

Bonnes pratiques
Utilisez le profilage progressif. Ne demandez pas tout dès la première visite. Collectez une adresse e-mail lors de la première connexion. Lors de la deuxième visite, demandez un prénom. Lors de la troisième, proposez l'inscription au programme de fidélité. Cela réduit les frictions, améliore la qualité des données et s'aligne sur le principe de minimisation des données.
Validez les adresses e-mail. Implémentez une validation d'e-mail en temps réel sur le Captive Portal. Les fausses adresses e-mail polluent votre CRM, nuisent à la délivrabilité et créent des complications de conformité lorsque vous ne pouvez pas répondre à une demande de droit d'accès (DSAR) parce que l'adresse e-mail enregistrée est invalide.
Pseudonymisez les données de localisation à la périphérie. Si vous utilisez les analyses WiFi pour le suivi de la fréquentation (comme le font de nombreux opérateurs de l' Hôtellerie et du Commerce de détail ), pseudonymisez les adresses MAC au niveau du point d'accès avant que les données n'atteignent votre plateforme d'analyse. Cela réduit considérablement le risque lié à la vie privée lié au traitement de la localisation et renforce votre évaluation de l'intérêt légitime (LIA).
Réalisez une DPIA avant de déployer des analyses. En vertu de l'article 35 du GDPR, une analyse d'impact relative à la protection des données (DPIA) est légalement obligatoire avant de déployer des systèmes impliquant un suivi de localisation à grande échelle, un profilage comportemental ou le traitement de données concernant des groupes vulnérables. Documentez l'évaluation et conservez-la.
Surveillez la randomisation des adresses MAC. iOS, Android et Windows randomisent les adresses MAC par défaut. Cela signifie que votre plateforme d'analyse constatera un taux de rotation plus élevé des identifiants d'appareils. Concevez vos analyses autour des données de session plutôt que sur un suivi persistant des appareils.
Pour les opérateurs de la Santé et du Transport , dont les invités peuvent inclure des patients ou des passagers dans des situations vulnérables, appliquez un contrôle accru à vos évaluations de l'intérêt légitime et déterminez si un consentement explicite est requis pour tout traitement.
Dépannage et atténuation des risques
Mode de défaillance : la fatigue du consentement. Si votre Captive Portal demande trop d'informations ou présente trop d'options de consentement, les utilisateurs abandonnent la connexion ou cliquent sans lire. Atténuation : limitez les champs obligatoires à une adresse e-mail. Proposez une seule case à cocher facultative pour le consentement marketing. Utilisez un langage clair et simple. Testez les taux de complétion et optimisez.Mode de défaillance : données marketing obsolètes. Conserver les profils marketing d'utilisateurs n'ayant pas interagi depuis des années enfreint le principe de limitation de conservation et nuit à la délivrabilité des e-mails. Atténuation : mettez en œuvre une campagne de réengagement après 12 mois d'inactivité. Supprimez les profils qui ne répondent pas dans les 30 jours suivant l'e-mail de réengagement.
Mode de défaillance : Captive Portal non sécurisé. Afficher la page de redirection en HTTP expose les identifiants et les données personnelles des utilisateurs à des interceptions. Atténuation : imposez l'HTTPS. Automatisez le renouvellement des certificats. Testez avec un scanner de réseau pour confirmer qu'aucun repli vers le HTTP n'est possible.
Mode de défaillance : absence d'accord de traitement des données (DPA). Envoyer des données d'invités à une plateforme tierce sans DPA signé vous rend solidairement responsable de toute violation ou utilisation abusive par ce sous-traitant. Atténuation : auditez tous les flux de données chaque trimestre. Exigez un DPA signé avant de mettre en ligne toute nouvelle intégration.
Mode de défaillance : non-respect du délai de notification de violation de 72 heures. Le délai de notification de violation du GDPR commence au moment où vous prenez connaissance de la violation, et non à la fin de votre enquête. Atténuation : tenez à jour une liste de contrôle de réponse aux violations prévoyant la notification à l'autorité de contrôle comme étape dans les premières 24 heures suivant la découverte. Assurez-vous que votre équipe sait qu'elle doit notifier avant que l'enquête ne soit terminée.
Pour obtenir des conseils sur la gestion de la révocation des accès - utile lorsque des collaborateurs partent ou que l'accès des prestataires doit être résilié - consultez notre guide sur comment révoquer l'accès WiFi lorsqu'un employé s'en va .
ROI et impact commercial
La conformité au GDPR n'est pas uniquement un centre de coûts. Un déploiement de WiFi invités conforme et bien architecturé génère une valeur commerciale mesurable.
Qualité des données de première partie. Les invités qui choisissent activement de s'inscrire au marketing sont plus engagés que ceux contraints par un consentement groupé. Les établissements utilisant les flux de consentement conformes de Purple enregistrent des taux d'inscription au marketing de 35 à 45 % (données internes Purple), avec des taux d'ouverture d'e-mails plus élevés et des taux de désabonnement plus faibles qu'avec les approches groupées antérieures au GDPR.
Exposition réglementaire réduite. Le bilan d'application de l'ICO comprend une amende de 18,4 millions de livres sterling contre Marriott International pour sécurité des données insuffisante (ICO, 2020) et une amende de 500 000 livres sterling contre DSG Retail pour des failles de sécurité (ICO, 2020). Une architecture conforme réduit directement cette exposition.
Efficacité opérationnelle. La rétention automatisée des données et les demandes d'accès aux données de type self-service réduisent le temps de personnel requis pour gérer la conformité. La plateforme de Purple gère automatiquement l'enregistrement des consentements, l'application de la rétention et la gestion des demandes d'accès, réduisant les coûts de conformité d'un parc de 50 établissements à une fraction de ce que nécessitent les processus manuels.
Confiance client. 79 % des consommateurs déclarent être plus enclins à faire confiance aux marques transparentes quant à l'utilisation de leurs données (Cisco Consumer Privacy Survey, 2022). Un Captive Portal clair et honnête expliquant l'échange de valeur - du WiFi gratuit en échange d'une adresse e-mail - renforce la confiance au lieu de l'altérer. La plateforme d'analyses WiFi de Purple vous donne les outils nécessaires pour capturer cette valeur tout en restant parfaitement conforme. Avec 29 milliards de points de données collectés dans plus de 80 000 sites (données internes de Purple), nous disposons de l'envergure nécessaire pour valider ce qui fonctionne dans la pratique, et pas seulement en théorie.
Pour les exploitants de sites dans le Commerce de détail , la capture conforme de données first-party combinée aux analyses de fréquentation améliore concrètement le ciblage des campagnes et l'expérience en magasin. Pour les acteurs de l' Hôtellerie , elle stimule la croissance des programmes de fidélité et les réservations récurrentes. Pour les hubs de Transport , elle permet la gestion des flux de passagers et des offres commerciales ciblées.
Les administrateurs réseau qui conçoivent des systèmes de WiFi invité conformes ne se contentent pas d'éviter des amendes. Ils bâtissent l'infrastructure de données sur laquelle reposera la stratégie marketing et opérationnelle de leur entreprise pour la prochaine décennie.
Définitions clés
Responsable du traitement
L'entité qui détermine les finalités et les moyens du traitement des données personnelles. Dans le cadre d'un déploiement de WiFi invité, l'exploitant du site est le responsable du traitement et assume la responsabilité juridique ultime en matière de conformité au GDPR.
Les responsables informatiques doivent comprendre cette désignation car elle signifie que l'établissement - et non le fournisseur WiFi - est le principal responsable en cas de manquement à la conformité.
Sous-traitant
Une entité qui traite des données personnelles pour le compte du responsable du traitement, dans le cadre d'un avenant formel de traitement des données (DPA). Purple agit en tant que sous-traitant pour le compte de ses clients exploitants de sites.
Un DPA signé doit être en place avant que des données personnelles ne soient transmises à une plateforme tierce. L'envoi de données d'invités à un fournisseur sans DPA rend le responsable du traitement solidairement responsable de tout usage abusif.
Captive Portal
Une interface web qui intercepte le trafic HTTP ou HTTPS d'un invité et le redirige vers une page de consentement et d'authentification avant de lui accorder l'accès au réseau. Il s'agit du mécanisme principal permettant d'établir une base légale pour le traitement des données sur un réseau d'invités.
La conception du Captive Portal détermine si votre collecte de consentement est légalement valide. Des portails mal conçus sont la source la plus fréquente de violations du GDPR dans les déploiements de WiFi invités.
RADIUS (Remote Authentication Dial-In User Service)
Un protocole réseau qui fournit une authentification, une autorisation et une comptabilisation centralisées pour l'accès au réseau. Dans le cadre du WiFi invité, un message RADIUS Access-Accept envoyé par la plateforme de Captive Portal au contrôleur LAN sans fil accorde l'accès au réseau de l'invité une fois que celui-ci a complété le parcours de consentement.
L'intégration RADIUS crée un enregistrement horodaté et vérifiable de chaque événement d'authentification, ce qui facilite à la fois la surveillance de la sécurité et la documentation de conformité au GDPR.
Adresse MAC
Un identifiant matériel unique attribué à un contrôleur d'interface réseau. Classé comme donnée personnelle selon le GDPR lorsqu'il peut être lié à une personne physique identifiable. iOS 14+, Android 10+ et Windows 10+ randomisent les adresses MAC par défaut afin de limiter le suivi persistant des appareils.
Les adresses MAC doivent être soumises à votre politique de conservation des données. La randomisation des adresses MAC n'élimine pas l'obligation de protection des données au moment de la collecte.
Intérêt légitime
Une base légale en vertu de l'article 6, paragraphe 1, point f), du GDPR qui permet le traitement lorsqu'il est nécessaire aux intérêts légitimes du responsable du traitement, à condition que ces intérêts ne soient pas supplantés par les droits de la personne concernée. Nécessite une évaluation documentée de l'intérêt légitime (LIA).
Souvent utilisé pour justifier la journalisation de base des sessions pour la sécurité du réseau. Ne peut pas être utilisé comme base universelle pour le marketing ou l'analyse sans une LIA rigoureuse.
DSAR (Demande d'accès de la personne concernée)
Une demande formelle formulée par une personne physique afin d'accéder aux données personnelles qu'une organisation détient à son sujet, de les rectifier ou de les effacer. Les établissements doivent y répondre sous 30 jours. L'absence de réponse est un élément déclencheur de sanctions par l'autorité de contrôle.
Un centre de préférences en libre-service réduit la charge opérationnelle des DSAR. La plateforme de Purple permet aux invités de consulter et de supprimer leurs propres données sans nécessiter d'intervention manuelle de votre équipe.
DPIA (Analyse d'impact relative à la protection des données)
Une évaluation structurée des risques requise par l'article 35 du GDPR avant de déployer des activités de traitement susceptibles d'entraîner un risque élevé pour les personnes. Obligatoire pour le suivi de localisation à grande échelle, le profilage comportemental et le traitement des données de groupes vulnérables.
Tout établissement déployant des analyses de fréquentation basées sur le WiFi ou un suivi de la densité de foule doit mener une DPIA avant la mise en service. L'évaluation doit être documentée et conservée.
WPA3
La génération actuelle de protocole de sécurité WiFi, standardisée par la WiFi Alliance. Utilise l'authentification simultanée d'égaux (SAE) pour remplacer la poignée de main en quatre étapes de WPA2, offrant une confidentialité persistante et une résistance aux attaques par dictionnaire hors ligne. Pris en charge sur Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi dans les micrologiciels actuels.
Le déploiement de WPA3 sur les SSID invités est une bonne pratique de sécurité et démontre aux régulateurs que des mesures techniques appropriées sont en place conformément à l'article 32 du GDPR.
VLAN (Virtual Local Area Network)
Un segment de réseau logique qui isole le trafic au niveau de la couche 2. Dans le WiFi invité, un VLAN invité dédié empêche les appareils invités d'accéder aux ressources du réseau de l'entreprise, même s'ils partagent la même infrastructure physique.
La segmentation VLAN est le contrôle d'architecture réseau fondamental pour le WiFi invité. Sans elle, un appareil invité connecté au même commutateur physique qu'un serveur d'entreprise peut potentiellement accéder aux ressources internes.
Exemples concrets
Un établissement Premier Inn de 200 chambres doit fournir un WiFi invité fluide tout en collectant des e-mails pour sa newsletter marketing. Leur système actuel oblige les invités à accepter les communications marketing comme condition pour se connecter. Le directeur de l'établissement a reçu une plainte d'un invité qui n'était pas conscient que son e-mail serait utilisé à des fins marketing.
Déployez un Captive Portal conforme en utilisant le plan Purple Capture. Configurez le portail avec deux éléments de consentement distincts : Case 1 (obligatoire, décochée par défaut) : "J'accepte les Conditions de service pour l'accès WiFi." Case 2 (facultative, décochée par défaut) : "Je consens à recevoir des e-mails marketing de Premier Inn." L'utilisateur doit pouvoir cocher la Case 1 et se connecter sans toucher à la Case 2. Configurez le portail pour enregistrer les deux choix de consentement avec un horodatage et la version de la politique de confidentialité. Intégrez le portail au CRM de l'hôtel via l'API de Purple, en synchronisant uniquement les utilisateurs ayant coché la Case 2. Configurez la suppression automatisée des profils marketing en cas de désinscription. Testez le flux en connectant un appareil, en cochant uniquement la Case 1, et en vérifiant qu'aucun enregistrement marketing n'est créé dans le CRM.
L'équipe informatique d'un stade d'une capacité de 60 000 places souhaite utiliser les analyses WiFi pour surveiller la densité de la foule en temps réel, identifier les points d'étranglement et améliorer la sécurité. L'équipe juridique a signalé que le suivi de la localisation des appareils des invités sans consentement pourrait violer le GDPR. Le stade utilise des points d'accès Cisco Meraki et ne dispose actuellement d'aucun Captive Portal.
Déployez la plateforme WiFi invité de Purple sur l'infrastructure Cisco Meraki existante via l'intégration de l'API Meraki. Configurez un Captive Portal qui mentionne explicitement le traitement des données de localisation : "Nous utilisons le signal WiFi de votre appareil pour surveiller la densité de la foule et améliorer la sécurité dans ce lieu. Ces données sont anonymisées et ne sont pas utilisées pour suivre les individus." Activez la pseudonymisation des adresses MAC au niveau des points d'accès Meraki à l'aide de la configuration de traitement à la périphérie de Purple, de sorte que les adresses MAC brutes soient remplacées par des identifiants pseudonymes avant que les données n'atteignent la plateforme d'analyse Purple. Configurez le tableau de bord d'analyse pour afficher les données de densité agrégées par zone, et non les trajectoires individuelles des appareils. Réalisez une analyse d'impact relative à la protection des données (AIPD) avant la mise en service, en documentant les risques pour la vie privée et les mesures d'atténuation appliquées. Conservez l'AIPD dans vos registres de conformité.
Questions d'entraînement
Q1. Une chaîne de vente au détail souhaite utiliser les données du WiFi invité pour envoyer des e-mails promotionnels aux acheteurs. Son équipe informatique propose d'ajouter une case pré-cochée sur le portail captif avec la mention « Envoyez-moi des offres exclusives ». L'équipe marketing soutient que cela convient puisque les utilisateurs peuvent la décocher. Cette approche est-elle conforme et que faudrait-il faire à la place ?
Conseil : Considérez le considérant 32 du GDPR et la définition d'un consentement univoque.
Voir la réponse type
Non, cette approche n'est pas conforme. Le considérant 32 du GDPR stipule explicitement que les cases pré-cochées ne constituent pas un consentement valide. Le consentement doit être un acte positif. La case doit être décochée par défaut, obligeant l'acheteur à s'inscrire activement. La solution est simple : configurer la case pour qu'elle soit décochée par défaut. Vérifiez également que le consentement marketing est présenté comme un élément distinct des conditions d'utilisation pour l'accès au réseau, afin que les acheteurs puissent se connecter sans avoir à accepter le marketing.
Q2. Votre équipe de sécurité réseau doit conserver les journaux DHCP et DNS du réseau invité pour enquêter sur une épidémie de logiciels malveillants survenue il y a trois mois. Les journaux sont toujours conservés sur le SIEM. La politique de conservation des données stipule que les journaux de session doivent être purgés après 30 jours. Comment gérez-vous ce conflit ?
Conseil : Considérez la base légale de l'intérêt légitime et le concept d'exception documentée.
Voir la réponse type
La période de conservation standard de 30 jours peut être prolongée dans le cadre d'une enquête de sécurité active sous la base légale de l'intérêt légitime. Cependant, cette exception doit être documentée : enregistrez la date de l'incident, la portée de l'enquête, les données spécifiques conservées au-delà de la période standard et la date de fin prévue de la conservation prolongée. Une fois l'enquête close, les journaux doivent être purgés. N'utilisez pas une enquête active comme motif de conservation indéfinie des données.
Q3. Un client de votre hôtel soumet une demande de droit à l'effacement par e-mail. Il s'est connecté au WiFi invité il y a six mois et s'est inscrit à votre newsletter marketing. Quelles mesures devez-vous prendre, et dans quel délai ?
Conseil : Pensez à tous les systèmes où les données de l'invité peuvent résider, et pas seulement à la plateforme WiFi.
Voir la réponse type
Vous devez finaliser la suppression dans les 30 jours suivant la demande. Actions requises : (1) Supprimer le profil marketing du visiteur de votre plateforme d'analyse WiFi (Purple). (2) Assurer la répercussion de la suppression sur tous les systèmes intégrés - votre CRM, votre plateforme d'email marketing (par exemple, Mailchimp ou HubSpot) et toutes les plateformes publicitaires ayant reçu ces données. (3) Exclure l'adresse e-mail des futurs envois marketing pour éviter toute nouvelle collecte. (4) Conserver un registre de la demande de suppression elle-même (et non les données personnelles) pour votre piste d'audit de conformité. Remarque : vous pouvez conserver les journaux de session pendant la période standard de 30 jours à compter de la date de connexion, mais si ces journaux ont déjà été purgés conformément à votre politique de rétention, aucune action n'est requise.
Q4. Vous déployez un WiFi visiteur sur un domaine de centres de conférence de 15 sites. Chaque site utilise un équipementier matériel différent : cinq sites fonctionnent sous Cisco Meraki, de cinq sous HPE Aruba et cinq sous Ruckus. Comment implémenter une architecture de portail captif et d'enregistrement des consentements cohérente et conforme sur les 15 sites sans déployer de serveurs sur site distincts pour chaque emplacement ?
Conseil : Envisagez l'approche d'une superposition cloud indépendante du matériel.
Voir la réponse type
Déployez Purple en tant que solution de superposition cloud indépendante du matériel. Purple s'intègre à Cisco Meraki, HPE Aruba et Ruckus via leurs API et protocoles RADIUS respectifs, offrant un modèle de portail captif unique et cohérent sur les 15 sites. L'enregistrement des consentements, l'application de la rétention des données et la gestion des demandes d'accès (DSAR) sont centralisés dans la plateforme cloud Purple, éliminant ainsi le besoin de serveurs sur site. Configurez une politique de confidentialité et un modèle de consentement uniques dans Purple, puis déployez-les sur tous les sites. Cela garantit une conformité homogène, quel que soit l'équipementier matériel sous-jacent.
Continuer la lecture de cette série
HPE Aruba Instant et WiFi invités : configuration du Captive Portal avec Purple
Comment les points d'accès HPE Aruba Instant, gérés via Aruba Central ou le Virtual Controller, fonctionnent avec le WiFi invités de Purple à l'aide d'un Captive Portal externe, de RADIUS et d'une liste d'autorisation.
Grandstream GWN et WiFi invité : configuration du Captive Portal avec Purple
Découvrez comment les points d'accès Grandstream GWN fonctionnent avec le WiFi invité de Purple : une splash page externe, RADIUS et un walled garden, avec un lien vers le guide de configuration étape par étape de Purple pour les détails exacts.
Zyxel Nebula et WiFi invités : configuration du Captive Portal avec Purple
Découvrez comment les points d'accès Zyxel Nebula Cloud fonctionnent avec le WiFi invités de Purple : un Captive Portal externe, RADIUS et un walled garden, avec un lien vers le guide de configuration étape par étape de Purple pour un paramétrage précis.