Wi-Fi dans les avions : les obligations des compagnies

La mise en œuvre du Wi-Fi dans les avions impose aux compagnies aériennes de respecter un certain nombre d’obligations.

La demande d’accès à Internet s’étend à tous les espaces de la vie quotidienne. Les consommateurs souhaitent bénéficier d’Internet chez eux, dans les magasins, dans le train, dans le métro et même, désormais, à plus de 10 000 mètres d’altitude, durant leur voyage en avion.

L’accès à Internet par l’intermédiaire d’un réseau Wi-Fi devient donc un enjeu concurrentiel pour les compagnies aériennes qui commencent à proposer plusieurs offres aux passagers soit gratuitement, soit en contrepartie d’un montant supplémentaire à celui du billet d’avion.

La mise en œuvre de ce service demande aux compagnies aériennes d’être préparées, afin de répondre, d’une part, à des exigences techniques et, d’autre part, à des exigences juridiques relevant essentiellement de l’obligation de conservation des données.

Avec le Wi-Fi dans les avions, la compagnie aérienne devient un opérateur de réseaux interne ouvert au public

Le Code des postes et des communications électroniques (CPCE) ne fait pas de différence entre une entreprise exploitant un réseau Wi-Fi sur terre, en mer ou dans les airs.

En effet, toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public, comme un réseau Wi-Fi ouvert au public (par opposition à un réseau Wi-Fi purement domestique), est normalement considérée, au sens de l’article 32 point 15 du CPCE, comme ayant la qualité d’opérateur de communications électroniques.

Dès lors, les compagnies aériennes, qui exploitent un réseau Wi-Fi dans les avions ou dans les salons privés au sein des aéroports, doivent, en principe, avoir la qualité d’opérateur de communications électroniques, au sens du CPCE. Elles sont alors soumises à un certain nombre d’obligations.

A titre d’exemple, un opérateur de réseau de communications électroniques ouvert au public doit normalement se déclarer auprès de l’Arcep (CPCE, art L.33-1), sous peine d’être sanctionné pénalement (CPCE, art L.39).

Toutefois, afin d’obéir à un certain pragmatisme, l’Arcep a imaginé le statut de « réseau interne ouvert au public », pour s’adapter à la situation particulière de certaines activités, comme celles des « cybercafés, des hôtels ou de toute offre de service à partir d’une borne connectée à un réseau déjà déclaré », dont il n’était pas question pour l’Arcep qu’ils soient soumis aux obligations du CPCE, comme l’obligation de déclaration.

Un réseau interne ouvert au public est défini par l’Arcep comme étant « un réseau à l’usage d’une ou plusieurs personnes constituant un groupe fermé d’utilisateurs, en vue d’échanger des communications internet au sein de ce groupe » et correspond, concrètement, à un réseau accessible (par exemple Wi-Fi) uniquement aux clients de cet opérateur, souvent par l’intermédiaire d’un portail ou d’un identifiant spécifique.

Cette catégorie de réseau s’oppose donc à un « hotspot », accessible depuis la voie publique et ouvert à tous les passants, ou à un réseau privé, que l’on met en place à son domicile, pour la famille ou dans les locaux d’une entreprise, pour les salariés.

Leur situation étant similaire à celle des cybercafés ou des hôtels, avec la mise à disposition de Wi-Fi dans les avions, les compagnies aériennes doivent donc être considérées comme étant des opérateurs de réseaux internes ouverts au public, les faisant ainsi échapper à l’obligation de déclaration auprès de l’Arcep, ainsi qu’à d’autres obligations spécifiques aux opérateurs de communications électroniques.

En revanche, cela ne signifie pas pour autant que les compagnies aériennes échappent à toutes les obligations imposées aux opérateurs, et, notamment, aux obligations de conservation des données de connexion.

Avec l’offre de Wi-Fi dans les avions, la compagnie aérienne est « assimilée » à un opérateur

L’article L.34-1 du CPCE étend les obligations qui sont mises à la charge des opérateurs de communications électroniques aux personnes qui sont « assimilées » à des opérateurs de communications électroniques, c’est-à-dire aux « personnes qui, au titre d’une activité professionnelle principale ou accessoire », proposent un accès à Internet, à titre gratuit ou onéreux.

Le texte prévoit donc d’assimiler toutes les personnes proposant un accès Internet, y compris par l’intermédiaire d’un réseau interne ouvert au public, à des opérateurs de communications électroniques, mais uniquement pour les dispositions prévues à l’article L.34-1 du CPCE relevant essentiellement de l’obligation de conservation des données.

En effet, cet article impose à l’ensemble des opérateurs de conserver des données techniques de connexion (CPCE, art R.10-12) pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, telles que les atteintes aux droits de propriété intellectuelle.

Toutefois, la Cnil a précisé qu’un cybercafé « n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès Wi-Fi ouvert). Il doit uniquement conserver les données techniques de connexion. En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription, par exemple, il a l’obligation de conserver ces données pendant un an » (1).

Par conséquent, comme les compagnies aériennes sont, en principe, soumises au même statut que les cybercafés ou les hôtels, ces dernières disposent d’une alternative : autoriser l’accès sans contrôle aux passagers, et, dans ce cas, conserver uniquement les données techniques, ou procéder à l’identification préalable des passagers, par l’intermédiaire d’un portail de connexion comprenant un formulaire à remplir, et, dans ce cas, conserver les données d’identification, en plus des données techniques.

Enfin, la loi sur le renseignement du 24 juillet 2015 a complété les obligations s’imposant aux personnes « assimilées » à des opérateurs, visées par l’article L.34-1 du CPCE, celles-ci peuvent notamment se voir imposer de mettre en œuvre des traitements automatisés destinés à détecter des connexions susceptibles de révéler une menace terroriste (Code de la sécurité intérieure, art. L.851-3) et doivent désormais faire droit aux demandes de recueil des données techniques et de connexion par les autorités compétentes.

Alain Bensoussan Avocats
Lexing Droit des télécoms

(1) Conservation des données de trafic : hot-spots wi-fi, cybercafés, employeurs, quelles obligations ?, Cnil, 28 09 2010.