RGPD et collecte de données WiFi : checklist de conformité 2026
Points clés : Le RGPD s'applique à toute collecte de données WiFi auprès de personnes situées dans l'UE, y compris les adresses MAC combinées avec des horodatages et des données de localisation. L'accès WiFi ne peut pas être conditionné au consentement marketing — les visiteurs doivent disposer d'un chemin de connexion sans opt-in marketing. Les cases de consentement pré-cochées sont explicitement interdites. La conservation des données doit être définie et appliquée avec suppression automatique. Le mode RGPD de MyWiFi Networks configure automatiquement des flux de consentement conformes. Cette checklist couvre chaque exigence de conformité pour les revendeurs déployant le WiFi marketing sur les marchés européens.
La conformité RGPD pour la collecte de données WiFi n'est pas optionnelle — c'est une obligation légale assortie de sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Selon le rapport d'application 2025 du Comité européen de la protection des données, les amendes RGPD ont dépassé 4,2 milliards d'euros cumulés, les secteurs de la technologie et des télécommunications représentant 31 % des mesures d'application.
Pour les revendeurs de WiFi marketing, le RGPD impacte chaque aspect du déploiement : quelles données vous collectez, comment vous les collectez, comment vous les stockez, combien de temps vous les conservez et ce que vous en faites. Ce guide fournit une checklist de conformité pratique et actionnable.
Quelles données personnelles la collecte WiFi capture-t-elle ?
Au sens du RGPD, les « données personnelles » désignent toute information permettant d'identifier une personne physique directement ou indirectement. La collecte de données WiFi capture généralement :
Données directement identifiantes :
- •Adresse email (depuis l'authentification du portail)
- •Numéro de téléphone (depuis l'authentification SMS/WhatsApp)
- •Nom (depuis le formulaire du portail ou la connexion sociale)
- •Profil de réseau social (depuis l'OAuth de connexion sociale)
Données indirectement identifiantes :
- •Adresse MAC — l'identifiant matériel de l'appareil. Au sens du RGPD, une adresse MAC constitue une donnée personnelle lorsqu'elle est combinée avec d'autres données (horodatages, localisation) permettant d'identifier une personne. L'arrêt 2025 de la Cour de justice de l'Union européenne dans l'affaire C-604/22 a confirmé cette interprétation.
- •Type d'appareil et système d'exploitation (depuis les chaînes user agent)
- •Horodatages de visite (heures de début et de fin de session)
- •Localisation dans l'établissement (depuis les données d'association aux AP)
- •Durée de session et utilisation de la bande passante
Données agrégées (généralement non personnelles) :
- •Comptage total des visiteurs (anonymisé)
- •Temps de présence moyen (non lié aux individus)
- •Densité de trafic par zone (pas d'identification individuelle)
Les six bases légales : lesquelles s'appliquent au WiFi ?
Le RGPD exige une base légale pour chaque activité de traitement. Pour la collecte de données WiFi, trois bases sont pertinentes :
Consentement (Article 6(1)(a)) — Pour le marketing
Tout marketing direct (campagnes email, SMS, messages WhatsApp, reciblage publicitaire) nécessite un consentement explicite. C'est la seule base légale pour les communications marketing adressées aux personnes dans l'UE. Il n'existe pas d'alternative.
Le consentement au sens du RGPD doit être :
- •Libre — l'accès WiFi ne peut être conditionné au consentement marketing
- •Spécifique — « Nous vous enverrons des offres promotionnelles de [nom de l'établissement] par email » (pas un vague « nous pouvons vous contacter »)
- •Éclairé — le visiteur doit savoir qui collecte les données, quelles données et pourquoi, avant de consentir
- •Non ambigu — une action affirmative (cocher une case non cochée, appuyer sur « J'accepte »). Les cases pré-cochées sont interdites.
Intérêt légitime (Article 6(1)(f)) — Pour l'analytique
L'analytique anonymisée (comptages de trafic agrégés, temps de présence moyen, cartes de chaleur par zone) peut être traitée sur la base de l'intérêt légitime. L'établissement a un intérêt commercial légitime à comprendre les flux de fréquentation. Si l'analytique est véritablement anonymisée (aucune personne ne peut être ré-identifiée), l'intérêt légitime s'applique.
Cependant : si l'analytique inclut des données individuelles (temps de présence d'un client spécifique, mouvements par zone d'un client spécifique), c'est un traitement de données personnelles qui nécessite un consentement ou une évaluation spécifique de l'intérêt légitime avec test de mise en balance.
Exécution contractuelle (Article 6(1)(b)) — Pour l'accès WiFi
La fourniture d'accès WiFi elle-même (authentification de l'appareil, octroi de la connectivité internet) peut être justifiée par l'exécution contractuelle — le visiteur demande l'accès WiFi, et le traitement de données nécessaire pour répondre à cette demande (authentification, gestion de session) est licite sans consentement séparé.
Distinction essentielle : le traitement de données nécessaire à l'accès WiFi (authentification) ne requiert pas de consentement. Le traitement de données à des fins marketing (envoi de messages promotionnels) requiert un consentement séparé et explicite.
La checklist de conformité
Configuration du portail
- •
Consentements séparés pour le WiFi et le marketing. Le portail captif doit offrir l'accès WiFi sans exiger le consentement marketing. Implémentez deux interactions distinctes : (1) authentification pour l'accès WiFi, (2) opt-in marketing facultatif.
- •
Case de consentement marketing non cochée. La case de consentement marketing doit être non cochée par défaut. Le visiteur doit la cocher activement. Le consentement pré-coché ou implicite constitue une violation du RGPD.
- •
Texte de consentement spécifique. Le libellé de la case de consentement doit préciser à quoi le visiteur consent : « J'accepte de recevoir des emails promotionnels de [Nom de l'Établissement] concernant [catégorie de promotions]. » Un texte générique comme « J'accepte de recevoir des communications » n'est pas suffisamment spécifique.
- •
Consentement granulaire par canal. Si le marketing sera envoyé via plusieurs canaux (email, SMS, WhatsApp), proposez des cases de consentement séparées pour chaque canal. Une seule case couvrant tous les canaux ne satisfait pas l'exigence de « spécificité ».
- •
Lien vers la politique de confidentialité visible. Le portail doit inclure un lien vers la politique de confidentialité complète. Le lien doit être visible sans défilement sur mobile. La politique de confidentialité doit être accessible avant que le visiteur ne soumette des données.
- •
Pas de regroupement des consentements. Le consentement à l'accès WiFi et le consentement marketing ne peuvent être regroupés dans un seul bouton « J'accepte ». Ils doivent être des actions séparées.
Exigences de la politique de confidentialité
- •
Identité du responsable de traitement. La politique de confidentialité doit identifier qui contrôle les données — généralement l'exploitant de l'établissement (responsable de traitement) et le fournisseur de plateforme WiFi (sous-traitant). Si le revendeur traite des données pour le compte de l'établissement, le revendeur peut également être sous-traitant.
- •
Finalité du traitement. Indiquez clairement chaque finalité : fourniture d'accès WiFi, communications marketing, analytique, ciblage publicitaire.
- •
Catégories de données collectées. Listez les types de données spécifiques : email, numéro de téléphone, adresse MAC, horodatages de visite, informations sur l'appareil.
- •
Base légale pour chaque finalité. Associez chaque finalité de traitement à une base légale : exécution contractuelle pour l'accès WiFi, consentement pour le marketing, intérêt légitime pour l'analytique anonymisée.
- •
Durées de conservation. Précisez combien de temps chaque type de données est conservé : « Votre adresse email est conservée pendant [X] mois après votre dernière visite. Les données de session sont conservées pendant [Y] mois. »
- •
Droits des personnes concernées. Informez les visiteurs de leurs droits : accès, rectification, effacement, limitation, portabilité, opposition et droit de retrait du consentement.
- •
Coordonnées. Fournissez les coordonnées pour exercer ces droits : adresse email, adresse postale et (si requis) coordonnées du Délégué à la protection des données.
- •
Transferts transfrontaliers. Si les données sont transférées hors de l'UE (ex. : vers une plateforme basée aux États-Unis), mentionnez-le et indiquez le mécanisme de transfert (Clauses contractuelles types, décision d'adéquation, règles d'entreprise contraignantes).
Accord de traitement des données (DPA)
- •
DPA entre l'établissement et le revendeur. Si le revendeur traite des données clients pour le compte de l'établissement (responsable de traitement), un Accord de traitement des données au titre de l'Article 28 du RGPD est requis.
- •
DPA entre le revendeur et la plateforme. MyWiFi Networks fournit un DPA standard couvrant son rôle de sous-traitant. Assurez-vous que ce DPA est signé et archivé.
- •
Déclaration des sous-traitants ultérieurs. Le DPA de la plateforme doit déclarer les sous-traitants ultérieurs (AWS pour l'hébergement, Twilio pour les SMS, etc.) et les activités de traitement de chaque sous-traitant ultérieur.
- •
Intégrité de la chaîne de DPA. Vérifiez que des DPA sont en place entre chaque entité de la chaîne de traitement : établissement → revendeur → plateforme → sous-traitants ultérieurs.
Conservation des données
- •
Durées de conservation définies. Fixez des durées de conservation spécifiques pour chaque type de données. Durées typiques conformes au RGPD :
- •Profils clients (email, nom, téléphone) : 24 mois après la dernière visite
- •Données de session (horodatages, durée, bande passante) : 12 mois
- •Registres de consentement marketing : conservés tant que le consentement est actif + 3 ans après le retrait (à des fins d'audit)
- •Analytique agrégée : indéfini (ce ne sont pas des données personnelles)
- •
Suppression automatisée. Configurez la suppression automatique des données à la fin de la période de conservation. Les processus de suppression manuels sont insuffisants à l'échelle. MyWiFi prend en charge des durées de conservation configurables avec purge automatique par emplacement.
- •
Documentation de la politique de conservation. Documentez la politique de conservation et rendez-la accessible aux personnes concernées via la politique de confidentialité. Consultez notre modèle de politique de conservation des données comme point de départ.
Droits des personnes concernées
- •
Droit d'accès (Article 15). L'établissement doit être en mesure de fournir à un visiteur toutes les données personnelles le concernant dans les 30 jours suivant la demande. Les fonctions de recherche et d'export de MyWiFi le permettent.
- •
Droit à l'effacement (Article 17). Lorsqu'un visiteur demande la suppression de ses données (« droit à l'oubli »), toutes les données personnelles doivent être supprimées dans tous les systèmes — base de données du portail, CRM, listes email, analytique, sauvegardes. Le mode RGPD de MyWiFi inclut une fonction de suppression client qui se propage dans le pipeline de données.
- •
Droit à la portabilité (Article 20). Les visiteurs peuvent demander leurs données dans un format structuré et lisible par machine (généralement CSV ou JSON). L'API ou les fonctions d'export doivent le permettre.
- •
Retrait du consentement. Les visiteurs doivent pouvoir retirer leur consentement marketing aussi facilement qu'ils l'ont donné. Chaque message marketing doit inclure un lien de désinscription en un clic. La désinscription doit prendre effet immédiatement.
- •
Processus de réponse. Documentez un processus de traitement des demandes de personnes concernées : qui reçoit la demande, comment elle est vérifiée, qui l'exécute et comment la réponse est documentée.
Mesures techniques (Article 32)
- •
Chiffrement en transit. Toute transmission de données entre le portail captif et la plateforme doit être chiffrée (HTTPS/TLS). Les portails MyWiFi utilisent HTTPS avec certificats SSL auto-provisionnés.
- •
Chiffrement au repos. Les données clients stockées dans la base de données de la plateforme doivent être chiffrées au repos. MyWiFi utilise le chiffrement AES-256 pour les données stockées sur AWS.
- •
Contrôles d'accès. Limitez l'accès aux données clients aux seuls utilisateurs autorisés. Utilisez des contrôles d'accès basés sur les rôles (RBAC) pour restreindre l'accès par fonction : admin revendeur, gestionnaire d'établissement, personnel marketing.
- •
Segmentation réseau. Le WiFi invité doit être segmenté du réseau professionnel de l'établissement pour empêcher tout accès non autorisé aux données.
- •
Processus de notification de violation. Documentez un processus de détection, d'évaluation et de signalement des violations de données. Le RGPD exige la notification à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation qualifiante.
Connexion WhatsApp et RGPD
La connexion WiFi par WhatsApp présente un avantage structurel en matière de RGPD : le visiteur initie le message WhatsApp, ce qui constitue une action affirmative non ambiguë satisfaisant les exigences de consentement de l'Article 6(1)(a).
De plus :
- •Le chiffrement de bout en bout de WhatsApp assure la protection des données en transit
- •Le compte WhatsApp du visiteur est vérifié (actif, appartenant à la personne)
- •La fenêtre de messagerie de 24 heures limite les contacts non sollicités
- •Les messages templates (envoyés en dehors de la fenêtre de 24 heures) nécessitent une pré-approbation par Meta
La connexion WhatsApp est la méthode d'authentification la plus nativement alignée avec le RGPD car le mécanisme de consentement est intégré au flux d'authentification — le visiteur ne peut pas s'authentifier sans effectuer une action affirmative (envoyer le message).
Erreurs RGPD courantes dans les déploiements WiFi
Erreur 1 : Accès WiFi conditionné au consentement marketing
Problème : Le portail n'accorde l'accès WiFi que si le visiteur accepte le marketing. Il n'y a pas d'option « ignorer » ni de chemin WiFi uniquement.
Violation RGPD : Article 7(4) — le consentement n'est pas libre s'il est conditionné à un service.
Correction : Fournissez un chemin d'authentification WiFi uniquement (code d'accès, ou case marketing pouvant rester non cochée tout en accordant l'accès).
Erreur 2 : Cases de consentement pré-cochées
Problème : La case de consentement marketing est cochée par défaut. Le visiteur doit la décocher pour se désabonner.
Violation RGPD : Considérant 32 — « Le silence, les cases cochées par défaut ou l'inactivité ne constituent pas un consentement. »
Correction : Réglez la case sur non cochée par défaut. Le mode RGPD de MyWiFi l'applique automatiquement.
Erreur 3 : Absence de limites de conservation des données
Problème : Les données clients sont stockées indéfiniment sans suppression automatique.
Violation RGPD : Article 5(1)(e) — principe de limitation de la conservation.
Correction : Définissez des durées de conservation et implémentez la suppression automatique. Révisez et documentez la politique de conservation annuellement.
Erreur 4 : Absence d'Accord de traitement des données
Problème : Aucun DPA n'existe entre l'exploitant de l'établissement (responsable de traitement) et la plateforme WiFi (sous-traitant).
Violation RGPD : Article 28 — le traitement par un sous-traitant doit être régi par un contrat.
Correction : Signez le DPA standard de la plateforme. MyWiFi le fournit sur demande pour tous les plans.
Erreur 5 : Absence de processus pour les demandes des personnes concernées
Problème : Quand un visiteur envoie un email demandant ses données ou leur suppression, personne ne sait quoi faire.
Violation RGPD : Articles 12-22 — droits des personnes concernées.
Correction : Documentez un processus de réponse, désignez un responsable et testez-le. Entraînez-vous avec une demande simulée chaque année.
Mode RGPD de MyWiFi
MyWiFi Networks inclut un mode RGPD activable qui configure automatiquement les paramètres conformes :
- •Case de consentement non cochée par défaut
- •Flux de consentement WiFi et marketing séparés
- •Registres de consentement stockés avec horodatage, adresse IP et version du texte
- •Application automatique de la conservation des données
- •Fonction de suppression des données clients
- •Lien obligatoire vers la politique de confidentialité sur le portail
- •Retrait du consentement via désinscription dans chaque message
- •DPA disponible pour signature
Le mode RGPD ne remplace pas l'examen juridique — il fournit la mise en œuvre technique des exigences RGPD courantes. Les revendeurs devraient consulter un conseiller juridique local pour les orientations spécifiques à leur juridiction.
Le règlement ePrivacy : ce qui se prépare
Le règlement ePrivacy (ePR) de l'UE est en développement depuis 2017 et devrait être finalisé en 2026-2027. Il remplacera l'actuelle directive ePrivacy (2002/58/CE) et traitera spécifiquement :
- •Suivi WiFi : Le projet d'ePR aborde explicitement le suivi WiFi et Bluetooth, exigeant potentiellement un consentement pour le traitement des requêtes de sondage (même anonymisées)
- •Stockage de type cookie : Réglementations sur le stockage côté appareil pouvant affecter les cookies du portail captif et les fonctionnalités « Bon retour »
- •Traitement des métadonnées : Règles plus strictes sur le traitement des métadonnées de communication, pouvant affecter les données de comptabilité RADIUS
Les revendeurs devraient surveiller le calendrier de l'ePR et se préparer aux changements potentiels des pratiques d'analytique WiFi, en particulier autour de l'analytique de présence qui s'appuie sur la détection des requêtes de sondage.
FAQ
Le RGPD s'applique-t-il à mon déploiement WiFi si l'établissement est en dehors de l'UE ? Le RGPD s'applique si vous traitez des données personnelles de personnes situées dans l'UE, quel que soit l'emplacement de l'établissement. Un hôtel aux États-Unis accueillant des clients européens doit se conformer au RGPD pour les données de ces clients.
Une adresse MAC est-elle une donnée personnelle au sens du RGPD ? Une adresse MAC seule n'est pas toujours une donnée personnelle. Une adresse MAC combinée avec des horodatages, une localisation ou d'autres données permettant d'identifier une personne est une donnée personnelle au sens du RGPD. Pour les usages de WiFi marketing, traitez les adresses MAC comme des données personnelles — la combinaison avec les données de session les rend presque toujours identifiables.
Puis-je utiliser l'intérêt légitime pour l'email marketing ? Non. Le marketing direct envers des personnes dans l'UE requiert le consentement au titre de l'Article 6(1)(a) du RGPD. L'intérêt légitime n'est pas une base valable pour les emails de marketing direct. L'intérêt légitime peut s'appliquer à l'analytique anonymisée et au marketing B2B dans certaines juridictions, mais pas au marketing individuel auprès des consommateurs.
Que se passe-t-il si un visiteur retire son consentement ? Cessez toute communication marketing immédiatement. Conservez le registre de retrait du consentement. L'accès WiFi du visiteur n'est pas affecté — seul le consentement marketing est retiré. Vous pouvez conserver les données analytiques anonymisées.
Ai-je besoin d'un Délégué à la protection des données (DPO) ? Si l'activité principale de l'établissement implique un suivi régulier et systématique des personnes à grande échelle (ex. : un centre commercial avec suivi WiFi persistant), un DPO peut être requis au titre de l'Article 37. Consultez les orientations locales — la plupart des restaurants et magasins mono-sites ne nécessitent pas de DPO.
Comment le RGPD interagit-il avec le CCPA et le CASL ? Le RGPD (UE), le CCPA (Californie) et le CASL (Canada) ont des exigences qui se chevauchent mais sont distinctes. Une approche multi-juridictions nécessite de comprendre chaque réglementation et d'implémenter l'exigence la plus restrictive comme référence. Consultez notre guide de gestion du consentement pour un cadre multi-juridictions.