Vous souhaitez savoir si une bibliothèque a l'obligation de tracer les usagers qui se connectent à ses bornes wifi, par un système d'identification.

Le mémoire de Marion Chovet fait le point sur les questions réglementaires liées à l'accès à internet dans les bibliothèques publiques  (pages 58-59) :

Le législateur, en 2004  (Loi pour la confiance dans l’économie numérique) et 2006 (Loi relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers) a validé une approche sécuritaire sur la surveillance. Selon la législation, les fournisseurs d’accès ont donc l’obligation de détenir et conserver les « données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont (ils) sont prestataires » et de communiquer ces données à l’autorité judiciaire, sur demande de cette dernière. Sont également tenus à l’obligation de conservation des données de connexion « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ». S’agissant des établissements qui offrent, dans un cadre public, à des visiteurs une connexion en ligne, et les « fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne wifi » que ce soit à titre payant ou non, sont également soumis à cette obligation.

En 2011, un décret a précisé les données qui devaient être conservées par les fournisseurs d'accès et hébergeurs pour permettre l'identification des personnes ayant contribué à la création d'un contenu en ligne.
 

Compte tenu de l’ampleur de la surveillance, le fantôme du «big brother numérique» a été avancé. En 2007, la CNIL a fait part d’une certaine réserve du fait de l’imprécision du texte et du risque de dérive possible.

En 2014 et 2016, la Cour de Justice de l’Union européenne(CJUE) s’est prononcée contre la conservation généralisée des données de connexion et invalidé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.  Compte tenu de ces décisions, plusieurs associations, dont la Quadrature du Net, ont demandé en juillet 2018 que 17 Etats membres de l’Union européenne, dont la France, se conforment à cette jurisprudence. Le projet de recherche NetCommons va même plus loin en recommandant aux opérateurs de se conformer au droit européen supérieur, selon la hiérarchie des normes, au droit français. Mais quel poids aurait une bibliothèque de taille moyenne avec cet argument face à une tutelle qui veut faire appliquer la loi française ?

Au sein des bibliothèques, la question de l’identification d’un usager utilisant un ordinateur en libre accès, est différemment appréciée. Certains établissements enregistrent nom, prénom et heure de la session (avec numéro du poste), dans le respect de la législation française, d’autres refusent tout enregistrement faisant valoir le principe de la hiérarchie des normes et donc les décisions de la CJUE.

Source :  La protection de la vie privée des lecteurs par les bibliothécaires français . Marion Chovet. Mémoire du diplôme de conservateur des bibliothèques. Enssib, 2019

Le document suivant fait également le point sur les aspects techniques mais aussi juridiques du déploiement d'un réseau Wi-Fi public (diapos 27 à 52) :
Offrir un accès internet en bibliothèque : modalités, autorisations et obligations légales. Anne-Gaëlle Gaudion, agence BibliSmart. CNFPT, décembre 2017.
Extrait :
 

Proposer un accès Wi-Fi à internet en bibliothèque
Le déploiement d’un réseau Wi-Fi public nécessite de respecter certaines exigences juridiques.
→ Il s’agit de savoir si la collectivité est ou non identifiée en tant qu’opérateur télécoms.

→ Toute connexion au réseau Wi-Fi nécessite, préalablement, de respecter plusieurs principes : des conditions techniques liées à l’implémentation du réseau Wi-Fi et la sécurisation juridique face aux utilisateurs du réseau Wi-Fi.

→ Il existe différentes contraintes légales quant aux données liées aux utilisateurs et à leurs connexions au réseau Wi-Fi. Ne pas respecter toutes ses exigences peut engager directement la responsabilité de toute personne exploitant un réseau Wi-Fi interne ouvert au public.

Anne-Gaëlle Gaudion ajoute plus loin :
 

Proposer un accès Wi-Fi à internet en bibliothèque
Les restrictions d'accès au réseau Wi-Fi
Même si cela ne constitue pas une obligation légale, il paraît préférable de restreindre les possibilités d’accès au réseau Wi- Fi en tant que tel. Ainsi, mettre en place des codes d’accès ou un portail captif s’avère être une bonne alternative. Cela permet de limiter les risques d’accès frauduleux et de satisfaire à la protection face aux actes non autorisés sur internet : pédopornographie, diffamation, piratage, actes terroristes, etc.
Attention, la mise en place de codes d’accès conduit inévitablement à la collecte de données à caractère personnel. Il faut donc se soumettre à toutes les dispositions de la loi informatique et libertés (voir plus loin)

Enfin, un document disponible sur le site de la CNIL indique :
 

Les « données de trafic », qu’est-ce que c’est ?
 

Les « données de trafic » sont les informations techniques générées par l’utilisation des réseaux de communications tels qu’internet. Il s’agit par exemple de l’adresse IP de l’ordinateur (n° identifiant chaque ordinateur connecté à internet) utilisé, de la date, de l’heure et de la durée de chaque connexion ou encore des informations permettant d’identifier le destinataire d’une communication (par exemple le numéro de téléphone appelé). En principe, ces informations doivent être effacées ou rendues anonymes. Cependant, certains textes législatifs et réglementaires permettent de déroger à cette règle et imposent au contraire de les conserver dans le but de permettre la recherche et la poursuite des infractions pénales.

Le propriétaire d’un cybercafé est-il tenu de conserver les données de trafic de ses clients ?

OUI. Les cybercafés, les restaurants, les hôtels, les aéroports ou tout autre endroit qui propose un accès au réseau internet au public, à titre payant ou gratuit, sont concernés par ces dispositions. Ils doivent conserver les données techniques pendant un an à compter de leur enregistrement. Attention ! les informations relatives au contenu des messages, comme l’objet ou le texte d’un courrier électronique, ne doivent pas être conservées.

Existe-t-il une obligation d’identifier l’utilisateur de l’ordinateur ?

Non. Le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion. En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an.

Source : Conservation des données de trafic : hot-spots wi-fi, cybercafés, employeurs, quelles obligations ? CNIL, 28 septembre 2010

Ces sources mettent en lumière les divers positionnements possibles des bibliothèques.

En voici quelques exemples : 

• la Bpi offre un accès Wifi sans authentification, ni limitation de durée : La wifi à la Bpi
• La Bibliothèque municipale de Lyon offre un accès gratuit au Wifi, toutefois l'utilisateur doit créer un compte utilisateur en déclinant sa véritable identité et une adresse mail valide à laquelle un message de confirmation d'inscription est envoyé : Comment se connecter au réseau wifi de la bibliothèque municipale de Lyon. BML
• La médiathèque Jacques Baumel de Rueil-Malmaison indique:

  "La connexion est soumise à un enregistrement préalable sur le portail captif Ucopia du Wifi Médiathèque.
  Des identifiants et mots de passe vous seront attribués pour accéder à Internet pour une durée d’un mois renouvelable après un nouvel enregistrement sur le portail captif."

Nous vous recommandons d'interroger votre tutelle ainsi que les responsables informatiques de votre collectivité pour savoir quelles options sont préconisées concernant l'accès Wifi dans votre médiathèque.

Vous pourrez également échanger avec d'autres professionnels des bibliothèques sur le forum Agorabib ou dans le groupe Facebook public "Professionnels des bibliothèques".

Pour aller plus loin :

• RGPD et bibliothèques. Questions? Réponses! 31/01/2019
• Bornes Wifi dans une médiathèque. Questions? Réponses! 20/02/2020