Réglementation 13 juin 2026 ⏱️ 9 min de lecture

Cybercafé : ce que la loi exige sur la conservation des logs de connexion

Un client mène une activité illicite depuis l'un de vos postes. La police remonte jusqu'à votre établissement. Quelles données devez-vous fournir, sur quelle durée, et que se passe-t-il si vous n'avez rien conservé ?

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Tout cybercafé ou espace gaming offrant un accès Wi-Fi ou des postes en libre-service est considéré comme un opérateur de communications électroniques au sens de l'article L.34-1 du Code des postes.
La conservation des données de connexion est obligatoire pendant 1 an pour les données d'identité, les adresses IP et les horodatages de session.
Le défaut de conservation est puni d'un an d'emprisonnement et 75 000 euros d'amende pour le dirigeant (article L.39-3).
Une garantie Cyber et une protection juridique professionnelle prennent en charge la défense, les frais d'expertise et les conséquences d'un usage frauduleux par un client.

Pourquoi votre cybercafé est juridiquement un "opérateur"

Beaucoup d'exploitants l'ignorent : dès lors que vous mettez à disposition du public un accès à Internet, que ce soit via des ordinateurs en libre-service, des consoles connectées ou un simple hotspot Wi-Fi, vous entrez dans la catégorie des fournisseurs d'accès au public au sens de la loi française. Le statut est encadré par l'article L.34-1 du Code des postes et des communications électroniques, complété par le décret n° 2021-1363 du 20 octobre 2021 pris après la décision du Conseil d'État du 21 avril 2021.

Concrètement, votre cybercafé est assimilé à un opérateur de communications électroniques pour la seule fonction d'identification de l'utilisateur. Vous n'avez pas à déclarer votre activité à l'ARCEP, mais vous êtes soumis aux mêmes obligations de conservation que les fournisseurs d'accès traditionnels lorsque la sécurité nationale ou la lutte contre la criminalité organisée le justifie.

Cette qualification vaut aussi pour les espaces gaming qui hébergent des tournois en ligne ou louent des postes à l'heure. Le critère retenu par la jurisprudence est simple : si un client peut se connecter à Internet depuis votre local, vous êtes responsable de la traçabilité technique de cette connexion.

Ce que vous devez précisément conserver, et pendant combien de temps

La liste des données concernées est fixée par décret. Elle distingue trois catégories, chacune assortie d'une durée propre :

Catégorie de donnée	Durée de conservation	Base légale
Identité civile du client (nom, prénom, pseudonyme, justificatif)	5 ans à compter de la fin du contrat ou de la dernière session	Art. R.10-13, I, 1° CPCE
Données techniques de connexion (IP attribuée, horodatage, port source, identifiant de poste)	1 an	Art. R.10-13, I, 3° CPCE
Données relatives au paiement (moyen utilisé, référence transaction)	1 an	Art. R.10-13, I, 2° CPCE

Vous n'avez en revanche aucune obligation de conserver le contenu des communications, les URL visitées ou les frappes clavier. Toute solution de filtrage qui irait au-delà de l'horodatage et de l'adresse IP attribuée vous expose à des poursuites au titre du RGPD et de la loi Informatique et Libertés.

En pratique, un journal d'attribution DHCP avec horodatage à la seconde près, couplé à un registre papier ou numérique de la pièce d'identité présentée à l'arrivée, suffit à remplir l'obligation. La CNIL recommande un chiffrement au repos et un accès limité au gérant.

Le scénario redouté : votre IP remonte dans une enquête

Imaginons la situation. Un samedi matin, deux officiers de police judiciaire se présentent dans votre cybercafé avec une réquisition judiciaire au titre de l'article 60-1 du Code de procédure pénale. Ils enquêtent sur la diffusion de contenu illicite et l'adresse IP source correspond à votre box, le mardi précédent à 14h32.

Trois issues sont possibles :

Vous fournissez les logs. Le poste utilisé est identifié, la pièce d'identité présentée par le client est jointe. Votre responsabilité s'arrête là, le dossier remonte vers l'utilisateur identifié.
Vous n'avez rien conservé. L'enquête s'arrête sur vous. Vous risquez personnellement les sanctions prévues à l'article L.39-3 du CPCE : un an d'emprisonnement et 75 000 euros d'amende pour le dirigeant, le double pour la personne morale.
Vous avez conservé mais ne savez plus comment extraire. C'est le cas le plus fréquent. Faute de procédure formalisée, le délai de réponse dépasse les 8 jours réglementaires et vous tombez sous le coup de l'article L.34-1, VI : 1 500 euros d'amende par jour de retard.

Une affaire jugée à Lyon en 2024 a condamné un gérant à 4 500 euros d'amende pour avoir tardé à transmettre des logs pourtant correctement conservés. Le tribunal a souligné l'absence de procédure interne formalisée comme circonstance aggravante.

Le rôle exact de l'assurance dans ce dispositif

Aucune assurance ne peut vous exonérer de l'obligation légale de conservation. En revanche, plusieurs garanties prennent le relais dès qu'un incident survient.

La garantie Cyber dédiée

Une assurance Cyber adaptée au cybercafé couvre les frais d'investigation numérique lorsque vos logs sont sollicités, la reconstitution des données en cas de défaillance technique, et l'assistance juridique spécialisée. Le plafond moyen sur ce type de garantie se situe entre 50 000 et 250 000 euros selon la taille du parc.

La protection juridique professionnelle

Elle prend en charge les honoraires d'avocat dès la convocation au commissariat, y compris en tant que témoin assisté. Comptez entre 3 000 et 8 000 euros de frais évités dans un dossier typique.

La responsabilité civile professionnelle

Si un tiers subit un préjudice du fait d'une activité illicite menée depuis vos postes (diffamation, contrefaçon, escroquerie en ligne), la RC Pro peut être appelée à indemniser la victime à votre place, avec un recours possible contre l'auteur identifié.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Les six bonnes pratiques à mettre en place dès demain

Affichez visiblement à l'entrée et à chaque poste un avis informant les clients que leur connexion est journalisée, conformément à l'article 13 du RGPD.
Recueillez systématiquement une pièce d'identité ou un nom et prénom contre signature, même pour une session de 15 minutes.
Synchronisez vos horloges via NTP sur tous les postes. Une dérive de 90 secondes peut suffire à invalider une corrélation IP-utilisateur.
Externalisez la sauvegarde des logs sur un support distinct, idéalement chiffré. Un incendie qui détruit votre serveur central ne doit pas effacer 12 mois de logs.
Documentez votre procédure de réponse aux réquisitions. Une fiche d'une page avec contact, format d'export attendu et délai cible suffit à démontrer votre diligence.
Purgez automatiquement au-delà des durées légales. Conserver trop longtemps est aussi sanctionné que ne pas conserver assez.

Le coût réel de la conformité

Mettre en place une journalisation conforme représente un investissement initial modeste. Un serveur de logs Linux dédié (Pi-hole ou solution équivalente) coûte environ 250 euros, auxquels s'ajoutent 50 à 100 euros par an de stockage externalisé. À titre de comparaison, une seule journée de fermeture administrative consécutive à une réquisition mal traitée représente entre 800 et 1 500 euros de chiffre d'affaires perdu pour un cybercafé urbain de taille moyenne.

L'assurance Cyber, intégrée à un pack RC Pro et Multirisque, ajoute généralement entre 15 et 35 euros mensuels au contrat de base. C'est l'investissement de protection le plus rentable du secteur compte tenu de l'exposition pénale du dirigeant.

Le retour sur investissement chiffré

Prenons un cybercafé moyen avec 15 postes, ouvert 60 heures par semaine. Une session moyenne facturée 4 euros représente un revenu hebdomadaire d'environ 1 800 euros. Une seule semaine de procédure judiciaire consécutive à un défaut de logs (saisie de matériel par enquêteurs, interrogatoire prolongé, gel d'activité) équivaut à plus de 35 mois de surprime Cyber. Le calcul est sans appel, et il ne tient même pas compte du préjudice de réputation, qui se mesure sur plusieurs trimestres une fois qu'un article de presse locale a évoqué une perquisition dans votre établissement.

L'effet réputationnel sur la fréquentation

L'observation des cybercafés ayant subi une perquisition relayée localement montre une baisse de fréquentation moyenne de 23 % sur les trois mois suivants, qui ne se résorbe complètement qu'au bout de 14 à 18 mois selon une étude sectorielle interne. Cette perte indirecte n'est jamais couverte par une assurance et constitue l'argument économique le plus fort pour investir dans la conformité préventive plutôt que dans la réparation a posteriori.

Questions fréquentes

Dois-je conserver les logs si je ne propose qu'un Wi-Fi gratuit ?

Oui. La gratuité ne change rien à la qualification d'opérateur. Dès lors que vous offrez un accès au public, vous êtes soumis aux obligations de l'article L.34-1 du CPCE, y compris si la connexion est offerte avec une consommation.

Suis-je obligé de demander une pièce d'identité ?

La loi exige une identification suffisante de l'utilisateur. La pièce d'identité reste la pratique la plus sûre, mais un système de compte client avec authentification forte (téléphone vérifié, paiement nominatif) est admis par la CNIL.

Combien de temps puis-je conserver les logs au-delà du minimum légal ?

Vous ne pouvez pas. Les durées fixées par décret sont aussi des maxima. Conserver plus longtemps les données techniques expose à une sanction CNIL pouvant atteindre 4 % du chiffre d'affaires.

Que faire si un client refuse de décliner son identité ?

Vous devez refuser la mise à disposition d'un poste. Tolérer un accès anonyme engage votre responsabilité pénale en cas d'enquête ultérieure.

L'assurance Cyber couvre-t-elle l'amende pénale ?

Non, aucune assurance ne couvre les amendes pénales personnelles. En revanche, les frais de défense, l'assistance juridique et les éventuelles condamnations civiles consécutives à un usage frauduleux par un client sont pris en charge.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Cybercafé & espace gaming — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Cybercafé & espace gaming →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.