Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Publié par La Rédaction

La Commission Européenne vient de publier une foire ax questions (FAQ pourles anglophones) répondant aux questions et préoccupations que se posent certains sur le respect de la vie privée en matière de données incluses dans les puces RFID.
Il nous a semblé bon de reproduire ce texte ici, tout le monde ne fréquentant pas obligatoirement les sites de Bruxelles.

Identification par radiofréquence (RFID): foire aux questions
«Les puces "intelligentes" qui utilisent la technologie RFID peuvent améliorer l’efficacité et l’organisation des entreprises, mais je suis convaincue qu’elles ne seront acceptées en Europe que si elles sont utilisées par le consommateur et non à ses dépens. Aucun Européen ne devrait avoir sur lui de puce dont il ne sache pas à quelles fins elle est utilisée, et qu’il ne puisse ôter ou désactiver à tout moment. L’"internet des objets" ne fonctionnera que si les gens l’acceptent.»

Viviane Reding, membre de la Commission européenne responsable de la société de l'information et des médias

Que signifie RFID?

RFID vient de Radio-Frequency IDentification, ce qui signifie «identification par radiofréquence». Il s’agit d’un terme générique utilisé pour décrire les systèmes qui transmettent à distance, grâce aux ondes radio, l’identité d’objets ou de personnes sous la forme d’un numéro de série unique. Divers types de cartes utilisent les systèmes RFID, par exemple les cartes d’accès sans contact et électroniques.

Comment fonctionnent les systèmes RFID?


Un système RFID de base se compose d’étiquettes et de lecteurs. L’étiquette contient l’identité à transmettre, tandis que le lecteur émet des signaux radio afin de lire ou d’inscrire des données sur l’étiquette. Lorsqu’une étiquette RFID détecte le signal entrant d’un lecteur (c’est-à-dire lorsqu’elle passe à distance de lecture de celui-ci), elle répond par un signal sortant qui contient l’identité. Le lecteur reçoit alors cette identité et la transmet pour traitement à l’ordinateur auquel il est relié.

Les systèmes RFID ont des degrés de complexité divers; par exemple, certains lecteurs ne fonctionnent qu’avec certaines étiquettes, et certaines étiquettes sont cryptées et ne communiquent que si elles sont interrogées avec un mot de passe.

Les étiquettes RFID sont-elles nombreuses?

Environ 2,16 milliards d'étiquettes RFID ont été vendues dans le monde en 2008, ce qui représente une augmentation importante par rapport à l’année précédente. En 2007, les étiquettes vendues étaient destinées à des cartes à puces et clés de paiement (36 %), à des tickets intelligents, billets de banque intelligents et documents sécurisés (14 %), à des boîtes et caisses pour biens de consommation (13 %), à des vêtements vendus au détail (5 %), à des animaux (5 %) et à des livres (4 %).

Quels sont les avantages de la technologie RFID?


La technologie RFID peut être utilisée dans de nombreux domaines: fabrication et production, transport et logistique, commerce de détail, transports publics, soins de santé, lutte contre la contrefaçon, billetterie, paiement électronique, sûreté, recyclage, etc. Elle est efficace pour tirer le meilleur parti possible des processus existants, améliorer la fiabilité, créer de nouveaux services et, plus généralement, augmenter la productivité.

Quelques exemples: les étiquettes RFID intégrées dans les tickets de transport rendent l’enregistrement plus rapide et les tickets sur papier, inutiles; placées dans un badge d’accès, elles remplacent les clés pour plus de commodité (accès plus rapide, pas de serrures remplacer en cas de perte); elles améliorent la gestion des produits de détail (meilleure traçabilité, rappels facilités, certitude de disposer de toutes les tailles d’un vêtement en stock, etc.).

Quelles sont les craintes quant aux effets de l'utilisation des étiquettes RFID sur le respect de la vie privée et la protection des données à caractère personnel?

Les étiquettes RFID peuvent stocker des données complexes et transmettre des informations automatiquement; de plus, elles peuvent être incorporées à des produits ou être si petites qu’elles sont à peine visibles à l’œil nu. En conséquence, si les consommateurs ne savent pas que des étiquettes et des lecteurs RFID sont utilisés ou si le détaillant ne les en a pas informés, ces systèmes pourraient aussi être utilisés sans leur consentement préalable ou à leur insu. De nombreuses étiquettes RFID contiennent un numéro d’identification unique, ce qui permet de distinguer deux produits étiquetés l’un de l’autre. Si une étiquette se trouve à distance de lecture d’un lecteur, elle peut être déchiffrée par celui-ci même si elle est dissimulée dans un sac ou une poche (c’est-à-dire qu’elle sera lue à travers le tissu).

Si un objet qui contient une étiquette RFID se trouve à distance de lecture d’un lecteur, l’étiquette peut être déchiffrée même si personne n’utilise effectivement l’objet (contrairement, par exemple, à une carte de débit, qui doit être glissée dans le lecteur).

Étant donné ces inquiétudes, la Commission a défini aujourd’hui des principes pour la protection de la vie privée et des données à caractère personnel, à l’heure où les étiquettes RFID jouent un rôle de plus en plus important dans la vie quotidienne. Quelle est l’opinion de la Commission sur la protection des données dans la société de l’information?

«La protection de la vie privée revêt une importance particulière pour nous, Européens; elle est inscrite dans le droit européen depuis de nombreuses années. Toutefois, malgré les nombreux avantages que procure le progrès technologique, il existe indéniablement un risque que la protection de la vie privée soit sacrifiée au profit de technologies intrusives. Sur les autoroutes mondiales de l’information, les données à caractère personnel constituent de plus en plus une nouvelle "valeur d’échange". Je suis convaincue que l’Europe tire bien davantage parti des nouvelles technologies que les autres continents; il suffit de regarder le taux de pénétration élevé d'adoption du haut débit et de la téléphonie mobile pour s’en convaincre. J'estime que les Européens doivent avoir le droit de contrôler l'utilisation de leurs informations à caractère personnel»
, a déclaré Mme Viviane Reding, membre de la Commission européenne responsable de la société de l’information et des médias.

Que fait l’UE pour assurer le respect de la vie privée de ses habitants dans un environnement RFID?

La directive relative à la protection des données à caractère personnel (95/46/CE) établit un cadre juridique pour le traitement de ces données; elle dispose qu’une personne doit donner son consentement libre, spécifique et informé avant que les données la concernant ne fassent l'objet d'un traitement. La directive «vie privée et communications électroniques» (2002/58/CE) oblige les États membres de l’UE à garantir la confidentialité des communications en interdisant toute interception d’informations personnelles ou surveillance non autorisée, sauf consentement préalable des utilisateurs (IP/09/571).

Dans sa proposition de réforme de la réglementation communautaire en matière de télécommunications, la Commission a précisé que les réseaux publics de communications équipés de dispositifs RFID et autres dispositifs similaires sont couverts par la directive «vie privée et communications électroniques».

Ces directives sont complétées par une recommandation, publiée aujourd’hui, qui les interprète en donnant des indications sur les moyens de mettre en œuvre les applications RFID tout en respectant le droit à la vie privée et en protégeant les données à caractère personnel. Il s’agit notamment de permettre aux citoyens de contrôler les RFID en prévoyant un principe de consentement préalable.

En quoi consiste le principe de «consentement préalable» recommandé par la Commission européenne?


En ce qui concerne les applications RFID utilisées dans le commerce de détail, le principe de consentement préalable recommandé par la Commission implique que les étiquettes doivent être désactivées ou ôtées si elles représentent un risque pour la vie privée ou la protection des données, à moins que le consommateur ne donne son consentement pour que les étiquettes continuent à fonctionner.

Je suis un particulier et j’achète un produit qui contient une étiquette RFID ...

... comment savoir si ce produit est muni d’une étiquette?


La Commission recommande que la présence d’une telle étiquette soit indiquée au moins par un signe. Celui-ci peut figurer sur le produit lui-même, sur son emballage ou sur l’étagère où il est exposé, en fonction des caractéristiques du produit (taille, matériau, usage prévu, etc.). Les organismes européens de normalisation travaillent actuellement à la définition d’un signe standard qui sera utilisé dans toute l’Europe.

... quelles données sont habituellement stockées sur les étiquettes?

La plupart des étiquettes utilisées dans les applications pour le commerce de détail contiennent un nombre unique composé de trois parties: la première renvoie au nom du premier utilisateur de l’étiquette, habituellement le producteur (par exemple la Compagnie des eaux), la deuxième indique le type du produit (par exemple une bouteille de 1,5 l d'eau gazeuse) et la troisième est un numéro de série qui identifie un produit précis. Dans cet exemple, toutes les bouteilles d’un emballage de six porteraient un nombre dont la première et la deuxième partie seraient communes, mais dont la troisième partie différerait sur chaque bouteille.

... qui peut comprendre la signification de ces trois nombres?

De nombreuses entreprises peuvent retrouver le producteur à partir du premier nombre. Pour trouver la signification du deuxième et du troisième nombre, il faudrait avoir un accord avec le producteur, étant donné que ces informations se trouvent habituellement dans son système informatique interne.

... comment puis-je savoir quelles données sont utilisées ou collectées?


La Commission recommande que les consommateurs soient informés du traitement des données les concernant; il s’agit de leur indiquer les données contenues dans l'étiquette, mais aussi comment et à quelles fins ces données sont utilisées par les détaillants. Ces informations doivent leur être communiquées par l’organisation qui utilise l’étiquette. Dans le cas de produits vendus au détail, il s’agit habituellement du producteur ou du détaillant lui-même.

... dois-je m’inquiéter pour le respect de ma vie privée lorsque j’achète un produit muni d’une étiquette RFID?

Les organisations qui apposent les étiquettes doivent mener une évaluation d'impact sur la protection des données et de la vie privée afin de comprendre les éventuels risques que représenterait la présence de ces étiquettes pour la protection de la vie privée et des données à caractère personnel. Si cette évaluation est réalisée conformément aux recommandations formulées aujourd’hui par la Commission européenne, il n'y a pas de raison de s'inquiéter pour le respect de votre vie privée.

... je ne veux pas que les produits que j’achète soient munis d’une étiquette RFID. Puis-je demander au détaillant de les retirer?

Oui. Premièrement, si l’étiquette est susceptible de représenter un risque pour la protection de votre vie privée ou de vos données à caractère personnel, la Commission recommande que l'organisation qui a apposé l’étiquette élimine le risque en la retirant ou en la désactivant. Deuxièmement, si l’étiquette ne présente pas un tel risque et qu’elle a été placée par le détaillant, la Commission recommande que vous puissiez de toute façon demander à celui-ci de la retirer ou de la désactiver si vous le souhaitez.

... j’ai acheté un produit qui contient une étiquette RFID. Peut-on me «pister» après ma sortie du magasin?

Pister un consommateur ne serait possible que s’il y avait des lecteurs RFID interconnectés partout. Or, dans un avenir prévisible, les lecteurs ne se trouveront que dans un nombre limité de lieux (portes de contrôle d'accès des entreprises, transports publics, etc.); de plus, ces lecteurs ne sont habituellement pas connectés entre eux (les lecteurs d'une compagnie de transports publics et ceux d'un supermarché ne font pas partie du même système).

Les étiquettes que vous avez sur vous peuvent être «lues» par des appareils spécifiques. S’ils peuvent lire le contenu d'une étiquette, cela ne signifie pas qu’ils comprennent sa signification. Même si l’on ne tient pas compte des incompatibilités techniques, si un lecteur RFID d’un magasin se retrouve à proximité de votre titre de transport public et le «lit», il est fort probable qu’il ne comprendra pas les données et les ignorera simplement.

L’évolution de cette situation fera l’objet d’une surveillance constante de la part des autorités responsables de la protection des données et de la Commission européenne.

J’utilise une carte RFID sans contact pour accéder aux transports publics (ou à un musée, un stade, etc.)...

...quelles informations contient-elle?


Dans de nombreux cas, votre carte sans contact contiendra des informations à caractère personnel. Le type d’informations dépend de l’utilisation à laquelle est destinée l'étiquette RFID. Par exemple, de nombreuses applications dans le domaine des transports publics prévoient l'inscription de données à caractère personnel, telles que le nombre de trajets effectués et leur moment, sur la carte elle-même. Ces informations sont collectées pour plusieurs raisons, y compris pour vous permettre de réclamer le remboursement d’un trajet payé mais non effectué. Cependant, si des données à caractère personnel sont stockées sur votre titre de transport, la compagnie concernée doit vous indiquer quelles sont ces données.

La Commission recommande que les consommateurs soient informés de l’utilisation d’une étiquette RFID la première fois que la carte est mise à leur disposition et aient le droit de demander des informations à tout moment. Pour les cartes rechargeables, ce service est habituellement offert par l’appareil qui vous permet de les recharger.

J’utilise une carte d’accès électronique RFID pour entrer dans l'immeuble de mon employeur...

... celui-ci collecte-t-il des informations telles que mes heures d’arrivée ou de travail?

La Commission recommande que les employeurs informent leurs salariés des finalités de l’application et des données traitées. Le cas échéant, cela pourrait concerner vos heures d’arrivée et de départ et la manière dont elles sont mises en rapport avec vos données à caractère personnel. Il se peut tout simplement que votre employeur utilise les cartes électroniques à des fins de contrôle d'accès.

Je suis une entreprise et je veux mettre en œuvre une application RFID...

... ai-je la qualité d’exploitant d’application RFID?


Oui, si vous êtes l'organisation qui définit la finalité et les modalités de l'exploitation de l’application, même si vous sous-traitez les aspects opérationnels à un tiers.

... dois-je mener des évaluations d’impact sur la protection des données et de la vie privée?


Chaque exploitant RFID doit mener une évaluation d'impact sur la protection des données et de la vie privée afin de comprendre les éventuels risques que représenterait la présence des étiquettes RFID pour la protection de la vie privée et des données à caractère personnel. Il existe de nombreuses sources d’information utiles sur la manière de réaliser de telles évaluations, notamment l’entreprise de services RFID qui vous fournit le système ou l’autorité responsable de la protection des données dont dépend votre organisation.

... je ne compte utiliser des étiquettes RFID que pour mes produits, pas pour des dispositifs personnels destinés à mes salariés. Dois-je quand même mener une évaluation d’impact sur la protection des données et de la vie privée?

Oui. Les applications RFID peuvent atteindre un degré élevé de complexité et entraîner des conséquences non prévues au départ, notamment en matière de respect de la vie privée. Toutefois, le niveau de détail de votre évaluation doit être proportionnel aux risques que l’application peut présenter. Les évaluations d’impact sur la protection des données et de la vie privée peuvent être succinctes s’il est rapidement établi que le risque est insignifiant.

Je suis une entreprise de services et j'utilise des applications RFID ou je les gère pour mes clients...

... ai-je la qualité d’exploitant d’application RFID?


Probablement pas, sauf si vous êtes l’organisation qui définit la finalité et les modalités de l’exploitation de l’application ou si vous procédez vous-même au traitement des données.

... si je n'ai pas la qualité d’exploitant, quelles sont mes obligations?

La recommandation ne contient aucune disposition particulière vous concernant. Cependant, il est probable que vos clients, tout comme ils vous ont demandé des conseils pour le choix d'un système RFID, s'adresseront à vous pour que vous les aidiez à faire la synthèse des différents éléments recommandés, tels que l’évaluation d’impact sur la protection des données et de la vie privée ou les informations à fournir aux particuliers.

Commenter cet article