Introduction

L'identification par radiofréquence (RFID) fait partie de votre quotidien, peut-être même sans que vous vous en rendiez compte... Pensez par exemple aux clés de contact électroniques des voitures, aux tickets pour les transports publics, aux badges pour entrer au bureau, aux tickets d'entrée pour un match de football, aux cartes de membres d'un club ou même à des implants?

Des tendances récentes indiquent que le marché de l'identification par radiofréquence (RFID - Radio Frequency Identification) fera l'objet d'un énorme boom dans la décennie qui vient. La technique n'est pas nouvelle, elle existe depuis déjà une cinquantaine d'années. C'est une technique qui utilise des puces minuscules, apposées sur un produit, une boîte ou une palette, et qui peuvent être lues par le biais d'ondes de radio. De la sorte, il est possible de tracer et d'identifier des produits.

Ces possibilités offrent beaucoup de nouvelles opportunités dans le domaine de la logistique et de la gestion de stocks. Plus de scanning manuel des codes-barres, mais une lecture hyper rapide d'une puce RFID (ou de plusieurs puces) sur une palette par des lecteurs liés entre eux. Grâce à cette technique, il sera bientôt possible de tracer le trajet parcouru par un produit de consommation dans toute la chaîne logistique et de lire automatiquement la date de fabrication comme la date limite de conservation. Dès lors que la technique sera appliquée à grande échelle, il se pourrait que même les caissières ne soient plus nécessaires: il suffit en effet d'un lecteur pour lire et additionner tous les montants enregistrés sur la puce.

Un 'internet d'objets', c-à-d. un monde dans lequel des objets signalent leur position, leur identité et leur histoire, semble devenir la nouvelle réalité. La technologie de la RFID, combinée avec d'autres technologies telles que la téléphonie mobile, GPS, Bluetooth, etc., offre nombre de nouvelles possibilités permettant de maximiser la facilité, le confort et le bien-être. Une entreprise de transport par exemple, pourra à tout moment vérifier où se trouvent ses conteneurs et quel est leur contenu. Et pourquoi n'achèteriez-vous pas un réfrigérateur intelligent, qui reconnaît les produits qu'on y met ou qu'on en retire et qui gère automatiquement le stock? Ainsi, si la bouteille de jus de fruits n'est pas remise à sa place, le frigo va en commander une autre.

Mais si des objets peuvent être tracés, il doit être également possible de tracer un consommateur qui porte un produit sur lui? Le point critique dans ce raisonnement est le respect de la vie privée des citoyens! Imaginons la possibilité que le consommateur (futur) accepte volontairement tout cet arsenal électronique en échange d'un prix plus bas sur son ticket de caisse....

Madame Viviane Reding, Commissaire Européenne pour la Société de l'Information et les Média, lance actuellement un débat public sur la RFID et veut par cette initiative faire un premier pas vers une consultation large et ouverte sur la RFID et ses implications.

Approche technique de la RFID

Qu'est-ce que la RFID?

L'Identification par radiofréquence (RFID) est la dénomination pour toute technologie qui permet d'identifier produits, animaux et personnes à distance par le biais d'ondes de radio.

En fixant une étiquette radio RFID (tag), consistant en une puce et une antenne, sur un objet par exemple, cet 'objet' est identifié dès lors qu'il reçoit le signal d'un émetteur-récepteur. L'émetteur-récepteur transmet alors ce signal en données qui peuvent être envoyées sur l'équipement informatique de l'utilisateur. Le 'power output' et la radiofréquence déterminent la distance à laquelle les tags peuvent être lus.

En plus d'une puce et d'une antenne, l'étiquette radio RFID peut éventuellement être munie d'un "moteur" sous la forme d'une batterie. Nous distinguons des tags actifs (avec batterie) et passifs (sans batterie) ainsi que des tags semi-passifs pour lesquels la batterie ne sert pas à agrandir la distance de lecture mais bien à élargir la capacité de la mémoire.

Types de systèmes RFID

En vue de la discussion sur les aspects de droit privé relatifs à la RFID, il importe de tenir compte des différents types de systèmes RFID, que nous pouvons répartir en: RFID smart tags (labels intelligents), RFID tokens and smart cards, RFID implants et autres systèmes.

Smart labels ou 'object tags': ces labels intelligents sont des labels passifs et bon marché qu'on peut apposer sur des produits. Ils s'avèrent surtout utiles dans le secteur des produits de consommation à débit rapide (fast moving consumer goods), à savoir le soutien logistique et le commerce en détail. L'information qu'on peut reprendre sur un label intelligent est limitée à un numéro unique de série, auquel sont liées des informations supplémentaires par le biais d'une base de données de support.

Un système qui mérite d'être mentionné ici, est l'EPCglobal Network. C'est un set de standards qu'on utilise pour déterminer et fixer des numéros de série uniques dans des RFID tags au sein de la chaîne logistique. Ces numéros de série peuvent ensuite être liés à des bases de données sous-jacentes qui contiennent des informations normalisées concernant le produit. Par ce système, il sera possible dans le proche avenir de découvrir la date de production et la date limite de conservation ainsi que le trajet parcouru par le produit de consommation dans la chaîne logistique ('item level tagging').

Le succès de la RFID utilisée pour les produits dépend principalement du prix du RFID tag et des coûts liés aux autres aspects de l'EPCglobal Network. Dans d'autres secteurs, comme le transport et les soins, toute décision d'adopter ce système nécessite au préalable une analyse des frais et des gains.

Tokens and smart cards: ces instruments permettent également d'identifier une personne. Via un mot de passe (code) et un décodage protégeant l'accès à l'information, les données figurant sur la carte ne peuvent être lues qu'aux endroits autorisés et où cela s'avère nécessaire. Cette protection supplémentaire vise à éviter que l'information soit lue automatiquement dès lors que la carte entre dans le champ de lecture.

Cartes d'accès (badges) et cartes bancaires sont des exemples de cartes intelligentes. La plupart du temps il s'agit de cartes nécessitant un contact, mais il en existe sans contact, qui peuvent être lues à quelques cm de distance du lecteur. Enfin certains dispositifs fonctionnent à plus grande distance (ex. tags dans les colliers pour animaux).

Dans les soins de santé, les transports publics et la RFID dans des passeports, il est indispensable d'utiliser un encodage ou 'reader tag authentication' car des données personnelles doivent être retenues par le RFID tag. A part l'encodage, il existe encore d'autres dispositifs techniques qui peuvent protéger les données privées.

Implants(=tokens)

Des RFID tags peuvent également être placés dans le corps humain pour faciliter l'identification, l'authentification et l'autorisation.

Autres systèmes = catégorie restante

Il s'agit de systèmes sur mesure. La technologie RFID peut être développée en fonction de l'application souhaitée.

Principes juridiques applicables actuellement: la loi Belge sur la protection de la vie privee et des donnees à caractère personnel (LPDCP)

La loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel s'applique si des informations personnelles doivent être traitées. Cette loi a été adaptée encore en 1998 suite à la Directive Européenne du 24 octobre 1995, qui harmonise la matière de la protection de données à caractère personnel dans l'Union Européenne et qui devrait être transposée en législation nationale dans tous les états membres.

La première question à se poser est de voir s'il y a en fait des données à caractère personnel d'une personne concernée qui sont traitées par une personne responsable.

Par données à caractère personnel on entend toute information concernant une personne physique identifiée ou identifiable (article 1 LPDCP), comme son nom, adresse e-mail ou autres coordonnées. Une personne est identifiable lorsqu'il est possible, sans recherches fouillées, de trouver à quel individu se rapportent les données personnelles. Des données anonymes qui sont traitées dans des statistiques, ne sont pas des données à caractère personnel si l'identité de la personne ne peut être découverte.

Tant le groupe de travail néerlandais 'Privacy en RFID' que le Groupe de Travail Article 29 estiment que l'applicabilité de la LPDCP devra toujours être évaluée au cas par cas.

Les systèmes de RFID peuvent traiter les données personnelles de deux manières

1. En les mettant sur le RFID tag

Si on enregistre sur le RFID tag des données qui permettent d'identifier, directement ou indirectement, une personne concernée, il s'agit d'un traitement de données pour lequel la LPDCP est d'application.

2. En liant les données sur le RFID tag (exemple: un numéro de série) à une personne physique par le biais d'une infrastructure sous-jacente ou des caméras vidéo.

   Ici, la LPDCP est d'application parce que des données figurant sur un RFID tag peuvent être liées à des coordonnées personnelles, stockées ailleurs et qui permettent d'identifier une personne.

   L'exploitant d'un magasin peut par exemple, grâce à une application de RFID, enregistrer tous les produits dans un chariot quand le client se présente à la caisse. Si ces données sont liées à une carte de client et que cela permet d'identifier 'la personne concernée', la LPDCP est d'application.

   Les questions relatives à la vie privée lors de l'utilisation de la RFID, portent principalement sur l'utilisation de la RFID dans le commerce de détail, où toutes les applications de RFID ne relèvent pas de la LPDCP.

   Ainsi, le système de l'EPCglobal Network fonctionne sur base de smart labels qui ne contiennent pas plus qu'un numéro unique (electronic product code). Ces numéros permettent de lier un produit labellisé à des informations en ligne concernant le produit. Mais le tag ne contient pas d'informations sur des personnes; il ne réfère pas à des personnes mais à des produits: il n'est donc pas question de données à caractère personnel.

La LPDCP est bien d'application si des données qui sensu stricto portent sur un produit, sont utilisées pour collecter des informations sur une personne. Si par exemple, on trace les déplacements d'une personne en enregistrant quand un produit est signalé à un certain endroit (en sachant que la personne concernée porte le produit sur elle), la LPDCP est d'application. Dans ce cas, les informations sur le produit sont traitées comme si c'étaient des données personnelles, et elle est donc tenue à respecter la LPDCP.

Dans certaines conditions (article 5 LPDCP), une série d'obligations incombent au 'responsable' du traitement de données personnelles: déclaration obligatoire auprès de la Commission pour la Protection de la Vie Privée, organisation de procédures pour rencontrer adéquatement les besoins de consommateurs qui veulent exercer ces droits, "soin de la qualité": il s'agit de l'obligation de prévoir des mesures organisationnelles pour la protection et l'actualisation de données, l'information obligatoire et autres obligations liées à l'application de certains droits de l'individu.

C'est important, car une application de RFID permet de collecter des données sans que le consommateur le sache. La personne responsable doit donc par principe informer le consommateur de l'usage d'un système de RFID! Par exemple, en plaçant des marquages sur les produits et sur le lecteur.

La personne concernée/le consommateur a le droit de consulter ces données et d'obtenir leur correction gratuite. Il a également le droit de s'opposer à certains traitements pratiqués en marketing direct. Cela sans coût donc, ni responsabilité.

Conclusion

La plupart des pays européens ne sont pas pressés de réguler la RFID et s'accordent à considérer que la Loi sur la Protection des Données à Caractère personnel peut s'appliquer intégralement aux systèmes de RFID lorsque ceux-ci servent à traiter des données personnelles.

Au niveau de la distribution, l'information RFID sur la puce n'est liée à aucune information personnelle concernant un consommateur ni utilisée pour analyser le comportement des consommateurs. Le consommateur n'entre pas du tout en contact avec le RFID tag et il n'y a donc aucun risque pour sa vie privée.

Dès que le consommateur entre en contact avec le RFID tag et que l'information sur la puce est liée par exemple à une carte de client - ce qui permet l'identification du consommateur en tant que personne - les conditions de la loi sur la protection de la vie privée s'appliquent afin de protéger le consommateur.

En application de la LPDCP, le consommateur doit être informé du traitement de ses données personnelles, collectées par le biais d'un système de RFID ou non. En outre, il a un droit de consultation, de correction de ces données sans frais et de refus de les voir traitées à des fins de marketing direct, ceci gratuitement et sans responsabilité pour sa part.

Le CRIOC plaide aussi pour plus d'information et de transparence, de sorte que ces possibilités pour le consommateur ne soient pas trop difficiles à faire valoir.

Des dispositifs techniques qui peuvent désactiver ou "éteindre" la puce, doivent aider à éviter que le consommateur puisse être tracé.

Info: europa.eu.int/information_society/policy/rfid/index_en.htm

Pour en savoir plus

Loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (modifiée par la loi du 11 décembre 1998), MB 3 février 1999.

Loi du 11 mars 2003 concernant certains aspects juridiques des services de la société de l'information, MB 17 mars 2003.