Les RFID (Radio Frequency Identification) Les puces RFID permettent d’identifier et de localiser des objets ou des personnes. Elles sont composées d’une micro-puce (également dénommée étiquette ou tag) et d’une antenne qui dialoguent par ondes radio avec un lecteur, sur des distances pouvant aller de quelques centimètres à plusieurs dizaines de mètres. Pour les applications dans la grande distribution, leur coût est d’environ 5 centimes d’euros.
D’autres puces communicantes, plus intelligentes ou plus petites font leur apparition avec l’avènement de l’internet des objets. Certains prototypes sont quasi-invisibles (0,15 millimètre de côté et 7,5 micromètres d’épaisseur) alors que d’autres, d’une taille de 2 mm2, possèdent une capacité de stockage de 512 Ko (kilo octets) et échangent des données à 10Mbps.(méga bits par seconde).
NFC est un standard de communication développé depuis 2002, qui permet à différents types de puces de communiquer et inter-opérer. Les distances de communication pour un débit maximal de 424kbps sont de 10cm.
Les puces sans contact envahissent peu à peu notre quotidien. Elles utilisent plusieurs technologies comme RFID (Radio Frequency Identification) ou NFC (Near Field Communications).
Aujourd’hui, elles sont déjà présentes dans les titres de transports (ex : passe Navigo ou carte Velib), les passeports électroniques, les badges d’accès aux immeubles (ex : Vigik), des porte monnaies électroniques, les clés de contact des voitures, la logistique pour la gestion des bagages dans les aéroports ou des stocks dans les magasins.
La technologie de radio-identification (RFID) devient ainsi un enjeu économique majeur notamment dans les applications de la distribution et du transport.
Mais, l’avenir nous promet des applications encore plus diversifiées. Les puces permettront sans doute de connaître instantanément le contenu d’un caddie au supermarché. Elles pourront analyser les objets achetés ; les produits de luxe seront « tagués » pour éviter les contrefaçons ; les paiements seront sans contact quand des lecteurs NFC équiperont les téléphones. Les médicaments et poches de sang seront « tagués » pour assurer ainsi une meilleure traçabilité.
Des expérimentations sont par ailleurs en cours pour équiper les nouveau-nés, dans certaines maternités, de bracelets RFID, afin d’éviter qu’ils soient kidnappés. A quand la puce implantée sous la peau ? Déjà en Espagne des puces RFID sont injectées sous la peau pour servir de moyen de paiement dans certaines discothèques, ce qui apparaît comme tout à fait disproportionné.
Cette technologie soulève de nouvelles problématiques en matière de protection des données personnelles au premier rang desquelles figure leur invisibilité ou quasi-invisibilité. Comment garantir le respect de la loi en présence de technologies invisibles ?
En outre, n’importe qui, dès lors qu’il est muni du lecteur adéquat, peut lire le contenu d’une puce RFID. Et une puce peut comporter des données personnelles (ou qui peuvent devenir personnelles par interconnexion à une base) permettant ainsi d’identifier à distance son porteur. Si tous les objets de notre vie quotidienne (carte de transport, vêtement, téléphone, voiture, bracelet….) sont ainsi « tagués », il sera possible de pister les individus dans tous les actes de la vie quotidienne…
Certes, aujourd’hui, les systèmes RFID ne permettent pas une surveillance continue des individus. Par exemple, l’utilisation d’un passe Navigo permet seulement de connaître la station de métro où est entré un usager et éventuellement celle où il est sorti. Il n’est pas possible de connaître le trajet effectué, ce d’autant que la CNIL a limité la durée de conservation de ces données à 2 jours, et uniquement à des fins de détection de la fraude.
Qu’en sera-t-il demain ? En théorie, une surveillance plus précise des individus serait possible, mais elle nécessiterait des moyens considérables, à savoir un maillage de lecteurs pouvant lire à plusieurs mètres les puces portées par les personnes.
Dans les transports, il est essentiel que des systèmes permettant de continuer à voyager anonymement continuent d’exister.
Dans la grande distribution, les puces équipant les produits vendus en supermarché devraient pouvoir être neutralisées automatiquement lors du passage en caisse (par déactivation ou retrait physique). Des dispositifs techniques garantissant la neutralisation des RFID devraient donc être incorporés dès leur fabrication, quand la puce n’a pas d’application prévue au-delà du point de vente. Des solutions existent déjà mais la recherche doit encore progresser pour trouver des moyens pratiques de mise en œuvre.
La CNIL collabore dans cet esprit avec le pôle Industries du Commerce de la région Nord afin d’accompagner le déploiement des technologies RFID.
Par ailleurs, une information claire et précise des consommateurs sur l’usage de ces puces, sur les traitements effectués ainsi que sur les moyens mis à leur disposition pour lire le contenu de la puce et vérifier si elle est ou non active devrait être disponible.
Enfin, des normes de sécurité doivent être promues pour garantir que les informations personnelles éventuellement contenues dans les puces ne puissent être lues à distance par des tiers à l’insu des personnes.
Du fait de leur dissémination massive, de la nature individuelle des identifiants de chacun des objets marqués, de leur caractère invisible, et des risques de profilage des individus, la CNIL suit avec une vigilance toute particulière le développement de ces nouvelles technologies. En contact régulier avec les acteurs industriels du domaine, au niveau national et européen, elle participe actuellement à l’élaboration d’une première recommandation européenne qui devrait être adoptée au premier semestre 2008. Il s’agit de rappeler que le développement de ces technologies doit nécessairement s’accompagner d’une prise en compte des principes clés de la protection des données, à savoir les principes de finalité, de proportionnalité, de transparence et de sécurité.
Faut-il encadrer précisément l’usage de ces technologies ? Dès lors que les dispositifs RFID utilisés donnent lieu à l’identification directe ou indirecte d’une personne physique, la loi informatique et libertés s’applique. De ce point de vue, il n’apparaît pas nécessaire d’adopter une législation particulière, mais peut-être faut-il adapter la loi informatique et libertés pour prendre en compte spécifiquement cette technologie. Il appartiendra au groupe de travail, constitué au sein de la CNIL pour évaluer l’application de la loi et proposer le cas échéant une révision de celle-ci, d’apprécier si un ajout est nécessaire sur ce point
