Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

La radio-identification

La technologie de radio-identification (RFId) devient un enjeu économique majeur notamment dans les applications de la distribution et du transport. Du fait de leur dissémination massive, de la nature individuelle des identifiants de chacun des objets marqués, de leur caractère invisible, et des risques de profilage des individus, la CNIL considère que les RFIds sont des identifiants personnels au sens de la loi Informatique et Libertés.

La radio-identification apparaît au travers de puces miniatures (quelques millimètres au plus constitués d’un microprocesseur et d’une antenne) sous les vocables synonymes de RFId, de smart tag, transponder ou encore de radio-tags. Ces étiquettes intelligentes (smart tags) sont par nature passives et sans énergie propre ; dans un flux magnétique variable elle émettent selon des fréquences radio bien définies une simple suite alphanumérique fixe qui sert d’identifiant à l’objet étiqueté. La portée de cette diffusion radio est variable suivant la norme technique choisie et contextuelle : quelques centimètres jusqu’à quelques mètres au plus. Enfin, certains tags sont capables de recevoir de l’information et de l’enregistrer.

Si la radio-identification fait déjà partie de nos vies au travers des cartes de transport sans contact (dont Navigo pour la RATP) ou de nombreuses clés de voiture, c’est dans le secteur de la distribution que se place l’avenir le plus massif en tant que code-barre radio. Ce dernier est l’objet de projets et d'une normalisation mondiale. Au-delà des effets d’échelle opérant sur les coûts de production des RFIds (moins de 20 cents à ce jour), la nature des identifiants permet une différenciation entre deux items d’un même produit dès leur fabrication.

La communication du 30 octobre de M. Philippe Lemoine, commissaire de la CNIL, sur le sujet de la radio-identification identifie 4 pièges qui concourent à minorer le risque que présente cette technologie en matière de protection des données personnelles et de la vie privée : l’insignifiance [apparente] des données, la priorité donnée aux objets [en apparence toujours vis-à-vis des personnes], la logique de mondialisation [normalisation technologique basée sur un concept américain de « privacy » sans prise en compte des principes européens de protection de la vie privée] et enfin le risque de « non vigilance » individuelle [présence et activation invisibles].

Les technologies de radio-identification peuvent être utiles pour des finalités légitimes bien définies, mais, parce que le maillage dense de milliers d’objets qui entoureront une personne pourra ainsi être analysé, de façon permanente (le potentiel de rayonnement d’un RFId est illimité dans le temps car aucune batterie n’est nécessaire), permettant potentiellement le «profilage » des individus, elles font peser sur les individus un risque particulier.

Pour ces motifs, la Commission considère que les RFIds sont des données personnelles au sens de la loi Informatique et Libertés comme à celui de la directive 95/46.

Parmi les garanties apportées par les principes « informatique et Libertés », celui du droit d’accès pose un problème inédit : la seule solution consiste en effet en la neutralisation définitive ou temporaire de la puce, opération difficile en pratique dès lors que les objets sont en possession des individus. Des dispositifs techniques garantissant la neutralisation des RFIds devraient donc être incorporés dès leur fabrication. Des solutions théoriques existent déjà mais la recherche doit encore avancer pour trouver des moyens pratiques de mise en œuvre.

Chargement en cours...