Régulation RFID : la position de la Commission européenne, par Sabine Marcellin, juriste (Analyse)

La technologie RFID (1) ou « identification par radiofréquence » permet à d’identifier une étiquette à distance et de produire un signal spécifique lors de la détection par un lecteur. Le marché européen des étiquettes RFID devrait se développer et passer de 500 millions en 2006 à plus de 7 milliards d’ici 10 ans, sous la forme de logiciels, matériels et services.

La position de la Commission Européenne est claire : aucune régulation spécifique au secteur RFID ne sera prévue, afin de ne pas entraver le développement de celui-ci. Cette décision est connue depuis le 15 mars 2007, lors du discours de Madame Viviane Redding, Commissaire Européenne chargée de la société de l’information et des médias.

Les applications basées sur les « tags » RFID sont innombrables, dans les secteurs de la logistique, des transports, de la sécurité, etc. Les performances techniques laissent entrevoir quelques questions juridiques (2). L’émission d’ondes électromagnétiques nécessite-elle des précautions particulières en matière de santé ? La puissance d’émission est faible mais présente dans une grande quantité d’étiquettes, sachant qu’un milliard d’unités auraient été vendues en 2006. Comment organiser le recyclage de ces étiquettes ? Quelles solutions proposer face aux réserves émises par les consommateurs et les autorités concernées en matière de sécurité et de respect de la vie privée ?

La protection des données personnelles est considérée par Bruxelles comme essentielle. Sa préoccupation est de s’assurer que l’usage des étiquettes RFID ne portera pas atteinte à la vie privée des consommateurs. Le risque que présente cette technologie en matière de protection des données personnelles et de la vie privée pourrait paraître mineur du fait de l’insignifiance apparente des données, de la priorité donnée aux objets en apparence, de la logique de mondialisation et enfin du risque de non-vigilance individuelle. La CNIL considère que les RFID sont des données personnelles, au sens de la loi Informatique et Libertés (3), comme à celui de la directive européenne 95/46 (4).

Après une année d’étude sur ce sujet et une consultation publique (5) menée en 2006, la Commission européenne fournit ainsi aux industriels et prestataires l’assurance de pouvoir investir dans ce domaine. Le déploiement de la technologie RFID devrait, selon les publications de la Commission, représenter une contribution majeure à la croissance et à l’emploi, notamment pour des profils hautement qualifiés.

Cependant, la Commission européenne prévient les industriels qu’ils endossent une forte responsabilité en matière de respect de la confidentialité des données personnelles.

Des aménagements de la directive européenne relative aux données à caractère personnel sont prévus afin d’adapter le texte aux exigences particulières de la radiofréquence. La Commission proposera prochainement des modifications à cette directive, d’après les recommandations d’un groupe de travail représentant les acteurs du marché, et de celui existant déjà sur la protection des données (6).

Le rôle de la Commission européenne est de contribuer à bâtir un consensus européen sur les aspects techniques, légaux et éthiques de la technologie RFID.

Sabine Marcellin

Juriste d’entreprise

Chargée de cours à l’Ecole des Mines de Paris

(1) Radio Frequency Identification.

(2) Voir « Technologie RFID et environnement juridique », Sabine Marcellin, Legalbiznext, 12 janvier 2007.

(3) Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

(4) Directive 95/46 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et à la libre circulation de ces données.

(5) Consultation en ligne, ouverte entre juillet et septembre 2006, qui a généré 2190 réponses.

(6) Groupe de travail de l’Article 29 chargé, au sein de la Commission européenne, de coordonner la protection des données privées en Europe. Cette structure tire ses fondements de l’article 29 de la Directive 95/46.