Technologie RFID et problématiques juridiques, par Sabine Marcellin, juriste

Les experts et analystes s’entendent pour promettre l’explosion du marché RFID, car les applications sont innombrables. Les performances attendues laissent entrevoir quelques problématiques juridiques.

Cette technologie était déjà utilisée dans l’aviation pendant la seconde guerre mondiale. La véritable nouveauté réside dans la miniaturisation, l’association au microprocesseur et l’accessibilité du coût. Le système est composé d’une étiquette comportant une puce, dont la taille peut être inférieure à 1 mm de côté et à un centième de millimètre d’épaisseur, qui sert au stockage de l’information, et d’un antenne qui occupe la plus grande part de la surface de l’étiquette. Le système présente l’avantage d’être léger, souple d’utilisation et permet, à la différence du code barre, la réactivité du suivi.

Les secteurs de la logistique et de la distribution ont été les premiers à s’y intéresser. Les palettes et les produits peuvent être suivis, pour faciliter la gestion des stocks. La traçabilité est optimisée et liée à d’autres objectifs, tels que la lutte contre le vol et la contrefaçon. D’autres domaines sont concernés : la fabrication industrielle, le SAV, la location, le secteur pharmaceutique, les systèmes de paiement, les produits de luxe, etc.

L’utilisation du RFID est également présente ou envisagée pour le suivi et la sécurité des personnes : stockage des dossiers médicaux dans les hôpitaux notamment par implant, gestion des bus de ramassage scolaire, intégration à la téléphonie mobile, aux pièces d’identité, etc. Quelles sont les questions juridiques à examiner ?

Tout d’abord, les puces RFID émettent des ondes électromagnétiques.

La portée de cette émission est variable suivant la norme technique choisie, de quelques centimètres à quelques mètres au plus. Le rayonnement potentiel des puces est illimité dans le temps, en l’absence de batterie. Les ondes émises sont qualifiées par l’Agence Nationale des Fréquences de dispositifs d’identification, de la catégorie spécifique des appareils de faible puissance et de faible portée. Elles peuvent être utilisées sans licence mais ne bénéficie d’aucune garantie de protection. Ces ondes peuvent elles être nocives pour la santé ? La plupart des publications les considèrent comme inoffensives, mais certains affirment qu’elles pourraient présenter quelques risques pour la santé, notamment par leur accumulation. Même si les effets n’ont pas encore été démontrés, le principe de précaution devrait prévaloir tant que les études ne sont pas confirmées.

La deuxième question porte sur la traçabilité des données personnelles.

La discrétion, voire l’invisibilité, des puces RFID et leur potentielle omniprésence suscitent quelques interrogations. Elles peuvent intégrer des informations factuelles et personnelles. La technologie RFID apposée sur les produits individuels génère une collecte de données à large échelle. Ces données peuvent notamment permettre d’identifier les tendances marketing globales et les habitudes de consommation individuelles.

Les lecteurs permettent la collecte, immédiate et sans contact, de tout ou partie de ces informations, qui peuvent constituer des bases de données centralisées sur un système d’information. Le traitement sera soumis à toutes les règles prévues par la loi du 6 janvier 1978 modifiée, et notamment les formalités déclaratives auprès de la CNIL, les obligations de sécurité, confidentialité, respect de la finalité du traitement, mention d’information des personnes, respect de leurs droits d’accès, de rectification et d’opposition.

Les puces elles-mêmes seraient des identifiants. Dans un avis du 30 juin 2006 la Commission Nationale de l’Informatique et Libertés (CNIL) constate : « Du fait de leur dissémination massive, de la nature individuelle des identifiants de chacun des objets marqués, de leur caractère invisible, et des risques de profilage des individus, la CNIL considère que les RFID sont des identifiants personnels au sens de la loi Informatique et Libertés ».

Quatre pièges qui concourent à minorer le risque que présente cette technologie en matière de protection des données personnelles et de la vie privée ont été identifiés par la CNIL : l’insignifiance apparente des données, la priorité donnée aux objets en apparence, la logique de mondialisation et enfin le risque de « non-vigilance » individuelle.

Une autre problématique, liée à la précédente, porte sur les mesures de sécurisation.

La vulnérabilité technique devra être intégrée dans les programmes de sécurité. La capture illicite d’informations, au moyen d’un lecteur activé par un tiers non autorisé, représente une menace potentielle pour la vie privée mais également un risque de concurrence déloyale, si les caractéristiques d’un produit peuvent être captées par un concurrent. La traçabilité malveillante, la fuite d’information et l’usurpation d’identité représentent des risques. Les solutions peuvent être d’ordre réglementaire et technique (cryptographie, authentification, antenne amovible, etc.). L’inquiétude des consommateurs et des entreprises est perceptible, à l’heure où la presse révèle que la vie privée et le secret des affaires représentent des problématiques internationales. L’affaire SWIFT et les écoutes de la NSA (National Security Agency) sont sujets à controverse et relèvent du débat public, même si leur justification porte sur la lutte contre le terrorisme.

Les choix environnementaux associés au RFID ouvrent un autre débat.

Certaines organisations affirment que l’usage extensif des étiquettes RFID pourrait représenter une nouvelle menace pour l’environnement. Elles craignent que la multiplication des processeurs embarqués dans des objets courants connectés en permanence, n’entraîne une hausse de la consommation d’énergie, même si certaines applications visent à réaliser des économies d’énergie, comme celle de l’optimisation du chauffage, par exemple.

La prolifération de millions de puces pose aussi un problème de recyclage. Seuls des procédés industriels lourds et coûteux permettent de démanteler les composants électroniques, sachant qu’un circuit imprimé peut contenir jusqu’à 400 matériaux différents, dont des métaux lourds nocifs comme le plomb ou le cadmium.

Par ailleurs, une question repose sur la politique normative.

L’utilisation des technologies de RFID représente un enjeu de pouvoir. Les standards développés aux Etats-Unis et promus par EPCglobal tendent à s’étendre au monde entier. Les Etats-Unis, dont la conquête des marchés extérieurs est le premier objectif de politique étrangère, mettent en œuvre, notamment dans le secteur de la radio-fréquence, une stratégie globale dans laquelle ils conditionnent les marchés futurs. Les principaux concepteurs, centres de recherche et sponsors sont aux Etats-Unis. Dans cette logique de mondialisation, les standards de « privacy » définis aux Etats-Unis sont moins protecteurs des libertés individuelles que les principes européens de protection de la vie privée, inscrits dans la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et ses transpositions dans les droits nationaux.

Quelles solutions proposer face aux réserves émises par les consommateurs et les autorités concernées en matière de respect de la vie privée ?

Les pistes à explorer sont l’incitation des entreprises à signaler la présence d’une puce RFID sur un produit ou emballage, l’information du consommateur quant à la possibilité de neutraliser la puce et la garantie de la conformité des données stockées sur le réseau avec les lois applicables en matière de protection des données personnelles.

Les organisations de défense des consommateurs s’intéressent à ces questions, parmi les plus actives, au niveau international, citons Caspian (Consumer Against Supermarket Privacy Invasion and Numbering), d’origine américaine et FoeBuD, association de consommateurs allemande.

Ces enjeux nécessitent-ils une évolution de la réglementation ? La Commission européenne a lancé une consultation publique pendant l’été 2006, sur la manière de concilier développement de l’utilisation du RFID et protection des droits fondamentaux.

Les résultats semblent fort attendus par tous les acteurs du secteur RFID. Pour que le développement des applications puisse dynamiser la compétitivité des entreprises et améliorer la qualité de la vie des consommateurs, la Commission a déjà identifié le besoin d’intégrer, le plus tôt possible la dimension réglementaire, notamment relative à la vie privée.

Sabine Marcellin

Juriste d’entreprise

Chargée de cours à l’Ecole des Mines de Paris