Flux RSS
RFID et respect de la vie privée 
Les puces RFID, qui habituellement sont utilisées afin de stocker des données relatives à des produits, peuvent également contenir des données à caractère personnel, au sens de la loi informatique et Libertés du 6 août 2004, et peuvent ainsi constituer des atteintes au droit au respect de la vie privée protégé par les articles 9 du Code civil et 8 de la Convention européenne des droits de l’homme.
En effet, des marqueurs RFID « furtifs » intégrés dans des objets peuvent permettre de géo-localiser les individus contre leur gré, être informé de leur nationalité par le biais de leur passeport biométrique, avoir l’historique des livres empruntés dans une bibliothèque ou connaître leurs habitudes d’achats par exemple. Ainsi pourraient se créer des bases de données secrètes et à forte valeur ajoutée sur les activités privées des individus.
De plus, un problème de sécurité va certainement se poser, des hackers ayant déjà annoncé avoir cassé les sécurités des puces RFID et avoir réussi à la « cloner ».
Il est à noter que la loi française interdit :
• Le contrôle clandestin : toute identification doit faire l'objet d'une indication visible
• L'usage des mêmes appareils pour le contrôle d'accès et le contrôle de présence
La CNIL considère que les RFID peuvent contenir des données personnelles au sens de la loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 , leur traitement doit donc répondre aux conditions fixées dans cette loi.
Notamment, les personnes dont les données personnelles font l’objet d’un traitement disposent sur ces données de plusieurs droits :
- un droit d’accès
- un droit de rectification des données erronées
- un droit de suppression des données
Les puces RFID constituent un traitement de données à caractère personnel, elles doivent donc remplir les conditions de licéité de ce traitement, fixées dans la loi Informatique et Libertés.
Le responsable du traitement désigné doit respecter les obligations suivantes :
- déclaration
- information
- sécurité
L’article 6 de cette loi énonce les conditions nécessaires au traitement des données à caractère personnel. Ces données doivent être collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes, sans modification ultérieure incompatible avec ces finalités.
Les données doivent être exactes, complètes, et si nécessaire mises à jour. A défaut, le droit de rectification de la personne concernée par le traitement peut être exercé.
Enfin, ces données doivent être conservées sous une forme qui permet l’identification des personnes concernées par le traitement, la durée de conservation ne devant pas excéder la durée nécessaire à l’accomplissement des finalités pour lesquelles elles sont collectées et traitées.
L’article 7 rappelle par la suite la nécessité de recevoir le consentement exprès de la personne concernée, préalablement au traitement.
Il convient de s’interroger sur la mise en œuvre pratique de ce traitement.
Sont concernées par ces obligations, l'identification directe des individus (les puces RFID contenant des données personnelles), mais également l'identification indirecte des individus (profilage) via le croisement de données rendu possible entre une puce RFID ne contenant pas de données personnelles (exemple d'un tag apposé sur un produit de consommation courante, de tickets, etc.) et des données personnelles contenues sur un autre support mis en relation avec le premier (systèmes électroniques de paiements, GSM, cartes de fidélité, etc.).
La position de la CNIL sur les projets RFID
Inquiétudes :
Selon la CNIL, les risques et les inquiétudes liés aux puces RFID semblent être les suivants :
- traçabilité des personnes et des biens
- accès, partage et collecte d’informations et de données personnelles
- impact sur l’organisation des systèmes d’information existants
- sécurité des contenus
Lors d’une communication en date du 30 octobre 2005 de M. Philippe Lemoine, commissaire de la CNIL, quatre pièges concourant à minorer le risque que présente cette technologie en matière de protection des données personnelles et de la vie privée ont été abordés :
- l’insignifiance (apparente) des données
- la priorité donnée aux objets (en apparence toujours vis-à-vis des personnes)
- la logique de mondialisation (normalisation technologique basée sur un concept américain de « privacy » sans prise en compte des principes européens de protection de la vie privée)
- le risque de « non vigilance » individuelle (présence et activation invisibles).
La CNIL attire l’attention sur le risque de « profilage » des individus apporté par ces puces RFID.
Recommandations :
Concernant l’exercice effectif du droit d’accès dans le cadre des puces RFID, elle considère que la seule solution consiste en la neutralisation définitive ou temporaire de la puce, cette opération étant difficile en pratique, du fait que les objets sont en possession des individus.
La CNIL recommande donc que les puces RFID soient équipées de dispositifs techniques garantissant leur neutralisation effective.
- Transparence vis à vis des salariés de l’utilisation de puces RFID (information et consultation préalables du comité d’entreprise, tel que le dispose l’article L.432-2-1 du Code du travail)
- Transparence vis à vis des consommateurs quant aux identifiants présents sur les puces et la présence de puces actives dans certains produits
La désactivation du tag RFID au passage en caisse sans connexion avec des identifiants personnels pourrait résoudre le risque juridique vis à vis du consommateur dès aujourd’hui. Dans tous les cas, la lecture accompagnée d’un traitement (dont l’enregistrement) d’un radio-tag à l’insu du « porteur » doit être considérée comme une collecte de données personnelles déloyale.
Importance de la communication sur les RFID : Le premier risque est l’absence d’information. De plus, la multiplicité des usages envisagés risque de semer la confusion dans l’évaluation des risques liés aux puces RFID.
Le stockage des données sensibles
Cette hypothèse ne semble pas envisageable dans le cadre des puces RFID dans la mesure où le principe issu de l’article 8 de la loi Informatique et Libertés est l’interdiction du traitement des données sensibles : il est interdit d‘effectuer la collecte ou le traitement des données à caractère personnel qui font apparaître, directement ou indirectement, « les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».
L’article 8, II, 6° prévoit une exception permettant de traiter certaines données médicales. Sont visés « les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ».
Parmi les applications envisagées, figure l’implantation de puces RFID sous-cutanées afin de servir de carte Vitale « embarquée ». Cet usage a déjà été expérimenté aux Etats-Unis mais ne pourra l’être en France que sous réserve de respecter les conditions strictes posées à l’exception issue de la loi Informatique et libertés.
(Décembre 2006)
Martine Ricouart-Maillet, Avocat et Raphaël Rault, Juriste
BRM Avocats