Les puces (\u00e9galement d\u00e9nomm\u00e9e \u00e9tiquette ou tag) RFID (Radio Frequency IDentification) permettent d\u2019identifier et de localiser des objets ou des personnes. Elles peuvent \u00eatre utilis\u00e9es dans diff\u00e9rents domaines, tels que la gestion des stocks, la logistique, les transports ou la lutte contre la contrefa\u00e7on. En raison de leur taille tr\u00e8s r\u00e9duite, d\u2019une information souvent insuffisante des personnes et de la possibilit\u00e9 de les lire \u00e0 plusieurs dizaines de m\u00e8tres, leur utilisation soul\u00e8ve de nouveaux enjeux en termes de vie priv\u00e9e. En effet, si tous les objets de la vie quotidienne deviennent \u00ab taggu\u00e9s \u00bb, il est alors possible de tracer les individus dans tous leurs actes. Les CNIL europ\u00e9ennes ont donc rendu un avis concernant l\u2019utilisation de ces puces RFID et la Commission europ\u00e9enne pr\u00e9conise \u00e9galement la r\u00e9alisation d\u2019une \u00e9valuation d\u2019impact sur la vie priv\u00e9e en cas d\u2019utilisation de puce RFID en vue d\u2019\u00e9valuer les incidences de leur mise en \u0153uvre sur la protection des donn\u00e9es \u00e0 caract\u00e8re personnel et le respect de la vie priv\u00e9e.<\/p>\n
Une puce RFID (ou NFC – Near Field Contact) est une puce informatique coupl\u00e9e \u00e0 une antenne lui permettant d’\u00eatre activ\u00e9e \u00e0 distance par un lecteur et de communiquer avec ce dernier.<\/p>\n
La grande majorit\u00e9 des puces RFID ne dispose pas d’alimentation en \u00e9nergie. Ce type de puces est aliment\u00e9 \u00e0 partir du lecteur par l’interm\u00e9diaire de l’antenne de la puce\u00a0: le lecteur envoie un signal \u00e9lectromagn\u00e9tique \u00e0 la puce, ce qui la \u00a0\u00bb\u00a0r\u00e9veille\u00a0\u00a0\u00bb et lui fournit assez d’\u00e9nergie pour communiquer avec le lecteur concern\u00e9.<\/p>\n
Les puces les plus basiques ne poss\u00e8dent pas de capacit\u00e9 de traitement. Elles ne peuvent que transmettre au lecteur un num\u00e9ro d’identification. Ce num\u00e9ro permettra par exemple, dans un entrep\u00f4t, de suivre un objet (comme par exemple une palette) sur lequel la puce est plac\u00e9e. D’autres puces int\u00e8grent des fonctions de chiffrement avanc\u00e9es et sont capables de s’authentifier ou bien d’authentifier le lecteur qui cherche \u00e0 les lire. Elles peuvent \u00eatre utilis\u00e9es par exemple dans le contexte de la lutte contre la contrefa\u00e7on.<\/p>\n
Les standards de communication utilis\u00e9s par ces puces sont tr\u00e8s diversifi\u00e9s\u00a0: ils permettent des lectures \u00e0 des distances plus ou moins importantes, de quelques centim\u00e8tres \u00e0 quelques dizaines de m\u00e8tres.<\/p>\n
En fonction de leurs capacit\u00e9s, ces puces peuvent couter de 5 centimes d’euros \u00e0 quelques euros pi\u00e8ce.<\/p>\n
Chacun d’entre nous utilise ce type de puces, puisqu’elles sont pr\u00e9sentes dans de nombreux objets de la vie quotidienne, tels les titres de transports\u00a0 (passe Navigo ou carte V\u00e9lib), les cartes bancaires, les passeports \u00e9lectroniques, les badges d’acc\u00e8s aux immeubles, les cl\u00e9s sans contact des voitures. Elles sont \u00e9galement utilis\u00e9es dans \u00a0la logistique pour la gestion des bagages dans les a\u00e9roports ou des stocks dans les magasins ou encore dans la lutte contre la contrefa\u00e7on. .<\/p>\n
D’autres applications sont \u00e9galement envisageables ou d\u00e9j\u00e0 en cours de d\u00e9ploiement. Par exemple, les puces permettront sans doute de conna\u00eetre instantan\u00e9ment le contenu d’un caddie au supermarch\u00e9.<\/p>\n
Certaines maternit\u00e9s \u00e9quipent aussi les nouveau-n\u00e9s de bracelets RFID, afin d’alerter le personnel en cas de tentative d’enl\u00e8vement<\/p>\n
Oui. Comme pr\u00e9c\u00e9demment mentionn\u00e9, cela est techniquement possible. D\u00e9j\u00e0, en Espagne, des puces RFID sont inject\u00e9es sous la peau pour servir de moyen de paiement dans certaines discoth\u00e8ques. En France, ce type de finalit\u00e9 est consid\u00e9r\u00e9 par la CNIL comme tout \u00e0 fait disproportionn\u00e9.<\/p>\n
L’usage de cette technologie soul\u00e8ve de nouvelles probl\u00e9matiques en mati\u00e8re de protection des donn\u00e9es personnelles. La probl\u00e9matique essentielle r\u00e9side dans l’invisibilit\u00e9 ou la quasi-invisibilit\u00e9 de ces dispositifs, compte tenu que celle-ci va souvent de pair avec une absence d’information pr\u00e9alable des personnes concern\u00e9es.<\/p>\n
Or, n’importe qui, d\u00e8s lors qu’il est muni du lecteur ad\u00e9quat, peut lire le contenu d’une puce RFID quand son contenu n’est pas chiffr\u00e9. Une puce \u00e9tant susceptible de comporter des donn\u00e9es \u00e0 caract\u00e8re personnel (ou susceptibles de devenir personnelles par recoupement avec d’autres donn\u00e9es), la lecture de cette puce permettrait d’identifier son porteur \u00e0 distance.<\/p>\n
Si tous les objets de notre vie quotidienne (carte de transport, v\u00eatement, t\u00e9l\u00e9phone, voiture, bracelet, etc.) \u00e9taient ainsi \u00a0\u00bb\u00a0tagu\u00e9s\u00a0\u00ab\u00a0, il serait possible de tracer les individus dans tous leurs actes.<\/p>\n
Certes, aujourd’hui, les syst\u00e8mes RFID ne permettent pas une surveillance continue des individus. Par exemple, l’utilisation d’un passe Navigo permet seulement de conna\u00eetre les trois derni\u00e8res \u00a0stations de m\u00e9tro dans lesquelles un usager a valid\u00e9 son passe et leur horodatage. Il n’est en revanche pas possible de conna\u00eetre le trajet pr\u00e9cis\u00e9ment effectu\u00e9, d’autant que la CNIL a pr\u00e9conis\u00e9 une limitation de la dur\u00e9e de conservation de ces donn\u00e9es \u00e0 2\u00a0jours, et uniquement \u00e0 des fins de d\u00e9tection de la fraude.<\/p>\n
Oui, d\u00e8s lors que les dispositifs RFID permettent l’identification directe ou indirecte d’une personne physique (notamment lorsqu’ils sont associ\u00e9s durablement \u00e0 des personnes physiques), la loi du 6\u00a0janvier 1978 modifi\u00e9e s’applique. Ce point a d’ailleurs \u00e9t\u00e9 confirm\u00e9 \u00e0 l’\u00e9chelle europ\u00e9enne, par le G29 (groupe rassemblant les 28 CNIL europ\u00e9ennes) dans un avis rendu le 13\u00a0juillet 2010.<\/p>\n
L’utilisation de ces technologies doit donc n\u00e9cessairement s’accompagner d’une prise en compte des principes fondamentaux de la protection des donn\u00e9es, \u00e0 savoir les principes de finalit\u00e9, de proportionnalit\u00e9, de s\u00e9curit\u00e9 et d’information pr\u00e9alable des personnes concern\u00e9es.<\/p>\n