Les puces “sans contact” utilisant les technologies RFID ou NFC envahissent peu à peu notre quotidien. En effet, ces puces sont déjà présentes dans les titres de transports (Pass Navigo ou carte Vélib’), les badges d’accès (Pass Vigik), les passeports et les portes-monnaies électroniques, les clés de contac de voitures, la logistique pour la gestion des bagages dans les aéroports ou dans les magasins.

La technologie RFID est déjà présente dans des applications de la distribution et des transports et compte élargir son champs d’action. Les puces RFID permettront demain de connaitre le contenu d’un caddie, d’identifier les contrefaçons, de payer ses achats avec son mobile NFC via un lecteur “sans contact”, de suivre le parcours des médicaments…

Actuellement, des expérimentations sont mises en place dans certaines maternités afin d’équiper les nouveaux-nés de bracelets RFID. Ce système permettrait de lutter contre les kidnapping. Dans un tout autre contexte, des puces RFID sont injectées sous la peau afin de permettre aux clients de certaines discothèques espagnoles de régler leurs consommations.

Cette technologie fait débat quant à la protection des données personnelles. En effet, comment garantir le respect de la loi informatique et libertés en présence de technologies invisibles? En effet, le détenteur d’un lecteur “sans contact” peut lire le contenu d’une puce RFID contenant des données personnelles, via une base, lui permettant d’identifer le porteur de la puce. Dans la mesure où les objets “intelligents” (munis d’une puce RFID) tels que la carte de transport, les vêtements le téléphone, la voiture, le bracelet… sont tagués il sera possible de pister les porteurs dans leur quotidien. Toutefois, les systèmes RFID actuels ne permettent pas la surveillance continue des individus. Le pass Navigo, par exemple, indique seulement les stations de métro prises par l’usager à son entrée et à sa sortie. Il est impossible de connaitre précisement son trajet d’autant plus que la CNIL a limité la durée de conservation des données à deux jours et uniquement en cas de détection de fraudes. Demain, une surveillance plus précise sera possible mais cela nécessite une forte infrastructure.

Des dispositifs techniques garantissant la neutralisation  de la technologie RFID quand la puce n’a pas d’applications prévues en-dehors du point de vente devraient être mis en place dès la fabrication des puces. Des solutions sont déjà proposées. La CNIL collabore avec le Pôle Industries du Commerce de la région du Nord afin d’accompagner le déploiement des technologies RFID. Une information sur l’utilisation des puces devrait être également communiquée aux consommateurs. Des normes de sécurité garantissant la préservation d’informations personnelles doivent être promues. La CNIL suit avec vigilance le développement de ces solutions “sans contact” et participe à l’élaboration d’une première recommandation européene.  La loi informatique et libertés s’applique dès lors que la RFID permet l’identification d’un individu mais il est demandé s’il ne faudrait pas adopter une législation particulière pour cette technologie spécifique.

Quant à la technologie NFC elle est non intrusive dans la mesure où elle est destinée aux utilisations à courte distance (moins de 10cm) et qu’elle suppose une démarche volontaire de l’utilisteur. En effet, c’est ce dernier qui décide de recevoir ou non un contenu , d’accéder ou non à un service en plaçant son mobile NFC à proximiter de la borne dédiée contrairement au Bluetooth qui porte sur une dizaine de mètres. Reste à considérer l’utilisation que l’opérateur du service fait de cette technique, en matière notamment de profilage potentiel des individus à des fins de marketing ou de sécurité.

Quelles sont vos réactions quand au débat autour de la loi informatique et libertés?

Sources: 28e Rapport d’activité du CNIL 2007, http://www.lesechos.fr