Les RFIDs peuvent-elles devenir un réseau de surveillance des citoyens ? Imaginons un réseau qui analyserait tous les RFIDs actifs aux sorties des magasins, par exemple. Ainsi, tous les comportements des clients seraient recensés : du simple vol à l'étalage en passant par un achat différent de ce à quoi on pourrait s'attendre d'un point de vue marketing… Chaque achat serait décortiqué, interprété et répertorié dans une immense base de données.
Ce scénario digne d'Orwell (cf 1984 de George Orwell), écrit en 1949 peut effrayer. Pourtant ce n'est plus une pure abstraction, mais un projet nommé The Sorting Door Project : consultez
A l'heure actuelle, la question heurte encore les mentalités. Tout comme l'établissement d'un profil précis de l'internaute pouvait choquer, il y a quelques années. Tout comme, il y a cinq ans à peine, l'idée qu'une entreprise commerciale puisse un jour injecter un programme d'espionnage dans les ordinateurs des particuliers afin de les guider intelligemment au fil de leurs décisions d'achat : en d'autres termes, des spywares et adwares, aurait soulevé une juste indignation.
Or, il se pourrait bien qu'à force de dérive sémantique, la surveillance systématique par RFID passe un jour dans les mœurs, sans que personne ne s'en émeuve plus, tel un cookie matériel.
Nous avons jugé ce point très important bien que rarement abordé. Nous proposons donc d'en faire un développement de fond qui s'appuie sur une déclaration faite en 2003 par Philippe Lemoine, commissaire à la CNIL.
La mondialisation de l'économie, cumulée à l'impact des nouveaux modes de commerce est porteuse de défis logistiques qui se posent tout au long de la « supply chain ». Le code-barre s'est imposé
depuis longtemps comme outil incontournable de la gestion des stocks et des flux. Mais on se heurte aujourd'hui à ses limites physiques : l'identification doit obligatoirement passer par une
lecture optique. Une technologie, qualifiée d'intelligente, permet pourtant de contourner cet écueil. En plus de permettre une lecture en aveugle puisque basée sur les ondes radio, elle peut
contenir une large quantité d'information : c'est la RFID, pour Radio Frequency Identification. Elle porte en elle les prémisses de progrès insoupçonnés et l'avènement d'un « Internet des objets
» mais également de nouveaux risques pour notre vie privée.
La technologie RFID n'est pas récente. Durant la Seconde Guerre mondiale, la Royal Air Force l'utilisait déjà afin de différencier ses avions de ceux des ennemis.
La miniaturisation et la normalisation (nombreuses normes ISO à ce sujet) aidant, c'est son adoption dans des applications innovantes et notamment dans la distribution, le transport ou
l'industrie qui fait beaucoup parler d'elle. Il s'agit, en effet, d'une technologie de pointe visant à assurer l'identification détaillée d'objets de tous types. La RFID permet de procéder à une
saisie de données rapide et automatique grâce aux ondes radio. Elle est ainsi de plus en plus utilisée, notamment là où d'autres technologies d'identification, comme celle du code-barre se
heurtent à leurs propres limites.
La RFID est en proie depuis quelques mois à de vives critiques en rapport aux risques qu'elle comporterait pour le respect de notre vie privée. Cet outil de traçabilité génial peut il se muer en
œil indiscret et inquisiteur ? La presse décrit cette technologie comme une menace angoissante pour nos vies privées … Le danger est il réel ? Et si oui, comment y faire face ?
D'ailleurs, un ensemble de textes législatifs, destinés à réglementer les droits et obligations de chacune des parties intéressées, commence à voir le jour, dans le but de prévenir les abus
potentiels. Ces lois répondent à différents aspects juridiques illustrant autant d'abus potentiels.
Tâchons d'y voir un peu plus clair …
Considérons que les tags RFID sont des ordinateurs très particuliers : ils sont discrets par leur taille, sans aucun périphérique ni interface. De plus, ils sont capables de s'activer seuls, lors
du passage au travers du champ émis par un lecteur et leur état de fonctionnement n'est nullement visible. Dès lors, il est normal que la CNIL s'y intéresse de très près. Etudions les.
Selon le professeur Philippe Lemoine, membre de la CNIL, quatre pièges peuvent masquer les enjeux cruciaux de cette technologie quant au respect de la vie privée des consommateurs.
Le piège concerne la logique de mondialisation : les principaux centres de recherches sont basés aux Etats Unis. Or, à la différence des pays membres de l'Union Européenne, il n'y existe
pas là-bas d'instance de contrôle en charge de la protection des consommateurs par rapport aux atteintes des libertés. Les autorités américaines sont en effet beaucoup moins vigilantes que les
autorités européennes en matière de respect de la vie privée alors qu'il s'agit d'un des points fondateur de la Constitution américaine.
Il n'y a que quelques associations citoyennes américaines qui s'érigent contre le manque de vigilance du législateur américain à ce sujet. Ainsi, l'association CASPIAN a organisé un boycott
massif de produits contenant la technologie RFID. Ses principaux griefs portent sur l'absence de marquage annonçant la présence d'étiquettes RFID dans les produits et l'absence de transparence
dans l'utilisation qui en est faite par le distributeur. Ils se fondent également sur l'impossibilité de déceler qu'une étiquette RFID reste active, au-delà de l'acte d'achat, et puisse ainsi
potentiellement être lue, à l'insu de son porteur, par d'autres personnes ou organismes, violant ainsi le respect de la vie privée.
Les standards relatifs à la RFID sont donc développés par ces centres de recherche américains sans qu'un quelconque contrôle ne soit effectué ou qu'une réflexion sur les futures utilisations de
ces standards ne soient menée. Etant donné l'importance des enjeux économiques, il est certain que les standards mis en place aux Etats Unis seront amenés à s'étendre à l'ensemble des économies
concernées par la technologie RFID. Le dialogue est mené avec les organismes mondiaux de standardisation tels que l'ISO ou GS1. Ceux-ci devraient être confortés dans leur capacité d'influence,
permettant ainsi aux futurs standards d'être acceptables, du point du vue culturel, sur les différents continents.
De manière très opportune, le sujet a été abordé lors de la conférence internationale des commissaires à la protection des données (Sidney, Septembre 2003 ) et a fait l'objet d'une résolution qui
vise à créer un organisme indépendant de contrôle du respect de la vie privée au niveau européen. Cet organisme, appelé groupe 29, est composé de représentants des différentes commissions
nationales de protection des données personnelles des pays membres de l'UE. Il s'agit d'un organisme consultatif et indépendant qui a proposé en janvier 2005 un document de travail repris à
l'article 29 de la directive 95/46/CE. Ces tâches sont décrites à l'article 30 de cette même directive ainsi qu'à l'article 15 de la directive 2002/58/CE. Ces directives européennes concernent la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elles représentent déjà une barrière à certaines dérives que
nous avons évoquées.
Les directives européennes et les lois de chaque Etat de l'Union restent strictes sur ce point : la convention sur la cybercriminalité du 23 novembre 2003 précise que sera érigée « "en infraction
pénale, (…) l'interception intentionnelle et sans droit, effectuée par des moyens techniques de données informatiques " ». Dans la mesure où les informations transmises par RFID sont des données
informatiques, cette convention européenne sera applicable. Elle est un signe de coopération internationale : « "les parties coopèrent les unes avec les autres " » afin de mettre un terme à la
cybercriminalité.
La domination américaine en terme de standards et le manque de préoccupation pour la vie privée des consommateurs est ainsi mise en sursis… Les associations de citoyens, y compris américaines
restent donc vigilantes et exercent une pression forte pour faire évoluer les standards vers une meilleure protection de la vie privée des consommateurs.
Objectif : créer un registre national d'identification pour permettre un « meilleur suivi des patients en ayant toutes les informations relatives à leur santé ». Le nouveau projet de Loi relatif aux soins de santé ( référencé HR 3200 ), qui a dernièrement été adopté par le congrès, contient (à la page 1001 du projet) l'exigence selon laquelle tous les citoyens qui en dépendent (du système de santé) devront être « identifié » par l'implantation d'une puce sous-cutanée.