Tech

Premier piège : L'insignifiance des données

Dossier - Puce RFID : mythes et réalités du Big Brother miniaturisé
DossierClassé sous :technologie , Puce Rfid , innovation

-

Les RFIDs peuvent-elles devenir un réseau de surveillance des citoyens ? Imaginons un réseau qui analyserait tous les RFIDs actifs aux sorties des magasins. Ainsi, tous les comportements des clients seraient recensés. Ce scénario digne d'Orwell n'est plus une pure abstraction.

  
DossiersPuce RFID : mythes et réalités du Big Brother miniaturisé
 

Qui peut être intéressé par le numéro d'identifiant unique EPC des conserves entreposées dans vos placards ou des céréales que mangent vos enfants ? Les quantités d'informations contenues dans les tags des produits possédés par une personne, peuvent cependant être récoltées et croisées grâce à un maillage très dense des données.

Puce RFID. © Mr.Zach, Shutterstock

Cette analyse des informations émises par les biens disposant d'un tag, permettrait ainsi de profiler le consommateur afin de lui proposer un ensemble de produits correspondant à ses habitudes de consommation et à ses envies, réelles ou supposées.

Exemple de code-barre à base de technologie RFID

Qu'est-ce qui techniquement empêcherait, à terme, un vendeur de voir s'afficher sur son écran le « profil marketing » de la cliente ou du client qui est en face de lui, profil déduit à partir des étiquettes de ses vêtements, ses accessoires de maroquinerie, des objets contenus dans ses poches, son sac à main ou son porte-documents ? Rien, a priori.

Sauf que la directive du Parlement Européen et du Conseil du 12 juillet 2002 limite ce type d'intrusions dans la vie privée des consommateurs. Cette directive exige dans son premier article que « les Etats membres protègent les droits et les libertés des personnes physiques à l'égard du traitement des données à caractère personnel et notamment le droit au respect de leur vie privée ».

Mais les informations contenues dans les tags RFID constituent-elles des informations relevant du caractère personnel ?

Selon la loi luxembourgeoise du 13 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, peut être considéré comme donnée à caractère personnel « toute information de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image, concernant une personne identifiée ou identifiable ; une personne physique ou morale est réputée identifiable si elle peut être identifiée directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique. ».

On peut en tirer les conclusions suivantes :

  • A - Les produits achetés

  par une personne sont de l'ordre de la sphère privée de cette personne.

  • B - Les informations contenues

dans les tags RFID accolés à ces produits sont des données à caractère personnel.

  • C - La loi régit l'utilisation et le traitement

de ces données puisque celles-ci sont à caractère personnel.

Il est dès lors illégal et illégitime de tenter de récupérer les données à caractère personnel que constituent les informations contenues dans les tags RFID figurant sur les produits en la possession d'une personne privée.

D'un point de vue technique, l'utilisation de lecteurs permettant l'identification à grande distance de tags RFID est pour l'instant impossible. En effet, les modèles d'étiquettes actuels ne permettent pas une distance de lecture supérieure à quelques mètres, dans des conditions idéales, au maximum.

Il est donc impossible que l'on puisse lire depuis l'extérieur de la maison les informations contenues sur les étiquettes RFID présentes dans un placard. De plus, la convention sur la cybercriminalité du 23 novembre 2003 précise que doit être érigé en « infraction pénale (...) l'accès intentionnel et sans droit à tout ou partie d'un système informatique », les tags RFID étant dans le texte considérés comme un système informatique puisque permettant « un traitement automatisé de données ».