Introduction à la recommandation européenne en matière de RFID Olivier Rouxel Chargé de mission RFID ISEMA – Avignon, 29 janvier 2010
Contexte Retour en 2003 Décision de Wal-Mart dimposer la RFID à ses fournisseurs Déploiements massifs potentiels Jusquau consommateur Médiatisation de la RFID Auprès du grand public Auprès des entreprises Auprès des décideurs Canal Internet destructeur pour limage de marque de la RFID Préoccupations exprimées Captation dinformations personnelles via la RFID Intelligence économique (entreprises, Etats) Enjeux de souveraineté pour les Etats
Contexte Etudes en France et en Europe 2005 : celle du CGTI 2006 : celle de la DGE Commission européenne Séminaires dinformation Consultation publique en 2006 (2190 réponses) Les « citoyens » ont répondu en masse Inquiétudes focalisées sur la protection de la vie privée En parallèle, premiers retours dentreprises Pilotes lancés dès 2003 décevants Club des « déçus de la RFID » Peu de communication (image ou concurrence)
Plan dactions européen Discours de la commissaire européenne à la société de linformation – mars 2007 Reconnaissance du potentiel de la RFID pour le développement économique Cadre éthique de mise en œuvre aux acteurs Mise en place dun groupe de travail Recommandation (sécurité, confidentialité des données) Information des citoyens Une piste : désactivation de la puce offerte au citoyen Autres actions Financements de grands projets RFID Echanges bilatéraux (US, Japon, etc.) Etat des lieux en Europe
La recommandation du 12 mai 2009 Issue des réflexions de la CE Enrichies des échanges avec le groupe dexperts (30 membres) Grande écoute des associations de consommateurs et du groupe de larticle 29 Retours de la consultation publique sur un projet au printemps 2008 Recommandation sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur lidentification par radio-fréquence Une recommandation générale Des définitions délicates La recherche dun juste équilibre pour protéger sans brider
La recommandation du 12 mai 2009 « mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur lidentification par radio-fréquence » Titre « Protection des données » : pas que données personnelles Définitions & Périmètre RFID au sens large, y compris la NFC Tous secteurs dactivité, sauf… applications gouvernementales Focus sur la distribution (lien au consommateur-citoyen) Notion de données personnelle Pas que données personnelles en RFID (cf. 4 préambule) Format Texte unique vs. Recommandation à tiroirs
La recommandation du 12 mai 2009 Cibles Etats Membres « Exploitants » (cf. e) art. 3) Grand public Grands principes Evaluation dimpact sur la protection des données et le respect de la vie privée Information du consommateur/citoyen Présence de puces et de lecteurs RFID Signe européen commun (logo harmonisé) Contrôle donné à lutilisateur de produits « pucés » RFID
La recommandation du 12 mai 2009 Evaluation dimpact Identifier les incidences de la mise en œuvre de lapplication / données personnelles et vie privée A conduire par chaque exploitant Niveau de détail cohérent avec niveau risque Actions Mesures techniques et/ou organisationnelles Référent « données personnelles » Mise à disposition de lévaluation au moins 6 semaines avant déploiement
La recommandation du 12 mai 2009 Information Chaque exploitant doit rendre publique une politique dinformation Comprend notamment : objet de lapplication, données traitées, existence dun traçage, résumé de lévaluation Signe européen commun pour informer les personnes de la présence de lecteurs Commerce de détail En plus : signe sur les produits « pucés » Notion de « détaillant non exploitant » Lexploitant conduit lévaluation Si risque alors désactivation ou retrait systématique sauf demande du consommateur que la puce reste active Si absence de risque, possibilité offerte de désactiver ou retirer
La recommandation du 12 mai 2009 Sensibilisation Des pouvoirs publics et des entreprises Avantages et risques potentiels Focus sur sécurité information et respect vie privée Fournir exemples bonnes pratiques Par les Etats Membres Recherche et développement Promouvoir / favoriser lintégration du principe de sécurité et respect vie privée Dès la conception A un stade précoce de développement des applications RFID
Et la suite ? Travaux en cours sous légide de la CE Cadre pour mener les évaluations dimpact Réflexion sur le logo Monitoring par la Commission Européenne Mise en œuvre dans les différents Etats membres de lUnion (retour sous 24 mois) Efficacité et impact (exploitants & citoyens) Difficultés dapplication Aménagements éventuels Rapport dans un délai de 3 ans à/c publication JOUE Transformation possible en directive
Quelques interrogations Quid des applications déjà déployées et opérationnelles ? Recommandation rétroactive ? Evaluation dimpact, marquage, information Télépéage, clés de voiture, contrôle daccès, etc. Quid des technologies non RFID pures ? Incluses par défaut dans la reco : NFC, sans-contact Exemple du téléphone mobile : double marquage, politique dinformation, etc. Quels moyens de vérification si déploiement massif de la RFID ? Etablissement des certificats Contrôles Quels coûts pour les entreprises, pour les consommateurs ? Frein ou atout pour lappropriation de la RFID par les entreprises et son déploiement ?
Merci de votre attention !