Les risques juridiques lies aux puces RFID

24 février 2005



Important - The information in this article is provided subject to the disclaimer. The law may have changed since first publication and the reader is cautioned accordingly.



RFID (Radio Frequency IDentification) est une technologie émergente, considérée par certains comme révolutionnaire, permettant l'utilisation d'une fréquence radio pour identifier automatiquement un objet ou une personne.

Cette technologie prend, la plupart du temps, la forme de puces miniatures de quelques millimètres constitués d’un microprocesseur et d’une antenne, puces associées à un ou plusieurs lecteurs dans le cadre d’un système d’identification.

Les principales caractéristiques de ces puces sont liées à la mise à jour des données, leur réutilisation, et leur capacité à s’intégrer dans des services de géo-localisation.

Elles sont actuellement utilisées par les péages automatiques sur les autoroutes, au travers des cartes de transport telles que Navigo ou dans certaines applications de logistique pour suivre l'acheminement de marchandises.

L’émergence des puces RFID soulève de nombreux défis juridiques liés notamment à la traçabilité des personnes et des biens, à l’accès, au partage et à la collecte d’informations et de données personnelles, à leur impact sur l’organisation des systèmes d’information existants et à la sécurité de leurs contenus.

Selon leur mode de fonctionnement en lecture seule ou en lecture/écritures ou l’application qui en est en faite, l’utilisation des puces RFID implique différents types de risques juridiques qui ne se limitent pas à la problématique de la protection des données personnelles mise en lumière par la carte Navigo de la Ratp.

RFID et protection des données personnelles

Dans la plupart des cas, les puces ne contiendront qu'un numéro équivalent à une adresse IP à laquelle on pourra ou non associer des informations personnelles.

A titre, d’exemple, un simple badge d’accès peut contenir un seul numéro qui pourra être associé à des données personnelles.

Il existe actuellement peu de puces contenant directement de données personnelles. Elles sont le plus souvent intégrées au sein de cartes d’identité civile ou sociale.

Quelque soit l’application concernée, il convient de distinguer les puces contenant des données personnelles de celles contenant uniquement des informations relatives à un produit ou un bien.

Dans le premier cas, l’utilisation, par nature automatisée, des puces RFID tombe sous le coup de l’application des dispositions de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel modifiée le 6 août 2004.

Elle nécessite donc de respecter l’obligation de déclaration des traitements opérés, l’obligation d’information des personnes auprès desquelles des données sont recueillies par le biais de la puce ou afin d’être intégré au sein de cette puce ainsi que l’obligation de sécurité liées à la préservation des données, notamment, afin d’empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Dès lors que le système d’identification RFID impliquera un lecteur de puces collectant directement ou indirectement des données personnelles, il conviendra de déclarer ce lecteur à la CNIL, de la manière que pour les autocommutateurs.

Dans le second cas, c’est le recoupement susceptible d’être opéré entre le contenu d’un puce (associée à des produits de grandes consommations, par exemple) et des données personnelles figurant sur un autre support (carte de crédit, carte d’abonnement/de fidélité) qui nécessitera de veiller au respect des dispositions susvisées principalement au regard des conditions d’information de le personne dont l’identité est associée au contenu d’une puce et/ou au produit intégrant une puce. C’est le principe d’identification indirecte.

RFID et contrôle d’activité

Certaines applications de la technologie RFID peuvent présenter des risques juridiques en matière de contrôle de l’activité des salariés.

En effet, la présence de puces RFID dans les badges de salariés et/ou la présence de nombreux lecteurs de puces RFID au sein de l’entreprise destiné à identifier (ex : une caissière de supermarché) et/ou géo-localiser des produits (ex : personnel de manutention en entrepôts), peuvent permettre de contrôle l’activité d’un salarié.

Dans la mesure où un système d’identification intégrant des puces RFID est susceptible de donner à l'employeur la faculté d'exercer un contrôle de l'activité de ses salariés, le comité d'entreprise devra être informé et consulté préalablement à la décision de mise en œuvre permettant ce contrôle.

Cette obligation résulte des dispositions du Code de travail (article L.432-2-1) qui prévoit que « Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés ».

En fonction de l’impact des conditions d’utilisation du système RFID, l’employeur aura donc, le cas échéant, à initier une procédure d'information et de consultation préalable devant le comité d'entreprise, dans un objectif de transparence et de prévention des risques juridiques et légaux.

Dans tous les cas, l‘employeur devra effectuer une déclaration auprès de la CNIL si le système d’identification RFID consiste ou permet de collecter des informations relatives à ses salariés.

RFID et propriété de l’information

La propriété et la maîtrise de l’information constituent des enjeux majeurs du développement et de la mise en œuvre des technologies RFID.

En effet, elles permettent à la fois une traçabilité des biens, la collecte d’informations, et des accès différenciés à ces informations, notamment dans le contexte d’une chaîne logistique.

Afin de maîtriser cette information, les distributeurs, les fabricants ou les grands acheteurs tentent chacun d’imposer un standard intégrant notamment une normalisation des informations contenues dans les puces et répondant à leurs besoins et leurs exigences en matière de gestion de l’information.

A titre d’exemple, le département de la défense américaine a récemment décidé d’imposer à ses 14 000 fournisseurs un standard ainsi que la modification de l’organisation de leur relation afin d’intégrer les technologies RFID.

Outre l’exigence de standards normalisant la nature et l’accès à l’information, la gestion des informations recueillies par les puces RFID et stockées sur des serveurs, pose également la problématique de la propriété des informations contenues au sein des puces RFID qui sont destinées, en tout ou partie, à être exploitées dans des bases de données reliées à des lecteurs de puces.

Dans le cas de l’utilisation de puces RFID fonctionnant en écriture, chaque intermédiaire susceptible d’y inscrire des données, alimentera son contenu qui sera accessible par d’autres et notamment le dernier maillon d’une chaîne, tel que les grandes enseignes de distribution.

Bien que chacun soit a priori propriétaire de ses informations, le dernier maillon pourra exploiter, notamment dans le cadre de bases de données, les différentes informations insérées dans une puce tout au long du parcours d’un produit.

A titre d’exemple, un constructeur automobile pourra avoir accès aux données figurant sur les puces associées à des pièces détachées notamment destinées à être intégrées au sein des automobiles.

La question sera de savoir si le fournisseur d’équipements automobiles pourra avoir un accès aux données de la puce une fois l’équipement vendu et installé, surtout si celle-ci continue de collecter des informations relatives à son utilisation.

Pour des raisons pratiques (exemple : service après-vente, recyclage) ou politiques, chaque intervenant d’une chaîne de distribution d’un produit « tagé » RFID, peut avoir un intérêt à disposer de tout ou partie des informations qui ont été ajoutés notamment à l’occasion de la mise en vente ou de la vente d’un produit par un revendeur, voir par l’acheteur lors de l’acquisition du produit.

Ces intervenants pourront envisager d’organiser et de mettre ne place une gestion contractuelle du partage de l’information.

RFID et réorganisation des systèmes d’information

Le plus souvent la mise en œuvre d’un système d’identification RFID entraîne une réorganisation partielle des systèmes d’information existants avec notamment l’intégration d’une couche applicative dont l’impact dépendra de la complexité du projet et des exigences de son initiateur, notamment en termes gestion des profils pouvant accéder aux informations présentes sur les puces.

A cet égard, certains acteurs prônent un accès autonome et partagé et d’autres une gestion centralisée de l’accès aux données.

Il conviendra notamment d’apporter une attention particulière aux paramétrages du système d’identification et des puces afin de limiter ou de réguler l’accès aux seules personnes ou entités concernés par la vie des produits auxquels sont rattachés les puces.

Un accès non autorisé pourra ainsi résulter d’une erreur de paramétrage ou de filtrage de l’accès aux données.

La mise en œuvre d’un système d’identification RFID implique également d’intégrer les problématiques de sécurité et de prendre en compte les risques de fraudes internes ou externes important en l’espèce s’agissant d’une technologie mobile utilisant des ondes radio.

On retrouve ainsi des problématiques de sécurité comparables à celles relatives à d’autres technologies sans fil telles que le WiFi.

RFID et réglementation télécoms

Les technologies RFID (par le biais de leur transmetteur, lecteur) utilisent des fréquences radio, à l’instar d’autres technologies sans fil comme le Bluetooth ou le WiFi, et ne sont pas soumises en principe au régime de déclaration existant en matière de télécommunication, les puces et les lecteurs étant être considérés comme des équipements à faible portée, notamment du fait de leur faible niveau de puissance d’émission.

Toutefois, il est probable que des évolutions technologiques permettent d'augmenter, de manière significative, la portée des puces RFID et/ou permettent de constituer des réseaux sans fil qui seraient susceptibles de tomber sous le coup de dispositions réglementaires, comme par exemple, les hot spots WiFi.

Les technologies RFID représentent donc une tentation technologique évidente pour les professionnels de l’industrie et de la distribution.

Ces tentations sont toutefois limitées par un cadre juridique strict et protéiforme qu’il convient de respecter sous peine de sanctions pénales pour la protection des données personnelles et des salariés ou de litiges entre les acteurs d’une même chaîne utilisant un système d’identification RFID associé aux produits qu’ils entendent tracer.