Catégorie : Matériel

RFID et Privacy : les données personnelles à l’ère des « little sisters »

En mars dernier, l’Observatoire pour l’innovation responsable et un groupe de travail pluridisciplinaire constitué sous son égide organisaient à Télécom ParisTech la première conférence-débat transversale sur la technologie RFID (Identification par radiofréquences), ses impacts sociétaux potentiels, et les mesures à mettre en œuvre pour que cette technologie prometteuse, qui s’ouvre aujourd’hui aux usages grand public, puisse se déployer de manière responsable sans porter atteinte aux libertés de la personne, à la santé publique, ou à l’environnement.

Nous vous proposons ici une synthèse de la table ronde RFID et Vie privée : animée par Michel Alberganti (journaliste à France Culture, producteur de l’émission « Science publique »), avec la participation de Pierre-Antoine Chardel (philosophe, professeur à l’Institut Mines-Télécom), Jean-Gabriel Ganascia (informaticien, professeur à l’Université Pierre et Marie Curie), Marie-Charlotte Roques-Bonnet (juriste à la CNIL), Olivier Rouxel (chargé de mission RFID à la DGCIS, Ministère du Redressement productif), Claude Tetelin (directeur technique du CNRFID).

Cette deuxième table ronde est partie d’une question forte : comment penser la responsabilité des individus dans un contexte de disponibilité technologique qui rend possible une traçabilité généralisée ? La RFID aiguise cette question, car « la machine » ne nous est plus extérieure, elle est « mariée » avec la société et fait désormais partie de notre intimité.

Les deux premiers intervenants ont souligné l’importance d’inscrire l’interrogation sur la RFID dans une réflexion plus large qui concerne la traçabilité et la nécessité de questionner cette dernière au niveau du sens que l’on entend conférer au développement de notre société : ce n’est donc pas l’objet technique en tant que tel qui doit être interrogé, avec toutes les promesses qu’il porte, mais l’objet inséré dans une économie des affaires, car tout ce qui est technologiquement possible n’est pas toujours humainement et socialement acceptable (P.-A. Chardel).

Dès lors, l’enjeu annoncé – qui s’avère être aussi celui de la conférence-débat dans son ensemble – est de réfléchir aux conditions d’une bonne manière d’être dans nos environnements numériques, de dépasser le stade de la simple condamnation pour atteindre celui de la capacité de créer des compromis avec ces machines omniprésentes dans notre quotidien (J.-G. Ganascia). Quels compromis sommes-nous prêts à faire pour gérer la tension entre vie privée et sécurité, entre transparence et vie privée ? Mais encore, quelles mesures prendre pour permettre des innovations dans le respect de nos écosystèmes sociaux et psychiques ?

Deux premières voies d’innovation responsable sont indiquées : « innovation responsable c’est la maturité de savoir que chaque choix se fait au prix de compromis », et c’est le rôle des scientifiques de comprendre et expliquer ces compromis. Et aussi, dans le cas spécifique de la RFID et de sa capacité à collecter des données, réfléchir à la possibilité de faire taire les puces et les dispositifs qui parlent pour nous, ou de garantir un droit à l’effacement des traces. Il est d’ailleurs précisé par la DGCIS que ce droit n’est pas exclusivement celui des citoyens à la préservation de leur vie privée, mais aussi celui des entreprises à la protection de leurs informations stratégiques pouvant être contenues dans les puces, afin de prévenir toute captation involontaire.

Les représentants de la CNIL et du CNRFID ont éclairé le problème de la protection des données personnelles en pointant, d’une part, sur la difficulté de garantir dans les faits le droit au silence des puces : on peut, dans certains cas, les « tuer » mais pas les « faire taire », surtout si l’on veut maintenir la possibilité d’un service après-vente.

D’autre part, ils ont évoqué les progrès de la réglementation européenne, qui devrait être finalisée dans l’année, avec le nouveau règlement sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Dans ce cadre, obligation est faite d’informer le public lorsqu’il est confronté à la mise en œuvre d’un système de collecte et de traitement de données basé sur la RFID. De plus, les exploitants devront se doter de plans d’évaluation des impacts sur la vie privée (PIA, Privacy Impact Assessment), plans dont le contenu sera progressivement normalisé. Il s’agit là d’évaluations à réaliser en amont pour identifier les zones critiques de la mise en œuvre des applications et, selon le niveau de risque, déterminer des mesures (techniques ou organisationnelles) propres à ramener les impacts négatifs à un niveau acceptable, la CNIL étant chargée en France d’en contrôler l’existence et la pertinence.

Nous apprenons que, malheureusement, jusqu’à ce jour, peu d’acteurs s’acquittent de ce qui est déjà une recommandation forte, voire en connaissaient l’existence. La conférence du 14 mars préconise donc qu’une plus grande publicité des obligations ou des recommandations soit assurée par les institutions concernées auprès des producteurs et exploitants de systèmes RFID. Mais aussi que des efforts de R&D soient déployés, au niveau de la conception, pour mettre les puces en mesure d’être désactivées.

Le mois prochain (juin) nous vous proposerons une synthèse des débats et des pistes pour un meilleur respect de l’environnement.

Source : compte rendu de L. Draetta, F. Musiani, et D. Tessier, http://www.debatinginnovation.org/

Frédéric Bordage

Expert en green IT, sobriété numérique, numérique responsable, écoconception et slow.tech, j'ai créé le collectif Green IT en 2004. Je conseille des organisations privées et publiques, et anime GreenIT.fr, le Collectif Conception Numérique Responsable (@CNumR) et le Club Green IT.

Site web - Twitter - Facebook - Linked In