Trouver le juste équilibre entre RFID et protection de la vie privée
La législation est en cours, des commissions publiques sont créées et les défenseurs de la vie privée expriment leur opposition à la technologie RFID. Cette technologie qui est utilisée dans le monde entier au bénéfice de millions de gens fait désormais les gros titres aux quatre coins du globe – pour des questions de protection de la vie privée.
Au niveau du grand public, la RFID accélère et améliore les transactions dans les magasins, aéroports et péages d’autoroutes. Dans les secteurs du commerce et de l’industrie, la RFID simplifie et améliore la collecte de données dans les entrepôts, magasins et même sur les forages pétroliers où les équipements à étiquette RFID sont inventoriés à l’aide de lecteurs portatifs.
Toutefois, la plupart des applications RFID actuelles ne présentent pas de menaces sérieuses pour la vie privée. HID, par exemple, a livré plus de 250 millions de systèmes RFID à des clients du monde entier et n’a entendu parler d’aucun problème d’attaque à la vie privée dû à l’utilisation de ces systèmes.
Pourtant, de ces menaces d’atteinte à la vie privée émergent de nouvelles propositions d’utilisation de la technologie.
Les principales menaces d’atteinte à la vie privée liées à l’utilisation de la RFID incluent la possibilité de :
• tracer des individus
• profiler les goûts et/ou habitudes des consommateurs
• utiliser les informations collectées à des fins autres que celles d’origine
• voler des identités
Pour répondre à ces inquiétudes légitimes, l’industrie de la RFID, regroupant les fabricants, revendeurs et entités gouvernementales, se penche sur ces problèmes dans l’objectif de développer des solutions et des politiques protégeant la vie privée tout en permettant une utilisation à grande échelle de la technologie.
La Commission Européenne encourage le débat public
Au salon CeBIT qui s’est tenu récemment en Allemagne, Vivian Reding, commissaire européenne chargée de la société de d’information et des médias, a reconnu la nécessité de « trouver le juste équilibre entre vie privée et intérêts publics ».
Pendant le salon, Mme Reding a annoncé un ensemble de commissions publiques créées pour étudier les problèmes de protection de la vie privée suscités par la RFID. Les commissions se tiendront en juin 2006.
Outre les efforts de la Commission Européenne, l’Organisation pour la Coopération et le Développement Économique (OCDE) a rédigé les lignes directrices de la protection de la vie privée et les flux transfrontaliers de données personnelles. Bien que ces lignes directrices ne soient pas spécifiques à la RFID, elles constituent un excellent modèle de lignes directrices pour la protection de la vie privée en matière de RFID.
Plus particulièrement, le discours de l’OCDE vis-à-vis des informations personnelles collectées mérite qu’on s’y arrête et pourrait également s’appliquer aux informations personnelles collectées par des systèmes RFID :
• « Les données personnelles ne doivent pas être dévoilées, rendues disponibles ou utilisées de quelconque façon à des fins autres que celles spécifiées … sauf avec le consentement de la personne fichée ou par autorité de la loi. »
• « Les données personnelles doivent être protégées par des mesures de sécurité raisonnables contre des risques tels que la perte ou l’accès non autorisé, la destruction, l’utilisation, la modification ou la divulgation des données. »
Selon l’OCDE, ces lignes directrices pourraient aider à harmoniser les législations nationales concernant la vie privée, tout en évitant les interruptions dans les flux internationaux de données.
L’utilisation la plus visible des flux internationaux de données concerne les passeports. Les passeports électroniques internationaux sont en plein essor. La Nouvelle Zélande et l’Australie ont émis des passeports électroniques pour leurs citoyens et Singapour a émis des passeports électroniques pour le personnel des compagnies aériennes. Les États-Unis testent actuellement les passeports électroniques avec ces trois pays.
Ces passeports promettent d’augmenter la sécurité et d’accélérer les procédures d’entrée. Aux États-Unis, les passeports électroniques intègrent une fonction de sécurité appelée Contrôle d’Accès Basique (BAC) qui permet d’empêcher la lecture non autorisée, ou skimming, d’informations personnelles, protégeant ainsi la vie privée. De plus, dans la phase de test en cours, les étiquettes RFID ne peuvent pas être lues avant que le passeport ne soit ouvert par son propriétaire.
Des éléments de conception protègent la vie privée
Des solutions technologiques de protection de la vie privée, telles que la fonction BAC, sont actuellement disponibles. Les sociétés qui créent des dispositifs, cartes ou documents sans contact doivent intégrer des fonctions de protection de la vie privée et de sécurité dans une application système. Les entités régulatrices doivent également mettre en œuvre des politiques appropriées pour soutenir les exigences de sécurité et de protection de la vie privée.
Les fonctions de sécurité et de protection de la vie privée disponibles dans la technologie sans contact incluent l’authentification mutuelle et le chiffrement. Certains fabricants de cartes sans contact, notamment HID, ne placent aucune donnée personnelle susceptible de compromettre l’identité de l’individu ou sa vie privée sur leurs cartes, badges, porte-clé ou autres dispositifs RFID.
Les cartes iCLASS d’HID utilisent des mécanismes cryptographiques associés à des techniques d’authentification mutuelle pour sécuriser les informations qu’elles contiennent.
RFID et vie privée aux États-Unis
Les défenseurs de la vie privée ont joué un rôle actif aux États-Unis quand le secteur de la vente au détail a indiqué son intention d’utiliser la RFID pour améliorer la gestion de la chaîne logistique et le contrôle des stocks. À ce niveau, il existe un risque que les étiquettes RFID attachées aux produits ne soient utilisées pour tracer les habitudes et préférences des consommateurs dans un but de démarches marketing futures.
En résultat, une législation a été introduite au niveau des États pour imposer aux commerçants et/ou fabricants de coller une étiquette informative sur chaque produit porteur d’une étiquette RFID. Certains États ont même imposé que l’étiquette RFID se désactive ou soit retirée à l’achat du produit.
Certains États ont également légiféré pour les documents d’identification émis par des administrations ou entités gouvernementales, comme les bibliothèques publiques et universités. Le texte de cette législation impose que « les documents d’identification, sauf spécification, qui sont créés, mandatés, achetés ou émis par diverses entités publiques qui utilisent des ondes radio pour émettre des informations personnelles, ou pour permettre la lecture à distance d’informations personnelles, doivent respecter des exigences spécifiées. »
La définition des documents d’identification inclut les permis de conduire, documents d’identification de la maternelle à la terminale, cartes d’assurance ou de prestation de santé lorsque reconnues par l’État et cartes de bibliothèque publique.
À ce jour, aucun État n’a voté de législation concernant l’utilisation de la RFID. Des acteurs du secteur de la RFID, dont fait partie HID, participent activement au débat.
En Californie, où la législation sur la RFID est en cours, HID a organisé un forum sur la vie privée s’adressant aux représentants du secteur, législateurs, membres académiques et utilisateurs finaux de la RFID. L’objectif était de créer un cadre positif pour trouver le juste milieu entre protection de la vie privée du grand public et essor rapide de la technologie RFID dans la société.
Selon Denis Hébert, CEO de HID, ce forum a mis au jour un certain nombre de vérités fondamentales:
• La technologie RFID est là pour rester
• Les utilisations et avantages de la RFID pour la société ne progresseront qu’avec le développement des applications
• La protection de la vie privée du grand public restera toujours une priorité.
HID s’engage naturellement à protéger la vie privée et à ce titre, comme toutes les sociétés ASSA ABLOY Identification Technology Group (ITG), a adopté des principes et pratiques professionnelles concernant l’utilisation de la technologie radio-fréquence et la vie privée.
Ces directives sur la vie privée constituent une philosophie d’entreprise qui reconnaît les droits de tous les utilisateurs des cartes RFID d’HID et d’ITG.
Aller de l’avant
La RFID a fait ses preuves en tant que technologie utile et bénéfique pour la protection, la sécurité et le confort des consommateurs. Atteindre un consensus qui permet l’innovation continue dans la technologie RFID tout en protégeant la vie privée des gens profitera à tous. Dans tous les débats et discussions menés dans le monde, l’objectif est de trouver une définition partagée des problèmes et de se mettre d’accord sur la nature des faits et problèmes.
Même s’il existe des manières différentes de les résoudre.
Pour plus d’infos, visitez le site http://www.hidcorp.com.
Les lignes directrices complètes (en anglais) de l’OCDE sont disponibles sur http://www.oecd.org.
* Indique un champ obligatoire