introduction à la recommandation européenne en matière de rfid olivier rouxel chargé de mission...
TRANSCRIPT
Introduction à la recommandation européenne
en matière de RFIDOlivier Rouxel
Chargé de mission RFID
ISEMA – Avignon, 29 janvier 2010
Contexte
• Retour en 2003 Décision de Wal-Mart d’imposer la RFID à ses fournisseurs Déploiements massifs potentiels Jusqu’au consommateur
• Médiatisation de la RFID Auprès du grand public Auprès des entreprises Auprès des décideurs Canal Internet destructeur pour l’image de marque de la RFID
• Préoccupations exprimées Captation d’informations personnelles via la RFID Intelligence économique (entreprises, Etats) Enjeux de souveraineté pour les Etats
Contexte
• Etudes en France et en Europe 2005 : celle du CGTI 2006 : celle de la DGE
• Commission européenne Séminaires d’information Consultation publique en 2006 (2190 réponses) Les « citoyens » ont répondu en masse Inquiétudes focalisées sur la protection de la vie privée
• En parallèle, premiers retours d’entreprises Pilotes lancés dès 2003 décevants Club des « déçus de la RFID » Peu de communication (image ou concurrence)
Plan d’actions européen
• Discours de la commissaire européenne à la société de l’information – mars 2007
Reconnaissance du potentiel de la RFID pour le développement économique
Cadre éthique de mise en œuvre aux acteurs Mise en place d’un groupe de travail Recommandation (sécurité, confidentialité des données) Information des citoyens Une piste : désactivation de la puce offerte au citoyen
• Autres actions Financements de grands projets RFID Echanges bilatéraux (US, Japon, etc.) Etat des lieux en Europe
La recommandation du 12 mai 2009
• Issue des réflexions de la CE Enrichies des échanges avec le groupe d’experts (30 membres) Grande écoute des associations de consommateurs et du
groupe de l’article 29 Retours de la consultation publique sur un projet au printemps
2008
• Recommandation sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l’identification par radio-fréquence
Une recommandation générale Des définitions délicates La recherche d’un juste équilibre pour protéger sans brider
La recommandation du 12 mai 2009
« mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l’identification par radio-fréquence »
• Titre « Protection des données » : pas que données personnelles
• Définitions & Périmètre RFID au sens large, y compris la NFC Tous secteurs d’activité, sauf… applications gouvernementales Focus sur la distribution (lien au consommateur-citoyen) Notion de données personnelle Pas que données personnelles en RFID (cf. 4 préambule)
• Format Texte unique vs. Recommandation à tiroirs
La recommandation du 12 mai 2009
• CiblesEtats Membres« Exploitants » (cf. e) art. 3)Grand public
• Grands principesEvaluation d’impact sur la protection des données et le
respect de la vie privée Information du consommateur/citoyen
Présence de puces et de lecteurs RFID Signe européen commun (logo harmonisé)
Contrôle donné à l’utilisateur de produits « pucés » RFID
La recommandation du 12 mai 2009
• Evaluation d’impact Identifier les incidences de la mise en œuvre de
l’application / données personnelles et vie privéeA conduire par chaque exploitantNiveau de détail cohérent avec niveau risque
• ActionsMesures techniques et/ou organisationnellesRéférent « données personnelles »Mise à disposition de l’évaluation au moins 6 semaines
avant déploiement
La recommandation du 12 mai 2009
• Information Chaque exploitant doit rendre publique une politique
d’information Comprend notamment : objet de l’application, données
traitées, existence d’un traçage, résumé de l’évaluation Signe européen commun pour informer les personnes de la
présence de lecteurs
• Commerce de détail En plus : signe sur les produits « pucés » Notion de « détaillant non exploitant » L’exploitant conduit l’évaluation Si risque alors désactivation ou retrait systématique sauf
demande du consommateur que la puce reste active Si absence de risque, possibilité offerte de désactiver ou retirer
La recommandation du 12 mai 2009
• SensibilisationDes pouvoirs publics et des entreprisesAvantages et risques potentielsFocus sur sécurité information et respect vie privéeFournir exemples bonnes pratiquesPar les Etats Membres
• Recherche et développementPromouvoir / favoriser l’intégration du principe de
sécurité et respect vie privéeDès la conceptionA un stade précoce de développement des applications
RFID
Et la suite ?
• Travaux en cours sous l’égide de la CECadre pour mener les évaluations d’impactRéflexion sur le logo
• Monitoring par la Commission EuropéenneMise en œuvre dans les différents Etats membres de
l’Union (retour sous 24 mois)Efficacité et impact (exploitants & citoyens)Difficultés d’applicationAménagements éventuelsRapport dans un délai de 3 ans à/c publication JOUETransformation possible en directive
Quelques interrogations• Quid des applications déjà déployées et opérationnelles ?
Recommandation rétroactive ? Evaluation d’impact, marquage, information Télépéage, clés de voiture, contrôle d’accès, etc.
• Quid des technologies non RFID pures ? Incluses par défaut dans la reco : NFC, sans-contact Exemple du téléphone mobile : double marquage, politique
d’information, etc.
• Quels moyens de vérification si déploiement massif de la RFID ? Etablissement des certificats Contrôles
• Quels coûts pour les entreprises, pour les consommateurs ?
• Frein ou atout pour l’appropriation de la RFID par les entreprises et son déploiement ?
