Des logos pour mieux reconnaître les objets connectés share
back to to

Des logos pour mieux reconnaître les objets connectés

31 juillet 2014

La protection des données personnelles sur le web est l’un des grands chevaux de bataille de la Commission européenne et d’associations de protection des citoyens. Pour autant, les données ne sont pas seulement celles issues de ce que chacun distille sur la toile : ce sont aussi les informations de nos cartes de transports, celles de nos passeports ou encore nos données bancaires qui se promènent dans le Cloud. C’est dans ce contexte que de nouvelles normes techniques ont été fixées par la Commission.

RFI-quoi et où ?

Valider un pass de transport à l’entrée du bus ? Utiliser une carte bleue à paiement sans contact ? Enfiler un nouveau gilet fraîchement acheté dans une boutique du centre-ville ? A priori aucun de ces actes quasi quotidiens ne semblent avoir de lien. Pourtant dans chacune de ces tâches intervient une puce RFID glissée dans le textile ou insérée dans une carte magnétique. L’impact sur la vie privée pourrait être conséquent.

La Cnil soulignait en septembre 2013 que :

si tous les objets de la vie quotidienne deviennent “tagués”, il est alors possible de tracer les individus dans tous leurs actes.

C’est en ce sens qu’en avril 2007 la maternité de l’hôpital intercommunal de Monfermeil équipait l’ensemble des nouveaux-nés de ce type de puce : pour se prémunir des rapts d’enfants, l’établissement accrochait à chaque cheville de nourrisson un bracelet contenant une puce capable d’identifier en permanence où il se trouve.

Autre exemple, en 2004, le groupe de distribution agro-alimentaire Metro terminait une expérience d’un an sur l’un de ses sites. En équipant ses marchandises de la technologie RFID, l’entreprise rendait possible une traçabilité permanente des produits au sein de l’entrepôt. Et faisait ainsi diminuer sensiblement le nombre de vols et de pertes. Le risque ? Que cette expérience – concluante pour le groupe – amène à un équipement systématique des produits achetés par les citoyens, sans qu’ils n’en soient informés.

Mais la technologie est aussi utilisable à des fins médicales, de façon à mieux soigner les patients. Toujours en 2004, selon ZDNet, les hôpitaux américains avaient la possibilité d’implanter une puce à leurs patients. L’idée : que l’ensemble des informations tels que le groupe sanguin ou encore les résultats d’analyse puisse être consulté rapidement. Que l’utilité soit contesté, contestable ou acceptable, il n’en reste pas moins que pour la majorité des détracteurs de la technologie, la protection des données – quand bien même elles sont stockées dans une base distante et ultra-sécurisée – devrait être mieux garantie.

Les nouvelles obligations

En la matière, de nouvelles normes techniques européennes ont été fixées de façon à permettre le respect des règles de l’Union européenne concernant les puces RFID. Les recommandations de la Commission européenne en 2009 portaient déjà sur la réalisation d’une évaluation d’impact sur la vie privée (EIVP). Cette fois, la Commission va plus loin et souligne dans un communiqué de presse que :

le processus d’évaluation de l’impact sur la vie privée a été étendu à de nouveaux domaines liés au respect de la vie privée comme la certification de compteurs intelligents.

Pour faire en sorte que les applications RFID soient respectueuses des règles de l’Union européenne concernant la protection des données, ceux qui les développent pourront, voire devront, s’appuyer sur les normes de l’évaluation de l’impact sur la vie privée. De sorte que les données soient protégées du début à la fin de leur existence dans le nuage, y compris au moment de la transmission à chaque utilisation.

Mais dans un cadre plus large, au quotidien, et dans le sens d’une information transparente à donner aux consommateurs, compte tenu de la relative invisibilité de ces dispositifs, il est parfois difficile de savoir que ce que l’on porte contient une telle somme d’informations. Pour mieux informer les clients potentiels, la Commission explique ainsi qu’à l’avenir, tout équipement portant une puce devra avoir, de façon visible, le logo RFID.

À l’instar d’autres types de nouvelles technologies, les puces RFID suscitent des réactions fortes et sont perçues comme des menaces potentielles sur la vie privée. Mais Arnaud Beileil, directeur adjoint de Cecurity.com, expliquait lors de notre débat sur les données personnelles que :

l’établissement d’un contrat de confiance renouvelée entre les internautes et les acteurs du web pourrait reposer en partie sur un renversement de perspective avec la mise en oeuvre des technologies de protection des données à caractère personnel.

En envisageant ce même type de main tendue des professionnels en direction des citoyens concernant les données stockées dans les puces RFID, peut-être serait-il possible d’inverser la tendance ? Et de délivrer une information aux citoyens sur ce qu’ils stockent parfois sans s’en rendre compte, y compris quand il s’agit de marketing.

En 2013, Disney lançait une opération de grande envergure en offrant à ses clients des bracelets qui récoltent les informations sur leurs pratiques. Par ce biais – d’un milliard de dollars -, l’entreprise promettait une expérience augmentée mais aussi, et surtout, des offres marketing personnalisées. À supposer que les clients aient été informés de l’expérience, encore faut-il qu’ils en aient saisi la portée. Un pas de plus à faire entre information nécessaire et prise de conscience et sensibilisation autour de ces nouvelles technologies ?

Chaque semaine,
recevez les immanquables
par email