L’Actu de l’innovation

RFID : ce que dit la loi

Posté le 29 mai 2011
par La rédaction
dans Informatique et Numérique

Claire Levallois-Barth, enseignant-chercheur en droit des NTIC à Télécom Paris Tech, fait le point sur les aspects juridiques liés à la RFID, en particulier en ce qui concerne les données personnelles. Interview.

Qu’est-ce qu’une donnée personnelle ?

Selon la loi informatique et libertés, une donnée personnelle désigne « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Cette notion est large : elle comprend un nom et un prénom sur une carte de fidélité ou encore le numéro d’un produit figurant sur le tag RFID lié à une base de données clients. Le critère essentiel est qu’il puisse être possible de (re)constituer un lien entre une information et une personne.

Que se passe-t-il lorsque le numéro de saisie n’est pas relié à la carte de fidélité par exemple ?

Ce cas comprend notamment un simple numéro inscrit dans le tag RFID d’un jeton de caddie, ce qui permet de suivre le parcours-client dans un magasin et de connaître les produits achetés. D’après un rapport présenté par un commissaire de la Cnil (Commission nationale de l’informatique et des libertés) en 2003, le numéro de saisi constitue une donnée personnelle « même s’il s’agit de données ne portant que sur des objets, dès lors que la technologie RFID permet d’instituer un maillage dense d’analyse des milliers d’objets qui entourent une personne ». Le groupe Article 29, qui regroupe l’ensemble des 27 Cnil de l’Union européenne, s’est prononcé dans le même sens en 2005.

Que faut-il faire lorsque l’on collecte et traite des données personnelles ?

D’après la loi informatique et libertés, qui transpose la directive européenne 95/46/CE Protection des données, il faut en règle générale déclarer son traitement de données personnelles auprès de la Cnil et préciser les finalités poursuivies par le traitement (ou si vous préférez les usages, les objectifs). Ce principe de finalité entraîne des conséquences importantes. D’une part, seules les données nécessaires pour atteindre les finalités peuvent être collectées et utilisées. Si un numéro suffit pour repérer une personne, il faut le créer car son utilisation sera moins attentatoire à la vie privée que l’enregistrement d’un nom. D’autre part, les données ne peuvent pas servir à atteindre un objectif autre que celui déclaré auprès de la Cnil : si cet objectif est la sécurité, les données personnelles ne doivent pas être utilisées à des fins de marketing. Enfin, le responsable de traitement doit préciser combien de temps les données seront conservées. La durée de conservation ne doit pas excéder celle nécessaire à la réalisation des finalités.
Autre point important : dans la plupart des cas, il faut obtenir le consentement de la personne pour légitimer la collecte d’informations (il existe cependant des dérogations à ce principe). Ce consentement doit notamment être « spécifique », c’est-à-dire être donné pour une finalité particulière.

Qu’est-ce que l’étude d’impact ?

La recommandation de la Commission européenne du 12 mai 2009 précise que tout exploitant doit évaluer les conséquences de la mise en œuvre de son application RFID sur la protection des données personnelles et de la vie privée. Il doit notifier l’étude d’impact six semaines avant le déploiement de son application à « l’autorité compétente ». En France, on suppose que cette autorité sera la Cnil ou le correspondant informatique et libertés, à savoir une personne désignée par l’entreprise elle-même pour s’assurer que la loi est bien appliquée. Ces correspondants peuvent être soit internes, soit externes à l’entreprise.

Quels sont les droits du consommateur ?

Le consommateur dispose d’un droit d’information, notamment sur l’existence même de puces RFID sur les produits ou leurs emballages, sur la présence de lecteurs, sur le fait que les tags diffusent une information sans que la personne se livre à une action intentionnelle, sur les finalités poursuivies, etc. Bref, il doit bénéficier de toute information permettant de traiter « loyalement » les données. Par ailleurs, toute personne dispose d’un droit d’accès à ses données personnelles. Elle a aussi pouvoir de les faire rectifier et de les mettre à jour. En pratique, il faut donc mettre des lecteurs à sa disposition pour lire les puces et savoir ce qu’elles contiennent. Enfin, le consommateur a le droit de s’opposer au traitement de ses données ce qui pose la question de la désactivation du tag.

C.L