Les peRFIDes bientôt victimes d’étiquetage forcé (# numéro lambda #)

15/05/2009

Les «radio-étiquettes», plus communément connues sous l’acronyme RFID, viennent de faire l’objet d’une «recommandation» de la Commission européenne. Il est question bien évidemment des risques que ces micropuces furtives peuvent comporter sur la vie privée des consommateurs et leur liberté de mouvement.

Ne rêvons pas : l’objectif n’est pas tant d’imposer des restrictions afin que ce marché juteux se mette en conformité avec la Charte des droits fondamentaux (pourtant citée par la Commission dans son document). Il s’agit plutôt, dixit la Commission, de «créer des conditions de concurrence équitables pour les entreprises européennes tout en respectant la vie privée». Tout est dans le «tout en…».

En 2006, la Commission avait lancé une «consultation publique» sur la question, qui avait été suivie d’un premier rapport, et le présent travail est le fruit d’une consultation plus large («fournisseurs, entreprises utilisatrices, organismes de normalisation, organisations de consommateurs, groupes de la société civile et syndicats»).

La moins mauvaise nouvelle réside dans le fait, déjà énoncé en 2006, que ces RFID devraient intégrer un dispositif de désactivation. Tout cela restant au conditionnel: «Les consommateurs devraient pouvoir exercer un contrôle sur les produits qu’ils achètent». La version anglaise est plus explicite: «Consumers should be in control whether products they buy in shops use smart chips or not» («devraient pouvoir choisir si les produits qu’ils achètent contiennent des puces ou pas»).

La suite est moins ambigüe: «Lorsqu’un produit contient des puces, celles-ci devraient être désactivées automatiquement, immédiatement et gratuitement dans le point de vente, sauf si le consommateur demande expressément à ce qu’elles restent actives.» Alors bien-sûr, tout cela en respectant la liberté de produire des industriels: «Des dérogations peuvent être accordées pour éviter qu’une charge inutile pèse, par exemple, sur les détaillants, à la condition toutefois que l’incidence de la puce sur la vie privée ait été évaluée».

Gageons que les industriels vont s’en plaindre. Trop complexe, sans doute… Raté: il existe déjà des méthodes “système D” pour désactiver les radiopuces, que certains groupes de consommateurs sont prêt à utiliser en masse si les détaillants traînent la patte. Le RFID Zapper, par exemple, présenté en décembre 2006 lors du congrès du Chaos Computer Club de Berlin, fonctionne d’une façon assez simple: il utilise le flash d’un appareil photo jetable! Le flash génère un champs electromagnétique de courte portée, assez puissant pour griller et désactiver la puce radio de façon irréversible.

L’autre proposition émise par la Commission de Bruxelles pour que les radio-étiquettes deviennent moins «perfides» et donc mieux acceptées, serait d’améliorer… l’information du consommateur. Comment? Et bien par «un étiquetage clair [qui] permette d’identifier les dispositifs de lecture des informations stockées dans les puces, et établir un point de contact chargé d’informer les citoyens». Super bonne idée, en effet: étiqueter les étiquettes, ça c’est éthique! Bruxelles recommande donc de créer un logos estampillé UE indiquant qu’un article est “radiopuçé” («au moyen d’un signe européen commun indiquant la présence d’une puce dans un produit»).

On en apprend plus dans la version complète de ce document (disponible qu’en anglais, ici en PDF). Il est indiqué que cette étiquetage devra comporter:

  • (a) the identity and address of the operators,
  • (b) the purpose of the application,
  • (c) what data are to be processed by the application, in particular if personal data will be processed, and whether the location of tags will be monitored,
  • (d) a summary of the privacy and data protection impact assessment,
  • (e) the likely privacy risks, if any, relating to the use of tags in the application and the measures that individuals can take to mitigate these risks.
Image créée par Systaime pour les BBA

Image créée par Systaime pour les BBA

Accrochez-vous pour faire figurer autant d’informations sur une micro-étiquette! Surtout qu’elles seront bientôt plutôt du genre “nano”, donc complètement furtive. Ce type d’obligation d’affichage est déjà en vigueur dans les domaines de l’alimentation ou de santé publique, que ce soit pour indiquer la teneur en sucre, sel, conservateurs, colorants, etc., des aliments, ou pour alerter sur la présence d’additifs chimiques présents dans des produits industriels manipulés par des individus. A voir comment les industriels combattent ce genre d’obligation, cela ne laisse que peu d’espoirs que ces recommandations sur les RFID soient rapidement et consciencieusement appliquées. Il a fallu des années pour que cela devienne obligatoire, alors on imagine que les industriels vont tout faire pour A voir comment les associations de consommateurs se battent pour que ces A propos des RFID, outre la difficulté pratique de marquer des micropuces, il serait tout aussi indispensable de rendre obligatoire la portée de chaque étiquette, c’est à dire la distance maximum à laquelle son antenne est censée réagir aux lecteurs. Car si, parmi les quelque 2,2 milliards de puces déjà en circulation dans le monde, la plupart ne réagissent qu’à quelques centimètres, il en existe déjà qui s’activent à plusieurs dizaines de mètres!

Tout ce ramdam s’est concocté, bien sûr, en tenant compte des travaux des différentes autorités de protection des données. En France, ça s’appelle la CNIL. Dont le président Alex Türk préside aussi le groupe dit “de l’Article 29″, qui réuni ses collègues des 26 autres Etats membres — un groupe consultatif qui s’est penché sur les RFID dès 2005). Ce sera donc à ces “autorités” que reviendra la mission de surveiller si ces propositions sont appliquées ou pas. Nous avons été quelques uns à nous interroger sur le rôle joué dans ce “contrôle” par Philippe Lemoine, éminent commissaire à la CNIL, et autoproclamé expert es RFID par son activité professionnelle. C’est en effet le patron de la filiale “services” du groupe Galeries lafayettes (BHV, Monoprix), et donc gros consommateur de code-barres et d’étiquettes radio. Une position source de conflit d’intérêt, dénoncé en son temps, qui s’ajoute au fait que Lemoine a longtemps été l’un des administrateurs de GS1 (ex-EAN), l’organisme de normalisation international chargé d’encadrer cette activité («The global language of business», tel que GS1 se présente). Tout cela, sans doute, afin de “réguler” le marché “de l’intérieur”, et apprendre aux industriels à s’autopolicer.

PS – N’oublions pas que l’application la plus sensible des radiopuces est d’intégrer les pièces d’identité électroniques. Il ne s’agit plus du tout de protection du consommateur, mais bien de protection des libertés fondamentales, car un passeport “radiopuçé” — ils sont déjà en circulation — dont la sécurité est déjà très aléatoire, entraine des fuites de données personnelles propres à générer un marché parallèle de l’ usurpation d’identité. Et ces puces-là, elles ne seront jamais désactivées.