Protection des données et RFID

La plupart des citoyens connaissent la technologie RFID (Radio Frequency Identification) par les commerces, dans lesquels des appareils de lecture et écriture sont placés près de la caisse. Lorsqu'une radio-étiquette RFID non désactivée se trouve encore sur ou dans un produit, le lecteur déclenche une alarme au passage. De telles étiquettes se rencontrent de plus en plus fréquemment sur les marchandises, mais se trouvent également p.ex. dans les titres de transport des chemins de fer de montagne, les livres de bibliothèque, les dispositifs antidémarrage de voitures et la gestion des bagages d'avions. La technologie RFID présente en particulier le risque de pouvoir traiter des données à l'insu des personnes intéressées.

Nous avons traité le sujet «Protection des données et RFID» lors d'une conférence à l'EPF de Zurich. Au début de la décennie, il a été de plus en plus souvent question de cette nouvelle technologie. Nous n'étions alors pas sûrs dans quelle mesure celle-ci serait couverte par la LPD et avions donc décidés de l'analyser. Cette analyse a permis de tirer les conclusions suivantes: la technologie RFID n'est pas aussi récente que ne le laissaient supposer les premières informations. Elle a été mise en œuvre à la fin de la deuxième guerre mondiale déjà pour l'identification ami/ennemi. Du point de vue organisationnel, la RFID peut être considérée comme une «nouvelle» ressource aux propriétés spéciales dans un système, p. ex. une application. Cette ressource présente des caractéristiques particulières qui peuvent porter préjudice à la protection des données.

Un risque fondamental réside dans le fait que les données dans un transpondeur ou «tag» (étiquette RFID) peuvent être traitées jusqu'à une certaine distance par des ondes radio. A cet effet, aucun contact visuel direct n'est nécessaire, pas plus qu'une intervention active de la personne concernée. En d'autres termes, cela signifie que le traitement des données peut avoir lieu à l'insu de la personne concernée. Toutes les données qui sont enregistrées sur des puces RFID et qui ne sont pas détruites, effacées ou spécialement protégées peuvent être manipulées par des appareils de lecture et écriture (cachés). Si celles-ci sont interconnectées avec des données provenant d'autres sources, le risque existe que des profils d'achat ou de déplacement puissent être établis. Les étiquettes RFID sont souvent liées en un système constitué de réseaux, de stations de travail, de serveurs et autres éléments, de manière que l'élaboration d'une application RFID conforme à la protection des données (de la collecte des données jusqu'à leur anonymisation ou leur effacement) doit également les prendre en compte. Il s'agit donc d'inclure au système à construire les dispositions suivantes importantes en matière de protection des données:

  • Transparence: L'utilisation de la technologie RFID doit être reconnaissable pour la personne concernée. Celle-ci peut faire valoir son droit d'accès auprès du maître d'un fichier. Quiconque fait valoir un intérêt légitime peut exiger du maître de fichier que celui-ci corrige les données, en interdise la communication à des tiers ou y apporte une mention. Le maître du fichier doit documenter le système de manière appropriée. Cette documentation sera d'autant plus détaillée que les données personnelles traitées ou le but du traitement de données sont sensibles. A défaut, outre le manque de gouvernabilité de tels systèmes,  le principe de transparence n'est pas respecté.
  • Finalité: les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.
  • Proportionnalité: les systèmes doivent être conçus de manière que le minimum de données personnelles soient nécessaires pour l'accomplissement des tâches. On utilisera autant que possible des données anonymisées; en l'absence de rapport avec une personne, la loi LPD n'est plus applicable. Dans la mesure où une identification des personnes est requise, les systèmes seront conçus pour permettre de travailler avec des pseudonymes. Par ailleurs, il faut effacer toutes les données qui ne sont plus nécessaires au but du traitement de données.
  • Licéité: le traitement des données ne doit violer aucune législation, donc ni la loi LPD, ni d'autres lois ou ordonnances. Les personnes privées peuvent traiter des données personnelles si elles ont un motif justificatif. Il peut s'agir d'une base légale, du consentement de la personne concernée ou d'un intérêt prépondérant public ou privé. 
  • Consentement: dans la mesure où le consentement de la personne concernée est requis pour le traitement de données personnelles, celui-ci n'est valable que s'il intervient librement, sur la base d'informations appropriées. Cela signifie notamment qu'il faut communiquer à la personne concernée quelles données sont traitées où et comment, et quand elles seront effacées. Par ailleurs, lors du traitement de données personnelles sensibles ou de profils de la personnalité, le consentement doit être explicite. Celui-ci doit être donné par la personne concernée sous forme écrite ou orale. Du fait de qu'un consentement oral est souvent difficile à prouver, nous recommandons en principe de requérir un consentement explicite par écrit. Par ailleurs, la personne concernée a le droit de révoquer en tout temps son consentement pour le traitement de données.
  • Sécurité des données: les données personnelles doivent être protégées en particulier contre les traitements de données non autorisés et des erreurs techniques par des mesures techniques et organisationnelles appropriées. Les systèmes qui traitent des données personnelles sensibles ou des profils de la personnalité, ou servent à des buts sensibles, doivent notamment être protégés conformément à l'état actuel de la technique. Il faut également veiller à assurer la confidentialité, la disponibilité et l'intégrité des données.
  • Contrôle: Les contrôles donnent confiance. Ces contrôles peuvent être effectués aussi bien par des collaborateurs internes que par des mandataires externes. Afin d'améliorer la protection des données ainsi que la sécurité des données ou de l'information, des organes accrédités pourront à l'avenir évaluer et certifier les différents systèmes.
https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/17eme-rapport-d-activites-2009-2010/protection-des-donnees-et-rfid.html