au sommaire
Qui peut être intéressé par le numéro d'identifiant unique EPCEPC des conserves entreposées dans vos placardsplacards ou des céréalescéréales que mangent vos enfants ? Les quantités d'informations contenues dans les tags des produits possédés par une personne, peuvent cependant être récoltées et croisées grâce à un maillage très dense des données.
Cette analyse des informations émises par les biens disposant d'un tag permettrait ainsi de profiler le consommateur afin de lui proposer un ensemble de produits correspondant à ses habitudes de consommation et à ses envies, réelles ou supposées.
Une puce RFID couplée à l'identité d'une personne
Qu'est-ce qui techniquement empêcherait, à terme, un vendeur de voir s'afficher sur son écran le « profil marketing » de la cliente ou du client qui est en face de lui, profil déduit à partir des étiquettes de ses vêtements, ses accessoires de maroquinerie, des objets contenus dans ses poches, son sac à main ou son porteporte-documents ? Rien, a priori.
Sauf que la directive du Parlement européen et du Conseil du 12 juillet 2002 limite ce type d'intrusions dans la vie privée des consommateurs. Cette directive exige dans son premier article que « les États membres protègent les droits et les libertés des personnes physiques à l'égard du traitement des données à caractère personnel et notamment le droit au respect de leur vie privée ».
Mais les informations contenues dans les tags RFIDRFID constituent-elles des informations relevant du caractère personnel ? Selon la loi luxembourgeoise du 13 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, peut être considérée comme donnée à caractère personnel « toute information de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image, concernant une personne identifiée ou identifiable ; une personne physique ou morale est réputée identifiable si elle peut être identifiée directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique. ».
On peut en tirer les conclusions suivantes :
- les produits achetés par une personne sont de l'ordre de la sphère privée de cette personne ;
- les informations contenues dans les tags RFID accolés à ces produits sont des données à caractère personnel ;
- la loi régit l'utilisation et le traitement de ces données puisque celles-ci sont à caractère personnel.
Il est dès lors illégal et illégitime de tenter de récupérer les données à caractère personnel que constituent les informations contenues dans les tags RFID figurant sur les produits en la possession d'une personne privée.
D'un point de vue technique, l'utilisation de lecteurs permettant l'identification à grande distance de tags RFID est pour l'instant impossible. En effet, les modèles d'étiquettes actuels ne permettent pas une distance de lecture supérieure à quelques mètres, dans des conditions idéales, au maximum.
Il est donc impossible que l'on puisse lire depuis l'extérieur de la maison les informations contenues sur les étiquettes RFID présentes dans un placard. De plus, la convention sur la cybercriminalité du 23 novembre 2003 précise que doit être érigé en « infraction pénale (...) l'accès intentionnel et sans droit à tout ou partie d'un système informatique », les tags RFID étant dans le texte considérés comme un système informatique puisque permettant « un traitement automatisé de données ».