L’autorité de protection de la vie privée s’en prend aux puces RFID et aux "black-lists"
La Commission nationale de l’informatique et des libertés (Cnil) estime que les technologies de radio-identification (RFID) qui équipent les "étiquettes intelligentes" constituent des données personnelles. Afin d’être conforme à la législation en matière de protection de la vie privée, elle estime que "la seule solution consiste en la neutralisation définitive ou temporaire de la puce", et que des dispositifs techniques le permettant devrait y être intégrés dès leur fabrication. L’autorité publie également un rapport sur les "listes noires" qui, si elles se développent "en dehors de tout cadre légal spécifique", n’en restent pas moins assujetties aux grands principes de la loi informatique et libertés.
Le 30 octobre dernier, Philippe Lemoine, commissaire à la Cnil, s’intéressait dans une communication au développement de la technologie RFID.
Ces puces à identifiant unique communiquant par ondes radio sont destinées à remplacer le code-barre actuel sur tous les produits de consommation courante. Les défenseurs de la vie privée y voient un moyen supplémentaire d’intrusion dans l’intimité des citoyens et des consommateurs.
Le commissaire, rappelant que les codes-barre radio font "déjà partie de nos vies au travers des cartes de transport sans contact (dont Navigo pour la RATP) ou de nombreuses clés de voiture", estime qu’ils "peuvent être utiles pour des finalités légitimes bien définies" et qu’il s’agit là d’"enjeu économique majeur".
Cependant, et "parce que le maillage dense de milliers d’objets qui entoureront une personne pourra ainsi être analysé, de façon permanente (...) permettant potentiellement le ’profilage’ des individus, elles font peser sur les individus un risque particulier".
Les quatre pièges des RFID
Philippe Lemoine identifie "quatre pièges qui concourent à minorer le risque que présente cette technologie en matière de protection des données personnelles et de la vie privée : l’insignifiance [apparente] des données, la priorité donnée aux objets [en apparence toujours vis-à-vis des personnes], la logique de mondialisation [normalisation technologique basée sur un concept américain de ’privacy’ sans prise en compte des principes européens de protection de la vie privée] et enfin le risque de ’non vigilance’ individuelle [présence et activation invisibles]."
La Cnil estime ainsi que les RFID sont des données personnelles au sens de la loi informatique et libertés de 1978 et de la directive européenne sur la protection des données personnelles.
Afin de faire respecter le droit d’accès, prévu par la loi, elle estime que "la seule solution consiste en la neutralisation définitive ou temporaire de la puce", et que "des dispositifs techniques garantissant la neutralisation des RFId devraient donc être incorporés dès leur fabrication".
Sus aux "listes noires"
La Cnil publie également un rapport sur les "listes noires", notamment les fichiers de "mauvais payeurs", de "fraudeurs", qualifiés d’"avis de recherche" et de "casiers judiciaires privés".
Ces listes, pour la Cnil, risquent de "conduire à l’instauration d’une ’société à deux vitesses’ excluant les plus défavorisés des garanties offertes par la loi du 6 janvier 1978".
Pour mieux lutter contre le "risque d’exclusion et de marginalisation des personnes inscrites" sur ces fichiers, la Cnil, qui juge que "cette pratique se développe en dehors de tout cadre légal spécifique", rappelle les grands principes à respecter.
En premier lieu, "les "listes noires" ne peuvent être secrètes" : les personnes fichées doivent être informées de la nature, des finalités et destinataires du fichier, ainsi que de leur droit d’opposition à ce genre de fichage.
Afin de lutter contre tout risque de "mise au pilori électronique, la mise en oeuvre et l’accès du fichier doivent être limité à un secteur et aux seuls professionnels du secteur".
De 1 à 5 ans de prison pour les ficheurs
La Cnil rappelle ainsi que la "divulgation d’informations nominatives portant atteinte à la réputation ou à la considération de la personne auprès de tiers n’ayant pas qualité pour les recevoir" est une infraction punie d’un an d’emprisonnement et de 15 000 euros d’amende.
De plus, "la pertinence des informations traitées doit être garantie par le responsable du traitement" des données personnelles, qui doit, entre autres, s’assurer du respect du principe du "droit à l’oubli".
La Cnil rappelle ainsi qu’en matière d’impayés, le fichier doit par exemple être purgé dès lors que la situation a été régularisée, et qu’en tout état de cause, "seuls des incidents présentant une gravité certaine et prédéterminée doivent faire l’objet d’une inscription".
Ainsi, la constitution d’un "traitement automatisé des informations nominatives concernant les infractions, condamnations ou mesures de sûreté" est réservé, sous certaines conditions, aux seules "juridictions et autorités publiques ainsi que, sur avis conforme de la Commission, aux personnes morales gérant un service public", et que la violation de ces dispositions est quant à elle passible de 5 ans d’emprisonnement et de 300 000 euros d’amende.