Des solutions pour protéger la vie privée du consommateur face aux "étiquettes intelligentes"
Les "étiquettes intelligentes" risquent d’en dire trop sur les consommateurs, soulignent depuis longtemps militants et associations de protection de la vie privée. Pour prévenir les abus potentiels de ces puces à identifiant unique appelées à remplacer le code-barre, mieux vaut s’en remettre à des solutions techniques concrètes plutôt qu’à un encadrement législatif de leur utilisation par les industriels. C’est du moins l’avis des Allemands de l’association FoeBuD. Ils viennent de lancer DataPrivatizer, un projet d’appareil devant permettre au quidam de repérer les puces radio RFID (pour Radio Frequency Identification), cachées dans des vêtements ou d’autres produits. Un prototype doit être achevé pour le printemps. De son côté, une entreprise danoise, spécialiste de la cryptographie, a mis au point une solution logicielle pour inclure un mode "vie privée" dans les puces et les rendre inactives une fois que le consommateur a quitté le magasin.
Dataprivatizer est une bonne idée. C’est en tout cas ce qu’a estimé le jury de la fondation allemande Bridge, créée à l’été 2003 pour défendre "les droits des citoyens dans la société numérique". Cette sous-division de la Bewegungstiftung, une institution caritative qui finance des travaux sociaux et politiques, a accordé une bourse de 15 000 euros à Foebud, l’association qui a gagné le concours d’idées de "gadgets de protection de la vie privée", clos le 6 novembre à Berlin.
"Dataprivatizer, c’est un peu l’outil d’autodéfense contre les étiquettes intelligentes...", explique la fondatrice de FoeBud, Rena Tangens, une artiste allemande pionnière des nouvelles technologies depuis 1987. Pour l’instant, l’association en est encore à plancher sur les différentes options : soit l’appareil doit permettre au consommateur de détecter la présence de puces RFID, soit il doit permettre de détecter les lecteurs de puces RFID.
De l’antipuces bon marché
Dans le premier cas, le Dataprivatizer jouerait, en gros, le rôle d’un lecteur de puces RFID, dans une version simplifiée et accessible. "Il serait surtout moins cher. Les lecteurs portables qui existent sur le marché valent au moins 120 euros, alors que nous visons un prix de 10 euros pour Dataprivatizer", rappelle padeluun, un autre membre actif de Foebud et lui aussi pionnier des réseaux allemands.
"S’il détectait les lecteurs, Dataprivatizer permettrait de savoir si quelqu’un ou une entité est en train d’essayer de savoir quels objets vous portez sur vous, en scannant les puces RFID intégrées à vos vêtements, vos achats", explique Rena Tangens.
Les puces RFID émettent et reçoivent des ondes radio dans un rayon de 1,5 mètre environ et peuvent donc être lues et modifiées à distance, sans contact, lors du passage dans une porte de magasin ou de bâtiment, par exemple. Une aubaine pour la logistique des industriels mais un grand risque pour les consommateurs, qui pourraient être surveillés à leur insu, selon les défenseurs de la vie privée.
En Allemagne, le géant de la grande distribution Metro AG a mené en avril dernier le premier test d’étiquettes intelligentes dans un de ses points de vente près de Duisburg. Ce projet de "magasin du futur", inauguré par le mannequin-représentant Claudia Schiffer, a valu à Metro un prix lors des derniers Big Brother Awards, décernés le 24 octobre dernier. Outre des réprésentants de la Ligue des droits de l’homme ou du collectif de hackers Chaos Computer Club, le jury de cette cérémonie qui récompense les personnes et entités menaçant le droit à la vie privée, comptait Rena Tangens et padeluun.
"Depuis la création de cette récompense en 2000, nous avons réussi à obtenir une couverture de plus en plus importante dans la presse, qui suggère désormais d’elle-même des candidats aux Big Brother Awards, juge Rena Tangens, qui a déjà conseillé le gouvernement ou de grandes sociétés allemandes. Mais les gens ne sont pas encore pleinement conscients des enjeux touchant leurs données personnelles, dont nous laissons des traces de plus en plus nombreuses. Apparemment anodines, des données concernant vos habitudes d’achat peuvent intéresser les assureurs ou les employeurs, sans parler des autorités judiciaires."
Les membres de FoeBud se réunissent chaque semaine pour développer le Dataprivatizer. Ils espèrent obtenir un prototype opérationnel au printemps 2004. L’équipe compte des experts des émissions radio, des informaticiens et des employés de constructeurs de hardware informatique, à même de proposer une vraie solution de production.
FoeBud pense assurer la distribution elle-même, comme elle l’avait fait pour la première traduction du manuel de logiciel de cryptographie PGP, vendu à 12 000 exemplaires.
"Démarche constructive"
"Notre démarche est réellement constructive, rappelle padeluun de FoeBud. Nous ne sommes pas pour l’interdiction des étiquettes intelligentes, mais nous voulons être sûrs qu’elles ne serviront pas à surveiller le consommateur hors du magasin." Comme l’ONG Caspian aux Etats-Unis, FoeBud réclame un encadrement législatif du RFID prévoyant la désactivation obligatoire des puces à la sortie du magasin.
Les Allemands ne sont pas les seuls Européens investis dans la recherche de garde-fous concrets. Au Danemark, la société Open Business Innovation (OBI) vient d’annoncer le développement d’une solution de puces RFID dotées d’un "mode vie privée". Le système s’appuie sur la cryptographie, dont les fondateurs d’OBI sont des experts reconnus : lors du passage en caisse, on activerait ce mode, qui rendrait la puce muette.
Si la puce est détectée comme active hors du magasin, cela signifie que le client a volé l’article correspondant ou que le magasin n’utilise pas les puces spéciales "vie privée". "Cela pourrait lui valoir une amende, si on adoptait les lois adéquates", souligne Stephan J. Engberg, co-fondateur d’OBI et membre reconnu de Privacy International, l’ONG anglaise qui a donné naissance aux Big Brother Awards.
"Sans forte protection de la vie privée, le monde numérique n’aura pas de développement durable", avance Engberg, dont la société est spécialisée dans les solutions professionnelles de gestion d’identification, de réputation, d’anonymat, de sécurité et de confidentialité.
En attendant que des garanties suffisantes soient apportées, une trentaine d’associations internationales se sont alliées le 18 novembre pour demander un moratoire sur le déploiement de la technologie RFID. Outre Caspian, on trouve dans cette coalition des grandes ONG de défense des libertés individuelles comme l’Electronic Frontier Foundation (EFF), l’American Civil Liberties Union (Aclu), l’Electronic Privacy Information Center (Epic) ou Privacy International.