Forum
Avril 2005
Avril 2005
Special Eurosec
2005
La RFID est une mémoire électronique. Les objectifs de cette technologie sont d’améliorer la traçabilité des produits pendant toute la chaîne logistique, lutter contre le vol et la contrefaçon. Mais la mise en place de la traçabilité des biens avec la RFID peut mener indirectement à celle des individus. La CNIL a estimé que ces étiquettes pouvaient contenir des données à caractère personnel permettant de «profiler» ou de «tracer» les individus et qu’il convenait de respecter certaines règles
L’étiquette intelligente (ou étiquette d’identification par radio fréquence, RFID) est une mémoire électronique contenant des informations lisibles sans contact physique avec le lecteur. Les objectifs de cette technologie sont d’améliorer la traçabilité des produits pendant toute la chaîne logistique, lutter contre le vol et la contrefaçon. Les étiquettes intelligentes permettent l’identification unique d’un exemplaire d’un produit donné. Au sens juridique, l’étiquette (un bien meuble) est à la fois un produit de propriété corporelle (la matière sur laquelle sont imprimés les circuits électroniques) et de propriété incorporelle (le contenu immatériel des informations). Cette technologie connaît un fort développement dans certains secteurs économiques (automobiles, grande distribution, …) et génère d’importants gains de productivité. Mais la mise en place de la traçabilité des biens avec la RFID peut ainsi mener indirectement à celle des individus par le traitement de données personnelles . Or, la protection des données à caractère personnel relève de la mission de l’autorité indépendante française, la Commission Nationale Informatique et Liberté (CNIL). Comme ses homologues européennes, elle a estimé que ces étiquettes pouvaient contenir des données à caractère personnel permettant de « profiler » ou de « tracer » les individus et qu’il convenait de respecter certaines règles. Toutefois, pour peu que l’on prenne certaines précautions préalables à sa mise en oeuvre, l’utilisation des RFID n’est pas illicite en soi. L’analyse juridique de l’identification par radio fréquence est un préalable essentiel qui nous conduit tout naturellement à dresser un rapide bilan avantages/inconvénients (I et II). Cela permettra d’identifier les principaux risques et bénéfices liés à l’introduction de cette nouvelle technologie au sein de très nombreuses organisations, aux besoins sans cesse renouvelés.
Les avantages juridiques de la RFID
A) Protection des droits intellectuels
Un livre vert de 1998 de la Commission européenne a lancé l’idée d’une protection contre la contrefaçon par des moyens techniques. L’étiquette intelligente répond efficacement à une telle demande. La contrefaçon est sanctionnée à l’article L. 335-2 du Code de la propriété intellectuelle par 5 ans d’emprisonnement et 300.000 euros d’amende, outre les dommages et intérêts à payer en vertu de l’action civile (les peines ont été alourdies avec la loi du 9 mars 2004). De plus, la directive du 29 avril 2004 relative aux droits de propriété intellectuelle se situe dans la même lignée.
L’étiquette est difficilement falsifiable et permet une authentification sûre de l’objet (une duplication serait en principe vite découverte). Comme il est nécessaire de conserver les informations figurant dans l’étiquette, la désactivation des étiquettes est interdite. La directive du 22 mai 2001 sur les droits d’auteurs (qui doit encore être transposée en droit français) justifie de manière implicite l’interdiction de la désactivation des étiquettes en consacrant la protection des mesures technique de protection. L’étiquette intelligente semble rentrer dans la définition de l’article 6 de la directive relatif aux mesures techniques.
B) Les atteintes aux Systèmes d’information
Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et suivants du Code pénal. Les étiquettes intelligentes semblent correspondre à la définition extensive des STAD. Par conséquent, on peut remarquer que les infractions aux STAD, comme celles liées aux étiquettes intelligentes, visent tous les modes de pénétrations irréguliers d’un système, les faits d’entraves et de fausser le fonctionnement d’un système, … Outre les éventuels dommages et intérêts, les peines encourues s’échelonnent de 2 à 5 ans de prison et 30.000 à 75.000 euros d’amende.
C) Lutte contre le vol
La RFID permet de diminuer les vols grâce à la traçabilité des marchandises exposées en magasin. Les étiquettes intelligentes facilitent le suivi en temps réel des produits. Les étiquettes peuvent faciliter le paiement (sans contact) si elles sont implantées dans les cartes de crédit et de paiement.
S’agissant des informations liées à l’étiquette, il appartiendra à la jurisprudence de déterminer quelle valeur juridique leur conférer. Mais la preuve étant libre en droit pénal, on peut penser que les personnes ayant mis en œuvre le système d’étiquettes intelligentes devront disposer des moyens permettant d’apporter la preuve de la fiabilité du système.
Principaux risques d’utilisation des RFID
L’acheteur d’un produit étiqueté peut devenir porteur d’outil de traçabilité à son insu. L’identification par les RFID manque encore de transparence quant à ses utilisations, à sa sécurité, ce qui entraîne des réactions d’inquiétude et de défiance ou méfiance. Avec des procédures bien définies et entourées de précautions juridiques, techniques et de sécurité, les RFID ne doivent pas porter atteinte au respect de la vie privée.
A) Risques liés aux traitements de données personnelles
La CNIL identifie 4 pièges qui concourent à minorer le risque de la RFID : l’insignifiance des données, la priorité données aux objets, la logique de mondialisation et le risque de non-vigilance individuelle.
La loi Informatique, Fichiers et Libertés du 6 janvier 1978 modifiée par celle du 6 août 2004 ( ) donne à son article 2 les définitions de données à caractère personnel et de traitement de données à caractère personnel. Elles s’appliquent, à tout le moins indirectement, aux RFID. Les responsables des traitements devront respecter le cadre légal, notamment :
- les formalités préalables à la mise en œuvre des traitements (déclaration,
autorisation, …)
- les principes de loyauté et d’information, de finalité du traitement, de sécurité
et de confidentialité ainsi que les droits des personnes physiques sur leurs
données ( d’accès et de rectification et d’opposition).
Les sanctions prévues par la loi de 1978 figurent aux articles 226-16 à 226-24 du Code pénal (jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende).
La CNIL a énoncé deux priorités fondamentales : il faut, d’une part, poser comme principe que les données traitées sont des données personnelles et, d’autre part, mettre en place des mécanismes de désactivation des étiquettes dans certaines situations en vertu du droit d’opposition (C.N.I.L., communication de M. Lemoine du 10 mars 2005) . Si l’entreprise introduit un procédé technique de désactivation de l’étiquette soit de façon automatique ou au gré du client, la question de l’identification de la personne est réglée en aval. Mais il faudra également prévoir en amont une analyse juridique et technique des processus de traçabilité avec les RFID afin de déterminer des règles précises à suivre et les contrôles à opérer. De cette façon, il sera possible de mettre en œuvre les traitements conformément à la loi et d’agir en parfaite transparence, tant vis-à-vis des personnes concernées que de la C.N.I.L.
Au surplus, la RFID permettant la géolocalisation, la directive du 12 juillet 2002 sur la vie privée dans les communications électroniques et notamment son article 9 (sur les données de géolocalisation) devrait être applicable. Les principes d’information et de consentement des intéressés tiennent ici une place prépondérante. Le groupe de l’article 29 (institué par la directive du 24 octobre 1995) constitué des représentants des Etats membres sur la protection des données personnelles vient de lancer une consultation publique sur l’utilisation des RFID. Ses recommandations devront être introduites dans la démarche d’implémentation ou de mise en conformité de l’entreprise (mais aussi des autres personnes publiques ou privées concernées) .
B) Risques liés à la sécurité technique et juridique
Comme pour toute technologie, le risque de piratage des RFID n’est pas négligeable. Il est possible de duper les vendeurs en changeant l’identification des marchandises, en modifiant le prix des articles. La solution risque d’être difficile à trouver car deux enjeux s’opposent : d’une part, stopper la traçabilité pour protéger la vie privée des consommateurs et d’autre part, l’accentuer pour lutter contre la contrefaçon. Ici, la protection des biens s’oppose directement à la protection des personnes…
Une des solutions pour lutter contre l’insécurité est l’utilisation des Infrastructures de gestion de clés (IGC) qui permettrait d’authentifier l’objet, de vérifier l’intégrité et la validité des étiquettes lors du passage en quelque lieu que ce soit, ex : le passage en caisse. L’utilisation d’un certificat électronique permettrait la détection des étiquettes falsifiées. Les données contenues dans le certificat seraient celles du vendeur ou du distributeur et non celles du consommateur. Le certificat permettrait de savoir sous la responsabilité de quelle entreprise a été posée l’étiquette RFID.
Enfin, l’utilisation de moyens de cryptographie s’avère nécessaire pour assurer la sécurité des informations commerciales (ou autres) qui seraient susceptibles de circuler sur des réseaux « ouverts », tel l’internet. En effet, à côté des procédés de signature électronique et d’authentification, la confidentialité de ces données constitue une autre fonction clé. En terme d’intelligence économique, une sage précaution pour les entreprises d’un pays donné (par ex. la France) consisterait à utiliser des services fondés sur une (ou plusieurs) technologie sécurisée de ce pays. L’objectif est de protéger des informations préalablement identifiées comme telles; par exemple, celles qui impactent la politique marketing produit d’une entreprise. Ces données sont de nature stratégique non seulement pour l’entreprise mais aussi pour ses concurrents. Les moyens de cryptologie utilisés doivent permettre d’interdire l’accès aux données, action qui s’effectue à l’insu de leur légitime propriétaire. Cette protection des données relevant de la sécurité logique s’inscrit dans le cadre des obligations de précaution prévues à l’article 34 de la Loi informatique et libertés.
Eric A. Caprioli
Docteur en droit
Avocat à la Cour de Paris
Spécialiste en droit de la propriété intellectuelle
Caprioli & Associés, société d’avocats (Paris, Nice)
Compléments:
1 Les étiquettes RFID peuvent non seulement être transportées par une personne (vêtements, accessoires), mais elles peuvent également être implantées sous la peau des animaux et des êtres humains (à des fins médicales par exemple).
2 JO du 7 août 2004 ; voir les articles sur la « nouvelle loi informatique et libertés » sur le site http://www.caprioli-avocats.com
3 http://.www.cnil.fr
Pour Info:
www.caprioli-avocats.com
Whoswoo: Eric Caprioli
Les enjeux juridiques de la
RFID
Par Maître Eric Caprioli, Avocat à la Cour de Paris
Par Maître Eric Caprioli, Avocat à la Cour de Paris
La RFID est une mémoire électronique. Les objectifs de cette technologie sont d’améliorer la traçabilité des produits pendant toute la chaîne logistique, lutter contre le vol et la contrefaçon. Mais la mise en place de la traçabilité des biens avec la RFID peut mener indirectement à celle des individus. La CNIL a estimé que ces étiquettes pouvaient contenir des données à caractère personnel permettant de «profiler» ou de «tracer» les individus et qu’il convenait de respecter certaines règles
L’étiquette intelligente (ou étiquette d’identification par radio fréquence, RFID) est une mémoire électronique contenant des informations lisibles sans contact physique avec le lecteur. Les objectifs de cette technologie sont d’améliorer la traçabilité des produits pendant toute la chaîne logistique, lutter contre le vol et la contrefaçon. Les étiquettes intelligentes permettent l’identification unique d’un exemplaire d’un produit donné. Au sens juridique, l’étiquette (un bien meuble) est à la fois un produit de propriété corporelle (la matière sur laquelle sont imprimés les circuits électroniques) et de propriété incorporelle (le contenu immatériel des informations). Cette technologie connaît un fort développement dans certains secteurs économiques (automobiles, grande distribution, …) et génère d’importants gains de productivité. Mais la mise en place de la traçabilité des biens avec la RFID peut ainsi mener indirectement à celle des individus par le traitement de données personnelles . Or, la protection des données à caractère personnel relève de la mission de l’autorité indépendante française, la Commission Nationale Informatique et Liberté (CNIL). Comme ses homologues européennes, elle a estimé que ces étiquettes pouvaient contenir des données à caractère personnel permettant de « profiler » ou de « tracer » les individus et qu’il convenait de respecter certaines règles. Toutefois, pour peu que l’on prenne certaines précautions préalables à sa mise en oeuvre, l’utilisation des RFID n’est pas illicite en soi. L’analyse juridique de l’identification par radio fréquence est un préalable essentiel qui nous conduit tout naturellement à dresser un rapide bilan avantages/inconvénients (I et II). Cela permettra d’identifier les principaux risques et bénéfices liés à l’introduction de cette nouvelle technologie au sein de très nombreuses organisations, aux besoins sans cesse renouvelés.
Les avantages juridiques de la RFID
A) Protection des droits intellectuels
Un livre vert de 1998 de la Commission européenne a lancé l’idée d’une protection contre la contrefaçon par des moyens techniques. L’étiquette intelligente répond efficacement à une telle demande. La contrefaçon est sanctionnée à l’article L. 335-2 du Code de la propriété intellectuelle par 5 ans d’emprisonnement et 300.000 euros d’amende, outre les dommages et intérêts à payer en vertu de l’action civile (les peines ont été alourdies avec la loi du 9 mars 2004). De plus, la directive du 29 avril 2004 relative aux droits de propriété intellectuelle se situe dans la même lignée.
L’étiquette est difficilement falsifiable et permet une authentification sûre de l’objet (une duplication serait en principe vite découverte). Comme il est nécessaire de conserver les informations figurant dans l’étiquette, la désactivation des étiquettes est interdite. La directive du 22 mai 2001 sur les droits d’auteurs (qui doit encore être transposée en droit français) justifie de manière implicite l’interdiction de la désactivation des étiquettes en consacrant la protection des mesures technique de protection. L’étiquette intelligente semble rentrer dans la définition de l’article 6 de la directive relatif aux mesures techniques.
B) Les atteintes aux Systèmes d’information
Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et suivants du Code pénal. Les étiquettes intelligentes semblent correspondre à la définition extensive des STAD. Par conséquent, on peut remarquer que les infractions aux STAD, comme celles liées aux étiquettes intelligentes, visent tous les modes de pénétrations irréguliers d’un système, les faits d’entraves et de fausser le fonctionnement d’un système, … Outre les éventuels dommages et intérêts, les peines encourues s’échelonnent de 2 à 5 ans de prison et 30.000 à 75.000 euros d’amende.
C) Lutte contre le vol
La RFID permet de diminuer les vols grâce à la traçabilité des marchandises exposées en magasin. Les étiquettes intelligentes facilitent le suivi en temps réel des produits. Les étiquettes peuvent faciliter le paiement (sans contact) si elles sont implantées dans les cartes de crédit et de paiement.
S’agissant des informations liées à l’étiquette, il appartiendra à la jurisprudence de déterminer quelle valeur juridique leur conférer. Mais la preuve étant libre en droit pénal, on peut penser que les personnes ayant mis en œuvre le système d’étiquettes intelligentes devront disposer des moyens permettant d’apporter la preuve de la fiabilité du système.
Principaux risques d’utilisation des RFID
L’acheteur d’un produit étiqueté peut devenir porteur d’outil de traçabilité à son insu. L’identification par les RFID manque encore de transparence quant à ses utilisations, à sa sécurité, ce qui entraîne des réactions d’inquiétude et de défiance ou méfiance. Avec des procédures bien définies et entourées de précautions juridiques, techniques et de sécurité, les RFID ne doivent pas porter atteinte au respect de la vie privée.
A) Risques liés aux traitements de données personnelles
La CNIL identifie 4 pièges qui concourent à minorer le risque de la RFID : l’insignifiance des données, la priorité données aux objets, la logique de mondialisation et le risque de non-vigilance individuelle.
La loi Informatique, Fichiers et Libertés du 6 janvier 1978 modifiée par celle du 6 août 2004 ( ) donne à son article 2 les définitions de données à caractère personnel et de traitement de données à caractère personnel. Elles s’appliquent, à tout le moins indirectement, aux RFID. Les responsables des traitements devront respecter le cadre légal, notamment :
- les formalités préalables à la mise en œuvre des traitements (déclaration,
autorisation, …)
- les principes de loyauté et d’information, de finalité du traitement, de sécurité
et de confidentialité ainsi que les droits des personnes physiques sur leurs
données ( d’accès et de rectification et d’opposition).
Les sanctions prévues par la loi de 1978 figurent aux articles 226-16 à 226-24 du Code pénal (jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende).
La CNIL a énoncé deux priorités fondamentales : il faut, d’une part, poser comme principe que les données traitées sont des données personnelles et, d’autre part, mettre en place des mécanismes de désactivation des étiquettes dans certaines situations en vertu du droit d’opposition (C.N.I.L., communication de M. Lemoine du 10 mars 2005) . Si l’entreprise introduit un procédé technique de désactivation de l’étiquette soit de façon automatique ou au gré du client, la question de l’identification de la personne est réglée en aval. Mais il faudra également prévoir en amont une analyse juridique et technique des processus de traçabilité avec les RFID afin de déterminer des règles précises à suivre et les contrôles à opérer. De cette façon, il sera possible de mettre en œuvre les traitements conformément à la loi et d’agir en parfaite transparence, tant vis-à-vis des personnes concernées que de la C.N.I.L.
Au surplus, la RFID permettant la géolocalisation, la directive du 12 juillet 2002 sur la vie privée dans les communications électroniques et notamment son article 9 (sur les données de géolocalisation) devrait être applicable. Les principes d’information et de consentement des intéressés tiennent ici une place prépondérante. Le groupe de l’article 29 (institué par la directive du 24 octobre 1995) constitué des représentants des Etats membres sur la protection des données personnelles vient de lancer une consultation publique sur l’utilisation des RFID. Ses recommandations devront être introduites dans la démarche d’implémentation ou de mise en conformité de l’entreprise (mais aussi des autres personnes publiques ou privées concernées) .
B) Risques liés à la sécurité technique et juridique
Comme pour toute technologie, le risque de piratage des RFID n’est pas négligeable. Il est possible de duper les vendeurs en changeant l’identification des marchandises, en modifiant le prix des articles. La solution risque d’être difficile à trouver car deux enjeux s’opposent : d’une part, stopper la traçabilité pour protéger la vie privée des consommateurs et d’autre part, l’accentuer pour lutter contre la contrefaçon. Ici, la protection des biens s’oppose directement à la protection des personnes…
Une des solutions pour lutter contre l’insécurité est l’utilisation des Infrastructures de gestion de clés (IGC) qui permettrait d’authentifier l’objet, de vérifier l’intégrité et la validité des étiquettes lors du passage en quelque lieu que ce soit, ex : le passage en caisse. L’utilisation d’un certificat électronique permettrait la détection des étiquettes falsifiées. Les données contenues dans le certificat seraient celles du vendeur ou du distributeur et non celles du consommateur. Le certificat permettrait de savoir sous la responsabilité de quelle entreprise a été posée l’étiquette RFID.
Enfin, l’utilisation de moyens de cryptographie s’avère nécessaire pour assurer la sécurité des informations commerciales (ou autres) qui seraient susceptibles de circuler sur des réseaux « ouverts », tel l’internet. En effet, à côté des procédés de signature électronique et d’authentification, la confidentialité de ces données constitue une autre fonction clé. En terme d’intelligence économique, une sage précaution pour les entreprises d’un pays donné (par ex. la France) consisterait à utiliser des services fondés sur une (ou plusieurs) technologie sécurisée de ce pays. L’objectif est de protéger des informations préalablement identifiées comme telles; par exemple, celles qui impactent la politique marketing produit d’une entreprise. Ces données sont de nature stratégique non seulement pour l’entreprise mais aussi pour ses concurrents. Les moyens de cryptologie utilisés doivent permettre d’interdire l’accès aux données, action qui s’effectue à l’insu de leur légitime propriétaire. Cette protection des données relevant de la sécurité logique s’inscrit dans le cadre des obligations de précaution prévues à l’article 34 de la Loi informatique et libertés.
Eric A. Caprioli
Docteur en droit
Avocat à la Cour de Paris
Spécialiste en droit de la propriété intellectuelle
Caprioli & Associés, société d’avocats (Paris, Nice)
Compléments:
1 Les étiquettes RFID peuvent non seulement être transportées par une personne (vêtements, accessoires), mais elles peuvent également être implantées sous la peau des animaux et des êtres humains (à des fins médicales par exemple).
2 JO du 7 août 2004 ; voir les articles sur la « nouvelle loi informatique et libertés » sur le site http://www.caprioli-avocats.com
3 http://.www.cnil.fr
4
Disponible à l’adresse : http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp105_en.pdf.
Pour Info:
www.caprioli-avocats.com
Whoswoo: Eric Caprioli
Copyright Eric Caprioli 2005
pour ConsultingNewsLine
All rights reserved
Reproduction interdite
