L’identification par radiofréquence (RFID), une technologie en mal de régulation juridique

pp. 1241-1255 1241

L'identification par radiofrequence (RFID), une technologie en mal de regulation

juridique Stephanie LACOUR *

Resume

Le developpement actuel des RFID suscite un certain nombre d'inquiitudes dont certaines seulement peuvent etre apprehendees par une nonnalisation technique. La protection des donnees personnelles, notamment, va certainement devoir evoluer, confrontee aux potentia-lites de quasi-invisibilite et a la puissance de ces systemes. Nous no us proposons, apres une rapide presentation de cette nouvelle technologie et de ses principales caracteristiques, en termes de contenu informationnel notamment, d'interroger la pertinence et les evolutions envisageables d'une partie de notre droit positif a son ega rd.

Mots ch!s: Radio-identification, Protection de la vie privee, Protection infonnation, Droit du travail, Propriete intellectuelle, CNIL.

RADIOFREQUENCY IDENTIFICATION DEVICE (RFID), A TECHNOLOGY RUNNING OUT OF LEGAL REGULATION

Abstract

Today's RFlD expansion makes waves. Only a few of these concerns can be technically regulated. The French's privacy and personal data protections, especially, may be changed by these near-invisible and poweiful technologies. After a short introduction and in conside-ration of this new technology and its informational contents, we will try to evaluate the rele-vance and the possible evolutions of our Law.

Key words: RFID, Private life protection, Infonnation protection, Labour law, Intellectual property, CNIL.

Sommaire

I. Introduction II. La protection des donnees personnelles

en general

III. La protection des donnees personnelles dans des cadres particuliers

IV. Conclusion Bibliographie (13 ref)

* CNRS-CECOJI - 27, rue Paul Bert, 94204 Ivry-sur-Seine Cedex, France.

1115 ANN. TELECOMMUN., 62, n° 11-12,2007

1242 S. LACOUR - L'IDENTIFICATION PAR RADIOFREQUENCE

I. INTRODUCTION

Les RFID, OU « radio frequency identification device! » ne sont pas une technologie ft!cente, meme si leur deploiement actue1, ainsi que les progres accomplis dans Ie domaine de la miniaturisation des composants electroniques les mettent aujourd'hui sous les feux de 1a rampe. Leur principe ayant ete fixe des les annees 1940, les dispositifs RFIO ont ete employes pour la premiere fois par l' aviation militaire dans les annees 1950, afin de reconnaitre, a dis-tance, les avions amis et ennemis.

Les etiquettes RFID2 (tags, transponders (repondeurs radio-electriques)) sont constituees d'une puce electronique et d'une antenne, qui leur permet de recevoir et de repondre aux requetes radio emises depuis un emetteur recepteur (aussi appele lecteur RFID). Elles contien-nent un numero identifiant unique3 et sont parfois autonomes sur Ie plan energetique, Ie lec-teur leur transmettant l'alimentation necessaire a la reponse par Ie biais d'un champ electromagnetique.

Par rapport a leur ancetre Ie plus frequemment cite, l'etiquette a code barre, elles pre-sentent plusieurs innovations fondamentales, puisque plusieurs centaines d' etiquettes RFIO

peuvent etre lues simultanement et sans contact physique, qu'elles contiennent un nombre beaucoup plus important d'informations et enfin qU'elles peuvent etre quasiment invi-sibles, ce qui en fait, selon leurs zelateurs, des moyens ideaux de lutte contre Ie vol et la contrefas;on.

Elles presentent, dans Ie meme temps, des specificites qui font actuellement 1'objet d'une activite importante de normalisation technique, quant a leur contenu informationnel. II s'agit en particulier de determiner comment ces demieres seront codees en rapport avec les pro-duits sur lesquels elles seront apposees ou dans lesquels elles seront inserees.

L'apposition d'etiquettes RFID et leur lecture n'a, en effet, aucun sens si leur contenu ne renvoie pas a une base de donnees repertoriant les biens etiquetes4. La technologie choisie, et notamment la bande de frequences utili see pour la communication entre les etiquettes et les lecteurs RFIO, a egalement une grande influence sur ce contenu informationnel, sur sa taille, les possibilites de chiffrement qui y sont associees et la vitesse de transfert des donnees entre les divers elements du systeme, mais aussi dans ses caracteristiques plus fondamentales, telles que la faculte d'etre modifiees, voire d'entretenir un dialogue complet.

Au sujet de ce contenu inforinationnel, la destination du systeme et, consequemment, la securite des contenus informationnels dont ce demier est porteur fait actuellement I' objet de questionnements. Les systemes RFID peuvent en effet servir a l'identification ou a l'authenti-fication des personnes ou des biens5.

Dans Ie premier cas, Ie systeme RFIO a pour objet d'identifier une personne ou un objet sans que son identite n'ait reellement besoin d'etre prouvee. C'est Ie cas dans la majorite des

1. Litteralement « materiels d'identification par radiofrequence », autrement appeles « technologies de radio-identification» par Ie Conseil General des Technologies de I' Information [I]. 2. Pour une description technique des RFID, voir Ie site de l' AWT (www.awt.be). La communication de Philippe Lemoine, de la CNIL, expose elle aussi, les rudiments techniques de ces etiquettes et des systemes qui les entourent (http://www.cnil.fr/index. php?id= 1063). 3. Ce numero unique est contenu dans la partie materielle de la puce. 4. La question de savoir comment les ondes electromagnetiques echangees entre l' etiquette et son lecteur sont trans-formees en donnees numeriques est, elle aussi, centrale, mais ne fera pas I'objet de developpements ici. 5. Ces termes sont entendus dans leur sens informatique, qui se distingue nettement de leur signification pour des juristes. V. les travaux menes dans Ie programme de recherche Asphales, sur Ie site www.asphales.net

ANN. TELI'.:COMMUN., 62, n° 11-12,2007 2/15

S. LACOUR - L'IDENTIFICATION PAR RADIOFREQUENCE 1243

hypotheses d'application de cette technologie, qui concernent la logistique, la gestion des stocks ou Ie tri selectif. La securite du systeme peut alors etre relative et l'emploi d'etiquettes peu couteuses est envisageable.

Dans Ie second cas, si Ie systeme vise I'authentification, c'est qu'il est destine a assurer la securite. Ce sera Ie cas lorsque l'etiquette RFIO sert de badge d'acces a un immeuble ou a un poste de travail ou bien est inseree dans un titre d'identite. Ces systemes doivent etre secu-rises de maniere beaucoup plus fiable. Neanmoins ils font parfois appel a des composants ne permettant pas, comme Ie demontrent les travaux d'informaticiens [2], Ie developpement d' algorithmes de chiffrement robustes. En ce domaine, les normes manquent encore, qui devraient imposer l' emploi d' etiquettes ayant une capacite suffisante pour supporter ces algo-rithmes.

Par ailleurs, les destinataires des contenus echanges, autrement dit les « proprietaires» reels de l'information contenue dans les systemes en cause sont egalement a la source d'une activite de normalisation technique. L'utilisation d'un systeme RFIO peut en effet se faire en boucle fermee ou ouverte. Dans le premier cas, la personne, physique ou morale, qui a ins-taUe Ie systeme attribue a chaque code contenu sur les etiquettes une signification6.

Neanmoins, dans certaines hypotheses, Ie systeme aura interet a etre utilise en boucle ouverte. Ainsi en sera-t-illorsqu'une entreprise demandera a ses fournisseurs d'equiper leurs produits de tags RPID dans Ie but de simplifier ses operations de logistique. Dans ce cas, Ie codage des etiquettes et son interpretation devront etre, au moins pour partie, communs au fournisseur et a son client. Dans les applications RFIO destinees a la logistique, les logiques de mondialisation des echanges 7 et de couts tirent Ie marche vers des systemes en boucle ouverte.

Un reseau d'entreprise, EPcglobal Inc. 8, s'appuyant sur les travaux de 1'« Auto-ID Center» du MIT, s'est engouffre dans la breche pour proposer Ie developpement d'un Internet des objets [3], porte par l' evolution des reseaux, et notamment Ie passage a I'Ipv6. Ce reseau propose un systeme mondial dans lequel chaque etiquette renvoie a un serveur racine Inter-net, qui autorise l'acces aux bases de donnees permettant d'identifier l'objet sur lequel il est appose. On comprend fort bien quel interet une entreprise peut trouver dans un systeme de ce genre. Delestee du poids que represente la gestion de son systeme RFIO, eUe pourrait ainsi, facilement, obtenir une amelioration sensible de sa logistique. Neanmoins, on ne peut que s'inquieter de la delocalisation des informations que ce type de reseau suppose. II s'avere en effet que, par ce biais, les informations relatives aux produits et a leur localisation seront laissees aux soins d'un tiers, par l'intermediaire de l'Internet. Cet etat de fait soul eve un cer-tain nombre de questions en termes economiques mais egalement juridiques que la normali-sation technique en cours ne prend pas en charge.

Malgre ces inquietudes, qui, pour ne porter que sur une partie des applications envisa-geables de la technologie RFIO, n' en sont pas moins legitimes, les etiquettes RFIO semblent promises, economiquement parlant, a un avenir radieux. Pourtant, a I'heure actuelle, Ie droit peine a evaluer les enjeux reels du developpement des RFIO. Cette technologie est sans doute en voie de regulation dans ses aspects techniques, mais, comme nous venons de Ie voir, cet etat de fait ne doit pas masquer les enjeux juri diques de leur developpement, en particulier

6. Un badge d'acces, par exemple, repondra a la base de donnees de l'entreprise dans laquelle Ie nom de chaque salarie sera relie au code de I' etiquette, code par ailleurs reconnu comme valable par Ie systeme RFIO. 7. V. communication de Philippe Lemoine, prec. 8. Le site de cette entite, qui regroupe la plupart des grands acteurs mondiaux du commerce agroalimentaire, est dis-ponible a l'adresse suivante: http://www.epcglobalinc.org.

3/15 ANN. TELECOMMUN., 62, n° 11-12,2007


celui de la protection des donnees personnelles, que nous examinerons ici. En France, et plus largement dans l'espace communautaire, les donnees personnelles font I' objet d'une protec-tion que I' on peut qualifier de forte comparee aux normes valables notamment aux Etats-Vnis, ou I'implantation de systemes RFID connait ses plus grandes reussites.

Nous lui consacrerons nos premiers developpements (II). Cette protection generale des don-nees personnelles est en outre relayee, en droit interne, par des dispositions specifiques (III).

II. LA PROTECTION DES DONNEES PERSONNELLES EN GENERAL

Si la protection de la vie privee fait evidemment partie des droits fondamentaux de l' etre humain, son pendant dans la societe de l'information se situe, en France, dans la loi «Infor-matique, fichiers et libertes » du 6 janvier 19789, qu'un auteur qualifie tres justement de « Charte des libertes de I' homme vivant dans une societe informatisee » [4]. Cette loi, modi-fiee en 200410 pour se conformer it la directive du 24 octobre 1995", prevoit que des obliga-tions soient mises it la charge des responsables de traitements et des droits crees au profit des personnes concernees par ces traitements (1-2), des lors que les donnees traitees peuvent recevoir la qualification de donnees it caractere personnel (1-1).

11.1. Les systemes RFID traitent-i1s des donnees it caractere personnel?

La reponse it cette question appelle un raisonnement en deux temps, inspire des disposi-tions de I' article 2 de la loi de 1978. Les donnees contenues dans les etiquettes RFID sont -elles des donnees it caractere personnel? Font-elles l'objet d'un traitement?

11.1.1. Des donnees a caractere personnel

A la lecture de l' article 2 al. 2 de cette loi 12, la qualification de donnee it caractere per-sonnel ne pose aucun probleme particulier pour les etiquettes RFID dont Ie contenu fait expressement reference a des donnees nominatives 13. Lorsque l'etiquette RFID fait partie d'un simple systeme de gestion des stocks, en revanche, on peut avoir du mal it voir en quoi elle peut constituer une telle donnee.

9. Loi n° 78-17 du 6 janvier 1978 relative it I'informatique, aux fichiers et aux libertes. 10. Loi n° 2004-801 du 6 aout 2004 relative it la protection des personnes physiques it i'egard des donnees it carac-tere personnel. 11. Directive 95/46/CE du Parlement europeen et du Conseil, du 24 octobre 1995, relative it la protection des per-sonnes physiques it i' egard du traitement des donnees it caractere personnel et it la libre circulation de ces donnees. 12. Selon lequel « Constitue une donntie ii caractere personnel toute information relative ii une personne physique identifiee ou qui peut etre identifiee, directement ou indirectement, par reference il un numero d'identification ou a un ou plusieurs elements qui lui sont prop res. Pour determiner si une personne est identifiable, il convient de consi-direr l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir acces Ie responsable du traitement au toute autre personne » 13. Ce sera Ie cas pour les systemes d'authentification de type badges d'acces ou encore pour les systemes de suivi des patients en milieu hospitalier.

ANN. TELECOMMUN., 62, n° 11-12,2007 4115


Ce souci d'exactitudedans la qualification des donnees est d'ailleurs mis en avant par Ie Groupe de l'article 29, qui, dans Ie document de travail qu'il a publie Ie 19 janvier 2005 sur les questions de protection des donnees liees a Ia technologie RFID14 prefere se prononcer dans Ie sens d'une qualification au cas par cas, selon que l'information traitee par Ie systeme RFIO contient des renseignements personnels ou est combinee avec de tels renseignements, ou n'entre dans aucune de ces hypotheses. Dans ce demier cas, et malgre Ie fait que de telles donnees pourraient, par leur accumulation et leurs croisements, permettre de profiler les per-sonnes, Ies dispositions de la directive de 1995 ne devraient pas s'appliquer [5]. Vne telle interpretation, si elle est conforme au droit communautaire des donnees personnelles, re~oit neanmoins les critiques d'une partie de la doctrine, qui envisage comme solution la possibi-lite d' etendre cette notion aux donnees qui « permettent de contacter un individu, d'infiuen-cer son comportement ou de prendre une decision vis-ii-vis de lui» [6].

La CNIL a, quant a elle, prefere adopter une position plus tranchee. Selon elle, en effet, il faut bien se garder de se fier a l' apparente insignifiance des donnees contenues dans les RFIO

et a l'apparente priorite donnee aux objets. Les etiquettes RFIO permettent, par leur multitude et Ia densite du maillage qui entoure une personne, de tracer un profil pouvant etre analyse quasiment en permanence. L' autorite prend des lors Ie parti de les considerer, dans leur gene-ralite, comme des donnees a caractere personnel au sens de la loi de 1978 [7]. Elle adopte, ce faisant, une position dont il importe de tenir compte, Ia CNIL ayant pour mission, selon Ie droit fran~ais, de veiller a l' application de la loi de 1978 et de proteger Ia vie privee et Ies donnees personnelles.

Au-deia de cet argument d'autorite, neanmoins, il nous importe de dire que cette position presente, en outre, I'avantage de soumettre a I'application de la Ioi l'ensemble des traite-ments de donnees effectues par Ie moyen de systemes RFIO, et donc de prevenir, notamment dans Ies chaines contractuelles qui sont mises en place depuis les foumisseurs de produits etiquetes jusqu'aux detaillants qui les mettent a la disposition des consommateurs, I'appari-tion de traitements aux finalites dangereuses pour les libertl~s individuelles.

Rien n'empechera neanmoins la CNIL, comme elle Ie fait deja pour de nombreux traite-ments de donnees a caractere personnel, de nuancer les effets de ceUe qualification au cas par cas a l'avenir, en mettant en place des normes simpliflees de declaration ou meme des dis-penses pour les traitements operes par l'intermediaire de systemes RFIO qui ne risquent pas de porter atteinte aux valeurs qu'elle protege. On ajoutera, en outre, qu'independamment des formalites administratives de declaration qui, comme on vient de Ie voir, peuvent etre simpli-flees dans certaines hypotheses, il ne devrait pas etre difficile, pour Ies responsables de sys-temes ne manipulant que des donnees que la directive de 1995 ne prendrait pas en consideration, de se conformer aux exigences de la loi de 1978.

De meme que la CNIL, en consequence, nous considererons dans la suite de nos develop-pements que les systemes RFID dont nous traitons, quels qu'ils soient, concement bien des donnees a caractere personnel.

14. Groupe de l'article 29, Document de travail sur les questions de protection des donnees liees 11 la technologie RFID (radio-identification), du 19 janvier 2005, n° 10107/05/FR, WP 105.

5/15 ANN. TELECOMMUN., 62, n° 11-12,2007

1246 S. LACOUR - L'IDENTIFlCATION PAR RADIOFREQUENCE

11.1.2. Des traitements de donnees It caractere personnel

Le systeme RFID peut-il etre considere comme un traitement automatise de donnees a caractere personnel? C'est 1a seconde question qu'i1 convient de se poser, en effet, pour determiner si les dispositions de la 10i de 1978 sont applicables aces systemes.

En application de l' article 2 al. 3 de 1a loi de 1978, « Constitue un traitement de donnees a caractere personnel toute operation ou tout ensemble d'operations portant sur de teZZes donnees, que I que so it Ie procede utilise, et notamment la coZZecte, I'enregistrement, I'orga-nisation, la conservation, I'adaptation ou la modification, I'extraction, la consultation, I'uti-lisation, la communication par transmission, diffusion ou toute autre forme de mise a disposition, Ie rapprochement ou I'interconnexion, ainsi que Ie verrouillage, I'effacement ou la destruction ».

En consequence, si l'on considere que les etiquettes RFID sont des donnees personnelles, il parait evident que leur traitement entre bien dans les dispositions precitees. Le systeme va en effet collecter les donnees de l' etiquette, les conserver, puis les consulter pour obtenir des renseignements sur la personne ou l' objet etiquete.

Le responsable d'un tel systeme devra donc bien se conformer aux dispositions de la loi de 1978, ce qui implique, a sa charge, Ie respect d'un certain nombre d'obligations ainsi que Ie fait de permettre aux personnes dont les donnees personnelles font l' objet d'un traitement d'exercer, a son endroit, en certain nombre de droits, comme nous allons Ie voir maintenant

11.2. L'application des dispositions de la loi « informatique et liberte » aux RFID

11.2.1. Les obligations du responsable du systeme RFID

L'obligation de declaration ou la demande d'autorisation du systeme.

II devra tout d'abord respecter les articles 22 et 25 de la loi de 1978, a savoir une obliga-tion, a minima, de declaration du traitement a la CNIL, et peut-etre meme une procedure d'au-torisation de ce traitement. Cette procedure de contr6le a priori, exceptionnelle, devra notamment etre respectee lorsque les donnees traitees par Ie systeme RFID font partie des don-nees dites sensibles vi sees par l'article 25-1 de la loi.

Le principe de finalite

C'est Ie principe auquell'article 6 de la loi de 1978 modifiee accorde Ie plus d'impor-tance. C' est en effet en consideration des finalites du traitement, qui doivent etre legitimes, que sont evaluees l'adequation et la pertinence des informations collectees ainsi que la duree du traitement et de leur conservation. Principe cle de la loi « Informatique et libertes », Ie principe de finalite risque neanmoins de poser quelques problemes dans Ie cadre des sys-temes RFID.

Si l'on imagine, par exemple, un traitement mis en place par un supermarcM qui demande a ses fournisseurs d' etiqueter leurs produits de maniere uniforme, on doit se demander qui va devoir etab1ir et declarer 1a finalite du traitement. On peut legitimement supposer que chaque intervenant devra declarer son systeme et sa finalite a la CNIL, ce qui

ANN. TELI~COMMUN., 62. n° 11-12,2007 6/15


n'est peut-etre pas une evidence a leurs yeux et demandera donc des efforts d'information. Neanmoins, on ne peut que constater qu'une partie au moins de ces donnees sera automati-quement cedee au cours de la chaine, ce qui implique, en application de la loi, que les finali-tes des traitements ulterieurs soient compatibles avec les premieres. Dans notre hypothese, on voit mal pourquoi la finalite de gestion des stocks devrait poser probleme, pas plus que celle du suivi des objets dans la chaine d' approvisionnement.

Toutefois, dans certains cas, les finalites poursuivies ne s' arreteront pas la. En ce qui concerne Ie profilage des consommateurs dans Ie magasin, pour ne prendre que I' exemple Ie plus souvent decrie par les associations de consommateurs qui sont actives sur ce sujet, il s'agit manifestement d'un changement de finalite et il devra faire I'objet d'une declaration specifique, si toutefois il est autorise par la CNIL. Dans Ie cas contraire, il faudrait se rendre a I'evidence et trouver un moyen pour desactiver les etiquettes passe Ie cap de la reception en magasin.

Pourtant, cette solution rencontre des limites importantes. De nombreux intervenants dans la chaine de vie des produits etiquetes y sont opposes. Les arguments ne manquent pas a l' appui de leur demonstration, all ant de la gestion du cycle de vie des produits, qui implique d'etre capable d'en tracer Ie parcours jusque dans nos dechets, ala necessite de pouvoir disposer, en temps reel, d'un etat de leurs stocks, y compris dans les espaces de vente au public. En outre, ces etiquettes sont sou vent utili sees egalement pour lutter contre Ie vol. Retirer ou desactiver la puce a l' entree du magasin annihilerait en consequence ce volet de son interet.

La situation n'est pas totalement bloquee pour autant. Une solution a minima facilement accessible consisterait a limiter juridiquement les traitements autorises en bout de chaine a ceux qui etaient prevus dans tous les maillons de celle-ci, la gestion des stocks et la lutte contre Ie vol, puis a rendre possible la desactivation de I' etiquette en sortie de caisse, afin de s' assurer du respect de I' article 6, 5° et du fait que d' autres systemes de lecture RFIO ne pour-ront pas entrer en possession des donnees contenues dans celle-ci.

Mais la encore, la solution est loin d' etre ideale. Les futurs responsables de ces systemes lui reprochent en effet de negliger l'interet des puces dans la gestion des dechets et des alertes sanitaires notamment. Quant aux organismes de protection des consommateurs qui sont actifs sur cette thematique, en particulier CASPIAN 1S , aux Etats-Unis, ils pointent du doigt les defauts des propositions faites en ce sens, qui reportent sur Ie consommateur la charge de la desactivation de la puce l6.

Malgre tous ses defauts, neanmoins, la desactivation ou la destruction des etiquettes semble etre la mesure la plus efficace pour assurer Ie respect des dispositions de la loi de 1978.

L' obligation de collecter et de traiter les donnees de maniere loyale et licite.

Concernant la liceite du traitement, elle implique, principalement, que Ie responsable du systeme en cause reponde aux exigences des articles 7 et 8 de la loi de 1978, qui po sent un

15. On trouve toutes les informations sur Ie site: http://www.nocards.org. 16. Les kiosques de des activation proposes nuiraient en effet aux consommateurs, en leur faisant perdre une gran-de partie de I'interet qu'ils pouvaient trouver aux etiquettes, notamment en termes de gain de temps (pas de passa-ge en caisse, enregistrement et paiement automatique ... ), ce qui risque de les dissuader de les utiliser. Mettre en vente des bloqueurs personnels d' etiquettes fait peser sur les consommateurs un poids financier non negligeable, ces demiers etant estimes a environ 120 euros. En outre, faute de mecanisme facile de destruction de I' etiquette, il est difficile de savoir si celui-ci est mis en sommeil ou rendu inoperant (Y. it ce sujet, les travaux du groupe de l' article 29, prec.).

7/15 ANN. TELl~COMMUN., 62, n° 11-12,2007


certain nombre d'interdictions de traitement et precisent les conditions dans lesquelles un traitement doit etre effectue. Pour les systemes RFIO, ces articles soulevent un probleme concernant les donnees sensibles. II sera en effet delicat pour Ie responsable du traitement de remplir les conditions de l' article 8, qui exige Ie consentement expres de la personne dont des donnees sensibles vont faire l'objet d'un traitement. en presence d'une technologie dans laquelle l'acces aux donnees ne necessite aucune intervention de la part de leur titulaire.

Le principe de loyaute, quant a lui, etait deja applique depuis longtemps par la CN1L17. II est formule, depuis 2004, comme une obligation mise a la charge du responsable du traite-ment et lourdement sanctionnee18. On doit associer a ce principe l'obligation de renseigne-ment prevue par l'article 32 de la loi, en vertu de laquelle Ie responsable du traitement doit fournir aux personnes concernees une information dont les elements, fort precis, sont detailles par la loi19.

Comment remplir une telle obligation de renseignement dans Ie cadre d'un systeme RFIO,

par nature quasiment invisible et ne necessitant, pour son activation, aucune participation des personnes portant des objets etiquetes? Apposer l'information en question sur l'etiquette semble peu praticable. Au-dela des considerations liees a sa taille, en effet, qui rend l'exer-cice difficile, on peut douter de l'interet d'une telle information, qui ne serait lue par son des-tinataire, au mieux, qu'au moment de l'achat du produit, et non pas a chaque sollicitation de l'etiquette. Apposer l'information sur l'ensemble des lecteurs pose egalement des problemes. Les lecteurs n'ont en effet, du fait de la radiofrequence, pas besoin d'etre disposes dans Ie champ de vision des personnes dont les etiquettes sont sollicitees. Les guides de bonnes conduites des acteurs du domaine2o ont envisage Ie probleme et suggerent l'utilisation de notices et de marques destinees a informer Ie consommateur de la presence d'une etiquette. Pour renforcer ces elements de protection, on ne peut que souhaiter que la CNIL, qui a deja temoigne de sa vigilance au sujet des RFIO, adopte une position aussi claire a cet egard, en exigeant une mise en evidence des lecteurs sur lesquels sera apposee l'information requise.

Les obligations de securite et de confidentialite des donnees.

Ces obligations sont prevues par l'article 34 de la loi de 1978. Pour des technologies dont la nature meme consiste a permettre l' acces distant aux informations, elles constituent une gageure. II va de soi qu'a ceUe obligation repond la condamnation de la collecte de ces don-nees par des moyens frauduleux, de maniere illicite ou deloyale, mais cela n' exempte pas pour autant le responsable du traitement de ses obligations21 .

Comme nous avons deja eu I' occasion de Ie dire, Ie chiffrement des donnees, au-dela du fait qu'il emporte un cout plus eleve des etiquettes, n' est pas une garantie absolue de confi-dentialite des donnees. La capacite des puces est souvent insuffisante pour y integrer un sys-teme de chiffrement robuste. En outre, dans Ie cas, souhaite par les milieux industriels interesses, ou un systeme de type EPC verrait le jour, les risques lies a l'utilisation du reseau Internet pour la transmission des donnees et leur consultation s'ajouteraient a ceux que creent

17. La CNIL a, notamment, bien avant 2004, monte une operation« harte ii spam », permettant aux internautes s'en estimant victimes de lui transferer les spams qu'ils recevaient afin,d'evaluer plus precisement l'amp!eur de pheno-mene et de proposer des solutions tant techniques que juridiques. A cette occasion, elle a « releve Ie earaetere ille-gal au regard de la loi du 6 janvier 1978 de la pratique du " spam ", notamment en ee qu' elle repose sur une eol-leete deloyale des adresses eleetroniques des internautes demarches. » 18. Article L. 226-18 du Code penal. 19. Article 8, I de la loi n° 78-17 du 6 janvier 1978 modifiee. 20. V. Ie code de conduite propose par EPC Global, notamment, http://www.epcglobalinc.org/public/ppsc_guide. 21. Article 226-18 du Code penal.

ANN. TELI'-:COMMUN., 62, n° 11-12,2007 8/15


les failles technologiques des etiquettes elles-memes. Dans ce cas, on aurait beaucoup de mal a determiner qui est responsable des donnees en cause, de leur securite et de leur confiden-tialite.

On Ie voit, Ie respect des obligations posees par la loi « InJormatique et libertes » soul eve de nombreux problemes pour les responsables de systemes RFIO, qui peuvent neanmoins etre en partie resolus si I' on tient compte de ces elements de la construction meme des systemes et dans leur implantation. Prevoir une destruction des etiquettes, chiffrer Ie contenu de ces demieres, etc., sont en effet autant de solutions que Ia technique pourrait apporter aces diffi-cuItes si chacun des intervenants dans Ies chaines RFIO etait correctement informe des enjeux et du contenu de la loi applicable.

Par ailleurs, a ces obligations repondent, dans la loi de 1978, un certain nombre de droits pour les personnes concemees par un traitement de leurs donnees a caractere personnel.

11.2.2. Les droits des personnes a l'egard des systemes RFID

Les droits d'acces et de rectification des donnees.

En application des articles 39 et 40 de la loi n° 78-17 du 6 janvier 1978 modifiee, chacun dispose du droit de controler ce qui est fait de ses donnees personnelles. L' etendue de ce droit, qui commence par celui d'avoir acces a ces donnees, d'en obtenir communication afin de pouvoir les rectifier et eventuellement en demander l' effacement, peut sembler tres large. Mais, meme si ce contrOle est une « idee Jondamentale et presente dans tous les travaux des organisations internationales dans Ie contexte desquels peut etre replacee la loi Jranraise » [8] la difficuIte de sa mise en reuvre a ete demontree a de nombreuses reprises. [9, 10]

En matiere de systemes RFIO, on ne peut que douter de la possibilite d'un exercice serein de ces droits.

D'une part, nous l'avons vu, la determination du ou des responsables du traitement des donnees est l'une des difficuItes de l'application de notre droit des donnees personnelles a ces systemes. D' autre part, dans l'hypothese ou Ie responsable du traitement serait claire-ment identifie, on peut se demander queUes seraient, alors, les modalites de son exercice. lei, les donnees manipulees, de meme que la forme de leur collecte, restent sou vent ignorees des personnes concemees et meme connues, elles demeureront assez neutres aux yeux de Ia per-sonne qui pourrait en demander communication. Comme Ie souligne Ie CNIL, elles sont, en apparence, souvent insignifiantes et c'est davantage leur combinaison que leur contenu propre qui presente des risques pour la protection des donnees personnelles et de la vie privee des individus22 .

Comment, des lors, interroger Ie responsable du systeme contacte? Faudra-t-il, en suppo-sant qu'il y a eu acces, l'interroger a partir des donnees des etiquettes? [11]. Mais dans ce cas, il faudrait s'assurer d'un acces effectif au contenu de ces etiquettes.

Enfin, les etiquettes RFIO etant amenees a investir l'espace public et prive de chacun, Ie nombre de demarches a effectuer afin d' obtenir Ie respect des droits qu' offre la loi serait dis-proportionne [1]. L'argument, d'ailleurs, peut etre retoume. En effet, pour un supermarche par exemple, la mise en reuvre de leurs droits de controle des donnees personnelles par les clients presents au cours d'une joumee ruinerait certainement tous les effets benefiques de la mise en place d'un tel systeme.

22. V. communication de Lemoine (Ph.), prec. p. 7.

9/15 ANN. TELI"COMMUN., 62, nO 11-12,2007

1250 S. LACOUR - L'IDENTIFICATJON PAR RADIOFREQUENCE

C'est d'ailleurs sous cet angle, plus que celui de la protection des consommateurs, que Ia CNIL a pris en consideration Ie probleme de l'exercice du droit d'acces. Le commissaire23 qui s'est prononce a ce sujet envisage meme la possibilite extreme de rendre ce droit payant, alors que pour l'instant seule la communication des donnees l'est, dans des limites etroite-ment revisees par la loi de 200424. II est vrai que si l'on ajoute aux couts engendres par un afflux massif de demandes d'acces ceux de l'information des tiers qui auraient rec;:u commu-nication de ces donnees, la manreuvre semble prohibitive. Elle est neanmoins l'une des conditions d' effectivite de notre droit des donnees personnelles, et on voit mal au nom de quel imperatif on devrait en attenuer encore la portee reelle dans Ie contexte particulierement risque des RFID. On ne peut, en consequence, qu'esperer que la CNIL ne poursuivra pas dans cette veine.

Le droit de s' opposer au traitement des donnees.

Selon l'article 38 al. 1 de la loi, « toute personne physique a Ie droit de s'opposer, pour des motifs ligitimes, a ce que des donnees a caractere personnella concernant fassent l' ob-jet d'un traitement ».

La reforme de la loi de 1978 n'a pas attenue la portee de ce droit, comme elle aurait pu Ie faire en accord avec la directive de 1995. La position de la CNIL, quant a elle, exprimee au sujet de l'Internet, laisse penser que ce droit d' opposition sera ouvert largement aux per-sonnes desireuses de ne pas etre traquees par radio-identification. En effet, au sujet des sites Web et des forums, la CNIL considere qu'il est a priori legitime d'exercer librement ce droit a tout moment et sans justification supplementaire, parce que « c' est Ie seul moyen pour la personne concernee de se premunir contre les possibilites de telechargement de bases de donnees et Ie detournement de leur finalite dont les consequences mettent en peril les droits ... » [12]. Un tel raisonnement devrait afortiori valoir pour les systemes RFID, qui pre-sentent autant voire davantage de risques.

On ne peut que constater les difficuItes d'application de notre droit des donnees person-nelles aux systemes RFID et aux problemes qu'ils risquent d'engendrer. La des activation volontaire des etiquettes, souvent presentee comme une reponse aces risques, n'est certaine-ment pas une solution unique, d'autant plus que, comme nous allons le voir maintenant, elle sera parfois rendue impossible par la loi elle-meme.

III. LA PROTECTION DES DONNEES PERSONNELLES DANS DES CADRES PARTICULIERS

Deux situations particulieres d'utilisation des RFID attireront ici notre attention. II s'agit des systemes RFID utilises pour la gestion du personnel (II -1) et a des fins de lutte contre la contrefac;:on (II-2).

23. V. communication de Lemoine (Ph.), prec. p. 8. 24. Article 39, I de la loi n° 78-17 du 6 janvier 1978 modifiee.

ANN. TELI~COMMUN., 62, n° 11-12,2007 10115


111.1. Les droits des salaries face aux systemes RFID

Les syndicats25 commencent a peine as' alarrner des possibilites nouvelles que pourraient fournir les RPID pour Ie tras;age permanent des salaries. La CNIL, quant a elle, s'est penchee recemment sur la geolocalisation de leurs vehicules26 et a mis en place une norme simplifiee pour les traitements qui l'effectuent27, afin de definir les conditions dans lesquelles la mise en reuvre de tels traitements n' est pas susceptible de porter atteinte a la liberte d' aller et venir anonymement et au droit a la vie privee et de simplifier les formalites de declaration des trai-tements repondant a ces conditions. Elle intervient depuis quelques annees deja sur la ques-tion tres large des traces, passives ou actives, que chacun de nous laisse, parfois a son insu, sur son passage reel ou virtuel.

Comme elle Ie soulignait dans son rapport sur la cybersurveillance sur les lieux de travail de fevrier 2004, les technologies de I'information et de la communication font partie du quo-tidien des entreprises et ont des consequences importantes sur Ie contr6le qui peut etre exerce sur leurs salaries. La capacite des entreprises de contr61er Ie creur du processus de travail par I'intermediaire des traces laissees sur Ie reseau etait alors pointee du doigt par la CNIL. A cette capacite s' ajoute, avec les systemes RFID, la possibilite de croiser ces traces avec celles que peuvent laisser tous les deplacements.

La loi du 31 decembre 199228, faisant echo tout a la fois aux regles generales de protec-tion des donnees personnelles et aux signaux d'alarme tires par un rapport du professeur Lyon-Caen [13], a pose les principes d'un droit« informatique et libertes» dans I'entreprise.

Ainsi, I'article L. 120-2 du code du travail pose-t-il desormais un principe de proportion-nalite en disposant que « nul ne peut apporter aux droits des personnes et aux libertes indi-viduelles et collectives des restrictions qui ne seraient pas justifiees par la nature de la tache a accomplir ni proportionnees au but recherche ». L'article L. 121-8 du meme code encadre I'information individuelle des salaries presents et futurs concernant les dispositifs de collecte de donnees a caractere personnel29. Enfin, la consultation des organes representatifs du per-sonnel est prevue par I'article L. 432-2-1 du Code du travail3o.

On peut legitimement penser que ces regles, associees a celles que pose la loi de 1978, suffiront a encadrer l'utilisation des systemes RPID de maniere satisfaisante dans Ie cadre des relations de travail. Equipe d'une carte RFID, un salarie pourrait s'identifier automatiquement a chaque fois qu'il penetre sur son lieu de travail, utilise un vehicule destine au service, son ordinateur ou encore la machine a cafe de l' entreprise. Toutes les applications sont envisa-geables. Certaines d' entre elles permettent, par exemple, de s' assurer, par la proximite de la

25. L'Union network International, un syndicat mondial, a publie, en ce sens, Ie 26 juin dernier, un article intitule « Les syndicats reclament des mesures contre I' espionnage high-tech », que I' on peut trouver sur son site Internet it I'adresse suivante: http://www.union-network.org. 26. Deliberation n° 2006-066 du 16 mars 2006. 27. Norme simplifiee n° 51; Deliberation n° 2006-067 du 16 mars 2006 portant adoption d'une norme simplifiee concernant les traitements automatises de donnees it caractere personnel mis en lruvre par les organismes publics ou prives destines it geolocaliser les vehicules utilises par leurs employes. 28. Loi n° 92-1446 du 31 decembre 1992 relative it I'emploi, au developpement du travail it temps partiel et it I'as-surance chomage. 29. Article L. 121-8 du Code du travail: « Aucune information concernant personnellement un salarie ou un can-didat ii un emploi ne peut eire collectee par un dispositif qui n'a pas ete porte prealablement ii la connaissance du salarie ou du candidat ii un emploi. » 30. Article L. 432-2-1 du Code du travail. « Le comite d'entreprise est informe, prealablement ii leur utilisation, sur les methodes ou techniques d'aide au recrutement des candidats ii un emploi ainsi que sur toute modification de ceux-ci. Jl est aussi informe, prealablement ii leur introduction dans I' entreprise, sur les traitements automatises de gestion du personnel et sur toute modification de ceux-ci. Le comite d'entreprise est informe et consulte, preala-blement ii la decision de mise en (Euvre dans l'entreprise, sur les moyens ou les techniques permettant un controle de I'activite des salaries ».

11115 ANN. TEu'icoMMUN., 62, n° 11-12,2007


puce RFID, du fait que Ie salarie utilise bien son ordinateur, ce dernier se mettant automati-quement en veille s'il s'en eloigne. D'autres couplent la surveillance du salarie au volant au contr6le de sa vitesse ou encore du kilometrage reellement parcouru.

Neanmoins, et la CNIL, en France, Ie rappelle regulierement, les dispositifs de surveillance des salaries ne doivent, en aucun cas, conduire a leur contr6le permanent. Les normes qu'elle a d'ores et deja adoptees pour la geolocalisation des salaries, ainsi que la fermete de ses posi-tions relatives a I'utilisation de dispositifs biometriques31 laissent penser que cette institu-tion saura adopter Ie moment venu, des regles protectrices des libertes individuelles des salaries face aux systemes RFID, fondees sur Ie droit existant.

111.2. Les droits du public face aux systemes RFID

C' est une toute autre hypothese que nous aborderons pour terminer cette trop rapide exploration des problemes juri diques soul eves par les systemes RFID. Les RFID peuvent, en effet, etre utili sees aux fins de lutte contre la contrefac;on. Qu'il s'agisse de suivre a la trace les medicaments fabriques par les detenteurs de brevets ou bien de proteger les ceuvres de I'esprit, les RPID font, dans ce domaine, une percee remarquable. Une demande de brevet a ainsi ete deposee par l' entreprise japonaise Sony Ie 3 aout 2006 aupres de l' office europeen des brevets pour proteger un systeme visant a contrOler Ie nombre de copies issues d'un CD

ou DVD support d'une ceuvre originale. Dans ces hypotheses, l'insertion ou l'apposition d'une etiquette RPID aurait pour objectif

de faciliter la trac;abilite des supports de biens immateriels proteges et d'en contr6ler la repro-duction illicite. Une telle utilisation des RPID semble donc correspondre en tous points aux possibilites techniques qu'offrent ces derniers, qui sont souvent invisibles a l'ceil nu mais pourraient, si une norme commune etait adoptee en ce qui conceme cet usage particulier, facilement temoigner de la liceite des objets analyses en cas de besoin.

La voie de cette solution technologique est deja employee par plusieurs laboratoires phar-maceutiques, avec l'appui de la FDA, aux Etats-Unis. II va de soi qu'au regard de la loi « Informatique et Libertes », en France, les traitements medicaux d'une personne faisant par-tie des donnees sensibles, les RFID ne pourraient etre utilisees que moyennant Ie respect des conditions de la loi de 1978, lesquelles impliquent d'obtenir I'autorisation de la CNIL ainsi que, necessairement, l'autorisation de la personne concernee (dans notre hypothese, Ie patient qui se fera delivrer Ie medicament en cause). Un tel systeme RPID devra, en outre, res-pecter de maniere tres stricte les obligations de securite et de confidentialite, ce qui implique l'emploi d'etiquettes RFID de grande capacite, les donnees contenues dans ces dernieres devant absolument etre correctement chiffrees.

U ne autre solution consisterait a detruire32 l' etiquette une fois Ie produit entre les mains du patient, mais nous avons deja mis en evidence les limites d'une telle pratique, qui se heur-

31. Entre les seuls mois de janvier et juin 2006, la CNIL a refuse d'autoriser 9 dispositifs d'identification biome-triques. Elle construit ainsi une position de plus en plus claire relative aux traces et aux finalites qui permettent de justifier l'usage de tels dispositifs. 32. La simple desactivation des puces RFID ne presente, en effet, it l'heure actuelle, aussi bien en ce qui conceme la terminologie employee que pour ses aspects techniques, les garanties suffisantes d'une reelle securite des patients. V. it ce sujet, les observations du groupe de I'article 29, Document de travail sur les questions de protection des don-nees liees it la technologie RFID (radio-identification), du 19 janvier 2005, n° 10107/05/FR, WP 105, precite.

ANN. TELl'iCOMMUN., 62, n° 11-12,2007 12/15

S. LACOUR - L'IDENTIFICATION PAR RADlOFREQUENCE 1253

terait ici aux objectifs de gestion de la duree de vie des produits et de leurs dechets, qui sont particulierement interessants concernant les produits pharmaceutiques.

Deux logiques egalement respectables, celle de la protection des droits de propriete intellectuelle et de la sante des patients (faut-il rappeler que les medicaments contrefaits, au-del a des pertes econorniques qu'ils causent aux industries pharmaceutiques, representent un risque reel de sante publique?) et celle de la preservation des libertes fondamentales de ces derniers, s'affrontent ici. La loi « Informatique et libertes » donne neanmoins les pistes de solutions qui permettront, si elles sont correctement respectees, d' organiser la coexistence de ces objectifs.

Vne telle coexistence semble plus difficile a organiser, en l'etat du droit positif, en ce qui concerne les ceuvres de l'esprit. En effet, depuis l'adoption, apres de longs debats, de la loi sur Ie droit d'auteur et les droits voisins dans la societe de l'information, les mesures tech-niques de protection des ceuvres font I' objet d'une protection. Au sens de cette loi, on entend par mesures techniques de protection « toute technologie, dispositif, composant qui, dans Ie cadre normal de son fonctionnement, accomplit la fonction prevue par cet alinea. Ces mesures techniques sont reputees efficaces lorsqu'une utilisation visee au meme alinea est contr8lee par les titulaires de droits grace Ii l'application d'un code d'acces, d'un procede de protection tel que Ie cryptage, Ie brouillage ou toute autre transformation de I 'objet de la protection ou d'un mecanisme de contr8le de la copie qui atteint cet objectif de protection33 ». A la lecture de cette definition, il apparait clairement qu'un dispositif tel que celui que Sony cherche a breveter appartient bien au domaine des mesures techniques de pro-tection34, et qu'en outre, il sera tres certainement efficace.

En application de cette meme loi35, toute atteinte aces mesures techniques de protection, et en particulier toute suppression de ce mecanisme de protection ou de contr6le sera penale-ment sanctionnee, de meme que Ie «fait de procurer ou proposer sciemment Ii autrui, direc-tement ou indirectement, des moyens conr;;us ou specialement adaptes pour porter atteinte Ii une mesure de protection efficace [ ... J ».

La destruction de I' etiquette RFID qui pourrait faire office de me sure technique de protec-tion d'une ceuvre de l'esprit ou sa desactivation serait donc prohibee, de meme que la com-mercialisation de logiciels ou materiels ayant pour objet cette des activation ou cette destruction, lorsqu'elle interviendrait« sciemment» et aurait pour objectif d'« alterer la pro-tection de l'(£uvre ». Mais pourra-t-il en etre autrement, a chaque fois qu'un consommateur,

33. Article L. 331-5 du Code de la propriete intellectuelle 34. Cette interpretation est par ailleurs confirmee it la lecture de I' art. L. 331-9 al. I du meme code, selon lequel « les titulaires de droits qui recourent aux mesures techniques de protection definies a I' article L. 331-5 peuvent leur assigner pour objectif de limiter Ie nombre de copies ». 35. Article L. 335-3-1 de Code de la propriete intellectuelle: « l. - Est puni de 3750 Euros d'amende Ie fait de porter atteinte sciemment, a des fins autres que la recherche, a une mesure technique efficace telle que definie a l'article L. 331-5, afin d'alterer la protection d'une (Euvre par un decodage, un decryptage ou toute autre intervention personnelle destinee a contourner, neutraliser ou supprimer un mecanisme de protection ou de controle, lorsque cette atteinte est realisee par d'autres moyens que l'utilisation d'une application technologique, d'un dispositif ou d'un composant existant mentionne au II. II. - Est puni de six mois d'emprisonnement et de 30 000 Euros d'amende Ie fait de procurer ou proposer sciem-ment a autrui, directement ou indirectement, des moyens con{:us ou specialement adaptes pour porter atteinte a une mesure technique efficace telle que definie a l'article L. 331-5, par l'un des procedes suivants: r En fabriquant ou en important une application technologique, un dispositif ou un composant, a des fins autres que la recherche; 2" En detenant en vue de la vente, du pret ou de la location, en offrant a ces memes fins ou en mettant a disposi-tion du public sous quelque forme que ce soit une application technologique, un dispositif ou un composant; 3° En fournissant un service a cette fin; 4° En incitant a I 'usage ou en commandant, concevant, organisant, reproduisant, distribuant ou diffusant une publi-cite enfaveur de I'un des procedes vises aux r a 3°. »

13/15 ANN. TELI':COMMUN., 62, nO 11-12,2007


soucieux de proteger ses donnees personnelles, desactivera ces etiquettes? Comment s'ope-rera, alors, Ie partage entre la destruction ou desactivation recommandee par la CNIL afin de limiter les risques que les RFID font peser sur les donnees personnelles des personnes concer-nees et celle qui est prohibee par notre droit d'auteur?

On devine que l'interpretation du terme « sciemment » ainsi, qu'en pratique, celIe que Ie juges pourront donner de l'intention des destructeurs de ces systemes specifiques auront pour effet ou bien de prohiber toute destruction de ces demiers ou bien d'en limiter grandement l'usage en tant que mesures techniques de protection des reuvres de l'esprit. Dans tous les cas de figure, Ie choix s'appuiera sur des textes et des principes juridiques protegeant des droits fondamentaux. II est donc difficile, a l'heure actuelle, d'imaginer quel il sera.

IV. CONCLUSION

Les systemes RFID feront partie de notre quotidien tres prochainement. S'ils suscitent, pour l'instant, davantage d'engouement que de defiance, un certain nombre de leurs applica-tions sont neanmoins porteuses de risques pour nos vies privees. Or, l'autoregulation de ces technologies par les acteurs de leur developpement n'est pas satisfaisante aujourd'hui, d'au-tant que, comme Ie releve la CNIL, elle emane d'acteurs en majorite soumis a des systemes normatifs moins exigeants que Ie notre sur la protection des donnees a caractere personnel.

Neanmoins, en France, il semble possible d'affirmer que Ie droit existant contient d'ores et deja quelques elements fondamentaux pour un encadrement efficace de la majorite des applications de ces technologies.

A cet egard, les positions adoptees par la CNIL doivent, selon nous, etre globalement approuvees et son travail poursuivi dans Ie sens d'un encadrement ferme de ces technologies. Dne telle demarche, toutefois, n'aura de sens que si elle s'accompagne d'une solide forma-tion de toutes les personnes, responsables, consommateurs, salaries, auteurs, etc., qui inter-viendront, de maniere active ou passive, dans la mise en place de ces nouvelles technologies. Seule une prise en compte des elements de protection de la vie privee a tous les stades du developpement et de l'implementation des systemes RFID permettra aces demiers de s'effec-tuer dans un contexte de securite juridique satisfaisante pour tous. Les fabric ants et distribu-teurs de produits etiquetes devront ainsi etre informes de leur obligation de respecter les dispositions de la loi de 1978 et de declarer leur traitement aux autorites competentes. Ils pourront, de meme, installer dans leur sphere de competence des lecteurs facilement identi-fiables et sauront a queUes obligations de securite et de confidentialite ils sont tenus, ce qui aura tres certainement une influence sur Ie choix des technologies qu'ils mettront en reuvre en pratique (avec des etiquettes peut-etre un peu plus cheres mais permettant un chiffrement efficace des donnees, notamment). Souhaitons que, dans Ie domaine de la protection des don-nees a caractere personnel, les effets d'une coregulation aussi bien technique qu'economique et juridique des systemes RFID soient reels. Le financement de programmes de recherche por-tant sur une adaptation technique de ces systemes aux necessites legales, qui combinerait, dans des travaux interdisciplinaires, les efforts d'electroniciens pour augmenter la capacite des etiquettes (en ameliorant leurs aspects de nanoelectronique notamment), d'informaticiens afin de reflechir au meilleur moyen d'en proteger Ie contenu, et de juristes, nous semble etre une bonne piste, de meme que Ie developpement de travaux de normalisation technique asso-

ANN. TELI~COMMUN., 62, nO 11-12,2007 14/15

S. LACOUR - L'lDENTIFICATION PAR RADIOFREQUENCE 1255

ciant les membres de la CNIL. C'est la condition, nous semble-t-il, incontoumable pour que leur developpement ne suscite pas, dans l' opinion publique, de reaction massive de rejet.

Manuscrit ref{u le 10 octobre 2006 Accepte le 11 juillet 2007

___________________ BIBLIOGRAPHIE

[1] COT!, Conseil General des Technologies de l'Information, Rapport n° II-B.9-2004, janvier 2005. [2] AVOINE (G.), « RFID et securite font-elles bon menage? », in Actes du Symposium sur la Securite des

Technologies de l'Information et des Communications, Ecole superieure et d'application des transmissions, 2006, p. 401 et s.

[3] UIT, Union Intemationale des Telecommunications, Rapport 2005, The Internet of Things, 7e edition. [4] MALLET-PoUJoL (N.), in Lamy Droit de l'informatique et des reseaux 2006, n° 541. [5] DARQUENNES (D.), POULLET (Y.), « RFID: quelques reflexions introductives it un debat de societe », Revue du

Droit des technologies de l'Information, n° 2612006, p. 273 et s. [6] POULLET (Y.), DINANT (1. M.), in "Information Self-determination in the Internet area", Report on the appli-

cation of data Protection principles to the worldwide telecommunications networks. Consultative Committee of the Convention for the protection of individuals with regard to automatic processing of personal data, Strasbourg 13/J 212004, T-PD (2004)04 final.

[7] CNIL, 24e rapport d'activite 2003, p. 139. [8] MALLET-PouJOL (N.), in Lamy Droit de l'informatique et des reseaux 2006, n° 622. [9] SEDALLIAN (Y.), http://juriscom.agat.netJdocuments/priv20021217.pdf;

[10] LUCAS (A.), DEVEZE (J.), FRAYSSINET (J.), Droit de I'informatique et de l'Internet, TMmis, PUF 2001, n° 161, p. 165

[11] LEMANTELEUR (X.), Trarabilite contre vie privee: les RFlDS, memoire du DESS droit du multimedia et de l'in-formatique, oct. 2004, Universite Paris II.

[12] CNIL, ISe rapport d'activite 1997, p. 83. [13] LYON-CAEN (G.), Rapport pour Ie ministre du travail, de l'emploi et de laformation professionnelle, decembre

1991, La documentation fran"aise.

15/15 ANN. TELEcoMMuN., 62, n° 11-12,2007

Documents

L’identification par radiofréquence (RFID), une technologie en mal de régulation juridique