 |
|
TERRA INCOGNITA
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Transports | Fabrication | Sécurité | Finances | Autres | Médecine |
|---|---|---|---|---|---|
| Transpondeur | Véhicule à guidage automatique | Contrôle d'accès | Devises électroniques | Identification des animaux | Gestion des biens |
| Identification des conteneurs | Identification d'une ligne d'assemblage | Système antidémarrage pour automobiles | Ravitaillement automatique | Ligne d'arrivée dans les tournois | Gestion des patients |
| Positionnement mondial | Gestion de configuration | Étiquette de bagages | Carte téléphonique | Jetons de jeu | Gestion du personnel |
| Identification des palettes | Automatisation d'usine | Bordereau d'embaquement | Billets de ski | Identification des bombonnes de gaz | Administration des médicaments |
| Contrôle du stationnement | Positionnement d'un chariot élévaleur | Clés électroniques | Carte d'identité d'université | Suivi de la lessive | Distribution des médicaments |
| Collecte des péages | Contrôle des stocks | Gestion de parc | Services alimentaires | Programme de fidélisation | |
| Gestion de la circulation | Maintenance | Localisation des gens | Heure et assistance | Identification des appareils médicaux | |
| Suivi des camions | Atelier de peinture | Zones de sécurité | Contrôle des documents | Cartes de membre | |
| Identfication des wagons | Contrôle des procédés | Prévention des vols | Exploitation minière | ||
| Logistique des colis | Identification de marque | Contrôle de l'accès des véhicules | Identification et suivi des patients | ||
| Déplacement des véhicules | Gestion de chaîne d'approvisionnement | Contrefaçon | Suivi des documents prêtés | ||
| Suivi des passagers | |||||
| Suivi des bagages |
| Fabricants | Fournisseur des services de logistique | Détaillants |
|---|---|---|
| Source : Shutzberg, L. (2004), Radio Frequency identification (RFID) in the Consumer Goods Supply Chain: Mandated Compliance or Remarkable innovation? Industry White paper, Rock-Tenn, Norcross, GA, p. 51. | ||
| Intervalle de chargement de la cargaison plus court | Sélection d'une commande plus efficace | Meilleurs planification, programmation et marchandisage avec des données en temps réel |
| Exactitude accrue de la cargaison | Meilleurs taux de commande | Hausse de la productivité aux points de vente et meilleure exactitude de la caisse |
| Meilleures données de vente aux clients de la part des détaillants | Moins d'articles manquants | Retours plus précis |
| Contrefaçon et détournement réduits | Moins d'erreurs administratives et humaines | Logisitique inverse améliorée |
| Meilleur soutien du stock géré par le fournisseur | Besoin inférieur en main-d'œuvre | Inventaire plus précis et plus rapide |
| Rappel de sécurité d'un produit plus facile | Moins de fraudes commises par les fournisseurs | Niveau des stocks en magasin optimisé |
| Planification de la demande plus précise | Inventaire plus précis | Moins d'articles manquants à l'interne et à l'externe |
| Délai d'approvisionnement plus court | Moins de temps consacré à la gestion des stocks et réduction du coût de cette activité | Besoin inférieur en main-d'œuvre |
| Besoin moindre d'un stock de sécurité | Efficacité absolue de l'acheminement | Réception, expédition et paiement automatisés aux magasins |
| Meilleure utilisation de la main-d'œuvre | Meilleure sécurité lors de la distribution de produits médicaux | Meilleure utilisation des biens réutilisables (p. ex., palettes) |
| Hausse des ventes | Réception, expédition et paiement automatisés | Frais de rétention et redevances de stationnement inférieurs |
| Réduction des heures et du coût du dénombrement, de la réception, de la cueillette et de l'expédition périodiques | Capacité accrue grâce à des activités plus efficaces | Meilleur endiguement du marché gris |
| Moins de redressements de facture à la suite de livraisons inexactes | Moins de pénalités en raison des erreurs d'exécution | Meilleures manières de mesurer l'exécution et l'efficacité des programmes d'affichage |
Cependant, la technologie IRF suscite de plus en plus de préoccupations importantes pour ce qui est de la menace potentielle pour la sécurité et la protection de la vie privée des utilisateurs. D’une manière intuitive, l’attrait de la technologie IRF porte sur son aptitude à permettre le suivi à distance des objets et des gens, la collecte et la mise à jour des données connexes et, aspect plus important, l'échange de ces données entre diverses parties. En conséquence, la principale question au sujet de la protection des renseignements personnels est la suivante : comment pouvons-nous faire en sorte que seules les personnes autorisées aient accès à ces données et que ces données servent seulement aux fins prévues?
Par exemple, pour améliorer la gestion de ses stocks, un fabricant enregistre des données au sujet de ses fournisseurs sur des étiquettes d'IRF. Mais le fabricant ne veut pas que ses concurrents sachent qui sont ses fournisseurs. De même, un consommateur pourrait vouloir localiser un article perdu dans sa maison, mais ne veut pas que son voisin sache ce qu’il possède. Il subsiste le dilemme suivant : plus la technologie IRF est ouverte aux applications, plus son utilité n’a d’égal que le risque d’abus.
Pour protéger les renseignements personnels des consommateurs, l’Organisation de coopération et de développement économiques (OCDE) a publié en 1980 des pratiques équitables de traitement de l’information [5]. L’OCDE a élaboré ces principes pour faciliter le transfert transfrontalier des renseignements sur les consommateurs dans le but d’améliorer le commerce entre ses états membres. Nous pouvons résumer les huit principes comme suit :
- Limitation de la collecte : Le collecteur de données doit seulement recueillir les renseignements nécessaires par des méthodes légales et équitables, c.-à-d., avec le consentement de la personne concernée.
- Qualité des données : Les données recueillies doivent être tenues à jour et être conservées seulement aussi longtemps qu'elles sont nécessaires aux fins prévues.
- Mention du but : Le but de la collecte des données doit être mentionné (et annoncé) avant le début de la collecte proprement dite.
- Limitation de l’utilisation : Les renseignements personnels doivent servir seulement aux fins énoncées, sauf si la personne concernée donne son consentement ou si la loi le prescrit.
- Mesures de sécurité : Des mesures de sécurité raisonnables doivent protéger les données recueillies contre l'utilisation, la modification, la communication ou l'accès non autorisé.
- Transparence : La personne à laquelle se rapportent les données doit pouvoir connaître l’identité du contrôleur des données et la manière de communiquer avec lui.
- Participation individuelle : La personne à laquelle se rapportent les données doit être en mesure de communiquer avec le contrôleur des données pour savoir si l’entreprise possède des renseignements à son sujet et, le cas échéant, faire effacer ou modifier ces données.
- Responsabilité : Le contrôleur des données doit être responsable du respect de ces principes.
La protection de la vie privée relative à l’identification par radiofréquence suscite déjà une grande agitation politique et médiatique. Plusieurs groupes de défense des droits des consommateurs ont lancé des campagnes contre le recours à l'IRF dans les articles vendus au détail. En 2003, par exemple, un boycott a forcé Benetton à mettre un terme à la pose d’étiquettes d'IRF dans ses vêtements suite à des malentendus au sujet des plans de l’entreprise. Au cours de la même année, un groupe d’organismes de protection de la vie privée a publié une déclaration sur l’utilisation de la technologie IRF dans les produits de consommation [6].
Dans le présent document, nous donnons un aperçu des éléments techniques de base de la technologie IRF et nous signalons les liens entre les divers paramètres de conception d’une application IRF. Nous traitons ensuite des approches techniques et non techniques pour aborder les enjeux relatifs à la protection de la vie privée et la sécurité. Enfin, nous formulons des suggestions et des recommandations pour résoudre ces problèmes.
II. CONTEXTE TECHNIQUE
Tous les systèmes d'IRF comportent trois éléments principaux :
- une étiquette d’identification par radiofréquence, ou transpondeur, attachée à l’objet identifié; cette étiquette tient lieu de support des données dans le système d'IRF;
- un lecteur ou émetteur-récepteur d'IRF, qui peut autant lire les données inscrites sur un transpondeur qu’y écrire des données;
- un sous-système de traitement des données qui utilise les données obtenues de l’émetteur-récepteur à des fins utiles.
Une étiquette d'IRF type se compose d’une puce qui stocke les données et d’un élément de couplage, comme une antenne, pour assurer la communication par radiofréquence. L’étiquette peut être active ou passive. Une étiquette active comporte une source d’alimentation (comme une pile) et émet un signal RF. Une étiquette passive capte son alimentation à partir du signal d’interrogation d’un lecteur. Le recours à un signal d’interrogation restreint ainsi le fonctionnement de l’étiquette passive. Néanmoins, la plupart des étiquettes – actives et passives – émettent seulement lorsqu’un lecteur les interroge. Le type d’étiquette utilisée et les données que celle-ci contient dépendent de l’application.
Le lecteur est en général fait d’un émetteur-récepteur radiofréquence, d’un module de commande et d’un élément de couplage qui permet d’interroger les étiquettes électroniques au moyen d’une communication par radiofréquence. Cette communication permet au lecteur de lire une étiquette passive à petites ou moyennes distances et une étiquette active à petites ou grandes distances.
En général, la distance d’interrogation est fonction de la puissance et de la fréquence du signal d’interrogation. La possibilité de lire une étiquette passive à grande distance tient à l’émission d’un signal de communication de puissance suffisante vers le lecteur. Ce problème ne se pose pas avec une étiquette active qui permet habituellement une distance de communication plus grande.
Connaître la distance de lecture du lecteur ou de l’étiquette ne suffit pas à évaluer la mesure dans laquelle une étiquette passive protège la vie privée. Il faut connaître quatre distances pour bien évaluer la complexité de la protection de la vie privée et les questions de sécurité associées aux systèmes d'IRF [6] :
- Distance nominale de lecture : Les normes d’identification par radiofréquence et les spécifications des produits mentionnent en général la distance de lecture d’une étiquette. Cette distance représente la distance maximale à laquelle un lecteur doté d’une antenne et d’une puissance de sortie ordinaires peut lire avec efficacité les données d’une étiquette. La norme ISO 14443, par exemple, précise une distance nominale de 10 cm pour une carte intelligente sans contact.
- Distance de lecture indésirable : La portée d’un lecteur sensible équipé d’une antenne puissante peut dépasser la distance nominale de lecture. Une forte puissance de sortie augmente davantage la distance de lecture. Un lecteur indésirable peut même présenter une puissance de sortie supérieure aux limites légales. Par exemple, la référence [7] fait valoir qu’un lecteur à pile est capable de lire une étiquette respectant la norme ISO 14443 à une distance de 50 cm, c.-à-d. à cinq fois la distance nominale. La distance de lecture indésirable représente la distance maximale à laquelle un lecteur peut activer et lire une étiquette.
- Distance de lecture clandestine étiquette-lecteur : Les limites imposées à la distance de lecture dans le cadre d’une identification passive par radiofréquence reposent principalement sur la nécessité du lecteur d’activer l’étiquette. Lorsqu’un lecteur a activé une étiquette, un second lecteur peut capter l’émission de l’étiquette sans lui-même émettre un signal, c.-à-d. qu’il peut faire une réception clandestine. La distance maximale d’un tel second lecteur clandestin peut être supérieure à sa distance de lecture indésirable.
- Distance de lecture clandestine lecteur-étiquette : Selon certains protocoles d'IRF, un lecteur envoie à l’étiquette des données destinées seulement à cette étiquette. Comme le lecteur utilise une puissance d’émission plus forte que celle de l’étiquette, il est exposé à la lecture clandestine à une distance beaucoup plus grande, qui pourrait même se mesurer en kilomètres, que celle de la lecture étiquette-lecteur. En outre, dans certains cas particuliers, il faut tenir compte de la distance de détection, c.-à-d., la distance à laquelle un concurrent pourrait détecter la présence d’une étiquette ou d’un lecteur.
Le système d'IRF passif constitue le moyen le plus prometteur de fournir à prix modique des étiquettes intelligentes offrant un rendement adéquat dans la plupart des applications de gestion de chaîne d’approvisionnement ainsi que de collecte des renseignements commerciaux et de détail en général. Un tel système abordable est toutefois inéluctablement très limité et la tension extrême sur le coût en complique la conception, car ce problème de conception est intimement lié aux compromis délicats. Contrairement aux systèmes informatiques modulaires, presque tous les aspects d’un système d'IRF influent sur chaque autre aspect. La présente section donne un bref aperçu des éléments essentiels de la technologie d'IRF et nous résumons certains compromis propres à la conception d’un système d'IRF passif.
Lorsque de nombreuses étiquettes répondent en même temps au signal d’un lecteur, les signaux de communication peuvent se brouiller l’un l’autre. Cette interférence, appelée « collision », entraîne en général l’échec de la transmission. Pour qu’un lecteur puisse correctement communiquer avec de nombreuses étiquettes, il faut recourir à une méthode anticollision.
Sur une étiquette, les méthodes (ou algorithmes) anticollision ressemblent aux algorithmes anticollision utilisés en réseautage [8]. Cependant, contrairement au réseautage standard, l’étiquette d'IRF soulève des problèmes en raison de ses ressources informatiques très limitées.
L’étiquette peut offrir une puissance informatique très limitée. En outre, il peut être difficile de détecter les collisions en raison de la puissance très différente des signaux émis par les étiquettes. La classification courante des algorithmes anticollision, probabilistes ou déterministes, repose sur la manière dont l’étiquette réagit durant l’exécution de l’algorithme anticollision. Avec un algorithme probabiliste, l’étiquette répond à des intervalles aléatoires. Il existe plusieurs variantes des protocoles probabilistes, selon le degré de contrôle que le lecteur a sur l’étiquette. Bon nombre d’algorithmes probabilistes reposent sur le modèle de réseautage Aloha [9]. Le lecteur peut répondre aux intervalles prévus ou de manière continue. Avec un algorithme déterministe, par contre, le lecteur trie les étiquettes en fonction de leur numéro d’identification. Le modèle déterministe le plus simple est la structure arborescente binaire dans laquelle le lecteur parcourt l’arborescence de tous les numéros d’identification possibles.
À chaque nœud de l’arborescence, le lecteur vérifie s’il y a une réponse. Seules les étiquettes dont le numéro est subordonné au nœud répondent. L’absence de réponse signifie que la structure subordonnée est vide. La présence d’une réponse indique l’endroit où le lecteur doit poursuivre la recherche. Les mesures du rendement qui font l'objet de compromis en raison de ces algorithmes et de leurs variantes sont les suivantes : la vitesse de lecture d’une étiquette, la largeur de bande du signal du lecteur, la largeur de bande du signal de retour, le nombre d’états efficacement enregistrables sur l’étiquette, le coût de l’étiquette, le coût du lecteur et la distance de lecture de l’étiquette.
La largeur de bande lecteur-étiquette réglementée peut avoir une incidence considérable sur le protocole anticollision. Aux É.-U., par exemple, deux bandes d’exploitation courantes pour les systèmes d'IRF sont celles des fréquences ISM3 de 13,56 MHz et de 915 MHz. Les règlements régissant la bande de 13,56 MHz permettent une bande de communication dans le sens lecteur-étiquette beaucoup moins large que les règlements visant la bande de 915 MHz. C’est la raison pour laquelle les algorithmes anticollision Aloha sont plus répandus dans les systèmes qui exploitent la bande de 13,56 MHz et les algorithmes anticollision déterministes sont plus répandus dans la bande de 915 MHz [8].
En pratique, la plupart des algorithmes anticollision de l'IRF constituent une fusion des concepts probabilistes et déterministes. Presque tous nécessitent un numéro d’identification distinct pour trier les étiquettes. Le lien entre l’algorithme anticollision, le numéro d’identification et la largeur de bande offerte a une incidence sur toutes les transactions réalisées entre le lecteur et l’étiquette. Toute solution ou conception technique adoptée pour régler les divers problèmes de sécurité et de protection des renseignements personnels doit tenir compte de ces compromis subtils. Avec une fréquence de 13,56 MHz, par exemple, les protocoles de protection de l’étiquette doivent utiliser beaucoup moins de signaux dans le sens lecteur-étiquette qu’avec une fréquence de 915 MHz.
En général, les bandes qualifiées d’industrielles, scientifiques et médicales (ISM) sont disponibles à tout système de faible puissance et de courte portée. Les bandes ISM sont désignées par l’Union internationale des télécommunications (UIT) [10]. La référence [11] présente un résumé complet des normes. Les fréquences ISM les plus couramment utilisées avec la technologie IRF sont celles de 13,56 MHz et celles de 902 à 928 MHz (aux É.-U. seulement). De plus, la bande des basses fréquences de 9 à 135 kHz est disponible à toute utilisation sans licence dans la plupart des régions et la bande de 868 à 870 MHz est accessible en Europe aux dispositifs généraux de courte portée. Chaque bande est assujettie à ses propres règlements en matière de puissance de rayonnement et la largeur de bande.
III. APPROCHES TECHNIQUES AUX PROBLÈMES DE SÉCURITÉ ET DE PROTECTION DE LA VIE PRIVÉE
Nous allons maintenant aborder les diverses approches techniques proposées pour régler le problème de la protection des renseignements personnels des consommateurs [6].
A. Désactivation et veille
Une étiquette EPC règle le problème de la protection de la vie privée des consommateurs d’une manière simple : la « désactivation » de l’étiquette. Lorsqu’un lecteur transmet une commande de « désactivation » à une étiquette EPC, l’étiquette devient en permanence inutilisable. Pour empêcher la désactivation non autorisée d’une étiquette, la commande de désactivation doit être protégée par un NIP4. Évidemment, la désactivation constitue une mesure de protection des renseignements personnels extrême indiscutablement efficace. Un appareil installé au point de vente désactive l’étiquette d'IRF lors de la vente d’un article pour protéger ainsi la vie privée du consommateur. La dépose de l’étiquette donne le même résultat. Les magasins Marks and Spencer, par exemple, apposent des étiquettes d'IRF sur leurs vêtements [12]. Étant donné que ces étiquettes font partie de l’étiquette du prix, il est facile de les enlever et de les jeter. La désactivation ou la mise au rebut de l’étiquette protège efficacement la vie privée du consommateur, mais élimine aussi tous les avantages après achat de l'IRF dont pourrait autrement profiter ce consommateur. Les applications comme le retour d’un article sans facture, les électroménagers intelligents, les aides aux personnes âgées et autres systèmes avantageux ne fonctionnent pas avec une étiquette désactivée. De plus, dans le cas des bibliothèques et des commerces de location, il est nécessaire de préserver les étiquettes tout au long de la durée de vie de l’objet suivi (au‑delà du point d’emprunt). Ainsi, nous devons trouver d’autres solutions plus équitables, outre la désactivation, pour protéger la vie privée des consommateurs.
Au lieu de désactiver l’étiquette au point de vente, pourquoi ne pas la mettre en « veille », c.-à-d. la rendre temporairement inactive? Évidemment, une étiquette en mode veille ne procure pas de véritable protection de la vie privée si n'importe quel lecteur peut la réactiver. En conséquence, il faut mettre en place un contrôle d’accès pour réactiver l’étiquette [6]. La principale lacune d’un tel système tient au fait que le consommateur devra gérer l’accès à son étiquette. L’étiquette peut comporter un numéro particulier (NIP) sous forme imprimée. Cependant, le consommateur devra saisir ce numéro ou en faire la lecture optique pour utiliser l’étiquette. Si nous utilisions une étiquette à accès protégé, le transfert au consommateur de la responsabilité de cette protection devient un problème. La personne moyenne a déjà assez de difficulté à se rappeler de tous ses mots de passe. En outre, tous les mécanismes proposés pour transférer au consommateur le contrôle de la désactivation ou de la veille présentent deux lacunes importantes. La première tient au fait que le niveau de compétences technologiques nécessaires est plus élevé que la moyenne. La seconde tient au fait que toute la responsabilité incombe au consommateur, et libère le fournisseur ou le détaillant de toute responsabilité. Pour éviter la première lacune, certains ont suggéré un mécanisme physique de déclenchement, comme une sonde de déclenchement direct [13]. Il est évident que cette solution ramène l’étiquette d'IRF à un simple code à barres, et élimine tous les avantages précités. Le principal argument sous-jacent à cette solution est que le consommateur n’a pas à procéder à la lecture optique du même nombre d’articles que le détaillant.
B. Cryptographie
La cryptographie est l’une des techniques les plus populaires que les fabricants utilisent pour assurer la sécurité dans le cadre de la technologie IRF. De nombreux algorithmes et bon nombre de méthodes ont été suggérés. Néanmoins, la plupart de ces algorithmes étaient trop complexes, trop lents ou trop faciles à déchiffrer. En fait, on recense déjà des cas d’exploitation des faiblesses des protocoles d’authentification vulnérables. Par exemple, Texas Instruments (TI) fabrique un appareil d'IRF basse fréquence à activation cryptographique appelé le transpondeur à signature numérique. Ce transpondeur tient lieu de mécanisme antivol dans des millions d’automobiles des fabricants Ford et Toyota [6]. Une puce miniature cachée dans la clé de contact authentifie la clé au moyen d’un lecteur installé à proximité du logement de la clé avant de permettre le démarrage du moteur. Le transpondeur est également incorporé aux dispositifs de paiement sans fil SpeedpassMD, utilisés par des millions de consommateurs principalement aux postes d’essence ExxonMobil de l’Amérique du Nord.
Le transpondeur à signature numérique exécute un simple protocole d’interrogation-réponse qui contient une clé secrète « ki ». Pour répondre à une interrogation aléatoire « R » du lecteur, le transpondeur exécute une fonction de chiffrement « e » et transmet « C = eki [R] ». L’interrogation « R » a une longueur de 40 bits, et la réponse « C » a une longueur de 24 bits. Il importe de souligner que la clé secrète « ki » a une longueur de seulement 40 bits. Selon les normes cryptographiques actuelles, cette clé est très courte et est ainsi vulnérable à une attaque informatique exhaustive.
Vers la fin de 2004, une équipe de chercheurs de la Johns Hopkins University et des RSA Laboratories a entrepris de démontrer la vulnérabilité du mécanisme de sécurité du transpondeur à signature numérique. Elle a réussi à cloner des jetons de transpondeur, à déchiffrer les clés et à les simuler avec exactitude dans un autre dispositif. Cette équipe de chercheurs a démontré son attaque sur le terrain. Elle a simulé le transpondeur installé dans une clé de contact (et a utilisé une copie de la partie métallique), puis elle a « volé » sa propre automobile. Elle a également réussi à acheter de l’essence à un poste d’essence au moyen d’un clone de son propre jeton SpeedpassMD [14].
Dans le cas d’applications traitant un grand volume d’articles dans une courte période de temps, l’utilisation d’une clé secrète ki plus longue entraîne un ralentissement important de la communication entre le lecteur et l’étiquette. Ce ralentissement du débit de lecture annule l’avantage procuré par les applications automatisées à grand volume qui tendent à ajouter de la valeur aux opérations de l’entreprise. Par ailleurs, le chiffrement protège les données inscrites sur l’étiquette, mais ne tient pas compte des questions de protection des renseignements personnels du consommateur. Même si le numéro d’identification émis par l’étiquette d'IRF n’a aucune signification en lui-même, il demeure possible d’en faire le suivi. Ainsi, le simple chiffrement du numéro d’identification d’une étiquette ne résout pas le problème de protection de la vie privée. Un numéro d’identification chiffré est en lui-même une métadonnée. Il est statique et, par conséquent, susceptible d’être suivi comme tout autre numéro de série. Pour empêcher le suivi d’une étiquette, le chiffrement doit être dynamique (se transformer avec le temps). Mais encore une fois, ce chiffrement complique la communication entre le lecteur et l’étiquette et ralentit le débit de lecture.
C. Changement de nom
Pour régler le problème du suivi, on a proposé d’effacer au point de vente certains numéros d’identification inscrits sur l’étiquette [8] et de ne conserver que les numéros d’identification du type de produit (données conventionnelles du code à barres) en vue d’un usage ultérieur. Partant de cette idée, mais ne s'arrêtant pas là, on a suggéré de fournir au consommateur une manière de changer le numéro d’identification de l’étiquette [15] et de conserver l’ancien numéro en vue de sa réactivation possible dans le cadre d’une utilisation publique ultérieure5. De plus, pour empêcher la lecture clandestine des livres d’une bibliothèque, Good et ses collaborateurs [16] ont proposé de changer le numéro d’identification d’une étiquette par un numéro aléatoire au moment de passer à la caisse.
Évidemment, cette approche présente une lacune importante : même si l’étiquette émet seulement des données au sujet du type de produit, il pourrait tout de même y avoir des suites de chiffres identifiables dans la chaîne, c.-à-d. des groupes fixes. L’utilisation d’un numéro aléatoire au lieu du code de produit règle le problème de l’inventaire, mais ne résout pas le problème du suivi. Pour empêcher le suivi, il importe de fréquemment changer le numéro d’identification.
C’est dans cette optique que l’on a mis au point la cryptographie « minimaliste ». Alors que les dispositifs de forte puissance, comme le lecteur, peuvent changer le numéro d’identification d’une étiquette pour assurer la protection des renseignements personnels, l’étiquette peut changer elle-même son numéro. Dans la référence [17], A. Juels propose un mécanisme « minimaliste » où chaque étiquette contient une petite liste de pseudonymes. Avec cette technique, les pseudonymes défilent à tour de rôle chaque fois qu’un lecteur interroge l’étiquette. Ce modèle minimaliste peut offrir une certaine résistance à l’espionnage industriel, comme la lecture clandestine des stocks de produits dans un commerce de détail. Enfin, Juels et R. Pappu proposent d’autres techniques reposant sur le chiffrement et le rechiffrement dans le cadre d’applications spéciales, comme les billets de banque à identification par radiofréquence [18].
D. Procuration
Au lieu de compter sur un lecteur public d'IRF pour assurer la protection de la vie privée, le consommateur pourrait posséder son propre dispositif de protection de la vie privée adapté à l’identification par radiofréquence. Comme nous l’avons déjà souligné, certains téléphones cellulaires comportent une fonction d'IRF6. Ils pourraient éventuellement contribuer à la protection des renseignements personnels. Les chercheurs ont proposé plusieurs systèmes de ce genre. Dans la référence [19], les chercheurs ont proposé une étiquette « de garde » qui surveille la lecture ambiante des étiquettes d'IRF et recueille des renseignements sur les lecteurs, comme leurs politiques de protection de la vie privée. Le consommateur peut alors décider d’autoriser un lecteur en particulier à communiquer avec son étiquette.
Rieback, Crispo et Tanenbaum [20], de même que Juels, Syverson et Bailey [21] proposent des dispositifs très similaires, appelés respectivement « dispositif de protection IRF » et « dispositif d’amélioration IRF ». Ces moyens, contrairement à la désactivation de l’étiquette, ont pour principal avantage de permettre au détenteur de l’étiquette de continuer à profiter des avantages offerts sans mettre en jeu sa vie privée. Néanmoins, cette approche présume encore une fois que le consommateur a une très bonne connaissance de la technologie.
E. Mesure de la distance
Cette technique, qui tire profit des restrictions physiques d’une étiquette d'IRF, telles que le coût et les ressources informatiques, présuppose que la distance peut servir de paramètre pour permettre la communication entre le lecteur et l’étiquette. Le rapport signal-bruit du lecteur peut donner une grossière estimation de la distance entre le lecteur et l’étiquette. À partir de cette information, l’étiquette émet des renseignements généraux (« Je suis apposée sur une bouteille d’eau ») lorsque la lecture se fait à distance et émet des données plus précises – comme son numéro d’identification – seulement à courte portée [6]. Néanmoins, une attaque par relais pourrait fausser la distance réelle du lecteur. Dans ce type d’attaque, il faut deux dispositifs de communication, soit un « capteur » et un « relais ». L’attaquant place le capteur à proximité du dispositif d'IRF visé et le relais, à proximité d’un lecteur cible. La communication entre le capteur et le relais crée l’impression de proximité physique entre le dispositif d'IRF cible et le lecteur cible, alors qu’en fait, la distance entre ces deux appareils peut être assez considérable [7].
F. Blocage
Cette technique repose sur l’ajout d’un bit modifiable – appelé bit de protection de la vie privée – à l’étiquette. Un bit de protection « 0 » signifie que l’étiquette peut faire l’objet d’une lecture publique sans restriction; un bit « 1 » indique que l’étiquette est « privée ». Prenons le cas d’un supermarché. Avant le point de vente, le bit de protection de l’étiquette serait réglé à « 0 ». Autrement dit, tout lecteur pourrait en faire la lecture. Lorsqu’un consommateur achète l’article auquel est apposée cette étiquette, le dispositif du point de vente ferait passer le bit de protection à « 1 ». L’étiquette pourrait profiter de la protection d’un dispositif de blocage. Les sacs du supermarché pourraient avoir des étiquettes de blocage pour protéger les articles contre toute lecture clandestine lorsque le consommateur quitte le supermarché. Lorsque le consommateur arrive chez lui, il retire les articles des sacs et les range dans le réfrigérateur. Sans l’étiquette de blocage, un réfrigérateur « intelligent » à identification par radiofréquence pourrait lire les articles dotés d’une étiquette d'IRF [6].
Ces techniques exploitent principalement les protocoles anticollision qu’utilise déjà le lecteur IRF pour communiquer avec l’étiquette. Comme nous l’avons déjà mentionné, il existe un type de protocole anticollision, dit à structure arborescente, qui peut servir à l’identification par radiofréquence. Supposons un lecteur IRF qui utilise l’algorithme de l’arborescence pour empêcher les collisions. Le dispositif de blocage entrave la lecture IRF en simulant des collisions dans l’arborescence. Par exemple, le dispositif de blocage pourrait empêcher la lecture d’une étiquette simplement en émettant un bit « 0 » et un bit « 1 » à la suite d’une interrogation, obligeant ainsi le programme du lecteur à parcourir l’ensemble de l’arborescence. Supposons aussi que le numéro d’identification type d’une étiquette a une longueur de 96 bits; l’arborescence comporterait alors plusieurs milliards de chemins. Un tel dispositif de blocage provoquerait toujours la panne apparente du lecteur. Dans le présent cas, le blocage repose sur le fait que le bit de tête du numéro d’identification de l’étiquette est un bit de protection. Le dispositif de blocage n’empêche pas la lecture normale de l’étiquette lorsque le bit de protection est à « 0 ». Il est aussi possible d’adapter le blocage aux protocoles Aloha. Le principal inconvénient de cette approche est qu’elle repose sur la mise au point d’un matériel qui assure le blocage le cas échéant. En outre, il est trop tôt pour présumer que les futurs algorithmes ne pourront pas contourner ces techniques de blocage [6].
IV. APPROCHES NON TECHNIQUES AUX PROBLÈMES DE SÉCURITÉ ET DE PROTECTION DE LA VIE PRIVÉE
Même à une étape relativement précoce (au stade de la palette), les problèmes de protection de la vie privée qu'entraîne l’identification par radiofréquence ont attiré l’attention des décideurs et des législateurs. Plusieurs états américains ont déposé des projets de loi visant la protection de la vie privée dans le cadre de l'identification par radiofréquence. La Federal Trade Commission (Commission fédérale du commerce) des É.‑U. a déposé un rapport qui traite de l’incidence de l’identification par radiofréquence sur les consommateurs, y insistant sur la protection des renseignements personnels, mais n’a pas encore signifié son intention d’adopter des règlements [22].
EPC Global Inc. a publié à l’intention de ses membres des directives sur la protection des renseignements personnels dans les produits de consommation [23]. Ces directives mettent l’accent sur la sensibilisation du consommateur à la présence et au fonctionnement des étiquettes EPC et sur le besoin de fournir une méthode de désactivation ou de retrait. L’élaboration de bonnes politiques publiques sur l’identification par radiofréquence risque d’être difficile parce qu’une étiquette d'IRF n’offre aucune forme de contrôle d’accès, donc aucun point évident pour déterminer la responsabilité en cas de fuite d’information. Un professionnel des soins de santé pourrait, par exemple, publier une politique sur la protection des renseignements personnels qui décrit les manières dont il accorde ou interdit l’accès aux bases de données de ses clients. S’il advient la compromission d’une base de données, le responsable est (plus ou moins) facile à identifier. Par contre, un détaillant ne peut offrir aucune garantie contre le suivi des étiquettes d'IRF apposées sur les articles qu’il vend. La protection de la vie privée en relation à l'IRF est possible seulement si toutes les parties qui utilisent un lecteur y souscrivent ou si le consommateur ne transporte pas sur lui une étiquette active [6]. Étant donné les lacunes technologiques inévitables et parce que la politique agit seule, de bons règlements sur la protection de la vie privée en relation à l'IRF exigent la coopération des technologues, des législateurs et des groupes de protection des consommateurs. Certains technologues prêtent déjà attention aux problèmes politiques et législatifs de l’identification par radiofréquence. Garfinkel a publié une « charte des droits relativement à l’identification par radiofréquence » dans laquelle des dispositions générales draconiennes stipulent l’importance d’avertir le consommateur et de lui accorder des choix [24]. Floerkemeier et ses collaborateurs [19] ont envisagé l’utilisation de gardiens pour assurer la conformité de l'IRF aux pratiques équitables de traitement de l’information de l’OCDE mentionnées plus tôt. Leur travail vise principalement à informer le consommateur de l’existence et de l’objet de la collecte de données par IRF.
V. MENACES QUE PRÉSENTE L'IRF POUR LA PROTECTION DE LA VIE PRIVÉE ET LA SÉCURITÉ
La technologie IRF suscite des préoccupations particulières au sujet de la sécurité et de la protection des renseignements personnels, principalement parce que les détenteurs d’étiquettes ne peuvent pas déceler le rayonnement RF nécessaire à la lecture de l’étiquette et que l’étiquette ne conserve pas un registre des lectures antérieures. Par conséquent, l’étiquette est intrinsèquement vulnérable des points de vue de la sécurité et de la protection de la vie privée.
Il existe de nombreuses manières de classifier les applications de l'IRF. Par exemple, dans un article de synthèse, la société informatique IEEE [25] classe les applications comme suit (figure 2) :
- la chaîne d’approvisionnement, y compris les usines qui fabriquent des objets étiquetés, les réseaux de transport et les entrepôts des commerces de détail;
- la zone de transition, y compris les parties des commerces de détail qui font face au consommateur, où les articles étiquetés passent du vendeur au consommateur;
- les lieux sans lien avec la chaîne d’approvisionnement, c.-à-d. tous les autres endroits, y compris la résidence du consommateur.
Dans le présent document, nous classons les applications de l'IRF d’une manière différente. Du point de vue de la politique publique, nous croyons qu’il est plus pratique de classer ces applications comme suit :
- Applications non envahissantes : Dans cette catégorie, les applications utilisent l’identification par radiofréquence pour la gestion des biens ou le contrôle d’un procédé où il n’y a aucun suivi des personnes. Par exemple, le projet de suivi des biens de Wal-Mart, qui se limite au suivi des boîtes et des palettes, relève de cette catégorie. Comme autres applications, notons la gestion des biens au sein d’une organisation, le contrôle des billets de transit ainsi que l’identification et le suivi du bétail.
- Applications envahissantes : Dans cette catégorie, les applications utilisent l’identification par radiofréquence pour identifier ou suivre une personne. Comme exemples de ces applications, notons l’identification d’un patient dans un établissement de soins de santé, le suivi d’un employé dans une organisation, l’accès à une installation ou la collecte d’un péage en fonction d’un numéro d’identification propre à l’utilisateur.
Certaines de ces applications, comme l’accès à une installation et la collecte du péage, existent depuis de nombreuses années. Plusieurs facteurs ont contribué à occulter les problèmes de protection de la vie privée : la valeur perçue de l’application, la connaissance restreinte de la technologie qu’a le public et une forme probable de contrôle individuel de la technologie. Par exemple, un conducteur informé qui ne veut pas utiliser d'étiquette d'IRF pour faire le suivi des péages pourrait préférer payer son droit de passage sur place. L’organisme responsable des routes pourrait utiliser une technologie de rechange, comme le traitement d’images des plaques d’immatriculation pour obtenir les renseignements nécessaires à la facturation. Il pourrait aussi offrir à l’utilisateur le choix de recourir à l'IRF. Le public, de plus en plus sensibilisé à l’identification par radiofréquence, a toutefois fait part de ses préoccupations relatives à la protection de la vie privée que suscitent les nouvelles applications de cette technologie à des fins novatrices. Certaines applications récemment contestées concernent le suivi des employés pour contrôler la productivité ou prévoir les pandémies, car ces applications n’offrent aucun mécanisme de participation volontaire. En outre, les organisations ont manifesté leur réticence à définir ou communiquer les raisons pour lesquelles elles explorent ces applications et les politiques destinées à empêcher les abus relativement aux données recueillies.
En conséquence, nous pouvons aussi répartir les menaces comme suit : celles qui ont principalement une incidence sur les entreprises et autres organisations, celles qui ont une incidence sur les travaux publics et, enfin, les autres menaces, comme le clonage, qui ont une incidence sur les deux autres catégories [25].
Figure 2 : Diverses catégories d’applications de l’IRF [25].
A. Menaces à la sécurité des données d’une entreprise
Les problèmes de sécurité et de protection de la vie privée soulevés par les applications de l'IRF représentent une menace pour la sécurité des données d’une entreprise. Par exemple, avec un objet étiqueté dans une chaîne d’approvisionnement, il est plus facile pour un concurrent d’obtenir à distance des données au sujet de cette chaîne d’approvisionnement, en soi l’une des données industrielles les plus confidentielles. En outre, avec un objet étiqueté, le concurrent peut plus facilement accéder sans autorisation aux préférences des consommateurs et utiliser ces données dans des scénarios concurrentiels de mise en marché.
En général, l'échange par voie électronique d’énormes volumes de données entre diverses parties expose tout système, non seulement la technologie IRF, à des risques pour la sécurité [25].
B. Menaces pour la protection de la vie privée d’une personne
La plupart des menaces pour la protection de la vie privée d’une personne découlent de la capacité d’une étiquette à lier un numéro d’identification à l’identité d’une personne. Un consommateur qui achète un article muni d’une étiquette d'IRF peut être lié au numéro de série électronique de l’article. Ce type d’association peut être clandestin et même involontaire. Cela signifie qu’une personne qui transporte des étiquettes particulières peut être suivie si l’organisme de surveillance sait quelle étiquette est liée à telle personne7.
C. Menace du clonage
Comme nous l’avons déjà mentionné, les chercheurs de la Johns Hopkins University et des RSA Laboratories ont récemment décelé un grave manquement à la sécurité dans l’étiquette d'IRF des dispositifs Speedpass et de nombreux systèmes antidémarrage des automobiles. En démontrant la possibilité de cloner de telles étiquettes, les chercheurs ont révélé la possibilité de fraudes et de nouveaux modes de vol d’automobiles. Bien que leur découverte ne porte pas directement atteinte à la protection de la vie privée d’un consommateur, elle démontre que les étiquettes d'IRF pourraient avoir des conséquences sur la sécurité au-delà du simple suivi ou du profilage des consommateurs [14].
VI. EXPOSÉ
La protection de la vie privée relative à l'IRF est déjà source de préoccupations dans plusieurs domaines de la vie quotidienne [6] :
- Transpondeurs de paiement des péages : Le transpondeur de paiement automatique des péages – petite plaque collée dans le coin d’un pare-brise – est répandu partout dans le monde. Dans au moins un cas célèbre, un tribunal a utilisé des données recueillies par un tel transpondeur dans une cause de divorce pour faire tomber l’alibi de l’accusé [26].
- Bibliothèques : Certaines bibliothèques ont mis en place un système d'IRF pour faciliter l’emprunt de livres, contrôler les stocks et réduire les traumatismes répétés chez les bibliothécaires. Cependant, les préoccupations au sujet de la surveillance des livres choisis ont mis au jour les problèmes de protection de la vie privée relatifs à l'IRF.
- Passeports : L’Organisation de l’aviation civile internationale (OACI) a publié des directives sur les passeports et autres documents de voyage recourant à l'IRF [27]. Les É.-U. ont demandé à 27 pays d’adopter ces normes comme condition d’entrée de leurs ressortissants, dans une tentative d’éliminer les visas. Des défis techniques et des modifications apportées aux paramètres techniques, en partie à la suite de pressions exercées par les défenseurs de la protection de la vie privée, ont retardé l’adoption de ces mesures [28].
* Implantation corporelle : L’implantation corporelle d’une étiquette d'IRF remonte au moins à 1998, année où Kevin Warwick, professeur de cybernétique à l’Université de Reading, en Angleterre, a implanté une étiquette au-dessus de son coude gauche pour commander les portes, les circuits d’éclairage et les ordinateurs de son bureau. En 2004, la société VeriChip, de Delray Beach, en Floride., a vu sa puce approuvée pour implantation corporelle. Depuis ce jour, selon l’entreprise, environ 220 personnes aux États-Unis (plus de 2 000 dans le monde entier) ont volontairement accepté de se faire implanter une étiquette VeriChip dans un bras. En général, l’implant sert à alerter les médecins d’un trouble médical (comme le diabète) lorsque la personne est admise inconsciente dans un hôpital. La lecture de l’étiquette permet au médecin d’identifier le patient et d’accéder à ses renseignements médicaux personnels. Il existe également des utilisations plus frivoles : certaines boîtes de nuit les utilisent pour permettre à leurs clients d’accéder à des salles privées et facturer leurs consommations directement à leur compte. VeriChip vise aussi à utiliser sa puce pour contrôler l’accès physique à des lieux [29].
Malgré tous les avantages dont peuvent profiter les entreprises et les consommateurs, il existe toutefois une ardente bataille entre les tenants de l’identification par radiofréquence, comme les détaillants, les grossistes, les fabricants et les professionnels des soins de la santé, et les organismes de protection des consommateurs et les groupes de défense des droits de la personne.
Il ne fait aucun doute que les tenants de cette technologie et ses opposants occupent les extrémités du spectre. Par exemple, les opposants à cette technologie ne tiennent pas compte du fait qu’il est beaucoup plus difficile d’entrer par effraction dans une automobile dotée d’un système d'IRF qui accorde l’accès après une authentification que dans une automobile qui en est exempte.
Une transaction commerciale électronique totalement sécuritaire est un mythe. Pourtant, les consommateurs estiment que les services bancaires en ligne constituent une application hautement sécuritaire. Les consommateurs et les organisations procèdent à des millions de transactions chaque jour malgré le grand nombre d’effractions et de transactions frauduleuses signalées dans le système bancaire. Les banques et les entreprises émettrices de cartes de crédit rassurent le consommateur en assumant la responsabilité de protéger les renseignements sur le consommateur et le consommateur lui-même s’il advient une brèche dans la protection de l’information ou une transaction frauduleuse. Le consommateur n’endosse aucune responsabilité envers la protection de ses cartes8. Les banques et les entreprises émettrices de cartes de crédit, telles que Visa, MasterCard et American Express, assument également la responsabilité en cas de transaction frauduleuse. Nous devons examiner une position similaire pour les applications de l'IRF; la protection des renseignements sur le consommateur devient la responsabilité de la partie qui recueille les données.
Les tenants de la technologie soutiennent que les avantages directs et indirects pour le consommateur devraient compenser les violations « mineures » de leur vie privée. Ils comparent en général l’identification par radiofréquence aux téléphones cellulaires lorsqu'ils traitent de questions relatives à la protection de la vie privée.
Mais les utilisateurs achètent volontairement un téléphone cellulaire et acceptent par conséquent l'immixtion – aussi faible soit-elle – dans leur vie privée pour profiter des avantages de la technologie. En outre, chaque utilisateur peut éteindre son téléphone cellulaire ou choisir de ne pas en avoir un. Toutefois, le consommateur n’a jamais le choix d'accepter ou non l’utilisation d’une étiquette d'IRF. C’est sur ce point que repose la plupart des débats sur la protection de la vie privée – l’utilisateur ne peut pas choisir une option moins envahissante.
Il est intéressant de noter que l’enquête multinationale sur la protection de la vie privée des consommateurs menée par IBM-Harris en 1999 a permis de déterminer que 90 pour cent des Américains se disaient préoccupés par la possibilité d'usage inapproprié de leurs renseignements personnels et que 80 pour cent pensaient que les consommateurs avaient perdu le contrôle sur la manière dont les renseignements personnels sont recueillis et utilisés [30].
Les défenseurs de la protection de la vie privée, comme Electronic Privacy Information Center (EPIC) ou Consumers Against Supermarket Privacy Invasion and Numbering (CASPIAN), sont préoccupés par le fait que les renseignements sur les articles achetés par le consommateur et le mode de paiement peuvent être conservés dans des bases de données et pourraient éventuellement servir à des fins non divulguées. Plusieurs campagnes publiques bien connues, comme celles menées contre Benetton, Gillette et TESCO, ont réussi à mettre fin aux essais que ces entreprises effectuaient sur l'IRF [31].
Maintenant que nous avons fait un survol des approches techniques proposées, il ressort que toutes les solutions suggérées présentent au moins une des lacunes suivantes :
- Certaines méthodes suggérées exigent que le consommateur ait de très bonnes connaissances technologiques9, notamment sur les techniques de modification des étiquettes et le rechiffrement.
- Si nous supposons que les algorithmes de chiffrement utilisés offrent une protection suffisante, un concurrent pourrait tout de même faire le suivi du détenteur d’une étiquette si la clé de chiffrement n’est pas dynamique, c.-à-d. si elle ne change pas chaque fois qu’un lecteur essaie de communiquer avec l’étiquette.
- La majorité des approches précitées visent une solution magique au problème de sécurité, qui conviendrait à toutes les applications. Le niveau de sécurité nécessaire pour une application envahissante diffère de celui d’une application non envahissante. Par exemple, le niveau de sécurité d’une étiquette servant à faire le suivi des animaux n’est pas aussi élevé que celui nécessaire pour faire le suivi d’un employé dans une organisation.
- Les ressources informatiques disponibles sur l’étiquette utilisent des technologies différentes adaptées aux diverses applications. Par exemple, la communication entre l’étiquette et le lecteur dans un entrepôt ou un centre de distribution doit être assez rapide pour permettre un débit élevé de lecture, ce qui empêche les ressources disponibles (largeur de bande et mémoire) d’exécuter des fonctions de sécurité. D’un autre côté, une étiquette implantée dont le délai de lecture est plus long pourrait avoir des ressources supplémentaires.
- Enfin, la plupart de ces solutions ont été adaptées à partir d’autres technologies, comme le réseautage sans fil ou la téléphonie mobile. Ces techniques ne tiennent pas compte de la particularité de la technologie IRF. Elles peuvent, toutefois, tenir lieu de directives pour la mise au point de nouvelles techniques d'IRF.
Les avantages indirects de l’utilisation de l’identification par radiofréquence dans les activités quotidiennes sont considérables – certains sont en fait tellement importants qu’on ne pourrait songer à abandonner la technologie. Par exemple, selon les statistiques officielles sur l’énergie du gouvernement américain10, seulement 31 pour cent des déchets américains sont recyclés. Toute hausse de ce pourcentage entraîne une baisse importante du gaspillage des ressources naturelles11. L'IRF, associée à d’autres technologies comme la mesure du poids, permettrait de suivre le comportement en matière de gestion des déchets dans les agglomérations. Les régions sans programme de recyclage pourrait donc bénéficier d'une formation pour accroître la sensibilisation aux avantages du recyclage.
En outre, les systèmes d'IRF, qui offrent des moyens de suivi des biens et des processus, procurent d’excellents avantages aux organisations en leur permettant d’évaluer leurs processus opérationnels et d’améliorer leur efficacité.
Un récent projet pilote en soins de santé mené au Centre médical de l’Université McMaster a fait appel à un système d'IRF pour le suivi des biens dans un service. Les résultats du projet ont permis d’entrevoir des avantages directs et indirects si le Centre va de l’avant et implante un tel système :
- Économies monétaires : On estime que l’hôpital économiserait directement entre 10 000 $ et 20 000 $ chaque année par service simplement en réduisant le nombre de pièces d’équipement perdues.
- Qualité des soins prodigués aux patients : Selon le service, on estime qu’il y a chaque mois dans chaque service de deux à dix incidents où la perte d’une pièce d’équipement entraîne soit un retard dans les soins donnés aux patients ou même l’annulation de ces soins. Cette situation a donc des répercussions très importantes sur les patients.
- Gain de temps : On estime que chaque infirmière consacre de 30 à 90 minutes chaque semaine à chercher une pièce d’équipement. Ce temps pourrait avantageusement être consacré à donner des soins aux patients. Certaines économies découleraient directement de la réduction du nombre d’heures supplémentaires.
La technologie IRF offre des avantages incontestables que nous ne pouvons passer sous silence. Les défenseurs de la protection de la vie privée se trompent lorsqu’ils traitent cette technologie de mode passagère, qui va finir par disparaître. D’un autre côté, les entreprises qui tentent d’obliger les consommateurs à accepter cette technologie risquent non seulement de perdre des clients – elles risquent aussi d’enfreindre les règlements actuels sur la protection de la vie privée. Tous les intervenants cherchent de plus en plus à établir un dialogue et à tenir des discussions constructives sur les leçons tirées pour ainsi atteindre un équilibre entre les besoins de l’industrie, des gouvernements et de la société civile.
La plupart des innovations relatives à l’identification par radiofréquence sont assez récentes. Il est à la fois naïf et erroné d’alléguer que l’on a étudié les risques liés à l’utilisation de cette technologie. Il faut entreprendre des recherches exhaustives sur chaque application et mener des projets pilotes réels pour vérifier les résultats des recherches. Ces recherches et la portée de ces projets pilotes doivent viser à évaluer le comportement social, le milieu politique et le milieu économique. Toute tentative de transférer à l'IRF les connaissances acquises dans le cadre d’autres technologies pourrait se révéler trompeuse et coûteuse.
VII. RECOMMANDATIONS ET SUGGESTIONS
Dans le cycle de vie de toute nouvelle technologie, il existe des utilisateurs précoces qui sont à l’aise avec la nouveauté et sont prêts à prendre de plus grands risques qu’une personne ordinaire. Comme exemple d’un utilisateur précoce, mentionnons une personne qui se fait implanter une étiquette d'IRF pour ouvrir les portes de sa résidence. Cette personne a en général une bonne compréhension du fonctionnement et des limites de la technologie et l’exploite à son avantage. Toutefois, il serait naïf de prendre des décisions politiques sur l’implantation corporelle généralisée d’étiquettes d'IRF en se fiant sur les expériences de cet utilisateur précoce. La société dans son ensemble n’est pas à l’aise avec l’idée d’implanter dans chaque personne une telle étiquette, même dans un but d’assistance médicale ou pour accéder à des lieux. Les méthodes actuelles d’identification personnelle qui reposent sur des cartes d’identité sont beaucoup plus acceptées, car elles ne sont pas envahissantes et elles accomplissent la même fonction. Néanmoins, la personne doit sans cesse se rappeler d'avoir sa carte en sa possession.
Au lieu de laisser ces utilisateurs précoces orienter les décisions politiques, nous devons œuvrer à comprendre l’incidence de cette technologie sur la société et sur les entreprises. Une compréhension approfondie des capacités et des limites techniques de même que des aspects sociaux devrait fournir une base solide pour modifier les aspects politiques.
Étant donné les nombreuses utilisations de l’identification par radiofréquence, les applications qui en découlent ont des répercussions différentes, selon l’application et le groupe d’utilisateurs. Par conséquent, le milieu de la politique doit être assez souple pour permettre l’élaboration de directives adaptées aux diverses applications de la technologie. Avant d’adopter des politiques, il importe de mener une analyse approfondie de l’incidence de ces applications sur les aspects sociaux, techniques et économiques pour assurer la protection adéquate de la vie privée des utilisateurs et des consommateurs sans désavantager les entreprises dans cette économie mondiale. Nous pouvons résumer nos recommandations comme suit :
- Nous devrions permettre l’utilisation de la technologie IRF dans des applications non envahissantes, à la condition que tous les intervenants soient officiellement informés. Par exemple, les entreprises qui utilisent la technologie de l’identification par radiofréquence pour gérer une chaîne d’approvisionnement doivent clairement énoncer leur intention et aviser tous leurs partenaires qu’il y a une collecte automatisée de données. Les détaillants, dont le principal but est la gestion des stocks, devraient soit désactiver les étiquettes, soit les enlever à la caisse. Pour eux, le fait de simplement aviser les partenaires de l’utilisation de l'IRF ne suffit pas. Les entreprises devraient également faire part aux intervenants du type de données recueillies et des utilisations prévues de ces données.
- Nous ne devrions pas permettre l’utilisation de la technologie IRF dans des applications envahissantes sans obtenir auparavant l’autorisation d’un organisme de réglementation. Présentement, les techniques utilisées pour assurer la sécurité des étiquettes et les politiques adoptées pour prévenir les abus dans la collecte de données ne sont pas assez perfectionnées pour protéger les utilisateurs. Des règlements sont nécessaires pour protéger les personnes qui ne peuvent faire autrement que d’utiliser les étiquettes. Par exemple, une organisation pourrait obliger l’utilisation d’étiquettes d'IRF dans certaines applications, comme la planification d’une pandémie. Bien que le but d’une telle application soit en général louable, nous devons élaborer des politiques pour prévenir les abus de toute collecte de données en ce sens. Nous devons aussi mettre en place des processus pour surveiller étroitement la protection de ces données et en assurer l’accès seulement en cas de besoin – et seulement par des personnes autorisées. Dans une organisation de soins de santé, une équipe responsable de la planification des pandémies pourrait avoir accès aux données concernant des employés pendant la période nécessaire, en général quelques jours avant une éclosion. Toutefois, même les gestionnaires ne devraient pas avoir le droit d’accéder régulièrement à ces données. En outre, nous devons communiquer ouvertement cette politique et déterminer clairement des pénalités en cas d'abus dans le traitement de ces données.
- Nous devrions examiner les applications militaires et des soins de santé au cas par cas.
IX. CONCLUSION
Les applications découlant de l’identification par radiofréquence sont trop diverses pour être assujetties à un seul ensemble de politiques. Dans le présent document, nous avons catégorisé les applications selon qu’elles sont envahissantes ou non du point de vue de la vie privée. Il importe que les entreprises respectent les directives relatives aux pratiques équitables de traitement de l’information pour protéger la vie privée des utilisateurs. L’application de ces directives doit être assez souple et générale pour tenir compte de la particularité de la technologie et de la nature de l’application elle-même.
RÉFÉRENCES
- G Frank, N Tsougas et S Bennett, mars 2006. [LINK].
- Radio-Frequency Identification (RFID): Drivers, Challenges and Public Policy Considerations, rapport non classifié publié par le Comité de la politique de l'information, de l'informatique et des communications.
- North American RFID Markets For Automotive, Aerospace & Industrial Manufacturing, éditeur : Frost & Sullivan, mai 2006.
- Brève recherche effectuée par RAND, Global Technology Revolution 2020: Technology Trends and Cross-Country Variation [www.Rand.org].
- Organisation de coopération et de développement économiques (OCDE), Recommandation du Conseil concernant les lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, septembre 1980.
- A. Juels, RFID Security and Privacy: A research Survey, RSA Laboratories, septembre 2005.
- Z. Kfir et A. Wool, Picking virtual pockets using relay attacks on contactless smart-card systems, IEEE, 2005.
- S. E. Sarma, S. A. Weis et D.W. Engels, RFID systems, security and privacy implications, rapport technique MIT-AUTOID-WH-014, AutoID Center, MIT, 2002.
- B. Bing., Broadband Wireless Access, Boston, Kluwer Academic Publishers, 2000.
- Union internationale des télécommunications, Règlement des radiocommunications, vol. 1, 1998.
- T. Scharfeld, An Analysis of the Fundamental Constraints on Low Cost Passive Radio-Frequency Identification System Design, thèse de maîtrise, département de génie mécanique, Massachusetts Institute of Technology, Cambridge, MA 02139, 2001.
- J. Collins, Marks & Spencer expands RFID retail trial, RFID Journal, 10 février 2004, référence 2005 à [LINK].
- F. Stajano et R. Anderson, The resurrecting duckling: Security issues for ad-hoc wireless networks, dans 7th International Workshop on Security Protocols, volume 1796 des Lecture Notes in Computer Science, pages 172–194. Springer-Verlag, 1999.
- S. Bono, M. Green, A. Stubblefield, A. Juels, A. Rubin et M. Szydlo, Security analysis of a cryptographically-enabled RFID device, 14th USENIX Security Symposium, pages 1–16. SENIX, 2005. Site Web spécial à [www.rfidanalysis.org].
- S. Inoue et H. Yasuura, RFID privacy using user-controllable uniqueness, dans RFID Privacy Workshop, MIT, Massachusetts, États-Unis, novembre 2003.
- N. Good, J. Han, E. Miles, D. Molnar, D. Mulligan, L. Quilter, J. Urban et D. Wagner, Radio frequency identification and privacy with information goods, dans Workshop on Privacy in the Electronic Society – WPES, pages 41–42. ACM, ACM Press, 2004.
- A. Juels, Minimalist cryptography for low-cost RFID tags, dans C. Blundoand S. Cimato, éditeurs, The Fourth International Conference on Security in Communication Networks – SCN 2004, volume 3352 des Lecture Notes in Computer Science, pages 149–164. Springer-Verlag, 2004.
- A. Juels et R. Pappu, Squealing Euros: Privacy protection in RFID-enabled banknotes, dans R. Wright, éditeur, Financial Cryptography ’03, volume 2742 des Lecture Notes in Computer Science, pages 103–121. Springer-Verlag, 2003.
- C. Floerkemeier, R. Schneider et M. Langheinrich, Scanning with a purpose - supporting the fair information principles in RFID protocols, 2004. Référence 2005 à [LINK].
- M. Rieback, B. Crispo et A. Tanenbaum, RFID Guardian: A battery powered mobile device for RFID privacy management, dans Colin Boyd et Juan Manuel Gonzalez Nieto, éditeurs, Australasian Conference on Information Security and Privacy – ACISP 2005 , volume 3574 des Lecture Notes in Computer Science, pages 184–194. Springer-Verlag, 2005.
- A. Juels, P. Syverson et D. Bailey, High-power proxies for enhancing RFID privacy and utility, dans G. Danezis et D. Martin, éditeurs, Privacy Enhancing Technologies (PET), 2005.
- Federal Trade Commission des États-Unis, Radio frequency identification: Applications and implications for consumers, mars 2005. Rapport de travail du personnel de la FTC. Référence 2005 à [LINK].
- Guidelines on EPC for consumer products, 2005. Référence 2005 à [LINK].
- S. Garfinkel, An RFID Bill of Rights, Technology Review, page 35, octobre 2002.
- A Juels, R. Pappu et S. Garfinkel, RFID Privacy: An overview of Problems and Proposed Solutions, IEEE Computer Society, 2005.
- S. Stern, Security trumps privacy, Christian Science Monitor, 20 décembre 2001.
- Organisation de l'aviation civile internationale (OACI). Document 9303, Documents de voyage lisibles à la machine. 1re Partie — Passeport lisible à la machine, 2005.
- R. Yu., Electronic passports set to thwart forgers, USA Today, 8 août 2005. Référence 2005 à [LINK].
- [LINK].
- Michael E. Staten et Fred H. Cate, The Impact of opt-in Privacy Rules on retail Credit Markets: A Case Study of MBNA, Duke Law Journal, volume: 52, page 745.
- Frederic G. Thiesse, Auto-ID Lab Workshop, 23 sept. 2004 [LINK].
TERRA INCOGNITA
Les horizons de la protection de la vie privée
29e Conférence internationale des commissaires à la protection des données et de la vie privée
Loi sur l’intégrité physique
Par: Mme Katherine Albrecht, Ph.D./CASPIAN
Loi sur l’intégrité physique
Loi interdisant l’implantation forcée de dispositifs d’identification et de surveillance dans le corps humain
DÉFINITIONS
« Entité » Une personne, une société, une fiducie d’entreprise, une succession, une fiducie, un partenariat, une société à responsabilité limitée, une association, une fondation, une coentreprise, un gouvernement, une subdivision de gouvernement, une agence ou un intermédiaire, une société ouverte ou tout autre entité juridique ou commerciale.
« Personne » Un être humain unique et distinct.
« Dispositif d’identification ou de surveillance, ou repère » Tout objet, application, dispositif, repère ou autre technologie capable de stocker ou de transmettre passivement ou activement l’identité d’une personne, ses caractéristiques, son statut, son appartenance à des groupes, ses antécédents de voyage ou son emplacement, ou capable de stocker ou de transmettre un nombre, un symbole, un signal, des constantes ou un autre identificateur susceptible d’être relié à toute information du genre.
« Surveiller » Localiser, suivre, observer.
« Exercer une discrimination » Établir des distinctions, avoir un parti pris ou un préjugé, être partial.
INTERDICTIONS
Interdiction d’imposer l’implantation d’un dispositif d’identification ou de surveillance, ou un repère
Aucune entité ne peut exiger qu’un dispositif d’identification ou de surveillance, ou un repère, soit implanté ou inséré de façon permanente ou semi permanente dans le corps, la peau, les dents, les cheveux ou les ongles d’une personne.
Consentement
En aucun cas un dispositif d’identification ou de surveillance, ou un repère, ne peut être implanté ou inséré dans une personne ou sur une personne sans son consentement éclairé écrit. Le consentement d’un tuteur, d’un tuteur à l’instance, d’un mandataire, d’un parent ou d’un autre agent n’est pas considéré comme un consentement adéquat.
L’implantation ou l’insertion d’un dispositif d’identification ou de surveillance, ou d’un repère, ne peut se faire que si la personne concernée a dix-huit ans ou plus et est apte à donner son consentement.
Interdiction d’implanter un dispositif d’identification ou de surveillance dans le corps d’une personne décédée
En aucun cas un dispositif d’identification ou de surveillance, ou un repère, ne peut être implanté ou inséré dans le corps d’une personne décédée.
Interdiction liée à l’identification et à la surveillance
Aucune entité ne peut utiliser un dispositif d’identification ou de surveillance, ou un repère, implanté ou inséré dans une personne pour surveiller ou aider à surveiller cette personne sans le consentement de la personne identifiée ou surveillée.
Interdiction d’exercer une discrimination
Aucune entité ne doit exercer de discrimination à l’égard des personnes qui ne sont pas dotées de dispositifs d’identification ou de surveillance, ou de repère, pour quelque fin que ce soit, y compris, mais sans s’y limiter, l’emploi, le logement, l’assurance, les soins médicaux, le vote, l’éducation, les voyages et le commerce.
Pénalités
[À déterminer par le Parlement]
Pour en apprendre davantage sur l’identification par radiofréquence et les implants humains, ou pour demander un témoignage d’expert concernant ce projet de loi, veuillez consulter le site Web de CASPIAN Consumer Privacy à www.antichips.com.
TERRA INCOGNITA
Les horizons de la protection de la vie privée
29e Conférence internationale des commissaires à la protection des données et de la vie privée
Lignes directrices régissant la protection
de la vie privée pour les systèmes
d’identification par radiofréquence
Par: Ann Cavoukian, Ph.D.
La commissaire Ann Cavoukian remercie Fred Carter, Politiques et application de la loi, CIPVP, d’avoir contribué à l’élaboration des présentes lignes directrices.
Lignes directrices régissant la protection de la vie privée pour les systèmes d’identification par radiofréquence
INTRODUCTION
Le présent document propose des pratiques exemplaires sur la protection de la vie privée à l’intention des organismes qui conçoivent et utilisent des technologies et systèmes d’identification par radiofréquence.
Le Bureau du commissaire à l’information et à la protection de la vie privée/Ontario (CIPVP) a le mandat de renseigner le public et d’étudier les questions que soulèvent les nouvelles technologies de l’information en matière de vie privée, en vue de trouver des solutions efficaces. Le CIPVP a donc élaboré les présentes lignes directrices en collaboration avec l’industrie et d’autres intervenants. Elles ne peuvent toutefois se substituer aux lois et règlements en vigueur sur la protection de la vie privée.
Nous sommes conscients du fait que les étiquettes d’identification par radiofréquence (ou « étiquettes radio ») sont de plus en plus répandues dans la vie de tous les jours et qu’elles offrent de nombreux avantages. Mentionnons notamment les cartes d’accès, les antidémarreurs, les systèmes de péage sur les autoroutes et d’autres systèmes de laissez-passer électroniques.
Les étiquettes radio employées dans la chaîne d’approvisionnement posent peu de risques d’atteinte à la vie privée. Elles ne sont pas liées à un particulier mais sont placées dans des caisses ou palettes pour faire le suivi des produits. recourent à l’identification par radiofréquence pour conférer un identificateur unique aux produits dans la chaîne d’approvisionnement. Ces étiquettes contiennent des renseignements standard sur les produits; elles ne comprennent aucun renseignement personnel.
Pour que la technologie d’identification par radiofréquence réalise son plein potentiel pour les consommateurs, les détaillants et les fournisseurs, il est essentiel d’étudier les préoccupations soulevées en matière de protection de la vie privée dans l’état actuel de la technologie, tout en établissant des principes qui régiront l’évolution et l’implantation de cette technologie. Nous invitons donc les organismes à observer et à adopter les présentes lignes directrices avant d’implanter un système d’identification par radiofréquence qui pourrait avoir des répercussions pour les consommateurs.
Comme l’indique le DVD d’accompagnement de la commissaire, l’utilisation d’étiquettes radio dans le processus de gestion de la chaîne d’approvisionnement ne soulève pas de problèmes. Ce qui est préoccupant, c’est leur utilisation dans les articles vendus aux consommateurs. Lorsqu’elles sont reliées à des renseignements personnels, les étiquettes radio risquent d’ouvrir la voie à des pratiques qui portent atteinte à la vie privée, notamment la localisation des personnes et la surveillance de leurs activités. Les présentes lignes directrices visent à soulager les inquiétudes associées à ce couplage de données en matière de protection de la vie privée ainsi qu’à accroître l’ouverture et la transparence des systèmes d’identification par radiofréquence. En bout de ligne, elles permettront aux organismes de conserver leur clientèle actuelle et peut-être d’attirer de nouveaux clients.
PORTÉE
Les présentes lignes directrices sur l’identification par radiofréquence s’appliquent à tout organisme qui exploite un système d’information utilisant cette technologie pour identifier des produits de consommation et qui relie ou pourrait relier ces données à des renseignements personnels.
« Organisme » s’entend des associations, entreprises, organismes de bienfaisance, clubs, organismes gouvernementaux, institutions et cabinets de professionnels. Dans la plupart des cas, les lignes directrices seront particulièrement pertinentes pour les détaillants.
« Système d’information » s’entend de toute combinaison d’étiquettes radio, de lecteurs, de bases de données et de réseaux qui permettent de recueillir, de transmettre, de traiter et de stocker des données au moyen de l’identification par radiofréquence et des données connexes.
Les « renseignements personnels » sont des renseignements consignés au sujet d’un particulier qui peut être identifié. En plus du nom, des coordonnées et de renseignements biographiques, ils peuvent comprendre des renseignements sur les préférences personnelles, un historique des transactions, un registre d’activités ou de déplacements ou tout renseignement dérivé, par exemple un profil ou une note, et des renseignements sur d’autres personnes qui pourraient être inclus dans le dossier du particulier, notamment des membres de la famille, des amis, des collègues, etc. Le fait de coupler des renseignements personnels avec les renseignements émanant d’une étiquette radio ferait des renseignements couplés des renseignements personnels.
Ces lignes directrices sont fondées sur les dix principes contenus dans le Code canadien de protection des renseignements personnels adopté en 1996 par l’Association canadienne de normalisation (CSA). Ces principes ont été formulés par un large éventail d’intervenants provenant des entreprises, de l’industrie et d’associations de consommateurs. Ils représentent le fondement des lois et règlements sur la protection de la vie privée dans l’ensemble du pays. Appliqués par des organismes canadiens dans leurs politiques et pratiques courantes, ils sont largement reconnus comme étant parmi les principes les plus solides et les plus clairs pour la protection de la vie privée.
Les lignes directrices et leur application reposent sur trois principes fondamentaux :
- Il faut se concentrer sur les systèmes d’information fondés sur l’identification par radiofréquence, et non sur les technologies elles-mêmes : Ce ne sont pas les technologies d’identification par radiofréquence qui suscitent des inquiétudes en matière de protection de la vie privée, mais la façon dont elles sont implantées. C’est pourquoi nous préférons nous attarder aux systèmes d’information fondés sur l’identification par radiofréquence. Les présentes lignes directrices devraient être appliquées à ces systèmes dans leur contexte général plutôt qu’à un élément technologique précis ou une fonctionnalité particulière.
- Des caractéristiques de protection de la vie privée et de sécurité doivent être intégrées dès l’étape de la conception : Comme les inquiétudes en matière de protection de la vie privée, qu’il faut établir de manière générale et systémique, les solutions technologiques doivent être envisagées systématiquement. Une évaluation approfondie de l’impact sur la vie privée est essentielle. Les utilisateurs des technologies et systèmes d’information fondés sur l’identification par radiofréquence devraient aborder les questions de vie privée et de sécurité au début de la conception, en insistant particulièrement sur la minimisation des données, c’est-à-dire que dans la mesure du possible, il faut chercher à minimiser la capacité d’identifier et de consulter les données émanant des étiquettes radio et de coupler ces données avec des renseignements personnels et des données connexes.
- Il faut assurer une participation maximale des particuliers et obtenir leur consentement : L’utilisation des systèmes d’information fondés sur l’identification par radiofréquence devrait être ouverte et transparente et donner aux particuliers le plus d’occasions possible de participer et de prendre des décisions éclairées.
Le présent document fournit des recommandations fondées sur un consensus, que les organismes sont libres d’appliquer ou non, qui tiennent compte du large éventail d’utilisations et d’applications des technologies d’identification par radiofréquence et des systèmes d’information connexes. En raison de cette hétérogénéité, il pourrait être nécessaire de les interpréter et de les appliquer avec une certaine souplesse.
Nous invitons les organismes à adopter les présentes lignes directrices et à les adapter à leurs politiques, procédures et applications, en fonction de leur situation et de leurs besoins particuliers.
LIGNES DIRECTRICES SUR LA PROTECTION DE LA VIE PRIVÉE POUR L’IDENTIFICATION PAR RADIOFRÉQUENCE
1. Responsabilité
Les organismes sont responsables des renseignements personnels dont ils ont le contrôle et doivent désigner une personne qui devra s’assurer du respect des principes énoncés ci-dessous et de la formation à fournir à tout le personnel à leur sujet. Les organismes devraient recourir à des contrats et à d’autres moyens afin d’assurer une protection comparable pour les renseignements divulgués à des tiers.
Les organismes qui sont en contact le plus direct avec le particulier devraient être les principaux responsables de la protection de la vie privée et de la sécurité, sans égard à l’origine ou à la destination des articles dotés d’une étiquette radio.
2. Détermination des fins de la collecte de renseignements
Les organismes devraient déterminer clairement et communiquer au particulier en temps voulu les fins auxquelles des renseignements personnels seront recueillis ou seront ou pourront être couplés. Ces fins doivent être limitées et précises, et les organismes et personnes responsables de la collecte devraient être en mesure de les expliquer au particulier.
3. Consentement
Les organismes doivent obtenir le consentement du particulier avant de recueillir, d’utiliser ou de divulguer des renseignements personnels couplés à une étiquette radio. Pour être valable, ce consentement doit être fondé sur la compréhension de l’existence, du type, des emplacements et des fonctionnalités des technologies d’identification par radiofréquence ainsi que des renseignements utilisés par l’organisme. Le particulier devrait être en mesure de faire des choix en matière de vie privée rapidement, facilement et efficacement, sans coercition. Les consommateurs devraient pouvoir enlever ou désactiver sans être pénalisés les étiquettes radio apposées sur des articles.
L’objectif idéal devrait être la désactivation automatique des étiquettes radio au point de vente et leur réactivation possible plus tard. Les consommateurs devraient pouvoir réactiver les étiquettes, les utiliser à d’autres fins ou exercer un contrôle sur la façon dont elles interagissent avec les lecteurs d’étiquettes radio.
4. Limitation de la collecte
Les organismes ne devraient pas recueillir des renseignements personnels ou les coupler à une étiquette radio à tort et à travers ou à l’insu du particulier, ou encore par supercherie ou à des fins trompeuses. Seul le minimum de renseignements nécessaire pour les fins indiquées devrait être recueilli, en veillant à minimiser la capacité d’identifier les renseignements personnels couplés à l’étiquette, la consultation des étiquettes radio par des personnes ou au moyen de lecteurs non autorisés et la possibilité de coupler les données recueillies à des renseignements personnels.
5. Limitation de l’utilisation, de la divulgation et de la conservation
Les organismes doivent obtenir un consentement supplémentaire du particulier pour utiliser, divulguer ou coupler des renseignements personnels à de nouvelles fins. Les renseignements personnels devraient être conservés uniquement aux fins déclarées, puis ils devraient être détruits de façon sécurisée. Les détaillants devraient intégrer dans leurs systèmes d’information fondés sur l’identification par radiofréquence les principes de minimisation des données mentionnés plus haut.
6. Exactitude
Les organismes devraient s’assurer que les renseignements personnels et les renseignements couplés aux étiquettes radio sont exacts, complets et à jour pour les fins prévues, surtout s’ils sont utilisés pour prendre des décisions qui se répercuteront sur le particulier concerné.
7. Mesures de sécurité
Les organismes devraient protéger les renseignements personnels couplés à des étiquettes radio, selon qu’ils sont délicats ou non, contre le vol ou la perte ainsi que l’interception, l’accès, la divulgation, la copie, l’utilisation, la modification ou le couplage non autorisés. Les organismes devraient donner à leur personnel une formation sur l’importance d’assurer la confidentialité des renseignements personnels. Des mesures physiques, organisationnelles et technologiques pourraient se révéler nécessaires, l’accent devant être mis sur les mesures technologiques.
8. Transparence
Les organismes devraient mettre à la disposition des particuliers des renseignements précis sur leurs politiques et pratiques concernant l’utilisation des technologies et des systèmes d’information fondés sur l’identification par radiofréquence ainsi que la gestion des renseignements personnels. Ces renseignements devraient être fournis sous une forme compréhensible pour le particulier.
9. Accès aux renseignements personnels
Sur demande, les organismes devraient informer le particulier de l’existence, de l’utilisation, du couplage et de la divulgation des renseignements personnels qui le concernent, lui donner un accès raisonnable à ces renseignements, et lui permettre de remettre en question leur exactitude et leur exhaustivité ainsi que de les faire modifier au besoin.
10. Possibilité de porter plainte en cas de non-respect des principes
Les organismes devraient adopter des procédures permettant à un particulier de porter plainte en cas de non-conformité aux principes précédents auprès de la personne responsable de la conformité de l’organisme.
Conseils pratiques pour la mise en œuvre des lignes directrices régissant la protection de la vie privée pour les systèmes d’identification par radiofréquence
Certains organismes ont exprimé le souhait de recevoir des conseils pratiques pour déterminer s’il est opportun pour eux d’adopter un système d’identification par radiofréquence.
Cette technologie est considérée comme un moyen d’améliorer l’efficacité des procédés commerciaux, notamment en accélérant les vérifications des stocks et en réduisant les «fuites».
Les organismes doivent tenir compte à la fois des avantages de l’identification par radiofréquence et de la possibilité que l’utilisation de cette technologie porte atteinte à la vie privée.
Même si une étiquette radio ne contient pas de renseignements personnels, de tels renseignements pourraient être créés si les données que contient l’étiquette sont couplées à un particulier.
L’utilisation d’un système d’identification par radiofréquence (comme d’autres technologies) dans un contexte commercial et de vente au détail est appropriée dans des situations limitées, contrôlées et bien définies.
Les conseils suivants visent à aider les organismes à élaborer des projets d’identification par radiofréquence pour la vente au détail qui tiennent compte des aspects touchant la protection de la vie privée et préservent la confiance des consommateurs.
Ces conseils pratiques aideront également les organismes à se conformer aux textes de loi sur la protection de la vie privée et à d’autres pratiques exemplaires, comme les Lignes directrices régissant la protection de la vie privée pour les systèmes d’identification par radiofréquence du CIPVP.
- Responsabilité
- Les organismes devraient adopter une politique efficace en matière de vie privée qui tient compte des considérations particulières associées à la technologie d’identification par radiofréquence.
- Il revient avant tout aux organismes qui entretiennent les rapports les plus directs avec les consommateurs (généralement les détaillants) de s’efforcer de protéger les renseignements personnels de ces derniers.
- Les organismes sont comptables aux consommateurs en ce qui concerne la divulgation de renseignements personnels à leurs associés et filiales et à des tiers.
- Détermination des fins de la collecte de renseignements
- Les organismes devraient recueillir, utiliser ou divulguer des renseignements personnels couplés à des étiquettes radio uniquement à des fins qu’une « personne raisonnable » jugerait appropriées dans les circonstances. Une fin raisonnable exclurait la surveillance et le profilage de particuliers sans leur consentement éclairé et écrit.
- Avis
- Les organismes devraient informer les consommateurs de la présence d’une étiquette radio dans un produit au moyen d’un avis clair placé bien en évidence sur le produit.
- Les organismes devraient informer les consommateurs de la présence de lecteurs d’étiquettes radio sur les lieux en installant des affiches claires et bien en évidence aux entrées.
- Les affiches installées aux entrées devraient donner le nom et les coordonnées d’une personne qui répondra aux questions des consommateurs sur le système d’identification par radiofréquence.
- Les consommateurs devraient toujours savoir quand, où et pourquoi une étiquette radio est lue. Des indicateurs visuels ou auditifs devraient être intégrés dans le système d’identification par radiofréquence à cette fin.
- Consentement
- Les organismes devraient établir une politique claire sur le consentement à obtenir pour recueillir, utiliser et divulguer des renseignements personnels couplés à une étiquette radio, en tenant compte de la nature, du caractère délicat et de l’utilisation prévue des produits.
- À moins que le consommateur n’en décide autrement, les étiquettes radio fixées à des produits qui seront portés ou transportés par le consommateur ou qui pourraient révéler des renseignements délicats (p. ex., des médicaments) devraient être enlevées, détruites ou désactivées au moment de l’achat.
- Limitation de la collecte
- Avant de commencer à utiliser des étiquettes radio couplées à des renseignements sur les consommateurs, les organismes devraient envisager des solutions de rechange qui leur permettraient d’obtenir les mêmes résultats sans recueillir de renseignements personnels. Il est essentiel de mener une évaluation de l’impact sur la vie privée.
- Dans la mesure du possible, les organismes devraient chercher à recueillir le minimum de renseignements sur les consommateurs qui sont couplés à des étiquettes radio.
- Limitation de l’utilisation, de la divulgation et de la conservation
- Les organismes ne devraient pas utiliser ou divulguer de renseignements sur les consommateurs qui sont couplés à des étiquettes radio à des fins auxquelles le particulier n’a pas consenti.
- Les organismes ne devraient pas utiliser ou divulguer de renseignements sur les consommateurs qui sont couplés à des étiquettes radio à des tiers qui pourraient profiler ou surveiller le particulier.
- Les organismes devraient supprimer dans les plus brefs délais tous les renseignements sur les consommateurs qui sont couplés à des étiquettes radio.
- Exactitude
- Les organismes qui utilisent des renseignements sur les consommateurs qui sont couplés à des étiquettes radio afin de prendre des décisions qui se répercuteront sur des particuliers doivent s’assurer que ces renseignements sont suffisamment exacts, complets et à jour à cette fin.
- Mesures de sécurité
- Les organismes qui couplent des étiquettes radio à des renseignements personnels devraient prendre des mesures appropriées, à commencer par une évaluation exhaustive de l’impact sur la vie privée, pour veiller à ce que :
- les étiquettes radio ne contiennent pas de renseignements personnels;
- les étiquettes radio ne soient pas lues par des personnes non autorisées, que soit au sein de l’organisme ou à l’extérieur;
- le couplage des étiquettes radio et des renseignements sur les consommateurs soit réduit au minimum et que les renseignements résultant de ce couplage soient sécurisés.
- Les consommateurs qui entrent en possession d’étiquettes radio, notamment au moment d’un achat, devraient pouvoir :
- demander que ces étiquettes soient enlevées, détruites ou désactivées facilement et sans pénalité ni conséquence;
- s’assurer, lorsqu’ils retournent un article, de supprimer le couplage entre leurs renseignements personnels et cet article.
- Les organismes qui couplent des étiquettes radio à des renseignements personnels devraient prendre des mesures appropriées, à commencer par une évaluation exhaustive de l’impact sur la vie privée, pour veiller à ce que :
- Transparence
- Les organismes devraient publier, conformément aux lois applicables, des renseignements sur leurs politiques concernant la collecte, la conservation et les utilisations des renseignements sur les consommateurs qui sont couplés à des étiquettes radio.
- Les organismes devraient mettre à la disposition du public des renseignements généraux sur la technologie d’identification par radiofréquence qu’ils utilisent et sur la signification de tous les symboles et logos employés.
- Accès aux renseignements personnels
- Les consommateurs devraient avoir le droit de savoir quels renseignements personnels, le cas échéant, sont stockés dans leurs étiquettes radio ou couplés à celles-ci.
- Sur demande, les organismes devraient fournir aux consommateurs un compte rendu de toutes les utilisations et divulgations de renseignements personnels couplés à des étiquettes radio.
- Il devrait être possible de rectifier ou de modifier les renseignements couplés à des étiquettes radio qui sont inexacts ou inutiles.
- Possibilité de porter plainte en cas de non-respect des principes
- Les organismes devraient informer les consommateurs de leurs droits et des procédures établies pour porter plainte en cas de non-conformité aux présents principes en matière de protection de la vie privée.
- Les organismes pourraient soumettre à des vérifications régulières l’utilisation et la sécurité de leurs technologies ou systèmes d’identification par radiofréquence. Ces vérifications, par exemple, pourraient porter sur la conformité de l’entreprise à ses politiques et procédures opérationnelles.