130 likes | 222 Views
Introduction à la recommandation européenne en matière de RFID. Olivier Rouxel Chargé de mission RFID ISEMA – Avignon, 29 janvier 2010. Contexte. Retour en 2003 Décision de Wal-Mart d’imposer la RFID à ses fournisseurs Déploiements massifs potentiels Jusqu’au consommateur
E N D
Introduction à la recommandation européenne en matière de RFID Olivier Rouxel Chargé de mission RFID ISEMA – Avignon, 29 janvier 2010
Contexte • Retour en 2003 • Décision de Wal-Mart d’imposer la RFID à ses fournisseurs • Déploiements massifs potentiels • Jusqu’au consommateur • Médiatisation de la RFID • Auprès du grand public • Auprès des entreprises • Auprès des décideurs • Canal Internet destructeur pour l’image de marque de la RFID • Préoccupations exprimées • Captation d’informations personnelles via la RFID • Intelligence économique (entreprises, Etats) • Enjeux de souveraineté pour les Etats
Contexte • Etudes en France et en Europe • 2005 : celle du CGTI • 2006 : celle de la DGE • Commission européenne • Séminaires d’information • Consultation publique en 2006 (2190 réponses) • Les « citoyens » ont répondu en masse • Inquiétudes focalisées sur la protection de la vie privée • En parallèle, premiers retours d’entreprises • Pilotes lancés dès 2003 décevants • Club des « déçus de la RFID » • Peu de communication (image ou concurrence)
Plan d’actions européen • Discours de la commissaire européenne à la société de l’information – mars 2007 • Reconnaissance du potentiel de la RFID pour le développement économique • Cadre éthique de mise en œuvre aux acteurs • Mise en place d’un groupe de travail • Recommandation (sécurité, confidentialité des données) • Information des citoyens • Une piste : désactivation de la puce offerte au citoyen • Autres actions • Financements de grands projets RFID • Echanges bilatéraux (US, Japon, etc.) • Etat des lieux en Europe
La recommandation du 12 mai 2009 • Issue des réflexions de la CE • Enrichies des échanges avec le groupe d’experts (30 membres) • Grande écoute des associations de consommateurs et du groupe de l’article 29 • Retours de la consultation publique sur un projet au printemps 2008 • Recommandation sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l’identification par radio-fréquence • Une recommandation générale • Des définitions délicates • La recherche d’un juste équilibre pour protéger sans brider
La recommandation du 12 mai 2009 « mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l’identification par radio-fréquence » • Titre • « Protection des données » : pas que données personnelles • Définitions & Périmètre • RFID au sens large, y compris la NFC • Tous secteurs d’activité, sauf… applications gouvernementales • Focus sur la distribution (lien au consommateur-citoyen) • Notion de données personnelle • Pas que données personnelles en RFID (cf. 4 préambule) • Format • Texte unique vs. Recommandation à tiroirs
La recommandation du 12 mai 2009 • Cibles • Etats Membres • « Exploitants » (cf. e) art. 3) • Grand public • Grands principes • Evaluation d’impact sur la protection des données et le respect de la vie privée • Information du consommateur/citoyen • Présence de puces et de lecteurs RFID • Signe européen commun (logo harmonisé) • Contrôle donné à l’utilisateur de produits « pucés » RFID
La recommandation du 12 mai 2009 • Evaluation d’impact • Identifier les incidences de la mise en œuvre de l’application / données personnelles et vie privée • A conduire par chaque exploitant • Niveau de détail cohérent avec niveau risque • Actions • Mesures techniques et/ou organisationnelles • Référent « données personnelles » • Mise à disposition de l’évaluation au moins 6 semaines avant déploiement
La recommandation du 12 mai 2009 • Information • Chaque exploitant doit rendre publique une politique d’information • Comprend notamment : objet de l’application, données traitées, existence d’un traçage, résumé de l’évaluation • Signe européen commun pour informer les personnes de la présence de lecteurs • Commerce de détail • En plus : signe sur les produits « pucés » • Notion de « détaillant non exploitant » • L’exploitant conduit l’évaluation • Si risque alors désactivation ou retrait systématique sauf demande du consommateur que la puce reste active • Si absence de risque, possibilité offerte de désactiver ou retirer
La recommandation du 12 mai 2009 • Sensibilisation • Des pouvoirs publics et des entreprises • Avantages et risques potentiels • Focus sur sécurité information et respect vie privée • Fournir exemples bonnes pratiques • Par les Etats Membres • Recherche et développement • Promouvoir / favoriser l’intégration du principe de sécurité et respect vie privée • Dès la conception • A un stade précoce de développement des applications RFID
Et la suite ? • Travaux en cours sous l’égide de la CE • Cadre pour mener les évaluations d’impact • Réflexion sur le logo • Monitoring par la Commission Européenne • Mise en œuvre dans les différents Etats membres de l’Union (retour sous 24 mois) • Efficacité et impact (exploitants & citoyens) • Difficultés d’application • Aménagements éventuels • Rapport dans un délai de 3 ans à/c publication JOUE • Transformation possible en directive
Quelques interrogations • Quid des applications déjà déployées et opérationnelles ? • Recommandation rétroactive ? • Evaluation d’impact, marquage, information • Télépéage, clés de voiture, contrôle d’accès, etc. • Quid des technologies non RFID pures ? • Incluses par défaut dans la reco : NFC, sans-contact • Exemple du téléphone mobile : double marquage, politique d’information, etc. • Quels moyens de vérification si déploiement massif de la RFID ? • Etablissement des certificats • Contrôles • Quels coûts pour les entreprises, pour les consommateurs ? • Frein ou atout pour l’appropriation de la RFID par les entreprises et son déploiement ?
Merci de votre attention ! • Olivier.rouxel@finances.gouv.fr • 01 53 44 95 12