Le 6 avril 2011 la Commission européenne a signé un accord volontaire avec l'industrie, la société civile, l'ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information) ainsi que les organes de surveillance du respect de la vie privée et des données en Europe, afin d'étudier les conséquences de l'utilisation des puces intelligentes (systèmes d'identification par radiofréquence - RFID) avant de les mettre sur le marché.
L'utilisation de ces puces intelligentes se développe extrêmement vite (il en existe environ 1 milliard en Europe en 2011), mais l'inquiétude grandit concernant leurs conséquences eu égard au respect de la vie privée. Les RFID sont installées sur un grand nombre de produits, depuis les bus jusqu'aux cartes intelligentes pour les péages autoroutiers. Les dispositifs électroniques peuvent traiter automatiquement des données fournies par des puces lorsqu'elles se trouvent à proximité de "lecteurs", qui les activent, captent leur signal radio et échangent des donnés avec elles. L'accord signé aujourd'hui met partiellement en œuvre une recommandation de la Commission adoptée en 2009, selon laquelle, notamment, lorsque les consommateurs achètent des produits munis de puces intelligentes, celles-ci devraient être désactivées automatiquement, immédiatement et gratuitement, à moins que l'acheteur n'exprime son consentement express à ce qu'elles ne le soient pas.
Puce RFID - Illustration: Maschinenjunge/licence Creative Commons Pour Neelie Kroes, vice-présidente de la Commission chargée de la stratégie numérique, a déclaré: "Je me réjouis beaucoup de la signature, aujourd'hui, de cet accord important pour faire du respect de la vie privée un élément majeur de la technologie des puces intelligentes et s'assurer que les préoccupations à cet égard soient apaisées avant de mettre ces puces sur le marché. Je me réjouis que l'industrie travaille avec les consommateurs, les organes de surveillance et autres pour répondre aux inquiétudes légitimes concernant le respect de la vie privée et la sécurité liées à l'utilisation de ces puces intelligentes. Cela est un bon exemple de réponse pratique aux questions de respect de la vie privée en Europe pour d'autres industries et technologies."
L'accord signé aujourd'hui, intitulé "Cadre d'évaluation de l'impact sur la protection des données et de la vie privée des applications reposant sur l'identification par radiofréquence (RFID)" a pour but de garantir le respect de la vie privée des consommateurs avant la commercialisation à grande échelle des puces RFID. Environ 2,8 milliards de puces devraient être vendues en 2011, dont environ un tiers en Europe. Mais selon l'industrie, il pourrait y avoir jusqu'à 50 milliards de systèmes électroniques connectés d'ici 2020.
Les puces RFID installées dans les systèmes tels que les téléphones portables, les ordinateurs, les réfrigérateurs, les publications électroniques et les voitures peuvent présenter de nombreux avantages pour les entreprises, les services publics et les produits de consommation. Ils peuvent par exemple améliorer la fiabilité des produits, leur efficacité énergétique et les procédés de retraitement, permettre d'acquitter les péages routiers sans imposer d'arrêt aux postes de péage, réduire les temps d'attente des bagages dans les aéroports et l'empreinte écologique des produits et services.
Cependant, ces puces RFID peuvent également accroître les risques potentiels pour le respect de la vie privée, la sécurité et la protection des données. Il devient possible, notamment, pour un tiers d'accéder à vos données personnelles (concernant votre localisation par exemple) sans votre permission.
Ainsi, de nombreux conducteurs acquittent les péages routiers, les taxes aéroportuaires et les redevances de stationnement par un moyen électronique fonctionnant sur la base de données collectées grâce à des puces RFID placées sur leur pare-brise. En l'absence de mesures préventives, il se pourrait que les lecteurs de puces RFID situés à l'extérieur de ces endroits spécifiques conduisent accidentellement à des fuites de données personnelles révélant l'emplacement du véhicule. De nombreux hôpitaux utilisent des puces RFID pour des besoins d'inventaires et d'identification des patients. Bien que cette technologie puisse améliorer la qualité générale des soins médicaux, les bénéfices doivent être envisagés à l'aune des inquiétudes relatives au respect de la vie privée et de la sécurité.
Évaluation complète des risques liés à la vie privée
En vertu de l'accord, les entreprises effectueront une évaluation complète des risques liés à la vie privée et prendront des mesures pour déterminer les risques décelés avant qu'une nouvelle application de puce intelligente ne soit mise sur le marché. Cela comprendra l'impact potentiel sur la vie privée de la mise en relation de données collectées et transmises avec d'autres données. Cela est particulièrement important dans le cas de données personnelles sensibles telles que des données biométriques, de santé ou d'identité.
Le cadre PIA établit, pour la première fois en Europe, une méthode claire pour évaluer et atténuer les risques pour la vie privée des puces intelligentes, qui peut être appliquée dans tous les secteurs industriels qui utilisent ces puces (par exemple, les transports, la logistique, le commerce de détail, la billetterie, la sécurité et la santé).
Plus particulièrement, le cadre PIA, non seulement apportera aux entreprises la sécurité juridique que l'utilisation de leurs puces est conforme à la législation européenne en matière de protection de la vie privée, mais offrira aussi une meilleure protection aux citoyens et consommateurs de l'UE.
Contexte
En mai 2009, toutes les parties concernées de l'industrie, des organismes de normalisation, des associations de consommateurs, des groupes de la société civile et des syndicats ont convenu de suivre la recommandation de la Commission européenne établissant les principes de protection de la vie privée et des données pour l'utilisation de puces intelligentes. Le cadre PIA fait partie de la mise en œuvre de cette recommandation de 2009. Les informations collectées pendant les travaux de rédaction du cadre PIA constitueront aussi une contribution importante aux discussions relatives à la révision de la réglementation de l'UE sur la protection des données et sur la manière d'appréhender les nouveaux problèmes liés à la protection des données personnelles que posent les progrès de la technologie.