RFID et données privées : Bruxelles s’associe aux industriels pour rassurer  

Les consommateurs et les entreprises européennes auraient-ils besoin d’être rassurés sur la RFID ? C’est l’interrogation que soulève aujourd’hui la décision de la Commission européenne de publier un cadre de bonnes pratiques (on parle de framework) censé aborder la douloureuse question de l’utilisation des données privées via les technologies de radio fréquence. A la clé de quoi fournir aux entreprises européennes des méthodes d’évaluation et de minimisation des risques liée à la RFID, avant la mise en circulation sur le marché, des produits et de leurs étiquettes radio fréquence.

Baptisé "Privacy and Data Protection Impact Assessment (PIA) Framework for RFID Applications," ce guide de bonnes pratiques est né d’un accord passé entre plusieurs organismes : d’abord Bruxelles, associé à l’Enisa (European Network and Information Security Agency) - l’agence européenne chargée d’améliorer la circulation de l’information et la cyber-sécurité entre les Etats-membres - . Mais surtout  - ce qui rend davantage pertinente cette démarche -, l’accord est élaboré en collaboration avec GS1, la puissante organisation internationale qui réunit les plus gros industriels de la chaîne logistique et de la distribution - également créateur du standard EPC (Electronic Product Code - le remplaçant électronique du code à barres) qui rythme aujourd’hui l’Internet des objets en matières de traçabilité des biens.

Développé pour protéger les consommateurs et leurs données privées, ce processus PIA “est conçu pour aider les concepteurs d’application RFID à révéler les risques liés aux données privées, associés à la RFID, évaluer leurs chances et documenter les étapes nécessaires pour répondre à ces risques. […]”, explique Bruxelles dans le document qui sert de base à cet accord.



Concrètement, le framework définit plusieurs étapes à suivre : le test de l’application qui évalue si les données privées sont exploitées dans l’application permet de la qualifier ; une description détaillée du projet ; suivie d’une liste des risques potentiels sur les données privées qui y sont associés ; une documentation sur les méthodes et les points de contrôle à mettre en place pour les minimiser et enfin la génération d’un rapport qui détaille les risques et leur niveau de criticité en matière de données privées.

Si Bruxelles, qui avait déjà placé le RFID en tête des technologies d’avenir pour l’Europe par la voie de la commissaire Neelie Kroes, prend aujourd’hui à bras de corps le problème de la sécurité et de la protection des données privées, c’est que le développement du marché des puces radio fréquences, doit s’intensifier. Le hic ? Les entreprises n’y viennent que très peu, freinées notamment par des consommateurs qui s’interrogent encore sur la manipulation de leur données personnelles.

Selon Bruxelles, il devrait ainsi s’écouler quelque 2,8 milliards d’étiquettes RIFD dans le monde en 2011, et un tiers uniquement en Europe. Un potentiel qui reste sous-exploité semble dire aujourd’hui la Commission en proposant aux entreprises du secteur de rassurer leurs clients et les consommateurs, par ce guide de bonne pratiques.

Et pour cause. En 2009, seulement 3% des entreprises présentes dans les 27 pays membres avaient adopté la RFID, nous expliquait en janvier 2010 Eurostats, l’institut de statistiques européens. Le marché ne décollerait ainsi que très peu. A l’image de la France, dont les entreprises ne seraient que 3% (tout juste la moyenne européenne) à avoir été séduites par les technologies de radio fréquence en 2009.

NFC ou RFID ?

Reste donc un problème en suspend : si aujourd’hui les entreprises du secteur de la logistique, de la traçabilité, de l’identification des personnes, du monitoring industriel sont les plus enclines à lorgner vers la RFID, le consommateur abordera probablement le concept de la radio fréquence par le prisme du NFC et de ses applications, comme le paiement mobile. Un segment qui aujourd’hui semble bouillonnant, poussé par les ténors de la mobilité et des services Internet comme Google, ou encore par les organismes de paiements bancaires comme Visa. Face à ce marché d’avenir, la protection des données privées restera assurément la condition sine qua non, pour voir décoller ce segment.