La fin du silence des puces
Un titre volontairement provocateur mais si on y réfléchit bien, ce concept et surtout son application sont bien en passe de disparaitre avec l’arrivée en masse des objets connectés et le déploiement de l’internet des objets sous toutes ses formes.
Rappelons nous l’historique de ce silence des puces. Il y a quelques années nous avions des PC connectés entre eux par l’internet et le web. En parallèle, sont arrivées dans le monde de la logistique des applications composées de lecteurs échangeant par radio-fréquence avec des étiquettes électroniques, répondant doux nom de RFID, une version 2.0 des codes barre, applications facilitant la traçabilité des objets principalement dans les entrepôts et dans le transport de marchandises. Comme pour toute nouvelle technologie, des voix se sont élevées y compris au niveau de l’Europe pour faire part de risques de tout genre, y compris sanitaires ainsi que des atteintes à la vie privée de chacun d’entre nous. Il existe/existait une possibilité qu’en lisant à distance des données, à l’insu des consommateurs, on allait pouvoir tout savoir sur eux en recoupant diverses informations à partir de ces étiquettes (appelées par les média – puces pour dramatiser le propos alors que la puce n’est qu’un composant). Il fallait tuer les puces à la sortie du magasin, les rendre inopérantes. Ensuite est arrivé le concept du silence des puces, il s’agissait de les endormir puis les réactiver si besoin (par exemple si le produit était retourné en magasin), un concept non présent côté technologique et complexe à mettre en œuvre.
En parallèle , d’autres concepts sont apparus comme le « Privacy By Design« , l’idée d’intégrer les ntotions de vie privée dès la conception et le développement d’un produit ou d’un service (pas uniquement RFID par ailleurs) ou le PIA – Privacy Impact Assessment, un programme européen, suivi par la CNIL en France, proposant un questionnement (actuellement) destiné aux projets utilisant la RFID pour déterminer les sujets les plus sensibles autour de la vie privée et la gestion des données personnelles et y remédier.
En 2014, où en sommes nous sur ces concepts ? Tout d’abord, à notre connaissance il n’y a pas eu de cas « industriels » d’atteinte à la vie privée liée à la RFID, dans toutes ces formes. Il y a plusieurs raisons à cela. Le fait que l’information sur l’étiquette soit simplement un identifiant, que l’étiquette n’ait pas d’énergie rendant un suivi à distance très difficile, des applications plus industrielles que personnels dans des systèmes fermés « closed loop » d’enseignes de la distribution, des liens avec le consommateur quasi-impossibles à faire à distance sans accès au SI de l’entreprise. Dans le cas d’un commerce, les liens existent au niveau de la caisse – le consommateur achète un produit avec sa carte de paiement mais cela est vrai, que ce soit en RFID ou en code barre, le fait que l’étiquette soit sans contact ne change rien au sujet. Et puis cela n’a aucun intérêt à titre individuel pour qui que ce soit avec un niveau de complexité immense d’obtention des différentes données individuelles par rapport au gain potentiel. On pourrait faire le même parallèle plus précisément sur la RFID HF également connu sous le nom sans contact ou NFC. Les vols de données bancaires de type Target ou eBay ainsi que tous les fraudes dans l’ecommerce (achat sur le web) ne sont par liés aux fameuses « puces ».
D’autres méthodes pour connaitre les informations des individus existent comme l’affaire Snowden nous l’a appris récemment. Sauf document non publié, la RFID et ses milliards de puces n’ont pas été utilisées par la NSA pour tout savoir sur nous. Une simple recherche « Snowden NSA RFID » sur Google ne donne rien d’intéressants sur le sujet. Les données que nous laissons sur les réseaux sociaux, dans nos mails, sont bien plus riches que les informations d’une étiquette contenant le numéro de produit d’un pull en cachemire à la sortie du Monop de Neuilly et le lien potentiel avec son acheteur.
Dernière information intéressante, les sujets RFID (ou NFC) étaient absents cette année de deux endroits très différents où pourtant il sont souvent été montrés du doigt – Hackito Ergo Sum, la conférence des hackers en France, ou le dernier rapport de la CNIL, où seule la définition du RFID subsiste, dans un petit paragraphe sur quatre-vingt douze pages de rapport, ce qui montre bien que quelle que soit la raison de s’intéresser au sujet, il n’est plus aussi important qu’il ne l’a été.
Ceci étant dit, les sujets « protection de la vie privée et utilisation des données personnelles » sont toujours d’actualité mais doivent être étudiés dans leur globalité et pas uniquement en pensant aux étiquettes RFID. A coté de ces étiquettes, il y a donc à la fois toutes les informations que nous laissons sur les réseaux sociaux, sur les moteurs de recherches, stockés et accessibles par des cookies ; à travers tous les capteurs des objets connectés, générant des données en quantité incroyables, de nos mobiles contenant eux-même de nombreux capteurs et le GPS, stockant ces données, pourvu de connectivité leur permettant de renvoyer ses vers Google et Apple (la plupart du temps à notre insu). La dernière-né de ces technologies s’appelle l’iBeacon, basé sur Bluetooth Low Energy, capable de savoir exactement (par triangulation) ou vous êtes dans un lieu jusqu’à 50 m de distance, vous envoyer des données et lancer des programmes sur votre mobile, votre mobile pouvant lui même devenir un ibeacon et participer à ce vaste réseau de suivi des personnes. Le pourfendeurs des « puces » sont étonnamment bien silencieux sur le sujet il est vrai encore nouveau.
De deux choses l’une, le concept « silence des puces » fait encore sens et alors il doit être appliqué à tous les objets connectés à commencer par nos mobiles mai aussi nos PC, tous les capteurs, les « wearables », la maison connectée, les compteurs intelligents, tout type d’émetteurs Wifi, Bluetooth, Zigbee, ANT+ comme les ibeacons. Tous ces objets connectés devraient être intégrés dans ce un vaste programme pour permettre de rendre silencieux au niveau hardware toutes les sources de données (et c’est bien sûr impossible), ou alors la recherche de solutions doit se déplacer au niveau des données que tous ces objets produisent. Dans les deux cas, l’application du concept du « silence des puces (RFID) » a disparu.
Quand au PIA, ou EIVP – Evaluation d’impact sur la vie privée, il a clairement vocation à être appliquée à tout produit et service connecté produisant des données pouvant être personnelles y compris les quelques dizaines de milliards d’objets connectés à l’aube de 2020, et non pas uniquement aux applications RFID, ce qui devraient occuper les équipes de la CNIL dans les prochaines années.
A suivre …. dans un prochain article autour des données, le fameux « big data« , le vrai sujet impactant la gestion de nos données personnelles et les conséquences sur notre vie privée, quelles que soient leurs sources.
Pierre Métivier
Pour aller plus loin
- Un compte rendu de la conférence La RFID à l’épreuve de l’innovation responsable, une conférence-débat à Telecom Paritech
- Le podcast de deux émissions sur le sujet – Radio Aligre et France Culture
- Article du 8 Octobre 2008 – Internet des objets: l’Europe cautionne le « droit au silence des puces » A l’occasion de ce même sommet européen, il est intéressant que le concept d’ONS européen ait été lancé, sans les résultats escomptés à aujourd’hui.
- Le livre de Michel Alberganti – Sous l’oeil des puces.
- EweekNews – Why Vint Cerf things Net security should go back to the future
- Wired – Why gadgets in the Internet of things must be programmed to die.
- Le cahier IP2 de la CNIL sur les #corpscapté
Avec ou sans contact 
A reblogué ceci sur Curation exclusivement en français.
Ping : Quand la technologie RFID est l’origine du PIA et du RGPD, le Règlement Général de la Protection des Données | Avec ou Sans Contact
Ping : Le blog « Avec ou sans contact », 10 ans de billets sur l’IOT et l’Innovation | Avec ou Sans Contact