Archives du mot-clé privacy

Quand la technologie RFID est l’origine du PIA et du RGPD, le Règlement Général de la Protection des Données

RFID RGPD et PIA

RFID RGPD et PIA

L’article aurait pu s’appeler  « La petite histoire de la naissance du Règlement Général de la Protection des Données » ou « Quand la règlementation se trompe de cible. » ou « De la surveillance d’une technologie à celle de l’utilisation des données ou la naissance du PIA et du RGPD ».

Au début des années 2000, avant que l’on parle réellement d’objets connectés grands publics, il y avait déjà un internet des objets industriels, composé principalement de solutions type M2M (Machine To Machine) et d’applications à base de technologie RFID. Cette dernière technologie a été toujours victime d’une image négative, pour de nombreuses raisons y compris une boite de nuit barcelonaise mais ceci est une autre histoire. Il y avait les « puces RFID » qu’il fallait tuer dès leur sortie du magasin où elles étaient utilisées (ou au moins les rendre silencieuses.) car elles allaient permettre de tout savoir de notre vie privée. Les malfrats de tout genre allaient savoir ce que l’on avait acheté en magasin, faire le lien avec nos déplacements, nos données bancaires, tout cela en écoutant les fameuses puces, c’étaient facile et sans danger.

Le silence des puces

Le silence des puces

Longtemps en gestation, le concept de « silence des puces » est adopté au niveau européen en 2008 et le RFID PIA Framework l’est en 2011. La CNIL développe alors une première version du désormais célèbre PIA (Privacy Impact Assessment) mais uniquement dédié à la technologie RFID (et à aucune autre technologie de l’époque comme les beacons par exemple ou de nombreux autre objets connectés pourtant déjà disponibles). Seules les entreprises développant / utilisant des services RFID devaient remplir ce document. A ma connaissance, peu l’ont fait mais c’est également une autre histoire.

Il y a 4 ans, en 2014, dans un article « L’internet des objets sonne le glas du « silence des puces » », au titre provocateur par rapport aux défenseurs du concept de PIA uniquement dédié à la RFID, j’explique que cela ne fait pas sens de ne l’appliquer qu’à cette technologie car

  1. cette technologie n’a pas généré d’atteintes à la vie privée connues malgré les articles nous prédisant le pire et qu’en pleine affaire Snowden, de nombreuses technologies et services sont mises en cause dans le vol des données mais pas la RFID.
  2. ce principe doit s’appliquer aux réseaux sociaux, à Google, aux mobiles, à tous les objets connectés, à toutes les sociétés ou services captant et gérant de la donnée quelque soit la technologie. Le problème n’est pas la technologie captant les données, mais les données elles-même et leur utilisation.

Deux extraits de l’article de 2014

Le RGPD avant l'heure - 2014 - Pierre Métivier

Le RGPD avant l’heure – 2014 – Pierre Métivier

Le RGPD avant l’heure – 2014 – Pierre Métivier

Peu de personnes #euphémisme expliquaient à ce moment là que ce PIA (Privacy Impact Assesment) devait s’appliquer à tous les services générant des données et pas uniquement à la technologie RFID. #duralexsedlex

Depuis quatre ans, le projet qui a donné naissance au RGPD s’est déplacé au bon endroit, c’est à dire, au niveau des données elle-même (et de leur utilisation) et non des technologies qui les génèrent. Il a fallu un peu de temps, quelques années, un pivot comme pour les startups, mais c’est fait avec la nouvelle version du PIA (qui a gardé le même nom), un PIA 2.0 et de la RGPD et c’est une très bonne nouvelle.

Comme souvent écrit, une technologie n’est ni bonne ni mauvaise, elle est ce que les hommes en font, que ce soit en terme d’utilisation et de réglementation.

Bon courage à toutes les entreprises qui doivent prendre en compte ce règlement d’ici le 25 mai et aux équipes de la CNIL pour le faire respecter.

Et salutations amicales à Bernard, Gérald, Michel et mes amis de la CNIL et de ConnectWave (ex CN RFID).

A suivre.

Pierre Metivier
@pierremetivier

Pour aller plus loin

EnregistrerEnregistrer

EnregistrerEnregistrer

EnregistrerEnregistrer

EnregistrerEnregistrer

EnregistrerEnregistrer

EnregistrerEnregistrer