Archives du mot-clé vie privée

Puce RFID sur Europe 1, de la difficulté à couvrir en 3 mn à la radio un sujet touchant à la fois technologie, vie privée, santé et éthique

Thomas Sotto (c) Europe 1

Thomas Sotto (c) Europe 1

Europe 1, mercredi matin 8 Février, Matinale de Thomas Sotto, journal de 8:00 présenté par Bérengère Bonte. La « une » est consacrée à une entreprise belge dans laquelle une dizaine d’employés, sur la base du volontariat, ont été implantés avec une « puce RFID » (*) dans la main. Le terme « Puce RFID » est impropre, nous devrions utiliser « étiquette NFC », explication en bas de ce billet. Nous garderons Puce RFID  pour rester en cohérence avec le contenu d’Europe 1.

En 2 minutes 40 de reportage, vont donc succéder une interview d’un responsable de New Fusion et volontaire de l’expérience, un commentaire du Président de la Ligue belge des Droits de l’Homme, un appel rapide au docteur Gérald Kierzek et une brève conclusion.

Les enregistrements et textes.

  • Le podcast de la matinale de Thomas Sotto – le reportage est dans la plage horaire 1:25:52 / 1:28:30 ainsi que la transcription texte complète du reportage en bas du billet.
  • Des informations complémentaires sous la forme du reportage de la RTBF sur le même sujet (interview du même responsable de l’entreprise et du même président des droits de l’homme) avec les images mais sans l’appel au docteur Kierzek – bonus.
Tim Pauwels - New fusion (c) Copie écran reportage RTBF

Tim Pauwels – New fusion (c) Copie écran reportage RTBF

A l’écoute de cette une ce mercredi, il nous a semblé que quelques compléments d’information étaient nécessaires pour éclairer le sujet trop vite abordé.

Deux dates tout d’abord. La première mention connue de l’utilisation des étiquettes électroniques en injection sous-cutanée pour identifier les personnes est lié à une boite de nuit en Espagne, le fameux Baja Beach Club, de Barcelone, en 2004 une opération réservée aux VIP de la boite, il y a donc 13 ans.  En 2015, une entreprise suédoise a précédé notre entreprise belge, non pas pour imposer une surveillance « tracking » (nous y reviendrons) mais comprendre l’intérêt, les interactions et les conséquences d’une telle opération.

Il y a donc de nombreuses facettes à ce sujet, tournant autour de la technologie, de la santé, de la vie privée, et de l’éthique.

  • Technologie – La RFID est une famille de technologies d’échanges de données par radio-fréquence entre deux objets, le plus souvent un lecteur et une étiquette (notre puce RFID). Il en existe plusieurs types, pour différents usages, LF, HF, UHF, avec de nombreuses caractéristiques, en particulier distance de lecture. C’est une technologie très présente dans l’industrie, les entrepôts, les cartes de paiement, de transport, d’accès, les jeux, les musées … et globalement l’internet des objets. Le NFC correspond à une fréquence dont l’une des caractéristiques premières est sa courte distance de lecture de 3 à 5 cm. La précision est importante pour la suite et indispensable à tout article sur le sujet. Un peu comme si on utilisait le terme jumelle à la place de microscope. Leur usage est très différent et pourtant les deux servent à observer.
  • Santé – Le docteur Gérald Kierzek a justement rappelé les effets secondaires liés à l’injection et à la présence de corps étrangers dans le corps. Ensuite il a dit craindre les « effets biologiques des rayonnements des puces » pas suffisamment étudiés. Pour rassurer l’excellent docteur, les puces utilisés n’émettent pas, elles sont passives, ne comportent pas de batterie, pas plus que les cartes de crédit, les cartes de transports type Navigo, les cartes type Velib ou les cartes d’accès en entreprise. Seuls les terminaux de paiement électronique (TPE), les valideurs de transports ou les lecteurs (et non capteurs cités dans le reportage) des portillons d’entreprises émettent. Il n’y a pas de rayonnement du à la puce RFID.Ajoutons simplement pour ceux qui craignent ces corps étrangers dans leur corps que des centaines de milliers de personnes sont sauvés chaque année par l’implantation de pacemakers électronique dans leur corps, des appareils bien plus imposants et électroniquement complexes, des patients qui ne pourraient pas vivre sans ses appareils implantés dans leur corps. Par comparaison, la taille de la puce implantée dans le cas qui nous intéresse est celle d’un grain de riz.
  • Vie privée / « tracking » – La distance de lecture est donc de 3 à 5 cm max. Pour vous le prouver (**), essayer (les franciliens) de passer votre carte Navigo à plus de 5 cm du valideur du métro et le portillon ne s’ouvrira pas. Ces puces ne permettent pas d’être tracées facilement à votre insu. Comme avec le badge, l’entreprise sait que vous rentrez dans l’entreprise à telle heure et vous en sortez à telle heure. Le fait d’utiliser ces puces n’ajoute en rien la capacité à tracer des gens à distance et à leur insu.

    De même, la quantité d’information stockée sur ces puces est minimale. La plupart du temps, c’est un identifiant d’une dizaine de caractères. Dans le cas de l’expérience belge, en reprenant les données de l’article de Futura-Sciences (qui suggère la source des puces), elles peuvent contenir 880 octets, une taille très faible qui limite la taille des données personnelles potentiellement stockées.Et rappelons que dans aucun des documents partagés par Edward Snowden à ce jour sur les moyens de surveillance mis en place par la NSA, on ne trouve trace de mentions des technologies RFID et NFC. La NSA ne les considère pas comme des technologies utiles pour la surveillance.

  • Enfin, sur la partie éthique, nous laisserons les penseurs, les sociologues et les philosophes comme Raphaël Enthoven répondre à la question à court terme de l’intérêt d’avoir son indentification électronique sous la peau, et à plus long terme, les conséquences de l’arrivée de l’homme augmenté et du transhumanisme (sujet déjà traité récemment par Raphaël dans Qui vive). Ajoutons simplement que ces pionniers belges, néerlandais, suédois, français, anglais et d’autres partout dans le monde, font partie d’un mouvement – le bio-hacking ou biologie participative, créé par des citoyens pour les citoyens pour comprendre et mieux se préparer avant que les politiques et les GAFA (à commencer par Google) ne s’emparent du sujet. Un grand merci à eux.

Sans porter de jugement à ce reportage spécifique, il est de plus en plus important pour chacun d’entre nous d’avoir de nombreuses sources d’information, en France, à l’étranger, papier et numérique, de se méfier de la pensée unique, des raccourcis, qu’ils soient en provenance de la télévision, de la radio, « peut-on être généraliste et spécialiste ? », de Twitter, du web, et surtout il faut garder son esprit ouvert.

Comme le disait Frank Zappa, un esprit, c’est comme un parachute, il ne fonctionne que si il est ouvert.

A suivre.

@PierreMetivier fidèle auditeur de la matinale. #E1MATIN

(*) Le terme « puce RFID » est régulièrement utilisé alors qu’il est doublement impropre.

  • La puce est un des éléments avec l’antenne et le substrat (ou inlay) que est le support physique sur lequel l’antenne et la puces sont fixés. Les bons termes sont étiquette, tag ou transpondeur.
  • Le terme RFID est imprécis. La RFID est une famille de technologies d’identification par radio-fréquences. Il en existe plusieurs types – LF, HF, UHF, avec de nombreuses caractéristiques. Le NFC correspond à la fréquence HF dont l’une des caractéristiques première est sa courte distance de lecture de 3 à 5 cm.

(**) Il faudra que Thomas délaisse son scooter et descende dans le métro ou prenne un Vélib. 😉

Plus de détails sur ce blog et bien sûr, #selfpromo sur le livre « Le mobile NFC, télécommande de notre quotidien » aux Editions AFNOR.

Pour aller plus loin

Le Verbatim de l’émission – Europe 1 – Mardi 8 février 2017 – 8:00

  • Berengère Bonte – Bonjour à tous il y a ceux que ça va terrifier et ceux qui en rèvent depuis toujours. C’est promis ce n’est pas une histoire belge. A Malines, près d’Anvers, huit salariés d’une agence spécialisée dans le marketing digital se sont fait implanter sous la peau une puce d’identification par radiofréquence, une puce RFID. L’idée c’est de remplacer les badges d’entrée, durée de vie 15 ans et bien sûr ils sont tous volontaires.
  • Lionel Gougelot – C’est un salarié de l’entreprise qui en avait assez de perdre son badge qui a suggéré à ses dirigeants de lui implanter cette puce sous la peau qui lui permet notamment d’ouvrir la porte de l’agence, ou d’activer son ordinateur quand il présente sa main devant un capteur, une technologie qui offre plus de liberté de mouvement selon l’un des dirigeants, Tim Pauwels (de la société NewFusion non cité sur Europe 1 – NDLR)
  • Tim Pauwels – C’est pas une méthode de contrôle, c’est une méthode de vérification, il n’y a pas de tracking dedans, on ne peut pas suivre nos employés, on peut pas voir à tout moment où est-ce qu’is sont c’est une façon de leur donner un accès plus facile à nos bureaux, ça remplace en fait la clé qu’on utilise ou le mot de passe parce qu’on utilise plusieurs technologies existantes.
  • LG – Mais parce qu’elles contiennent les données personnelles des salariés ces puces RFID suscitent l’inquiétude de la Ligue des Droits de l’Homme en Belgique et de son président, Alexis Deswaef.
  • Alexis Deswaef – On met une puce à un être humain comme on mettrait à un chien ou un chat pour pas qu’on le perde. ici on va vraiment pouvoir fliquer la personne. Avec les données qui sont collectées, la question c’est quoi ça va servir.
  • LG – Car la crainte c’est qu’un employeur utilise ces données pour contrôler le comportement les allées/venues d’un salarié dans une entreprise d’où la demande d’une loi interdisant cette technologie.
  • Thomas Sotto – Incroyable. (A Bérengère Bonte) vous le sentez, vous, le badge sous la peau ? Vous en mettriez un ?
  • BB – Perso pas trop, je vais être honnête.
  • TS – Moi aussi ça m’inquiète l’impact sur la santé, on va passer un coup de fil à notre urgentiste, il est au téléphone parce qu’il est de garde le docteur Kierzek cette nuit. Bonjour Gérald, ma question est tout simple est-ce que c’est dangereux ou pas de se mettre ça sous la peau.
  • Docteur Gérald Kierzek – Je ne parlerais pas de danger, je parlerais plus d’effets secondaires que de complications réelles. C’est lié à la peau, implant, risque de saignement, d’hématome, zone douloureuse. Quelques cas d’infections locales ou d’intolérance à des produits de cet implant. Et puis il y a le retrait car l’organisme va faire une fibrose, va cicatriser autour de cet implant, parfois une localisation et un retrait difficile. Ca, c’est plus des effets secondaires. En revanche, à long terme, on a absolument aucun recul et c’est peut-être là l’inquiétude. L’implantation d’une puce RFID on ne connaît pas les effets biologiques, notamment les rayonnements notamment liés à ses puces RFID et ses effets biologiques sur les tissus. Le recul scientifique et cette veille scientifique qu’on ne peut pas faire et qu’il va falloir suivre de très prêt.
  • TS – Et bien on va garder notre badge dans notre poche arrière de jean et pour la puce on attendra, merci beaucoup Docteur Kierzek et retournez au boulot, aux urgences.

L’internet des objets sonne le glas du « silence des puces »

La fin du silence des puces

La fin du silence des puces

Un titre volontairement provocateur mais si on y réfléchit bien, ce concept et surtout son application sont bien en passe de disparaitre avec l’arrivée en masse des objets connectés et le déploiement de l’internet des objets sous toutes ses formes.

Rappelons nous l’historique de ce silence des puces. Il y a quelques années nous avions des PC connectés entre eux par l’internet et le web. En parallèle, sont arrivées dans le monde de la logistique des applications composées de lecteurs échangeant par radio-fréquence avec des étiquettes électroniques, répondant doux nom de RFID, une version 2.0 des codes barre, applications facilitant la traçabilité des objets principalement dans les entrepôts et dans le transport de marchandises. Comme pour toute nouvelle technologie, des voix se sont élevées y compris au niveau de l’Europe pour faire part de risques de tout genre, y compris sanitaires ainsi que des atteintes à la vie privée de chacun d’entre nous. Il existe/existait une possibilité qu’en lisant à distance des données, à l’insu des consommateurs, on allait pouvoir tout savoir sur eux en recoupant diverses informations à partir de ces étiquettes (appelées par les média – puces pour dramatiser le propos alors que la puce n’est qu’un composant). Il fallait tuer les puces à la sortie du magasin, les rendre inopérantes. Ensuite est arrivé le concept du silence des puces, il s’agissait de les endormir puis les réactiver si besoin (par exemple si le produit était retourné en magasin), un concept non présent côté technologique et complexe à mettre en œuvre.

En parallèle , d’autres concepts sont apparus comme le « Privacy By Design« , l’idée d’intégrer les ntotions de vie privée dès la conception et le développement d’un produit ou d’un service (pas uniquement RFID par ailleurs) ou le PIA – Privacy Impact Assessment, un programme européen, suivi par la CNIL en France, proposant un questionnement (actuellement) destiné aux projets utilisant la RFID pour déterminer les sujets les plus sensibles autour de la vie privée et la gestion des données personnelles et y remédier.

En 2014, où en sommes nous sur ces concepts ? Tout d’abord, à notre connaissance il n’y a pas eu de cas « industriels » d’atteinte à la vie privée liée à la RFID, dans toutes ces formes. Il y a plusieurs raisons à cela. Le fait que l’information sur l’étiquette soit simplement un identifiant, que l’étiquette n’ait pas d’énergie rendant un suivi à distance très difficile, des applications plus industrielles que personnels dans des systèmes fermés « closed loop » d’enseignes de la distribution, des liens avec le consommateur quasi-impossibles à faire à distance sans accès au SI de l’entreprise. Dans le cas d’un commerce, les liens existent au niveau de la caisse – le consommateur achète un produit avec sa carte de paiement mais cela est vrai, que ce soit en RFID ou en code barre, le fait que l’étiquette soit sans contact ne change rien au sujet. Et puis cela n’a aucun intérêt à titre individuel pour qui que ce soit avec un niveau de complexité immense d’obtention des différentes données individuelles par rapport au gain potentiel. On pourrait faire le même parallèle plus précisément sur la RFID HF également connu sous le nom sans contact ou NFC. Les vols de données bancaires de type Target ou eBay ainsi que tous les fraudes dans l’ecommerce (achat sur le web) ne sont par liés aux fameuses « puces ».

D’autres méthodes pour connaitre les informations des individus existent comme l’affaire Snowden nous l’a appris récemment. Sauf document non publié, la RFID et ses milliards de puces n’ont pas été utilisées par la NSA pour tout savoir sur nous. Une simple recherche « Snowden NSA RFID » sur Google ne donne rien d’intéressants sur le sujet. Les données que nous laissons sur les réseaux sociaux, dans nos mails, sont bien plus riches que les informations d’une étiquette contenant le numéro de produit d’un pull en cachemire à la sortie du Monop de Neuilly et le lien potentiel avec son acheteur.

Dernière information intéressante, les sujets RFID (ou NFC) étaient absents cette année de deux endroits très différents où pourtant il sont souvent été montrés du doigt – Hackito Ergo Sum, la conférence des hackers en France, ou le dernier rapport de la CNIL, où seule la définition du RFID subsiste, dans un petit paragraphe sur quatre-vingt douze pages de rapport, ce qui montre bien que quelle que soit la raison de s’intéresser au sujet, il n’est plus aussi important qu’il ne l’a été.

Ceci étant dit, les sujets « protection de la vie privée et utilisation des données personnelles » sont toujours d’actualité mais doivent être étudiés dans leur globalité et pas uniquement en pensant aux étiquettes RFID. A coté de ces étiquettes, il y a donc à la fois toutes les informations que nous laissons sur les réseaux sociaux, sur les moteurs de recherches, stockés et accessibles par des cookies ; à travers tous les capteurs des objets connectés, générant des données en quantité incroyables, de nos mobiles contenant eux-même de nombreux capteurs et le GPS, stockant ces données, pourvu de connectivité leur permettant de renvoyer ses vers Google et Apple (la plupart du temps à notre insu). La dernière-né de ces technologies s’appelle l’iBeacon, basé sur Bluetooth Low Energy, capable de savoir exactement (par triangulation) ou vous êtes dans un lieu jusqu’à 50 m de distance, vous envoyer des données et lancer des programmes sur votre mobile, votre mobile pouvant lui même devenir un ibeacon et participer à ce vaste réseau de suivi des personnes. Le pourfendeurs des « puces » sont étonnamment bien silencieux sur le sujet il est vrai encore nouveau.

De deux choses l’une, le concept « silence des puces » fait encore sens et alors il doit être appliqué à tous les objets connectés à commencer par nos mobiles mai aussi nos PC, tous les capteurs, les « wearables », la maison connectée, les compteurs intelligents, tout type d’émetteurs Wifi, Bluetooth, Zigbee, ANT+ comme les ibeacons. Tous ces objets connectés devraient être intégrés dans ce un vaste programme pour permettre de rendre silencieux au niveau hardware toutes les sources de données (et c’est bien sûr impossible), ou alors la recherche de solutions doit se déplacer au niveau des données que tous ces objets produisent. Dans les deux cas, l’application du concept du « silence des puces (RFID) » a disparu.

Quand au PIA, ou EIVP – Evaluation d’impact sur la vie privée,  il a clairement vocation à être appliquée à tout produit et service connecté produisant des données pouvant être personnelles  y compris les quelques dizaines de milliards d’objets connectés à l’aube de 2020, et non pas uniquement aux applications RFID, ce qui devraient occuper les équipes de la CNIL dans les prochaines années.

A suivre …. dans un prochain article autour des données, le fameux « big data« , le vrai sujet impactant la gestion de nos données personnelles et les conséquences sur notre vie privée, quelles que soient leurs sources.

Pierre Métivier

Pour aller plus loin

Les cookies, du web aux objets connectés

Les cookies du Web et de la Matrix sont ils les mêmes ?

Les cookies du Web, de l’internet des objets et de  Matrix sont-ils les mêmes ?

Thibault Henneton, de l’excellente (on ne le dira jamais assez) émission, Place de la Toile, de Xavier de la Porte sur France Culture, le rappelait dans une de ses chroniques récentes : dans le film Matrix, que cuisine l’oracle lorsque Néo vient lui rendre visite ? Des cookies ! Ce ne peut être un hasard, plutôt un clin d’œil à la toute puissance de ces petits bouts de logiciels qui envahissent nos disques durs.

Les cookies ! Symbole d’une surveillance à plein temps de l’internaute par des sociétés commerciales peu scrupuleuses de la vie privée comme le présente cet article du Monde ou élément indispensable au bon fonctionnement du web comme le proclame ce deuxième article en réponse au premier, la réponse est surement entre des deux, comme souvent. L’image ci-dessus est le résultat de la recherche autour de Matrix et des cookies avec affichage par Google de l’avertissement autour de l’utilisation des cookies.

La personnalisation, que ce soit de nos mobiles, de notre expérience sur le web ou dans le monde analogique a besoin de données nous concernant pour mieux nous servir. Le restaurateur qui vous propose en entrée le carpaccio de St Jacques sur purée de petit pois, a dans sa tête un cookie liant le consommateur et ses goûts et cette touche personnelle est appréciée. Les cookies du web sont très proches de cela. Ce qui peut faire peur, c’est leur nombre, la quantité d’informations qu’ils contiennent et les traitements algorithmiques qui permettent aux sociétés d’en savoir encore plus sur nous. Google ou Amazon, pour ne citer que ces deux sociétés, sont passées maître dans cet exercice. Les recommandations incessantes sur Amazon, « vous avez aimez cela, alors vous aimerez cela, si si puisqu’on vous le dit, allez y cliquez« , ou l’avalanche de publicités ciblés après un achat abandonné, sont du même acabit, simplement, (beaucoup) plus envahissantes.

Et dans l’internet des objets, qu’en est il, quand sera t il ?

Mother de SEN.SE et 4 cookies

Mother de SEN.SE et 4 cookies

Même, et nous le rappelons souvent, si il est difficile de généraliser tant l’internet des objets est multiple, non seulement il y aura mais il y a déja des cookies en particulier dans le monde des objets connectés. Rafi Haladjian, sen.se vient de lancer sa Mother. Et ce n’est pas par hasard si les capteurs associés permettant de transformer de nombreux objets de notre quotidien en objets connectés s’appellent des … cookies. Notifon, une startup récemment présente sur Indiegogo utilise le même principe : des petits boitiers, mélange de capteurs, d’intelligence logiciel ET de contexte pour connecter un grand nombre d’objets à notre environnement. Par extension, on peut considerer que les « wearables » comportent des cookies. Et nous ajouterons les étiquettes RFID ou NFC, des cookies simples et économiques jouant tout ou partie du même rôle.

Le cookie n’est plus uniquement un petit bout de logiciel, il est devenu matériel, mesurant, captant, stockant et partageant des données « relevant » dans le sens anglo-saxon, concernant une personne ou son environnement à travers ses objets pour créer de nouveaux services. Et cette génération et ce stockage de données alimentent le fleuve sans cesse grandissant du « big data ».

Faut il s’en inquiéter ? La génération de données elle-même n’est pas le problème. Les grandes questions sont :

  • qui a accès à ces données / à mes données ?
  • qu’est ce qu’on en fait ?
  • en ai-je toujours le contrôle ?
  • puis je décider quand je permets (ou pas) qu’on utilise mes données et avec qui, même anonymisées que ce soit sur le web (Google, Amazon, Paypal) ou dans l’internet des objets (Withings par exemple).

Clairement, il y a plus de questions que de réponses.

Cookies favoris

Cookies favoris

En attendant, tendres (soft) ou plus durs (hard), les cookies, ça se déguste aussi, et en toute neutralité (du net) les meilleurs sont ceux de Juliette et d’Arthur !

A suivre

Pierre Métivier

Aller plus loin

La scène des cookies de Matrix.