GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Transcription

1 GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES 00066/10/FR WP 175 Avis 5/2010 sur la proposition des entreprises relative au cadre d évaluation de l impact sur la protection des données et de la vie privée des applications reposant sur l identification par radiofréquence (RFID) Adopté le 13 juillet 2010 Le groupe de travail a été institué en vertu de l article 29 de la directive 95/46/CE. Il s agit d un organe consultatif européen indépendant sur la protection des données et de la vie privée. Ses missions sont définies à l article 30 de la directive 95/46/CE et à l article 15 de la directive 2002/58/CE. Le secrétariat est assuré par la direction C (Droits fondamentaux et citoyenneté de l'union) de la direction générale «Justice» de la Commission européenne, B-1049 Bruxelles, Belgique, bureau LX-46 01/190. Site:

2 Table des matières 1 Contexte Introduction La RFID et la protection des données Objectifs du cadre d EIP Résumé de la proposition de cadre Analyse Évaluation des risques Étiquettes portées par des personnes La RFID dans le secteur de la distribution Remarques supplémentaires Conclusion

3 1 Contexte 1.1 Introduction Le 12 mai 2009, la Commission européenne a émis une recommandation sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l identification par radiofréquence 1. Le point 4 de cette recommandation déclare que «Les États membres doivent veiller à ce que les entreprises, en collaboration avec les parties intéressées de la société civile, élaborent un cadre d évaluation de l impact sur la protection des données et de la vie privée. Ce cadre doit être soumis pour approbation au groupe de travail «article 29» sur la protection des données dans un délai de douze mois à compter de la publication de la présente recommandation au Journal officiel de l Union européenne» (soulignement ajouté). Selon la recommandation, une fois que le cadre d évaluation de l impact sur la protection des données et de la vie privée est défini, les États membres doivent veiller à ce que les exploitants d applications RFID réalisent une évaluation des incidences sur la protection de la vie privée et des données (EIP) des applications RFID avant leur mise en œuvre. Les États membres doivent également veiller à ce que les opérateurs d applications RFID mettent les rapports d évaluation ainsi établis à la disposition de l autorité compétente (à savoir la DPA, l autorité chargée de la protection des données). En juillet 2009, un «groupe de travail RFID» informel, dirigé par des représentants du secteur, s est attelé à la définition d un cadre d EIP en tenant des réunions régulières avec des parties intéressées, dont des associations de consommateurs, des organismes de normalisation et des universitaires. Le 31 mars 2010, les représentants du secteur ont remis leur proposition de cadre d évaluation de l impact sur la protection des données et de la vie privée des applications reposant sur l identification par radiofréquence (RFID) au groupe de travail «article 29» en vue de son approbation. Le présent avis constitue la réponse officielle du groupe de travail à cette proposition. Ci-après, la «recommandation RFID» désignera la recommandation de la Commission européenne sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l identification par radiofréquence, publiée le 12 mai La «proposition de cadre», ou simplement le «cadre», désignera le cadre d évaluation de l impact sur la protection des données et de la vie privée des applications reposant sur l identification par radiofréquence (RFID) remis au groupe de travail «article 29» le 31 mars 2010 et repris en annexe du présent avis. 1.2 La RFID et la protection des données En janvier 2005, le groupe de travail a adopté un document de travail 2 sur les questions de protection des données liées à la technologie RFID (WP 105), qui reconnaissait les avantages évidents offerts par la

4 technologie RFID mais mettait aussi en lumière des inquiétudes potentielles en ce qui concerne la protection des données, dues en particulier au fait que «des entreprises et des gouvernements puissent utiliser la technologie RFID pour fouiller dans la vie privée des personnes». Ce document soulignait que «La possibilité de collecter subrepticement diverses données toutes liées à la même personne; de suivre à la trace des personnes se déplaçant dans des lieux publics (aéroports, gares ferroviaires, magasins); d étoffer des profils en surveillant le comportement des consommateurs dans les magasins, de lire les données détaillées des vêtements et des accessoires que portent les clients et des médicaments qu ils transportent sont autant d exemples d utilisation de la technologie RFID qui suscitent des inquiétudes en matière de protection de la vie privée.» Ce document de travail a ensuite été mis en consultation publique. Les résultats de cette démarche sont résumés dans un document (WP 111) 3 publié par le groupe de travail en septembre Ils montraient que si «la plupart des universités, des groupes de réflexion, des particuliers et des sociétés de sécurité proposent que le groupe "article 29" fournisse des orientations complémentaires sous l une ou l autre forme» et que certains suggèrent «d ajouter à cette directive des règles spécifiques pour la technologie RFID», les entreprises plaidaient pour «l autorégulation». Dans ce contexte global, et en coordination avec les parties intéressées, parmi lesquelles des représentants du secteur de la RFID, des organismes de protection des données et de défense des consommateurs, la Commission européenne a pris l initiative de rédiger une recommandation 4 «sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l identification par radiofréquence», qui vise à donner «aux États membres des indications sur les moyens de concevoir et d exploiter les applications RFID de façon licite, éthique et socialement et politiquement acceptable, en respectant le droit à la vie privée et en assurant la protection des données à caractère personnel.» Cette recommandation, publiée en mai 2009, contient une grande nouveauté: elle demande aux exploitants d applications RFID de réaliser une «évaluation des incidences sur la protection des données et de la vie privée» avant le déploiement d une application RFID et d'en mettre les résultats à la disposition de l autorité compétente. Cette nouvelle procédure, qui vient compléter le cadre réglementaire existant mis en place par la directive sur la protection des données et la directive «vie privée et communications électroniques» donne l'occasion aux entreprises de démontrer le potentiel de l autorégulation comme outil complétant, de manière souple et efficace, le cadre légal européen dans un environnement technologique en pleine évolution. Le groupe de travail préconise 5 «la conduite d études d impact sur la vie privée, notamment pour certaines opérations de traitement des données réputées présenter des risques spécifiques pour les droits et libertés des personnes concernées». Il estime aussi que la réussite ou l échec de cette méthode est susceptible d ouvrir la voie à l utilisation d EIP dans d autres domaines ou de déboucher sur une approche réglementaire plus stricte «Résultats de la consultation publique relative au document de travail n 105 du groupe «article 29» sur les questions de protection des données liées à la technologie RFID (radio-identification)», Cf. «L avenir de la protection de la vie privée: Contribution conjointe à la consultation de la Commission européenne sur le cadre juridique du droit fondamental à la protection des données à caractère personnel», WP 168, 4

5 La recommandation RFID vise aussi à encourager «les informations et la transparence concernant l utilisation de la RFID», notamment par la mise en place «d un signe européen commun élaboré par des organismes européens de normalisation avec l aide des parties concernées» afin d «informer les personnes de la présence de lecteurs». Cette initiative est pleinement soutenue par le groupe de travail. Même si la recommandation RFID renvoie explicitement à la directive 95/46/CE, elle s écarte par endroit de la terminologie traditionnellement utilisée dans la législation sur la protection des données, en particulier dans l utilisation des termes «personnes» ou «utilisateurs». Pour éviter toute ambiguïté, le présent avis utilisera le mot «personne» pour désigner une personne physique à l instar de l article 2 de la directive 95/46/CE, tandis que les mots «Utilisateur» et «Personne», avec ou sans majuscule, conserveront la signification qu ils revêtent dans la recommandation RFID. En particulier, le mot «personne» peut servir à désigner plus largement à la fois les «Utilisateurs» et les «Personnes» qui constituent en principe des catégories distinctes de personnes selon les définitions mentionnées au point 3 de la recommandation RFID, reprises dans la proposition de cadre. Par souci de cohérence avec la recommandation RFID, le présent avis utilisera aussi le terme «exploitants d applications RFID» et non celui de «responsables du traitement des données» même s ils ne sont pas rigoureusement équivalents. En novembre 2009, les législateurs européens ont amendé la directive «vie privée et communications électroniques» 6 en citant explicitement la technologie RFID. Dans le 56 e considérant de la directive 2009/136/CE, ils ont reconnu qu «une large utilisation de ces technologies peut générer des avantages économiques et sociaux considérables et partant, apporter une contribution précieuse au marché intérieur, pour autant que cette utilisation soit acceptable pour la population», mais aussi qu «à cet effet, il est nécessaire de garantir que tous les droits fondamentaux des individus, y compris le droit à la vie privée et à la protection des données, sont protégés». Ils ont en outre ajouté que «lorsque ces dispositifs sont connectés à des réseaux de communications électroniques accessibles au public, ou font usage de services de communications électroniques en tant qu infrastructure de base, les dispositions pertinentes de la directive 2002/58/CE (directive "vie privée et communications électroniques"), notamment celles sur la sécurité, sur les données relatives au trafic et les données de localisation et sur la confidentialité, devraient s appliquer». En conséquence, la portée de la directive «vie privée et communications électroniques» (définie à l article 3) a été revue pour inclure «les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d identification». 1.3 Objectifs du cadre d EIP Par la recommandation RFID, la Commission européenne a instauré une procédure d EIP qui vise plusieurs objectifs: Tout d abord, l EIP devrait encourager le «respect de la vie privée assuré dès la conception» en aidant les responsables du traitement des données à se préoccuper de la protection de la vie privée 6 Directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l application de la législation en matière de protection des consommateurs. 5

6 et des données avant le déploiement d un produit ou service. Cela ne profitera pas seulement aux personnes mais aussi aux responsables du traitement des données car cela évitera les frais importants (et les solutions souvent insatisfaisantes) qui surviennent fréquemment lorsqu il faut «greffer» des dispositifs de protection de la vie privée sur un produit déjà déployé. Ensuite, l EIP devrait aider les responsables du traitement des données à aborder exhaustivement les risques en matière de protection de la vie privée et des données. En effet, l EIP fait partie des outils qui aident à évaluer les risques pour la vie privée, à définir les mesures techniques et organisationnelles permettant de protéger les données personnelles contre la divulgation ou l accès non autorisés et à couvrir les autres obligations en matière de sécurité visées à l article 17 de la directive sur la protection des données et à l article 4 de la directive 2002/58 amendée. Cette manière de procéder permet également de réduire l insécurité juridique et d éviter la perte de confiance du public qui pourrait, dans le cas contraire, nuire au responsable du traitement des données si celui-ci n a pas traité de manière appropriée les questions relatives à la protection des données. Enfin, l EIP pourront aider à la fois les responsables du traitement des données et les autorités chargées de la protection des données à mieux appréhender les aspects relatifs à la protection de la vie privée et des données des applications RFID. La réalisation d une EIP devrait faciliter la compréhension et l application par les responsables du traitement des données des principes décrits dans la directive 95/46/CE, la directive 2002/58/CE, récemment amendée, et la recommandation RFID. Par ailleurs, les informations recueillies lors des EIP peuvent aider les autorités chargées de la protection des données à recenser les meilleures pratiques concernant la mise en œuvre de la protection des données par les entreprises et, dans les États membres qui exigent un contrôle préalable de (certaines ou toutes les) applications RFID, elles peuvent simplifier la procédure tant pour les autorités que pour les responsables du traitement des données 7. En outre, le groupe de travail considère le développement des EIP comme un facteur favorisant la compétitivité des entreprises européennes actives dans la RFID par l encouragement de méthodes innovantes visant à prendre en compte les questions relatives à la protection des données et de la vie privée au moyen de technologies telles que l anonymisation de données, la désactivation partielle d étiquettes, la cryptographie légère, etc. Bien que le cadre d EIP envisagé dans la recommandation vise à favoriser le principe de «sécurité et respect de la vie privée assurés dès la conception» en ciblant les applications RFID avant leur déploiement, de nombreuses applications RFID existantes sont déjà mises en œuvre. Le groupe de travail espère que les parties intéressées tireront parti de cette expérience et saisiront cette occasion de créer des outils d évaluation pouvant être utilisés pour les applications RFID existantes. 7 Dans ce contexte, le point 5, d), de la recommandation RFID précise que les exploitants, nonobstant leurs autres obligations en vertu de la directive 95/46/CE, doivent mettre l évaluation à la disposition de l autorité compétente au moins six semaines avant le déploiement de l application. Les modalités de cette mise à disposition des EIP (par exemple, sur demande ou non) seront définies par les autorités nationales chargées de la protection des données. Les risques liés à l application peuvent notamment être pris en compte, de même que d autres facteurs tels que la présence d un responsable de la protection des données. 6

7 1.4 Résumé de la proposition de cadre La proposition de cadre commence par classer les applications RFID selon 4 niveaux différents. Les applications de «niveau 0», qui couvrent pour l essentiel les applications RFID qui ne traitent pas de données à caractère personnel et dont les étiquettes sont uniquement manipulées par les utilisateurs, sont exemptées de réaliser une EIP. Le terme «utilisateur» pourrait certes inclure des employés, mais la définition du niveau 0 ne saurait être comprise de telle manière qu elle inclurait une application destinée à surveiller des employés puisque cette surveillance exigerait le stockage de données personnelles quelque part dans l application. Dès lors, le groupe de travail convient que l exclusion des «applications de niveau 0» de la procédure d EIP ne risque pas de porter atteinte aux objectifs de protection des données et de la vie privée. Les applications de niveau 1 désignent les applications qui ne traitent pas de données à caractère personnel mais dont les étiquettes sont portées par des personnes. Les applications de niveau 2 sont celles qui traitent des données à caractère personnel mais dont les étiquettes ne contiennent pas de telles données. Enfin, les applications de niveau 3 sont les applications dont les étiquettes contiennent des données à caractère personnel. Comme souligné plus bas au point 2.4, l utilisation de l'expression «données à caractère personnel» est quelque peu ambiguë dans la proposition de cadre lorsqu il s agit de désigner les informations contenues dans l étiquette. Si le niveau de l application RFID est égal ou supérieur à 1, son exploitant doit en réaliser une analyse en quatre volets, dont le niveau de détail est proportionnel aux incidences recensées sur la protection de la vie privée et des données. Le premier volet sert à décrire l application RFID. Le deuxième permet de mettre en évidence les mesures de contrôle et de sécurité. Le troisième concerne l information et les droits des utilisateurs. Dans le dernier volet du cadre d EIP proposé, l exploitant de l application RFID doit décider si l application est ou non prête à être déployée. À l issue de la procédure d EIP, l exploitant de l application RFID rédigera un rapport qu il mettra à la disposition de l autorité compétente. Pour les besoins particuliers de certains secteurs, les auteurs de la proposition de cadre envisagent que les entreprises puissent convertir le cadre en «modèles d EIP» spécifiques afin d en faciliter la mise en œuvre. Le «rapport d EIP» se basera alors sur le modèle spécifique du secteur et non sur le cadre plus général. 2 Analyse Le groupe de travail reconnaît l ampleur du travail accompli par les auteurs de la proposition de cadre et souscrit à ses objectifs principaux, mis en évidence dans ses sections introductives. Si la proposition de cadre ne suscite dans ses grandes lignes aucune question particulière, le groupe de travail a néanmoins noté trois préoccupations majeures dans son contenu et émis quelques remarques, détaillées ci-dessous. 7

8 2.1 Évaluation des risques La section introductive de la proposition de cadre déclare sans ambiguïté que «la procédure d EIP a pour but de révéler les risques pour la vie privée liés à une application RFID [...] et d évaluer les mesures prises pour y remédier.» Or ce principe fondamental de la procédure d EIP ne figure pas dans le contenu de la proposition de cadre. En effet, la proposition de cadre contient certes des références éparses à l évaluation des risques (principalement dans ses points introductifs), mais aucune section ne demande explicitement aux exploitants d applications RFID de recenser ou de «révéler les risques pour la vie privée liés à une application RFID». Par conséquent, il n est pas possible «d évaluer les mesures prises pour y remédier». Au lieu de cela, la proposition de cadre exige uniquement des exploitants d applications RFID qu ils répertorient les différents dispositifs de protection et de contrôle qu ils ont mis en place pour protéger la vie privée et les données à caractère personnel dans leur application RFID. Cela ne saurait être considéré comme un moyen suffisant de donner à l exploitant d application RFID ou à l autorité compétente une garantie raisonnable que les mesures proposées sont appropriées ou proportionnelles aux risques puisque ces risques n ont pas été identifiés en premier lieu. Le groupe de travail déplore que ce point n ait pas été abordé par les auteurs de la proposition de cadre. Un cadre d évaluation de l impact sur la protection des données et de la vie privée devrait, par définition, proposer une méthode générale comportant comme élément essentiel une phase d évaluation des risques. Les entreprises du secteur de la RFID réalisent assurément déjà des évaluations des risques en application d une approche méthodologique s inscrivant dans le contexte de la gestion de la sécurité de l information, telle que définie par la norme ISO/CEI et d autres normes nationales ou internationales. Le groupe de travail est convaincu que les entreprises actives dans la RFID pourraient mettre à profit l'expérience acquises dans la gestion de la sécurité de l information traditionnelle pour compléter la proposition de cadre en y ajoutant une méthode pertinente d évaluation des risques. Cela aurait aussi des répercussions sur d autres éléments spécifiques de la proposition de cadre, comme exposé notamment aux points 2.2, 2.3 et 2.4 de cet avis. De plus, le 17 e considérant de la recommandation RFID considère que le cadre d EIP doit «être élaboré sur la base des pratiques existantes et de l expérience acquise dans les États membres, dans les pays tiers et lors des travaux menés par l Agence européenne chargée de la sécurité des réseaux et de l information (ENISA)». Les auteurs de la proposition de cadre peuvent donc légitimement à prendre dûment en considération le récent avis de l ENISA sur le cadre d EIP 9 et à demander des conseils supplémentaires à l agence européenne concernant l application d une méthode d évaluation des risques dans le contexte de la RFID. L ENISA s est spécifiquement attelée 10 à «la tâche consistant à recenser et 8 Cf. ISO/CEI 27001:2005, Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences. 9 Avis de l'enisa sur la proposition des entreprises relative au cadre d évaluation de l impact sur la protection des données et de la vie privée des applications reposant sur l identification par radiofréquence (RFID), juillet 2010, 10 Voir par exemple le rapport de l ENISA intitulé «Flying Enabling automated air travel by identifying and addressing the challenges of IoT & RFID technology». 8

9 évaluer le risques émergents et futurs d un scénario IoT/RFID particulier, notamment dans le cadre du rôle de l ENISA à cet égard tel que décrit dans la communication de la Commission européenne L internet des objets: un plan d action pour l Europe 11». Le groupe de travail encourage vivement les entreprises à saisir cette chance. 2.2 Étiquettes portées par des personnes L une des trois principales préoccupations mises en lumière dans le Document de travail sur les questions de protection des données liées à la technologie RFID (WP 105) 12 «apparaît avec des utilisations de la technologie RFID qui impliquent un repérage des personnes et l accès à des données à caractère personnel». En effet, des objets marqués portés par une personne contiennent des éléments d identification uniques qui sont susceptibles d être lus à distance. Ces identifiants uniques pourraient à leur tour servir à reconnaître la personne en question au fil du temps, la rendant «identifiable». Cet objectif peut être souhaité dans certains cas, notamment si l objet marqué est spécialement destiné à servir de mécanisme de contrôle des accès (ex.: badge). Cependant, dans d autres situations, il peut permettre à des tiers de suivre des personnes à leur insu 13. Comme indiqué dans l Avis 4/2007 sur le concept de données à caractère personnel (WP 136) 14, lorsqu un identifiant spécifique est attribué à une personne, il relève de la définition des données à caractère personnel énoncée dans la directive 95/46/CE, sans préjudice du fait que l «identité sociale» (nom, adresse, etc.) de la personne demeure inconnue (autrement dit, elle est «identifiable» mais pas nécessairement «identifiée»). En outre, le numéro unique contenu dans une étiquette peut aussi servir à identifier à distance la nature des objets transportés par une personne, ce qui peut à son tour révéler des informations sur sa situation sociale, sa santé, ou plus. Par conséquent, même lorsqu une étiquette contient seulement un numéro unique dans un contexte donné, sans autre donnée à caractère personnel, il convient de prendre en compte les risques potentiels pour la vie privée et la sécurité si l étiquette est destinée à être portée par des personnes. Le groupe de travail se félicite que les entreprises aient intégré cette préoccupation dans le cadre d EIP en exigeant une EIP lorsque «les objets marqués sont destinés à être détenus par des personnes» (applications de «niveau 1»). Malheureusement, malgré ce principe, la proposition de cadre ne va pas au fond de cette question et omet d inviter expressément l exploitant d application RFID à évaluer les questions relatives à la protection de la vie privée et des données susceptibles d apparaître lorsque les étiquettes sont portées quotidiennement par des personnes. Il ne suffit pas d examiner «si la localisation de personnes ou d utilisateurs sera suivie à l aide de l application RFID 15». Il est également essentiel d analyser le risque d un suivi non autorisé en dehors du périmètre de l application. Le cadre omet également de décrire les dispositions prises pour prendre ces risques en compte. Le groupe de travail encourage vivement les entreprises à traiter pleinement ce problème en y faisant clairement référence dans le cadre lors d'un réexamen de la méthode d évaluation des risques Communication de la Commission au Parlement européen, au Conseil, Comité économique et social européen et au Comité des régions: L internet des objets: un plan d action pour l Europe, COM(2009) 278, Bruxelles, Cf. note de bas de page 2. Voir les exemples donnés dans le document WP 105, point Au point de la proposition de cadre. 9

10 2.3 La RFID dans le secteur de la distribution L un des domaines essentiels d application dans lequel les étiquettes pourraient se retrouver sur des personnes est le secteur de la distribution. La recommandation RFID considère ce secteur comme critique et l a pris en compte dans des points spécifiques. Le point 11 de la recommandation RFID déclare précisément que «Les détaillants doivent désactiver ou retirer, au point de vente, les étiquettes de leur applications à moins que les consommateurs [ ] acceptent que les étiquettes restent opérationnelles.» Le point 12 autorise une exception à cette règle en indiquant que «Le point 11 ne s applique pas s il ressort de l évaluation d impact sur la protection des données et de la vie privée que les étiquettes utilisées dans une application de détail et restant opérationnelles au-delà du point de vente ne présentent pas de risque probable pour la vie privée ou la protection des données à caractère personnel.» En d autres termes, la désactivation au point de vente est l attitude par défaut sauf si l EIP aboutit à une conclusion divergente. Néanmoins, la section D de la proposition de cadre d EIP n offre que deux conclusions possibles au rapport d EIP: l application RFID est soit «prête à être déployée», soit «pas prête à être déployée» sans prévoir la moindre possibilité pour un exploitant d application RFID de formuler une conclusion relative à l utilisation des étiquettes au-delà du point de vente dans les applications de détail, comme l'exige la recommandation RFID. Le groupe de travail note que certaines applications peuvent justifier ou exiger que certaines étiquettes restent actives à des fins spécifiques au-delà du point de vente dans le secteur de la distribution. Toutefois, l absence de réflexion sur ce sujet dans la proposition de cadre semble sousentendre que toutes les étiquettes seront désactivées au point de vente. Plus généralement, le groupe de travail observe que le choix binaire offert à la section D du cadre d EIP semble inutilement restrictif pour les exploitants d applications RFID et les entreprises du secteur de la RFID dans leur ensemble. Certaines applications peuvent être considérées comme «prêtes à être déployées sous certaines conditions», conditions qu il y aurait lieu d exposer dans les conclusions du rapport d EIP. Le groupe de travail invite les auteurs de la proposition de cadre à clarifier la question de la désactivation des étiquettes dans le secteur de la distribution. La proposition de cadre doit expressément demander aux exploitants d application RFID d aborder le point 12 de la recommandation RFID dans le rapport d'eip qui sera rédigé (pour les applications dans le secteur de la distribution). Plus généralement, un réexamen de la méthode d évaluation des risques devrait permettre de trouver les outils adéquats pour parvenir à une conclusion en ce qui concerne les conditions du déploiement d une application RFID. 2.4 Remarques supplémentaires Comme expliqué plus haut au point 0, si l étiquette est portée par une personne (un utilisateur ou une personne) et si elle contient un élément d identification unique 16, elle contient par définition des données à 16 Par «élément d identification de l étiquette», nous entendons de manière générale tout numéro d identification unique (ou numéro de série) que l on peut lire dans l étiquette RFID et qui permet d identifier de manière unique une étiquette RFID dans un contexte donné. 10

11 caractère personnel. Au sens strict, les définitions des «applications de niveau 1» et des «applications de niveau 0» reprises au point 1.5 sont donc contradictoires: dans la plupart des scénarios, il est impossible d'affirmer que l application RFID ne traite pas de données à caractère personnel lorsque les étiquettes sont portées par des personnes ou des utilisateurs. Par conséquent, en vertu de ces définitions, la plupart des applications relèveraient du niveau 2. On ne parlerait dès lors d application de niveau 0 ou 1 que dans les rares cas où les étiquettes sont portées par des personnes sans avoir de numéro unique. Le groupe de travail suppose que les auteurs du cadre n entendaient pas donner une portée aussi limitée aux applications de niveau 0 et 1 et que leurs définitions étaient censées englober les applications qui traitent uniquement un type de données à caractère personnel, à savoir l élément d identification unique de l étiquette. Les définitions de tous les niveaux pourraient aisément être clarifiées pour lever toute équivoque. En tout état de cause, la définition correcte d une méthode reposant sur l évaluation des risques pourrait entraîner également une reformulation de ces définitions. Le groupe de travail note que le cadre fait référence à des étiquettes «détenues» par des utilisateurs ou des personnes. Ce mot est trop restrictif et devrait être remplacé par «portées», qui rend bien mieux compte des scénarios de risque existants. Le groupe de travail estime que la procédure d EIP proposée dans le cadre devrait inclure une phase de consultation des parties concernées. Cela suppose la consultation des parties intéressées (groupements, syndicats, associations ) susceptibles d être concernées par l application RFID et d échanger des idées, des suggestions et des améliorations qui permettront de déployer l application d une manière ouverte et respectueuse de la vie privée, ce qui servira tant les intérêts de l exploitant d application RFID que ceux des utilisateurs et des personnes concernés. Ce type de consultation des parties intéressées contribue clairement à la diffusion d'«informations et [à] la transparence concernant l utilisation de la RFID» ainsi qu aux «actions de sensibilisation» évoquées par la recommandation RFID. Le groupe de travail souligne également que des catégories particulières de données 17 exigent des conditions spécifiques pour être traitées de manière licite et sûre. Le cadre devrait donner des orientations plus précises à l exploitant d application RFID sur les questions spécifiques liées au traitement des catégories particulières de données. La détermination de l utilisation de ces catégories particulières de données devrait également faire partie intégrante de toute procédure d évaluation des risques. Le cadre devrait également donner des indications aux opérateurs d applications RFID en ce qui concerne le meilleur moment et les conditions les plus appropriées pour réaliser l EIP au cours du cycle de développement d un produit RFID afin d encourager réellement la «sécurité et le respect de la vie privée assurés dès la conception», comme souhaité dans la recommandation. 3 Conclusion Compte tenu des éléments mis en avant dans le présent avis et en particulier de l absence d une méthode claire et exhaustive d évaluation des risques pour la protection de la vie privée et des données dans la proposition de cadre, le groupe de travail n approuve pas le document proposé dans sa forme actuelle. 17 Article 8 de la directive 95/46/CE. 11

12 Il convient de souligner que l inclusion d une procédure appropriée d évaluation des risques est de nature à faciliter sensiblement la prise en compte de la plupart des autres problèmes relevés dans le présent avis. Ainsi, l obligation pour un exploitant d application RFID de réaliser une évaluation des risques lui permettrait notamment d inventorier les risques liés au suivi non autorisé d étiquettes RFID portées par des personnes. De plus, dans le secteur de la distribution, il pourrait être utile de présenter des arguments solides pour démontrer que certaines des étiquettes RFID (utilisées dans une application spécifique) qui «rest[e]nt opérationnelles au-delà du point de vente[,] ne présentent pas de risque probable pour la vie privée ou la protection des données à caractère personnel». Le groupe de travail a la conviction que les entreprises peuvent proposer un cadre amélioré sur la base des observations formulées dans le présent avis et s engage à mettre en œuvre tous les moyens pertinents pour continuer à améliorer la proposition de cadre et parvenir à son approbation rapide. Fait à Bruxelles, le 13 juillet 2010 Pour le groupe de travail Le président Jacob KOHNSTAMM 12