France Outil d aide à l Evaluation de l Impact sur la Vie Privée (EIVP) des applications RFID Sophie Le Pallec, 4 octobre 2011, International RFID Congress, Lille
GS1, les échanges intelligents France GS1 réunit les parties prenantes de la chaîne d approvisionnement afin de définir et d implémenter un système mondial de standards en vue d améliorer les flux de marchandises et d information. Des standards mondiaux, neutres et multi secteurs Une organisation sans but lucratif, pilotée par les utilisateurs (1,5 millions d adhérents) 110 organisations nationales apportant un savoir et une expertise locale. 2
Standards GS1 (par familles) Global standards for automatic identification Rapid and accurate item, asset or location identification Global standards for electronic business messaging Rapid, efficient & accurate business data exchange The environment for global data synchronisation Standardised, reliable data for effective business transactions Global standards for RFID-based identification More accurate, immediate and cost effective visibility of information Global standards for traceability Standardised, reliable data for effective traceability The environment for global mobile -commerce Standardised, reliable data for effective customer information 3
EIPV : Pourquoi? Comment? France Une EIPV doit être réalisée par toutes les entreprises mettant en œuvre une application RFID dans un lieu ouvert au public Une EIPV est un processus qui a pour objectifs d amener l opérateur à évaluer les risques posés par son application RFID en matière de protection de la vie privée et de l aider à les réduire, en limiter l impact ou à les éliminer. Il s agit de s assurer du déploiement de la technologie RFID dans un contexte de respect optimal de la vie privée des personnes et de confiance des utilisateurs. C est une approche non-réglementaire, qui pourra le rester en fonction du succès de sa mise en œuvre. 4
Processus et Cadre France Une évaluation de l impact sur la vie privée (EIVP) est un processus impliquant un travail conscient et systématique d évaluation des effets d une certaine application RFID sur le respect de la vie privée et la protection des données, entrepris en vue de prendre les mesures qui s'imposent pour prévenir ou à tout le moins réduire au maximum ces impacts; Le cadre détermine les objectifs des EIVP portant sur des applications RFID, les composants de ces applications à prendre en considération lors des EIVP ainsi que la structure et la teneur communes des rapports d'eivp relatifs à de applications RFID; http://ec.europa.eu/information_society/policy/rfid/index_en.htm 5
Rapport & Modèle France Le rapport d EIVP est le document établi au terme du processus d EIVP et transmis ou mis à la disposition des autorités compétentes au moins 6 semaines avant tout déploiement. Des modèles d EIVP pourront être élaborés sur la base du cadre, afin de fournir des formats spécifiques à une industrie, une application ou autre qui pourront être utilisés dans le cadre des EIVP et des rapports d'eivp qui en résultent. 6
France GS1 : Elaboration d un modèle/outil pour le Commerce GS1 a mis en œuvre un groupe de travail au plan européen pour travailler à la mise en œuvre d un outil d accompagnement à l EIVP et d aide à la génération du rapport d EIVP dans le domaine du Commerce. Une première version est en cours d élaboration Toutes les parties prenantes intéressées sont invitées à la tester et à nous faire part de leur retour; Objectif : avoir une version 1.0 en anglais pour la fin octobre (6 mois après la signature du EIPV) 7
Le processus de l EIVP France L EIVP comprend 2 phases : 1. la phase d analyse préalable: l exploitant d application RFID suit les étapes décrites dans cette section pour déterminer: a) si une EIVP de son application RFID s impose ou pas; et b) s il convient d opter pour une EIVP complète ou limitée. 2. la phase d'évaluation des risques: elle définit les critères et les éléments à prendre en considération dans le cadre des EIVP complètes et limitées. 8
1ere phase : phase d analyse préalable France 9
Description de l application 10
Phase d analyse initiale 11
France 2 ème phase : la phase d évaluation des risques Conception de l application RFID prévue Probabilité des risques, ampleur de l impact, pertinence des contrôles Etape N 1 : description de l application Etape N 2 : identification des risques pertinents Etape N 3 : identification des contrôles actuels et proposés Description exhaustive de l application Liste des risques et probabilités qu ils se concrétisent Liste des contrôles actuels et prévus Etape N 4 : description de la résolution et des risques résiduels Rapport d EIVP 12
Phase d évaluation des risques (niveau 2) 13
Identification et évaluation des contrôles 14
Phase d évaluation des risques (niveau 3) 15
Suite des travaux France Toutes les personnes intéressées peuvent nous contacter pour obtenir la dernière version de l outil ainsi qu un accompagnement dans sa prise en main. Leur retour d utilisateur nous permettra d améliorer l outil de manière dynamique. GS1 collabore avec la CNIL et les autres DPA européennes afin de clarifier les conditions de mise en œuvre de l EIVP pour ses adhérents. 16
France Coordonnées Sophie Le Pallec Responsable Relations Institutionnelles D +33 (0)1 40 95 54 15 F +33 (0)1 40 95 54 49 M +33 (0)6 78 00 88 28 E sophie.lepallec@gs1fr.org 17