RFID (Radio Frequency IDentification) est une technologie émergente, considérée par certains comme révolutionnaire, permettant l'utilisation d'une fréquence radio pour identifier automatiquement un objet ou une personne.

Cette technologie prend, la plupart du temps, la forme de puces miniatures de quelques millimètres constitués d'un microprocesseur et d'une antenne, puces associées à un ou plusieurs lecteurs dans le cadre d'un système d'identification.

Les principales caractéristiques de ces puces sont liées à la mise à jour des données, leur réutilisation, et leur capacité à s'intégrer dans des services de géo-localisation.

Elles sont actuellement utilisées par les péages automatiques sur les autoroutes, au travers des cartes de transport telles que Navigo ou dans certaines applications de logistique pour suivre l'acheminement de marchandises.

L'émergence des puces RFID soulève de nombreux défis juridiques liés notamment à la traçabilité des personnes et des biens, à l'accès, au partage et à la collecte d'informations et de données personnelles, à leur impact sur l'organisation des systèmes d'information existants et à la sécurité de leurs contenus.

Selon leur mode de fonctionnement en lecture seule ou en lecture/écritures ou l'application qui en est en faite, l'utilisation des puces RFID implique différents types de risques juridiques qui ne se limitent pas à la problématique de la protection des données personnelles mise en lumière par la carte Navigo de la Ratp.

RFID et protection des données personnelles
Dans la plupart des cas, les puces ne contiendront qu'un numéro équivalent à une adresse IP à laquelle on pourra ou non associer des informations personnelles.

A titre, d'exemple, un simple badge d'accès peut contenir un seul numéro qui pourra être associé à des données personnelles.

Il existe actuellement peu de puces contenant directement de données personnelles. Elles sont le plus souvent intégrées au sein de cartes d'identité civile ou sociale.

Quelque soit l'application concernée, il convient de distinguer les puces contenant des données personnelles de celles contenant uniquement des informations relatives à un produit ou un bien.

Dans le premier cas, l'utilisation, par nature automatisée, des puces RFID tombe sous le coup de l'application des dispositions de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel modifiée le 6 août 2004.

Elle nécessite donc de respecter l'obligation de déclaration des traitements opérés, l'obligation d'information des personnes auprès desquelles des données sont recueillies par le biais de la puce ou afin d'être intégré au sein de cette puce ainsi que l'obligation de sécurité liées à la préservation des données, notamment, afin d'empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Dès lors que le système d'identification RFID impliquera un lecteur de puces collectant directement ou indirectement des données personnelles, il conviendra de déclarer ce lecteur à la CNIL, de la manière que pour les autocommutateurs.

Dans le second cas, c'est le recoupement susceptible d'être opéré entre le contenu d'un puce (associée à des produits de grandes consommations, par exemple) et des données personnelles figurant sur un autre support (carte de crédit, carte d'abonnement/de fidélité) qui nécessitera de veiller au respect des dispositions susvisées principalement au regard des conditions d'information de le personne dont l'identité est associée au contenu d'une puce et/ou au produit intégrant une puce. C'est le principe d'identification indirecte.

RFID et contrôle d'activité
Certaines applications de la technologie RFID peuvent présenter des risques juridiques en matière de contrôle de l'activité des salariés.

En effet, la présence de puces RFID dans les badges de salariés et/ou la présence de nombreux lecteurs de puces RFID au sein de l'entreprise destiné à identifier (ex : une caissière de supermarché) et/ou géo-localiser des produits (ex : personnel de manutention en entrepôts), peuvent permettre de contrôle l'activité d'un salarié.

Dans la mesure où un système d'identification intégrant des puces RFID est susceptible de donner à l'employeur la faculté d'exercer un contrôle de l'activité de ses salariés, le comité d'entreprise devra être informé et consulté préalablement à la décision de mise en œuvre permettant ce contrôle.

Cette obligation résulte des dispositions du Code de travail (article L.432-2-1) qui prévoit que " Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés ".

En fonction de l'impact des conditions d'utilisation du système RFID, l'employeur aura donc, le cas échéant, à initier une procédure d'information et de consultation préalable devant le comité d'entreprise, dans un objectif de transparence et de prévention des risques juridiques et légaux.

Dans tous les cas, l'employeur devra effectuer une déclaration auprès de la CNIL si le système d'identification RFID consiste ou permet de collecter des informations relatives à ses salariés.

La seconde partie sera publiée mercredi 26/01/2005