RFID et technique contractuelle

Le déploiement des puces à identification par radios fréquences implique le respect de contraintes contractuelles qui leur sont propres. Pour la CNIL, le RFID véhicule en effet des données à caractère personnel.

Si la technologie RFID est encore loin d’avoir supplanté celle des codes barres, de plus en plus de sociétés font appel à elle dans le cadre de leurs activités. Les possibilités offertes par ces puces sont en effet multiples et interviennent dans de nombreuses solutions, telles que l’identification – des produits ou des personnes – le paiement à distance ou la protection des données personnelles.
 
Nul doute par conséquent que les partenariats visant à intégrer des solutions RFID vont considérablement se développer, nécessitant la mise en place d’instruments financiers et juridiques adéquats.
 
Le déploiement de puces RFID implique la mise en œuvre d’étapes similaires à celles de l’intégration d’un nouveau logiciel dans une société. L’intégration nécessite l’identification précise des besoins et des contraintes propres à l’entreprise. Elle impose la définition des modalités d’implémentation et de recette, et requiert la mise en place d’un plan de maintenance.

La comparaison doit cependant s’arrêter là, car si le déploiement de puces RFID nécessite les mêmes étapes que celles utilisées pour la plupart des nouvelles technologies, leur spécificité implique le respect de contraintes contractuelles qui leur sont propres.

Ces contraintes se justifient essentiellement par la nature des RFID, qualifiées de "données personnelles" par la CNIL, ainsi que par la nécessité de recourir à une technologie compatible avec l’ensemble de l’environnement des puces RFID.
 
Les contraintes contractuelles liées aux données personnelles
 
La CNIL a, à plusieurs occasions, souligné le risque présenté - selon elle - par la technologie RFID qui permet le maillage de milliers d'objets, maillage pouvant faciliter l'identification et le profilage des individus.
 
A ce titre, elle estime que les puces RFID constituent des données à caractère personnel, au sens de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Cette analyse semble cependant quelque peu critiquable, dans la mesure où l'article 2 de cette loi définit les données à caractère personnel comme : "toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres."
 
Les RFID étant une technologie et non une "information", la qualification retenue par la CNIL paraît discutable. Quelle que soit l'opinion qu'on peut avoir sur le sujet, le fait que les puces RFID soient classées comme "données à caractère personnel " oblige à respecter le régime prévu par la loi du 6 janvier 1978.
 
Autrement dit, l'utilisateur de l'objet sur lequel la puce est intégrée doit avoir donné son accord à "l'envoi" par la puce d'informations le concernant. Il doit également avoir accepté que la puce puisse être activée par des tiers autres que le vendeur. Et enfin, il doit être en mesure d'accéder et de modifier l'ensemble des données collectées via les puces RFID.
 
Dans son dossier consacré aux RFID (août 2006), la CNIL reconnaît pudiquement que l'application de la loi Informatique et Libertés aux RFID "pose un problème inédit" et que "des dispositifs techniques garantissant la neutralisation des RFIDs devraient être incorporés dès leur fabrication", ce qui, conclut-elle, est aujourd'hui techniquement impossible.
 
Les rédacteurs d'acte apprécieront !
 
Comment en effet soumettre un contrat à une règlementation, dont l'autorité chargée de son application estime que l'état de la technologie ne permet pas de respecter la loi ?
 
Les rédacteurs d'un contrat visant au déploiement de solutions RFID devront par conséquent prendre particulièrement soin de rédiger les clauses de garantie, relatives au respect de la règlementation en vigueur.
 
Concrètement, afin de limiter les risques liés à l'aléa juridique, il conviendra de désigner un responsable du traitement des données personnelles, avec pour fonction de :
- recenser la nature des informations véhiculées par les puces RFID,
- déterminer leurs modalités d'exploitation, y compris leurs modalités de cession.
 
En théorie, le responsable du traitement devrait également déterminer les moyens d'accès, de rectification et de suppression des données par la personne auprès de qui elles ont été collectées. Mais comme indiqué précédemment, cette dernière mission paraît aujourd'hui techniquement difficile à mettre en œuvre. En outre, elle impliquerait le risque, pour l'entreprise gérant les données, d'être potentiellement amenée à traiter un nombre vertigineux de demande d'accès, compte tenu de la quantité exponentielle de puces implantées.
 
Compte tenu de ces difficultés pratiques, on ne peut que recommander d'insérer dans les contrats portant sur l'utilisation de puces RFID une clause prévoyant la désignation par au moins une des parties, d'un correspondant informatique et libertés (CIL).
 
La présence d'un CIL aux côtés du responsable du traitement des données, permettra en effet de faciliter le dialogue avec la CNIL. En outre, le CIL - en contact régulier avec la CNIL - pourra immédiatement avertir l'entreprise s'il estime (ou si la CNIL estime) que celle-ci ne respecte pas la règlementation applicable.
 
La nomination d'un CIL au sein de l'entreprise permet par conséquent de garantir un certain degré de sécurité juridique.
 
Enfin, ces différentes précautions ne permettant pas de garantir de manière exhaustive la question des données à caractère personnel, il conviendra naturellement de prendre - et d'exiger de son cocontractant - une assurance responsabilité visant spécifiquement le risque juridique.
 
La compatibilité des standards
 
Les puces RFID doivent, par définition, interagir avec leur environnement. Quelle que soit l'utilisation envisagée, il est en particulier indispensable de s'assurer que le protocole de communication utilisé est compatible avec celui des bases stations chargées de "lire" les puces.
 
Il faudra par conséquent être particulièrement attentif lors de la rédaction du contrat, à définir soigneusement les fréquences de communication utilisées et à garantir que leur exploitation ne se heurte à aucun brevet en vigueur.
 
Ces problématiques sont bien connues des fabricants de téléphones portables qui par le passé, ont dû s'accorder sur le choix des protocoles de communication tout en faisant face à des menaces de procès de la part de géants du secteur tels que Qualcomm.
 
Côté fournisseur, il conviendra de viser précisément le standard utilisé en se référant aux travaux des organismes de normalisation (ISO, ETSI...) ainsi qu'à l'état d'avancée de ces travaux à la date d'entrée en vigueur du contrat.
 
Côté acquéreur, il paraît indispensable de se faire consentir par le vendeur une garantie portant sur le respect des droits de propriété intellectuelle, afin de prévenir tout risque de poursuite en contrefaçon de brevet.
 
On le voit, la rédaction des contrats RFID nécessite une attention particulière et doit être préparée avec un maximum de précautions. Les difficultés juridiques évoquées ci-dessus, ne devraient cependant pas empêcher cette technologie de continuer son essor et de se généraliser sur l'ensemble des marchés.