Les Newsletters Interstices
Puces RFID © Inria / Photo Kaksonen
    Niveau intermédiaire
    Niveau 2 : Intermédiaire

    La RFID, c’est dangereux ?

    Sécurité & Vie privée
    Intelligence artificielle Réseaux & Communication
    Bien qu’elle apporte de nombreux services, la RFID inquiète le consommateur. Cette technologie utilise des ondes, est-ce dangereux ? Une étiquette RFID contient des informations pouvant être lues à distance. Est-ce que cela nuit à la vie privée ?

    Qu’est-ce que la RFID ?

    La RFID, ou Identification par Radio Fréquence, est une technologie qui permet d’identifier de façon unique un objet au travers d’une étiquette RFID. Cette étiquette se compose d’une antenne et d’une puce électronique. Elle ne contient aucune source d’énergie et est totalement passive. Elle ne peut émettre une information – par défaut, son identifiant – que si elle est activée par le champ électromagnétique d’un lecteur, mais permet ainsi de communiquer à distance.

    Chaque étiquette a un identifiant unique, attribué par une organisation mondiale unique, qui s’appelle GS1. Les étiquettes de base ne stockent que cet identifiant. Les étiquettes les plus évoluées peuvent stocker jusqu’à un 1 kilooctet de données, ce qui ouvre des perspectives d’utilisation dans de nombreux domaines. Chaque jour voit apparaître de nouvelles applications de la RFID, pour les transports en commun (à Bruxelles, Pékin, Shanghaï, Paris, etc.), pour les forfaits de ski (les plus grandes stations de ski des Alpes sont aujourd’hui équipées), comme puces pour les animaux, etc.

    Mais là où la technologie RFID s’impose en masse, c’est dans la grande distribution. En effet, de par l’unicité des identifiants qu’elle fournit et la lecture à distance, la RFID permet une meilleure logistique. Les inventaires des objets peuvent être obtenus en temps réel, sans manipulation de ceux-ci. Elle offre aussi une meilleure traçabilité. La vie d’un produit peut être suivie grâce à l’unicité de son identifiant. À ce sujet, voir le document Étiquettes communicantes.

    La radio fréquence

    Une étiquette RFID est passive, dans la mesure où elle n’embarque aucune source d’énergie. Ainsi, une étiquette seule n’émet aucune onde et n’est donc absolument pas dangereuse.

    © Inria / Photo Kaksonen

    L’étiquette communique lorsqu’elle passe dans le champ d’un lecteur. C’est ce lecteur qui émet des ondes électromagnétiques à une certaine puissance. Suivant la technologie RFID, ces lecteurs peuvent émettre dans trois gammes de fréquences : 125 kHz pour les très basses fréquences (LF), 13,56 MHz pour les hautes fréquences (HF) et 900 MHz pour les ultra hautes fréquences (UHF). Les impacts de ces ondes sur le corps humain dépendent donc de la gamme de fréquences utilisée. Les champs électromagnétiques générés par ces lecteurs ont été mesurés en laboratoire, comme en rend compte un rapport de l’AFSSET, Agence française de sécurité sanitaire de l’environnement et du travail, devenue Anses en 2010. Le champ émis dans les gammes LF et HF s’évanouit rapidement et n’est prépondérant que localement autour d’un lecteur. En tout cas, ces rayonnements restent inférieurs aux valeurs limites d’exposition des personnes préconisées par l’ICNIRP, commission internationale pour la protection contre les radiations non-ionisantes (champ magnétique maximum autorisé de 400 nT pour la technologie HF et 105 nT pour l’UHF). Bien que, dans les gammes de fréquences UHF, les champs magnétiques portent à plus grande distance, les mesures ont établi que les rayonnements ne dépassaient pas les limites d’exposition.

    Ainsi, pour des individus n’étant exposés que sporadiquement aux ondes émises par des lecteurs RFID, le danger est faible. Cependant, dans le cadre d’une exposition continue, même à faible rayonnement, l’AFSSET préconise de respecter une distance minimale avec les lecteurs, de l’ordre de 20 cm.

    Des recherches sont aussi menées sur de possibles incompatibilités électromagnétiques avec des dispositifs médicaux implantés, comme les pacemakers. Certains risques d’interférences ont été identifiés en laboratoire, mais aucun cas pratique n’a été signalé.

    Une étiquette RFID, telle que décrite précédemment, est composée uniquement d’une antenne et d’une puce. Elle n’embarque aucune énergie propre et ne peut émettre que si elle est alimentée par le champ d’un lecteur. Si on équipe cette étiquette d’une batterie, elle devient active, et peut communiquer même en dehors du champ d’un lecteur. Les étiquettes communiquent ainsi de proche en proche et servent de relais pour acheminer les données lues jusqu’au lecteur distant. Ces étiquettes RFID actives rejoignent le concept des réseaux de capteurs. La problématique est alors différente. La bande de fréquence utilisée va de 900 Mhz à 2,4 GHz et se superpose au spectre du wifi. Cependant, les ondes des étiquettes RFID actives sont émises à très faible puissance et à moindre portée. Leur impact est donc limité.

    La vie privée

    L’étiquette RFID est également accusée de porter atteinte à la vie privée des personnes. En effet, chaque étiquette RFID a un identifiant unique. Si cet identifiant est couplé à l’identité d’une personne, cela permet de la tracer chaque fois que l’étiquette transmet son identifiant.

    Cela peut être le cas, par exemple, lorsque plusieurs étiquettes entrent dans le champ d’un lecteur. Si elles émettent toutes en même temps, le signal sera brouillé et aucune d’elles ne sera identifiée. Pour pallier ce problème, des protocoles d’anticollisions sont mis en place. Certains de ces protocoles nécessitent que l’étiquette envoie son identifiant, d’autres permettent de s’affranchir de cette contrainte, mais ils ne garantissent pas que l’identifiant n’est pas transmis.

    © Inria / Photo Kaksonen

    Lorsque l’étiquette est apposée sur un produit vendu dans un magasin, les recommandations de la CNIL et de la commission européenne sont de désactiver la puce RFID à la sortie du magasin, sauf en cas de demande explicite du consommateur. La plupart du temps, les gens ne savent même pas que les objets qu’ils achètent sont équipés d’étiquettes RFID, généralement antivols, et ces dernières sont détruites automatiquement en caisse, ce qui désactive l’antivol.

    Par ailleurs, les informations collectées ou stockées sur des RFID sont soumises aux règles établies dans la directive européenne de 1995 sur la protection des données. Ses principes de base sont clairs : la collecte doit avoir un objet précis et ne doit concerner que les informations pertinentes. En outre, la durée de conservation des données doit être justifiée par rapport à la réalisation de cet objet. Ainsi, il est interdit de coupler un identifiant RFID à l’identité d’une personne, sauf sur demande explicite de cette dernière.

    Lorsque des étiquettes RFID sont utilisées dans des badges pour le péage d’autoroutes ou des cartes de transport en commun, le propriétaire de la carte est associé à la carte elle-même, de la même façon qu’une carte bancaire. Il est donc possible de le tracer. Ces cas-là sont acceptés par la CNIL, car l’établissement de la carte a fait l’objet d’une demande explicite du consommateur. Les limites du consentement font toutefois toujours l’objet de débats. La Commission recommande une adaptation du niveau de détail des données en fonction des différents usages. Par exemple, dans le cas des transports en commun, la CNIL a décidé d’émettre une recommandation afin que la collecte et le traitement d’informations nominatives par les sociétés de transports collectifs dans le cadre des applications billettiques soient conformes aux principes de la loi « Informatique et libertés » du 6 janvier 1978. La CNIL préconise notamment que les données relatives aux déplacements des personnes ne soient utilisées sous une forme permettant d’identifier les usagers que dans le cadre de la lutte contre la fraude et uniquement pendant le temps nécessaire à la détection de la fraude, ce délai ne devant pas excéder deux jours consécutifs.

    La technologie RFID peut s’avérer dangereuse vis-à-vis du respect de la vie privée, c’est pourquoi des lois encadrent son usage. Sont-elles suffisantes et suffisamment appliquées pour permettre de protéger les individus ? Les doutes exprimés à ce sujet restent un frein au déploiement de la technologie. En effet, ces dernières années, de nombreuses grandes entreprises (Benetton, WalMart, Metro, etc.) se sont équipées de RFID pour assurer une meilleure logistique, mais ont dû faire marche arrière face à l’opinion publique.

    Des puces RFID implantées

    Comme chaque nouvelle technologie, la RFID a également connu ses dérives. Vous avez certainement entendu parler d’une discothèque à Barcelone qui a implanté des puces RFID sous la peau de ses habitués. L’idée était la suivante : à l’entrée ou lors de l’achat d’une consommation, plutôt que de sortir son porte-monnaie, le client présente sa peau. L’étiquette est lue, le client identifié et son compte en banque débité. Il va danser léger et ne risque pas de se faire voler son portefeuille. Cette pratique entrait dans le cadre légal, car seules les personnes demandant cette puce se la faisaient implanter. Le danger venait du fait que la puce n’a pas été placée sous la peau par des médecins. Dans certains cas, elle a endommagé les muscles.

    Résumons-nous : une étiquette RFID passive ne présente pas de danger pour la santé lorsqu’on la porte sur soi, car elle n’émet pas d’ondes en-dehors du champ d’un lecteur. Les lecteurs, eux, en émettent, à faible portée. Il en va de même pour les étiquettes actives, peu répandues, qui s’apparentent à des réseaux de capteurs. La question du respect de la vie privée est plus délicate. Des dérives sont certes possibles, mais l’usage des RFID est encadré par des lois et des réglementations.

    Newsletter

    Le responsable de ce traitement est Inria. En saisissant votre adresse mail, vous consentez à recevoir chaque mois une sélection d'articles et à ce que vos données soient collectées et stockées comme décrit dans notre politique de confidentialité

    Niveau de lecture

    Aidez-nous à évaluer le niveau de lecture de ce document.

    Si vous souhaitez expliquer votre choix, vous pouvez ajouter un commentaire (Il ne sera pas publié).

    Votre choix a été pris en compte. Merci d'avoir estimé le niveau de ce document !

    Nathalie Mitton

    Chercheuse Inria, responsable de l'équipe FUN.
    Voir le profil

    David Simplot

    Directeur du centre de recherche Inria Sophia-Antipolis.
    Voir le profil

    Découvrez le(s) dossier(s) associé(s) à cet article :

    DossierSécurité & Vie privée
    Interaction Humain/MachineRobotique

    Informatique embarquée et objets connectés

    DossierCulture & Société
    Interaction Humain/MachineModélisation & SimulationRéseaux & Communication

    TIPE 2018-2019 : transport

    Ces articles peuvent vous intéresser

    PodcastCulture & Société
    Réseaux & Communication

    À propos de l’Internet des objets

    David Simplot
    Joanna Jongwane

    Niveau avancé
    Niveau 3 : Avancé
    VidéoCulture & Société
    Réseaux & Communication

    Étiquettes communicantes

    David Simplot

    Niveau intermédiaire
    Niveau 2 : Intermédiaire