Avis du CEPD sur la RFID: opportunités mais des questions de confidentialité

Le Contrôleur européen à la protection des données (CEPD) a publié aujourd'hui son avis sur la communication de la Commission, adoptée en mars 2007, relative à l'identification par radiofréquence (RFID) en Europe. L'avis porte sur l'utilisation croissante de puces RFID dans les produits de consommation et autres applications nouvelles qui affectent les individus.

Le CEPD accueille favorablement la communication de la Commission sur la RFID car elle aborde les principaux aspects découlant du déploiement de la technologie RFID, tout en tenant compte des questions relatives à la vie privée et la protection des données. Le CEPD partage l'avis de la Commission selon lequel il est approprié, dans un premier temps, de laisser la place aux instruments d'autorégulation. Toutefois, des mesures législatives supplémentaires peuvent être nécessaires afin de réglementer l'usage RFID en matière de respect de la vie privée et de protection des données.

Selon Peter Hustinx, CEPD: « Les systèmes RFID peuvent jouer un rôle clé dans le développement de la Société de l'information en Europe, mais une acceptation large de la technologie RFID devrait être facilitée par les avantages liés à la mise en place de garanties cohérentes en matière de protection des données. L'autorégulation seule ne s'avèrera peut-être pas suffisante pour relever le défi. Des instruments juridiques peuvent donc être nécessaires pour garantir que les solutions techniques visant à minimiser les risques en matière de protection des données et de confidentialité sont bien en place. »

Plus précisément, le Contrôleur demande à la Commission d'examiner les recommandations suivantes:

- la mise en place d'orientations claires, en étroite coopération avec les parties intéressées, sur la façon d'appliquer le cadre juridique actuel à l'environnement RFID;

- l'adoption d'une législation communautaire permettant de réglementer les principales questions liées à l'utilisation de la RFID dans l'hypothèse d'une mise en œuvre défaillante du cadre juridique existant;

ces mesures devraient notamment prévoir le principe de l'"opt-in" au point de vente en tant qu'obligation légale formelle;

- l'identification des "meilleures techniques disponibles" qui joueront un rôle décisif dans l'adoption du "privacy by design principle" (intégration des principes de protection des données dès la phase de conception).