Le 25 mai 2018, le Règlement sur la Protection des Données (RGPD) est entré en vigueur dans toute l’Europe. Dorénavant, tout traitement de données personnelles en infraction avec le RGPD peut donner lieu à des amendes pouvant aller jusqu’à 2% du chiffre d’affaire annuel, ou jusque 10 millions d’euros. Pour des violations graves, cela peut être doublé.
Bien que l’utilisation de la RFID dans les enseignes soit principalement orientée vers une meilleure gestion des stocks et une amélioration de la logistique, cela n’exclut pas de devoir protéger les données personnelles des consommateurs ayant acheté un produit équipé en RFID.
Il est donc très important pour les entreprises utilisant la technologie RFID de se conformer à ce règlement.
Application du RGPD au niveau de la RFID
RGPD définit les données personnelles comme « les informations relatives à une personne physique identifiée ou identifiable ». Or les données contenues dans une étiquette RFID sont associées à des articles produits en séries, mais identifiés de manière unique dans le monde (code EPC) : c’est en quelque sorte la carte d’identité du produit.
Il n’y a pas de données personnelles dans l’étiquette RFID d’un article, mais l’identification de cet article peut être combiné avec des données personnelles.
Ainsi, tant que le code EPC est traité comme un élément de la chaîne d’approvisionnement, il n’intervient pas avec le RGPD. En revanche, lorsqu’on l’associe avec des données personnelles du consommateur, le sujet devient sensible.
C’est le cas notamment au passage en caisse : si le paiement est effectué via un paiement mobile, grâce à une carte de fidélité ou tout simplement avec une carte bancaire, le consommateur est identifié et donc exposé.
Les incontournables pour déployer la RFID
Le RGPD lui-même n’est pas spécialement ciblé sur les usages de la RFID. Cependant, il existe une recommandation européenne sur « la mise en œuvre des principes de confidentialité et de protection des données dans les applications soutenues par radiofréquence » qui se concentre sur la RFID.
Cette recommandation peut être directement appliquée, car elle donne des indications intéressantes sur la manière de mettre en œuvre la RFID de manière respectueuse de la vie privée.
1. Transparence d’utilisation
La transparence est le socle d’une relation-client réussie. Afin de sensibiliser les consommateurs sur l’application de la RFID il est tout simplement possible de :
Les informer les clients de la présence de tags RFID : cela peut être facilement résolu en affichant le logo RFID normalisé ISO sur les étiquettes produits, et en plaçant le logo sur la vitrine.
Leur permettre d’enlever ou de désactiver facilement l’étiquette RFID après l’achat.
2. La protection de la vie privée dès la conception
En parallèle, et c’est de plus en plus le cas dans les industries RFID, les paramètres de confidentialité doivent être intégrés dans les applications avant leur utilisation généralisée (principe de protection de la vie privée dès la conception).
Pour protéger le consommateur, un exemple efficace est la fonction « intraçable » que l’on peut retrouver dans la version la plus récente de la norme RFID. Elle offre les propriétés suivantes :
Réduction de la portée de lecture de l’étiquette de longue distance à seulement courte distante (de 2 à 5 mètres, à quelques centimètres seulement). Cela peut être activé au moment de l’achat, et inversé au retour.
Cacher une partie de l’EPC, permettant par exemple de masquer le numéro de série, ce qui rend l’EPC unique : le produit possédé par le consommateur n’est plus identifiable.
3. Évaluation des facteurs relatifs à la vie privée (ÉFVP)
Les organismes d'évaluations des facteurs relatifs à la vie privée (EFVP) servent à repérer les risques éventuels d’atteinte à la vie privée. A l’aide de cette évaluation, une enseigne sur le point de déployer la technologie RFID est en mesure de calculer l’impact de son développement sur la vie privée de ses consommateurs, et est capable de prendre des mesures pour en minimiser l’impact.
Par exemple, un outil créé par le centre national Français de RFID (CNRFID) permet de favoriser les déploiements des technologies RFID et IoT (objets connectés) en respectant le RGPD :
Conclusion
Il existe un lien indéniable entre RGPD et RFID car la technologie a le potentiel de lier un article acheté spécifique à une personne individuelle.
Cependant, les enseignes n’ont pas à craindre ce changement car des mesures très simples peuvent être prises pour être conformes au RGPD et s’assurer que les consommateurs ne puissent pas être tracés par le biais des articles qu’ils ont achetés.
Et, malgré ses nombreuses contraintes, l’application de ce règlement peut aussi représenter une véritable opportunité. Il faut être conscient que les données personnelles font partie du capital de l’entreprise et qu’elles constituent la base d’une relation-client réussie. La qualité des données détenues influence tout, et se concentrer sur l’optimisation de cette dernière permet de gagner en performance et en agilité.