Et si les étiquettes intelligentes (les puces RFiD) se mettaient en mode « 2.0« , et devenaient plus participatives et ouvertes aux usages des gens – selon la définition du web 2.0 qu’on en retient ? Plusieurs projets en revendiquent l’épithète. La question reste de savoir ce que cette « RFID 2.0 » exprime au juste. Et ce qui sera réellement fait, au-delà des propositions.

Pour certains, la RFiD « 2.0 » consiste à rajouter les données de traçabilité issues de la lecture des puces à des applications ou process existants, ou à les partager avec d’autres sociétés.

D’autres y voient un moyen d’aller plus loin dans la fouille de la réalité (« reality mining« , en anglais), à l’instar de cesservices de géolocalisation, dans l’espace et en 3D, capables de repérer des étiquettes RFiD à plusieurs dizaines de mètres de distance, au beau milieu d’un container truffé d’objets, de métaux et de liquides faisant écran par exemple. Le dernier en date à avoir utilisé l’expression « RFiD 2.0« , S3Edge, y voit pour sa part une façon d’optimiser la relation client, et d’accélérer le temps de réaction des fournisseurs, et se sert surtout du terme pour faire la promotion de la nouvelle plateforme Microsoft BizTalk RFiD Mobile.

Mais la vision de la RFiD 2.0 que propose Henrik Granau, de la société de sécurité RFiDSec est autrement plus stimulante. Elle a d’ailleurs été reprise (.ppt), telle que, par le projet Casagras qui, financé par l’UE, a pour objectif d’aider la Commission européenne à envisager l’évolution de la RFiD et de l’internet des objets.

La puce RFiD est un ordinateur

Granau part du constat que les puces RFiD ne servent plus seulement à remplacer les codes-barres, qu’il y en aura de plus en plus, avec de plus en plus de données dedans. Dans le même temps, les consommateurs sont de plus en plus nombreux à voir dans le maillage de ces puces « intelligentes » une forme d’érosion, sinon d’atteinte, à leur vie privée, ce que la consultation lancée par la Commission européenne en 2006 avait entre autres démontré.

Du temps où il était commissaire à la CNIL, Philippe Lemoine (qui préside également la Fing, éditeur d’Internet Actu) avait contribué à faire reconnaître les puces RFiD comme des identifiants personnels. Co-Président de GS1 France, l’organisme de standardisation des codes-barres et des puces RFiD, il avait aussi proposé de désactiver les puces lors du passage en caisse, afin de garantir la « clarté des « règles du jeu », le rappel au droit individuel d’être exposé ou non aux TICs, la dimension de confiance nécessaire entre consommateurs et acteurs du commerce, la transparence des objectifs et des moyens, la concertation de tous les acteurs et le partage de valeurs communes« .

Mais pour Henrik Granau, désactiver les puces reviendrait à empêcher l’internet des objets de se développer. Il propose donc de les considérer, non plus comme des étiquettes passives, mais comme des ordinateurs, dans toutes leurs potentialités :

Et pour que cette « RFiD 2.0 » puisse se développer, il convient d’en redonner le contrôle et le pouvoir à l’utilisateur, de sorte qu’il puisse définir qui a accès à quelles données, quand, et pour quelles utilisations, mais aussi de l’autoriser à écrire, et effacer, tout ou partie des informations :

Pour Henrik Granau, l’internet des objets ne pourra se développer si le contrôle des puces n’est pas redonné à ceux qui, précisément, se retrouvent « pucés » :

« Nous sommes au début d’une nouvelle vague dans l’utilisation de la RFiD. La première visait à remplacer les codes-barres. La seconde étend considérablement l’horizon. Considérer les puces RFiD comme des ordinateurs, et s’assurer que les utilisateurs disposeront d’un contrôle complet et exclusif de leurs données et communications, rendra possibles de très nombreuses applications dans de nombreux secteurs. L’industrie de la RFiD doit donc résoudre dès aujourd’hui les problèmes de vie privée et de sécurité auxquels ils sont confrontés. »

Mais concrètement, à quoi pourrait-on s’attendre ? Comment contrôler des puces quand leurs identifiants appartiennent à des bases de données commerciales sur lesquelles on n’a aucun accès ? Dit autrement, et en cas de partenariat, par exemple, entre Gillette et la RATP pour tracer les acheteurs de rasoirs qui empruntent les transports en commun, à quoi aurions-nous accès, et que pourrions-nous contrôler ? La RATP nous demanderait-elle l’autorisation de tracer le fait que l’on a un rasoir Gillette dans notre sac ? Se contenterait-elle de nous indiquer que nous sommes tracés ? Et si oui, comment : par Bluetooth sur nos portables, par un affichage du type « Souriez, vous êtes pucés » similaire à celui relatif à la vidéosurveillance, par une mention rajoutée au service web répertoriant tous les accès à nos puces RFiD ? Ou, plus simplement, ne serons-nous informés de rien ?

A qui profite la puce ?

Le modèle proposé par Granau est séduisant, mais il ne résoudra pas les problèmes de confidentialité posés par les sites de réseaux sociaux et du « web 2.0« , que certains qualifient d' »esclavage 2.0 » dans la mesure où leur modèle économique repose en tout ou partie sur la commercialisation des informations et données personnelles que nous leur confions sans contrepartie financière, et bénévolement.

On le sait, les utilisateurs du web 2.0 et des sites sociaux se fichent » (à tous les sens du terme) de ces questions de vie privée, ne serait-ce que parce que les services offerts en échange leur donnent l’impression de valoir ces libertés qu’ils acceptent de concéder, et les risques associés. Mais la question ne se pose pas de la même manière avec l’internet des objets.

L’internet, qui n’a pas été conçu pour être sécurisé, s’est développé grâce aux usages et contenus créés par ses utilisateurs. A l’inverse, l’internet des objets et la RFiD ne se développent pour le moment qu’au profit de l’industrie, et ne pourront faire l’économie de la sécurité -ne serait-ce que pour éviter l’espionnage industriel. Des conditions de leur rencontre, et de leur interconnexion, dépendra notre future vie numérique. Mais il n’est pas certain que des outils permettant des usages aussi différents arrivent facilement à trouver des points d’entente, d’accroche qui ne soient pas des points de frictions.

Sans compter que d’un côté, nous avons des industriels, qui veulent fluidifier leurs flux et process, et en assurer une meilleure traçabilité. De l’autre, nous avons des professionnels de la sécurité informatique qui démontrent que les puces sont piratables, et en appellent à plus de respect de la vie privée de ceux qui, indirectement, seront pucés. Entre les deux, nous avons des instances de régulation qui en appellent au « silence des puces« .

Pour l’instant, les usages de la RFiD sont essentiellement industriels, mais touchent de plus en plus les consommateurs. Alors que Benjamin Bayard, président de FDN (French Data Network), le plus vieux fournisseur d’accès Internet français, tirait récemment la sonnette d’alarme en déclarant que les principaux acteurs industriels des réseaux ont « intérêt à transformer l’internet en Minitel » (question qui se pose également en matière de téléphonie mobile), la question reste de savoir si l’internet des objets sera « au service » de ses utilisateurs, considérés comme coproducteurs, à l’instar de ce que propose Granau, ou bien au seul profit des prestataires de service (et sans réelle valeur ajoutée dont ils pourraient profiter).

Dans le premier cas, nous aurons des puces fonctionnant comme autant de briques informatiques (logicielles et/ou matérielles) et dont les usages seront définis par la communauté. Dans le second, une infrastructure « top-down » pour qui les clients finaux ne seront que des consommateurs ou usagers etiquetés, à la manière de ce qui se passe, par exemple et pour l’instant, avec le passe Navigo.

Dans les deux cas, les problèmes de surveillance et de traçabilité posés par la RFiD restent entiers, nos objets seront pucés, et nos activités tracées. Il faudra donc, non seulement sécuriser l’infrastructure, mais aussi en rassurer les utilisateurs, ce qui n’est pas tout à fait la même chose.