Les systèmes RFID sont soumis à un certain nombre de règles certaines légales et volontaires : l’utilisation du spectre radio électrique, l’exposition des personnes aux rayonnements électromagnétiques, la protection de la vie privée et des données personnelles. Les systèmes RFID doivent également suivre des règles protocolaires. Présentation de ces normes et standards internationaux.
Normes et standards en RFID
Dans un souci d’interopérabilité, les systèmes RFID doivent suivre des règles protocolaires décrites dans les normes et standards internationaux.
Règlementation sur les différentes bandes de fréquences
L’utilisation du spectre radio électrique est soumise à des règles strictes. Certaines bandes de fréquences sont dites « libres » d’autres sont soumises à licence. Les systèmes RFID passifs fonctionnent dans les bandes libres c’est-à-dire que les fournisseurs de solutions n’ont pas de redevance à payer.
Les bandes de fréquences pour les applications RFID UHF sont réparties dans le monde entre 860 et 930 MHz. Chaque état est libre de disposer comme il le souhaite de cette ressource radio. Néanmoins, des accords entre nations existent de manière à harmoniser le plus possible les applications.
Une règlementation indique non seulement les fréquences autorisées mais également le taux d’occupation ainsi que les puissances maximum rayonnées.
Les principales régulations mondiales sont celles de l’Europe (ETSI), l’Amérique du Nord (FCC) et de l’Asie. La figure ci-dessous résume les fréquences UHF disponibles pour les systèmes RFID.
Dans chaque bande de fréquences, les conditions d’utilisation sont différentes. En Europe, 4 canaux sont définis permettant de rayonner un maximum de 2Werp (voir Figure ci dessous). Aux Etats-Unis, la bande de 26 MHz est accessible par la technique du « Frequency Hopping » et la puissance maximale autorisée est de 4Weirp.
Note : La règlementation européenne est en cours de révision. La norme de référence ETSI 302-208 intègre aujourd’hui une nouvelle bande de fréquences 915-921 MHz. Tous les états membres de l’Union européenne n’ayant pas encore ratifié cette norme, des discussions sont en cours pour harmoniser l’accès à cette nouvelle bande.
La protection des données personnelles
Les données impliquées dans les applications RFID sont généralement des identifiants. Ces identifiants peuvent renseigner sur la nature de l’objet auquel le tag RFID est attaché. C’est le cas de certains encodages de type SGTIN (Serial Global Trade Item Identification Number) dans lesquels on peut retrouver des informations sur le type de produit et son propriétaire. Quoi qu’il en soit, comme toute donnée, les informations RFID doivent pouvoir être protégées. Les protections disponibles de plusieurs types :
Protection contre l’écriture : Les identifiants uniques correspondent à des objets bien précis. Ces identifiants doivent donc être protégés contre toute tentative d’effacement ou de réécriture. Ce type de protection est généralement intégré dans les normes protocolaires (Commandes LOCK ou PERMALOCK)
Protection contre la lecture : Dans certains cas, il peut être utile de réserver les droits d’accès aux informations à un nombre limité d’acteurs. Cette protection en lecture peut être faite globalement de deux manières :
– par mot de passe (généralement 32 bits)
– par authentification (commande optionnelle intégrée à la dernière version de la norme protocolaire)
Chiffrement : cela consiste à chiffrer l’information contenue dans la mémoire des puces RFID. Cette information peut rester visible de tout interrogateur mais sa compréhension nécessite de connaître l’algorithme de chiffrement et la clé cryptographique. Ces techniques sont décrites dans des normes générales indépendantes de la technologie RFID
Authentification : La dernière version du standard EPC C1 G2 prévoit la mise en place de mécanismes d’authentification des tags et/ou des lecteurs. Ces commandes sont optionnelles et seule une puce RFID intègre aujourd’hui ces fonctionnalités.
A ces bonnes pratiques en termes de sécurité, il faut ajouter celles concernant la protection de la vie privée. La recommandation européenne de Mai 2009 (2009/387/CE) indique quelles sont les menaces que les applications RFID peuvent impliquées sur la vie privée et propose, dans les cas où les risques peuvent être élevés, de mettre en place une évaluation d’impact (EIVP). Suite à cette recommandation, plusieurs normes européennes ont été publiées dont la norme EN16571 qui propose une méthode d’implémentation des évaluations d’impact.
Aujourd’hui, une nouvelle référence légale est en vigueur en Europe : le Règlement Général sur la Protection des Données (RGPD). Les principes décrits dans ce règlement (Privacy by Design, Droit à l’effacement, etc.) s’appliquent à tout traitement de données quelle que soit la technologie. Les évaluations d’impact sur la vie privée (PIA, Privacy Impact Assessment) sont rendus obligatoires pour certains types de traitements.
L’exposition humaine aux ondes électromagnétiques
Les lecteurs RFID rayonnent des ondes électromagnétiques pour alimenter les tags (et communiquer avec eux). Les puissances mises en jeu impliquent une évaluation des expositions des personnes qui manipulent ou sont à proximité des lecteurs. Le fait de se conformer aux règlementations locales (ETSI, FCC, …) ne suffit pas s’assurer que les seuils d’exposition ne seront pas dépassés. En effet, on peut imaginer le cas d’un lecteur muni de plusieurs antennes rayonnant dans la même direction. Même si les puissances individuelles respectent les limites des régulations, la somme de ces rayonnements peut dépasser les seuils d’exposition.
Dans la l’ensemble des documents concernant ces aspects sanitaires, il faut distinguer :
– Les standards donnant les seuils d’exposition
– Les standards décrivant les méthodes de mesure de l’exposition ou du débit d’absorption spécifique (DAS)
– Les textes de lois imposant une action à partir d’un seuil spécifique
Pour la RFID, les seuils d’exposition sont donnés dans le guide de l’ICNIRP. Les principales limitations sont données dans la Figure ci-dessous.
Pour la RFID UHF, le seuil déclenchant l’action pour les travailleurs est de 88,2 V/m et de 40,4 V/m pour le public.
Pour ce qui concerne les méthodes de mesure des champs électromagnétiques, la norme EN 62369-1 – 2009 est la plus complète. Elle requiert un matériel et des compétences spécifiques. De manière à simplifier les mesures, le Centre National RFID a publié une méthodologie validée par l’ANSES. Cette méthode permet d’avoir une évaluation rapide des niveaux d’exposition.
Les textes législatifs en France et en Europe sont les suivants :
– Recommandation du Conseil du 12 juillet 1999 relative à la limitation de l’exposition du public aux champs électromagnétiques (de 0 Hz à 300 GHz) (1999/519/CE)
– Décret n°2002-775 du 3 mai 2002 pris en application du 12° de l’article L. 32 du code des postes et télécommunications et relatif aux valeurs limites d’exposition du public aux champs électromagnétiques émis par les équipements utilisés dans les réseaux de télécommunication ou par les installations radioélectriques – Version consolidée au 28 janvier 2008
– Directive 2013/35/UE du Parlement européen et du Conseil du 26 juin 2013 concernant les prescriptions minimales de sécurité et de santé relatives à l’exposition des travailleurs aux risques dus aux agents physiques (champs électromagnétiques) (vingtième directive particulière au sens de l’article 16, paragraphe 1, de la directive 89/391/CEE).
– Décret n° 2016-1074 du 3 août 2016 relatif à la protection des travailleurs contre les risques dus aux champs électromagnétiques
Protocoles et encodage
Aujourd’hui, la mise en place de solutions RFID se fait essentiellement en conformité avec les standards internationaux. Ceci permet d’avoir des solutions interopérables dans lesquelles chaque brique de base est fournie par des prestataires différents. On peut distinguer deux types de standards :
– Les standards qui gèrent les échanges/communications entre tags, lecteurs et systèmes d’information
– Les standards qui gèrent le codage des informations dans la mémoire des tags
D’autre part, deux organisations internationales travaillent sur ces standards : le groupe de travail commun ISO/IEC et GS1 Global. Ces organisations indépendantes travaillent de concert et les standards publiés sont totalement compatibles. La Figure suivante représente les éléments d’un système RFID avec les principaux standards associés.