Application "Badges RFID Congrès pour échanges de cartes de

Application "Badges RFID Congrès pour échanges de
cartes de visite professionnelles"
Evaluation d'Impact sur la Vie Privée (EIVP)
Privacy Impact Assessment (PIA)
EIVP validée par la CNIL en septembre 2013
Pour obtenir la version complète, merci de contacter Claude Tételin au Centre National de Référence
RFID
1
Sommaire
Résumé de l'EIVP.................................................................................................................................... 3
1.
Données administratives ............................................................................................................. 3
2.
Application ................................................................................................................................... 3
3.
Enjeux de l'application ................................................................................................................. 3
4.
Etude des risques ........................................................................................................................ 4
5.
Risques résiduels ........................................................................................................................ 4
2
Résumé de l'EIVP
1. Données administratives
Pour le prochain "International RFID congress", le CNRFID met en place une application RFID
permettant aux participants qui le désirent d'utiliser leur badge NFC comme support de carte de visite
professionnelle. Cette application est appelée "Badges RFID Congrès pour échanges de cartes de
visite professionnelles" ou encore "Badge NFC vCard".
L'opérateur de cette application est le Centre National de Référence RFID (CNRFID) dont le siège
social est à l'adresse : 5, avenue de Manéou, 13790 Rousset, France
L'évaluation d'impact sur la vie privée (EIVP) a été préparée et rédigée entre juillet et octobre 2013
avec la volonté de suivre les préconisations de la Recommandation européenne du 12 mai 2009.
Conformément à cette recommandation, cette étude d'impact a été transmise à la CNIL, six semaines
avant la mise en œuvre de l'application.
2. Application
L'application "Badges RFID Congrès pour échanges de cartes de visite professionnelles" est mise en
place pour la durée du prochain "International RFID Congress" qui se tiendra à Marseille, dans les
locaux de l'hôtel Pullman, les 8 et 9 octobre 2013. Elle est dédiée aux participants, régulièrement
inscrits à ce congrès, dans le but de proposer une alternative électronique à l'échange classique de
cartes de visites professionnelles. Chaque participant devra explicitement donner son accord, lors de
son enregistrement à l'accueil du congrès, pour pouvoir utiliser ce service.
Les badges contiendront les données professionnelles du visiteur, à savoir :
Nom, Prénom
Société
Fonction
Adresse email
N° de téléphone portable professionnel (optionnel)
Ces données pourront être lues par les participants munis d'un lecteur NFC (smartphone, tablette, …).
La technologie utilisée permet une lecture des badges à des distances maximales de 5cm. Pour
faciliter l'utilisation, les données seront codées dans le badge au format NDEF vCard sans
chiffrement.
A la fin du congrès, les participants pourront rendre leur badge afin qu'il soit effacé et recyclé. Ils
pourront également conserver leur badge après effacement des données. Enfin, ils pourront garder
leur badge opérationnel. Dans ce cas, ils seront avertis des moyens à mettre en œuvre afin de réduire
le risque de lecture non autorisée.
3. Enjeux de l'application
L'échange de cartes de visite sur les salons professionnels est un moment important des relations
entre participants cherchant à nouer des partenariats technico-économiques. Le CNRFID souhaite
donc prendre l'occasion de ce congrès pour démontrer aux participants la simplicité et l'efficacité des
échanges d'information NFC. Ces technologies sont trop souvent associées à des applications de
paiement ou liées aux transports en commun nécessitant des infrastructures importantes. La mise en
place de l'application vCard est donc un moyen de démontrer aux participants qu'ils ont entre les
3
mains les briques de base d'un développement NFC simple et concret (visite de musées, affichages
interactifs, appairage entre appareils électroniques, contrôle d'accès, etc.).
4. Etude des risques
Selon le PIA Framework, l'application est classée au niveau 3 (plus haut niveau d'analyse) car les
données à caractère personnel sont directement stockées dans la mémoire de la puce NFC. Une
études des risques a été menée et indique que le risque le plus élevé correspond à une atteinte à la
confidentialité des données liée à une lecture non autorisée des informations contenues dans les
badges.
Les distances de lecture maximum pour des applications NFC, la sensibilisation des participants, la
durée limitée de l'application, le périmètre géographique limité de l'application, la possibilité de rendre
le badge ou d'effacer les données à la fin du congrès, sont autant de mesures qui permettent de
réduire le risque à une gravité de 2/4 et une vraisemblance de 2/4.
Le risque résiduel est principalement associé aux menaces consistant à usurper une identité ou
récupérer des informations à plus grande distance. La nature même de l'évènement (salon
professionnel) et les moyens à mettre en œuvre pour mettre en place les éventuelles attaques, nous
amènent à la conclusion que le risque résiduel est parfaitement acceptable et ne remet pas en cause
l'acceptation de l'application par les participants.
5. Risques résiduels
Les risques résiduels sont associés aux menaces autres que la lecture non autorisée de badges NFC
vCard. Il s'agit principalement de :

Echange physique de badge

Clonage de badges

Reprogrammation de badges

Attaque relais
La gravité et la vraisemblance de ces risques sont telles que ces risques résiduels sont
parfaitement acceptables au regard du périmètre et des enjeux de l'application.
Figure 1 : Cartographie des risques après application de contremesures
4