1、 Union internationale des tlcommunicationsUIT-T X.1171SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (02/2009) SRIE X: RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT Applications et services scuriss Scurit des identificateurs en rseau Menaces et protection requise pour les
2、 informations didentification personnelle dans les applications utilisant lidentification par tiquette Recommandation UIT-T X.1171 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT RSEAUX PUBLICS DE DONNES X.1X.199 INTERCONNEXION DES SYSTMES OUVERTS X
3、.200X.299 INTERFONCTIONNEMENT DES RSEAUX X.300X.399 SYSTMES DE MESSAGERIE X.400X.499 ANNUAIRE X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES X.600X.699 GESTION OSI X.700X.799 SCURIT X.800X.849 APPLICATIONS OSI X.850X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DE LINFORMATION ET DES RSEAUX X.1000 AP
4、PLICATIONS ET SERVICES SCURISS Scurit en multidiffusion X.1100X.1109 Scurit des rseaux domestiques X.1110X.1119 Scurit des tlcommunications mobiles X.1120X.1139 Scurit de la toile X.1140X.1149 Protocoles de scurit X.1150X.1159 Scurit dhomologue homologue X.1160X.1169 Scurit des identificateurs en rs
5、eau X.1170X.1179 Scurit de la tlvision par rseau IP X.1180X.1199 SCURIT DU CYBERESPACE X.1200X.1299 APPLICATIONS ET SERVICES SCURISS X.1300X.1399 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1171 (02/2009) i Recommandation UIT-T X.1171 Menaces et protection requise
6、pour les informations didentification personnelle dans les applications utilisant lidentification par tiquette Rsum Le dploiement gnralis des tiquettes didentification, notamment des tiquettes didentification par radiofrquence (RFID), peut poser des problmes datteinte la vie prive, tant donn que les
7、 technologies RFID permettent de collecter (et de traiter) automatiquement des donnes, avec le risque que ces donnes soient divulgues (dlibrment ou accidentellement). Sagissant des applications utilisant lidentification par tiquette et fondes sur une tiquette didentification personnalise dans les ap
8、plications de gestion aprs-vente personnalises, les applications lies aux soins de sant, etc., la question de la confidentialit pose des problmes de plus en plus graves. La prsente Recommandation dcrit plusieurs atteintes aux informations didentification personnelle (PII) pour les applications utili
9、sant lidentification par tiquette ainsi que les spcifications de protection des informations PII. En outre, elle prsente une structure de base de la protection des informations PII fonde sur le profil des politiques PII. Source La Recommandation UIT-T X.1171 a t approuve le 20 fvrier 2009 par la Com
10、mission dtudes 17 (2009-2012) de lUIT-T selon la procdure dfinie dans la Rsolution 1 de lAMNT. ii Rec. UIT-T X.1171 (02/2009) AVANT-PROPOS LUnion internationale des tlcommunications (UIT) est une institution spcialise des Nations Unies dans le domaine des tlcommunications et des technologies de linf
11、ormation et de la communication (ICT). Le Secteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lc
12、helle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres
13、de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpressi
14、on “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (pour assur
15、er, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptio
16、ns. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellec
17、tuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recomma
18、ndation, lUIT avait/navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux dveloppeurs de consulter la base d
19、e donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2009 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T X.1171 (02/2009) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2
20、Rfrences. 1 3 Dfinitions 2 3.1 Termes dfinis ailleurs . 2 3.2 Termes dfinis dans la prsente Recommandation 3 4 Abrviations et acronymes . 3 5 Conventions 4 6 Considrations gnrales 4 7 Applications B2C utilisant lidentification par tiquette. 4 8 Modle de rfrence pour les applications B2C utilisant li
21、dentification par tiquette 5 9 Atteintes aux informations PII dans les applications B2C utilisant lidentification par tiquette 6 9.1 Divulgation dinformations associes lidentificateur 6 9.2 Divulgation des donnes relatives au contexte historique 7 9.3 Relation entre des atteintes aux informations PI
22、I et le modle de rfrence 8 10 Spcifications de protection des informations PII pour des applications B2C utilisant lidentification par tiquette 9 10.1 Gestion des informations PII par lutilisateur dtiquette ID et/ou par lutilisateur de terminal ID 9 10.2 Authentification pour un utilisateur dtiquett
23、e ID et/ou un utilisateur de terminal ID 9 10.3 Contrle daccs aux informations PII dun utilisateur dtiquette ID dans un serveur dapplication 9 10.4 Confidentialit des informations associes une tiquette ID. 9 10.5 Accord en vue de la collecte dinformations PII. 9 10.6 Garanties techniques pour les se
24、rveurs dapplication . 10 10.7 Relation entre les spcifications et les atteintes aux informations PII . 10 Annexe A Principes fondamentaux applicables au plan national. 11 Annexe B Principes fondamentaux applicables au plan international: Libre circulation et restrictions lgitimes. 12 Appendice I Loc
25、alisation par lidentificateur dans les services RFID 13 iv Rec. UIT-T X.1171 (02/2009) Page Appendice II Service de protection des informations PII (PPS) pour les applications utilisant lidentification par tiquette 14 II.1 Service de protection des informations PII (PPS) pour les applications utilis
26、ant lidentification par tiquette 14 II.2 Entits de service du PPS pour les applications utilisant lidentification par tiquette 14 II.3 Scnario de service gnral pour le PPS 15 II.4 Fonctions du PPS 15 Bibliographie 19 Rec. UIT-T X.1171 (02/2009) 1 Recommandation UIT-T X.11711Menaces et protection req
27、uise pour les informations didentification personnelle dans les applications utilisant lidentification par tiquette 1 Domaine dapplication Le domaine dapplication de la prsente Recommandation couvre les objectifs ci-dessous, en particulier les menaces et la protection requise pour les informations d
28、identification personnelle (PII) dans les applications utilisant lidentification par tiquette, dcrites ci-aprs: dcrire les menaces pour les informations PII dans un environnement entreprise-client (B2C) dapplications utilisant lidentification par tiquette; dfinir les spcifications de protection des
29、informations PII dans un environnement entreprise-client dapplications utilisant lidentification par tiquette. Les objectifs suivants nentrent pas dans le cadre de la prsente Recommandation: analyser les menaces la scurit gnrale et les spcifications applicables aux applications utilisant lidentifica
30、tion par tiquette; analyser les menaces pour les informations PII et les spcifications applicables entre une tiquette didentification (ID) et un terminal ID; analyser les menaces aux informations PII et les spcifications applicables selon ltiquetage ID spcifique et la mthode de lecture, par exemple
31、une tiquette didentification par radiofrquence (RFID) et un terminal ID; dfinir et dvelopper les formats des messages et un mcanisme de protection des informations PII en fonction du profil des politiques PII des utilisateurs dune application utilisant lidentification par tiquette. NOTE 1 Il convien
32、drait ultrieurement de dfinir ces formats, qui pourraient ne pas se limiter la seule protection des informations PII utilises aux fins didentification par tiquette, mais peut-tre moyennant une approche plus gnrale (respect de la vie prive). Dans le cadre de la prsente Recommandation, lutilisateur du
33、ne tiquette ID peut directement la contrler de sorte quil est rput tre responsable de ce qui est fait de ltiquette ID. NOTE 2 Dans certains cas, lutilisateur dune tiquette ID ne peut en aucun cas la contrler. Par exemple, quelquun achte un produit tiquet dont le fabriquant souhaite que ltiquette ID
34、reste active pour des raisons de garantie; dans ce scnario, lutilisateur de ltiquette ID peut donc tre quiconque dtient et utilise le produit tiquet. La prsente Recommandation ne saurait tre applique pour rsoudre le problme voqu ci-dessus, le scnario en question soulevant des questions politiques et
35、 juridiques (voir b-OCDE). La problmatique pourra tre examine dans une autre Recommandation. 2 Rfrences La prsente Recommandation se rfre certaines dispositions des Recommandations UIT-T et textes suivants qui, de ce fait, en sont partie intgrante. Les versions indiques taient en vigueur au moment d
36、e la publication de la prsente Recommandation. Toute Recommandation ou tout texte tant sujet rvision, les utilisateurs de la prsente Recommandation sont invits se reporter, si possible, aux versions les plus rcentes des rfrences normatives suivantes. La liste des Recommandations de lUIT-T en vigueur
37、 est rgulirement publie. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce document, en tant que tel, le statut de Recommandation. _ 1La prsente Recommandation peut ne pas tre applicable en Allemagne cause de la lgislation nationale. 2 Rec. UIT-T X.1171 (02/2009) UIT-T X
38、.1121 Recommandation UIT-T X.1121 (2004), Cadre gnral des technologies de la scurit pour les communications mobiles de donnes de bout en bout. 3 Dfinitions 3.1 Termes dfinis ailleurs La prsente Recommandation utilise les termes suivants dfinis ailleurs: 3.1.1 contrle daccs b-UIT-T X.800: Prcaution p
39、rise contre lutilisation non autorise dune ressource; cela comprend les prcautions prises contre lutilisation dune ressource de faon non autorise. 3.1.2 serveur dapplication UIT-T X.1121: Entit connecte un rseau ouvert pour la transmission de donnes des terminaux mobiles. 3.1.3 fournisseur de servic
40、es dapplication (ASP, application service provider) UIT-T X.1121: Entit (personne ou groupe) fournissant des services dapplication aux utilisateurs mobiles par lintermdiaire dun serveur dapplication. 3.1.4 authentification b-UIT-T X.811: Attestation de lidentit revendique par une entit. NOTE Le mot
41、“identit“ est utilis sachant que, dans le domaine des tlcommunications, il sagit dun identificateur ou ensemble didentificateurs de confiance, cest-dire considr comme fiable dans une situation particulire pour reprsenter un lment de rseau, un quipement terminal de rseau ou un utilisateur, au terme d
42、un processus de validation. Au sens o le terme est utilis ici, il nest pas possible de conclure que les identificateurs de confiance constituent une validation positive dune personne. 3.1.5 identificateur b-UIT-T F.771: Srie de chiffres, caractres et symboles, ou de toute autre forme de donnes, util
43、ise pour identifier une identit du monde rel. Est utilis pour reprsenter la relation entre lentit du monde rel et ses informations/attributs informatiss. Cette relation permet aux utilisateurs daccder aux informations/attributs de lentit stocks et informatiss via des terminaux ID dutilisateurs. 3.1.
44、6 tiquette ID b-UIT-T F.771: Petit objet physique stockant une petite quantit dinformations qui est un identificateur ou comprend un identificateur, avec dautres donnes dapplication additionnelles telles quun nom, un titre, un prix ou une adresse. 3.1.7 terminal ID b-UIT-T F.771: Dispositif pourvu d
45、une fonctionnalit de saisie de donnes partir dtiquettes ID, ainsi que dautres fonctionnalits telles quune fonctionnalit de communication et une fonctionnalit de prsentation dinformations multimdias. La fonctionnalit de saisie de donnes peut comprendre une fonction permettant dobtenir un identificate
46、ur partir dtiquettes ID mme sans fonctionnalit de communication, comme des codes barres et des codes barres 2D. Des exemples dquipements utilisant des techniques de saisie de donnes sont les camras numriques, les scanners optiques, les rpteurs RF, les systmes IrDA, les lignes filaires galvaniques, e
47、tc. 3.1.8 rseau mobile UIT-T X.1121: Rseau fournissant des points daccs sans fil des terminaux mobiles. 3.1.9 terminal mobile UIT-T X.1121: Entit dote dune fonction daccs sans fil et qui peut tre connecte un rseau mobile pour des communications de donnes avec des serveurs dapplication ou dautres terminaux mobiles. 3.1.10 utilisateur mobile UIT-T X.1121: Entit (personne) utilisant et exploitant un terminal mobile pour la rception de divers services assurs par des fournis
