Pass sanitaire : la poudre aux yeux du pseudonymat, des données médicales en clair

Un florilège de mauvaises idées

Pass sanitaire : la poudre aux yeux du pseudonymat, des données médicales en clair

Pass sanitaire : la poudre aux yeux du pseudonymat, des données médicales en clair

À compter de mercredi, « un pass sanitaire sera mis en place de façon temporaire pour accompagner les Français au retour à une vie normale », rappelle le Service-Public. Problème, on est loin de la promesse initiale pour ce qui est de préserver les données personnelles et médicales. 

Depuis maintenant plus d’un mois, l’application TousAntiCovid dispose d’un carnet des tests et vaccinations, qui pourront servir dans le cadre des pass sanitaires. Mais « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses », explique ainsi Christian Quest (porte-parole d’OpenStreetMap France, entre autres) dans  un billet publié sur Médium.

Il relève que les QR-Code et 2D-DOC (datamatrix) « contiennent des données personnelles et des données de santé ». Pour ne rien arranger, elles sont en clair et donc lisibles par n’importe qui, sans aucune difficulté. Il suffit d’un lecteur basique QR-Code ou de datamatrix que l’on trouve dans les boutiques applicatives d'Android et iOS.

La CNIL avait pourtant alerté sur les risques dès le mois d’avril, en rappelant que les données doivent « être limitées à ce qui est nécessaire (principe de minimisation) ». De plus, « les autorités qui vérifieront le Datamatrix ne doivent pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données ». Plusieurs experts relèvent des ratés sur ces deux points, ce qui pose la question de la réaction qu'auront la Commission et le gouvernement suite à leurs publications.

Des données personnelles et médicales en clair

Broken by Design a décomposé les informations contenues dans le 2D-DOC des certificats de vaccination. On y retrouve en clair les nom, prénom et date de naissance. Pour les données médicales, qui sont également lisibles par n’importe qui, on peut obtenir le type de vaccin et de molécule, le nombre de doses déjà reçues, la date de la dernière injection, le nombre de doses attendues et état du cycle de vaccination (en cours ou terminé). 

De quoi permettre de déduire des informations médicales supplémentaires, pouvant être exploitées : « ont-ils déjà été infectés par la COVID-19 (besoin que d’une seule dose) ? Sont-ils immunodéprimés (besoin de trois doses) ? Sont-ils parmi les citoyens prioritaires pour recevoir des injections tôt dans le calendrier vaccinal ? ».

Bref, « ces informations dépassent largement le cadre et la finalité du pass sanitaire ».

Broken by Deisgn TAC Verif
Crédits : Broken by Design

2D-DOC, QR-Code : même combat 

En plus du 2D-DOC, un QR-Code « classique » est présent sur les attestations de vaccination, que l’on peut récupérer sur le site Ameli.fr.  Là encore, il est lisible par n’importe qui et contient un lien de la forme :

https://bonjour.tousanticovid.gouv.fr/app/wallet?v=Dxxxxxxx

Cette URL contient l’ensemble des informations du 2D-DOC (après le wallet?v=), sans protection particulière. Sur Twitter, le compte TousAntiCovid se justifie : « L'ajout d'un QR Code sur le document permet notamment un scan simplifié avec de nombreux smartphones sans ouvrir immédiatement l'application TousAntiCovid. Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web ».

D'où l'importance de ne pas partager ces éléments en ligne ou avec n'importe qui.

Des promesses sur TousAntiCovid Verif… à la réalité

L’application TousAntiCovid Verif permet, dans les lieux concernés par le pass sanitaire, d’obtenir un feu « vert » ou « rouge » pour le passage d’une personne. « Ils ne sauront que le nom, le prénom et la date de naissance de la personne concernée », affirmait Cédric O au Parisien il y a quelques semaines.

Ce sont effectivement les seules informations affichées par TousAntiCovid Verif, mais uniquement, parce que l’application « cache » le reste. Cela n’empêche pas une personne utilisant une autre application d'y accéder sans mal. Quant au feu « vert » ou « rouge » il est déterminé en fonction des informations médicales du 2D-DOC.

« Pour les compagnies aériennes, il y aura une version spécifique, car elles ont obligation d’avoir accès au contenu détaillé, avec la date de vaccination, le type de vaccination, etc. Elles pourront la télécharger sur les stores, avec un contrôle d’accès par identifiant », ajoutait Cédric O. Comme nous venons de le voir, une telle distinction n'a pas vraiment de sens puisque n’importe qui peut accéder au même niveau d'information. 

Christian Quest propose une alternative pour protéger les données des utilisateurs : « Plutôt que d’indiquer en clair nom, prénom et date de naissance, utiles pour vérifier quand c’est nécessaire la correspondance avec une pièce d’identité, on aurait pu stocker une empreinte de ces informations (un hash) dans le 2D-DOC », comme c’est le cas avec les mots de passe par exemple.

De plus, « la partie données de santé aurait pu être chiffrée, et donc accessible si besoin uniquement aux détenteurs d’une clé de déchiffrement dont l’accès aurait pu être sécurisé », comme dans le cas des  compagnies aériennes ainsi que l’indiquait le secrétaire d'État chargé de la Transition numérique.

2D-DOC TAC Verif
Crédits : Christian Quest

Cédric O : n’a « pas d’inquiétude sur la protection de la vie privée »

Cédric O était ce matin chez Franceinfo pour défendre le pass sanitaire : « Il y a un certain nombre d’informations comme le type de vaccin, la date de vaccination, le nom, le prénom, la date de naissance, le nombre de dose que vous avez reçues qui sont contenues dans le QR-Code, mais qui ne sont pas lisibles », ce qui est faux. Elles ne sont simplement pas affichées par Tous Anti Covid Verif, mais sont parfaitement lisibles par n'importe qui.

« La seule chose que la personne verra avec son application de lecture ce sera votre nom, votre prénom et votre date de naissance pour pouvoir vérifier votre identité. Pour le reste, elle saura soit que vous avez été malade et que vous êtes immunisé, soit que vous êtes vacciné, soit que vous avez un test PCR », ajoute-t-il. 

« Si des personnes piratent ou demandent ces informations [via l’attestation par exemple, ndlr] qui sont illégales, elles sont passibles d’un an d’emprisonnement ou d’une amende extrêmement forte ». Il conclut ainsi : « Je n’ai pas d’inquiétude sur la protection de la vie privée des Français » insiste-t-il.

TousAntiCovid Verif : quid du code source ? 

Sur Twitter, le compte Gilbsgilbs s’est penché sur le fonctionnement de l’application TousAntiCovid Verif, qui a été développée par IN Groupe (anciennement Groupe Imprimerie Nationale), mais détenu à 100 % par l’État. 

Premier problème identifié : « on ne trouve le code source de cette application nulle part. Seul IN Groupe sait réellement ce que fait son app ». TousAntiCovid est open source et Gilfsgilbs se demande donc pourquoi il n‘y a « pas la même transparence pour TousAntiCovid Verif ? ».

En creusant un peu dans le fonctionnement de l’application, « on s'aperçoit que l'application embarque des composants propriétaires de Google (Firebase et certains services Google Play) ». Son rapport Exodus Privacy est ici. Il ajoute : « pourquoi la totalité du contenu du 2D-DOC (à savoir le nom, prénom, date de naissance, numéro et marque de vaccin, date d'injection, signature, etc…) est envoyée sur un serveur d'IN Groupe ? ».

On note d’ailleurs que l’application TousAntiCovid Verif ne fonctionne pas en mode avion. On obtient une « Erreur de connexion » lors d’une tentative précisant « Aucun réseau disponible ». Cela soulève plusieurs questions : « Par exemple, comment garantir si ce pass est utilisé pour l'accès aux manifestations qu'il ne sera pas utilisé pour ficher les manifestants ? C'est quand même une sacrée dérive ! ».

Se posent aussi des questions vis-à-vis du RGPD : « Est-ce que la finalité du traitement des données est vraiment légitime ? Comme on l'a vu, l'authenticité du certificat pouvait très bien être vérifiée localement et d’éventuelles révocations pourraient se vérifier en envoyant un simple hash du certificat ».

« Aucun transfert ou partage »… vraiment ?

On est dans tous les cas loin de la promesse du gouvernement :

« Lors d'un contrôle de votre Pass sanitaire par une autorité ou une personne habilitée, l’opération de vérification/lecture se fait en local (grâce à l’application TAC-Verif), sans conservation de donnée, sans requête à un serveur central de données.

Seule la signature de votre preuve sanitaire est vérifiée sur un serveur central avec l’application TousAntiCovid Verif pour s’assurer de son authenticité. TousAntiCovid Verif disposant des règles de gestion en local, seule la signature du certificat sera vérifiée par un serveur dédié d'IN Groupe respectant toutes les règles de sécurité des systèmes d'information afin de garantir au lecteur l'authenticité du certificat ».

Dans sa charte de protection des données personnelles, IN Groupe donne une information différente, affirmant qu’« aucun transfert ou partage n’est réalisé lors du contrôle », alors que le gouvernement parle d’une vérification sur un serveur dédié. Dans tous les cas, TousAntiCovid Verif ne fonctionne pas en mode avion.

Il faudra donc attendre des clarifications ou la publication du code source pour en savoir plus.

Cerise sur le gâteau : la capture d’écran de Schrodinger

Dernier point problématique relevé : l’application TousAntiCovid sur Android, ne permet pas de réaliser une capture d’écran native : un message indique que ce n’est pas autorisé. Sur iOS par contre, la situation est cocasse, à l’image du reste de l’application diront certains : un message indiquant que « la capture d’écran n’est pas autorisée lors de l’utilisation de l’application TousAntiCovid Verif » est bien affiché… après que ladite capture est réalisée.

TAC Verif iOS capture écranTAC Verif iOS capture écran
Nous avons effectué ce matin une capture d'écran via la dernière version en date de Tous Anti Covid Vérif

Commentaires (102)


Ah oui, ce matin, sur France Info, Cédric O, après avoir expliqué qu’il n’y avait rien de compromettant et que oui, c’était du coup en clair : «de toute façon, ceux qui veulent récupérer ces donnes [n° de sécu, etc…] peuvent déjà le faire facilement par d’autres moyens. Et j’en profite pour rappeler que ce genre d’agissement peut faire encourir jusqu’à un an de prison»



Je me suis étranglé dans ma voiture, et ai zappé de radio.
Dis voir, Cédric, tu me files ton N° de carte bleue avec la date d’expiration et le cryptocode s’teup? Ben oui, il y a déjà moyen de retrouver tes coordonnées bancaires par d’autres moyens, alors… bah va y, envoie en mail en clair :fumer:


Dans l’article de broken by design, on peut lire
“Ils [les organisateurs d’événements] ne sauront que le nom, le prénom et la date de naissance de la personne concernée et ne verront apparaître que « vert » ou « rouge » pour valider ou non l’accès. Pour eux, l’application sera en accès libre sur les stores.”



Les organisateurs d’événements auront-ils pensé à la déduplication des données? Je m’explique. Nous sommes un couple, mon conjoint a la flemme de se faire vacciner et il présente le même QR code que moi qui bippera vert avec mon nom et mon prénom. Le doublon sera t il détecté?



Pourquoi ne pas avoir stocké tout cela dans la carte Vitale ou la CNIe? D’autant que les professionels de santé ont une carte personnelle qui peut signer les données.


Ils peuvent pas faire un truc bien du premier coup…
Ça peut être un outil très pratique et sécurisé mais non faut faire les choses à moitié…
Relou tout ça


Le pire c’est qu’ils savent qu’à la moindre connerie ils vont se faire défoncer, du coup, pourquoi ils ne s’appliquent pas ? problème de compétence ?
C’est quand même bizarre de faire ces choix avec tout le bordel qu’il y a eu sur l’application StopCovid…



(quote:1878099:GérardMansoif)
Les organisateurs d’événements auront-ils pensé à la déduplication des données? Je m’explique. Nous sommes un couple, mon conjoint a la flemme de se faire vacciner et il présente le même QR code que moi qui bippera vert avec mon nom et mon prénom. Le doublon sera t il détecté?




Ce n’est pas qu’une histoire de doublon, il faut aussi vérifier l’identité pour que ce soit fiable (ce que feront les compagnie aériennes, visiblement, mais pas les autres).



(quote:1878099:GérardMansoif)



Pourquoi ne pas avoir stocké tout cela dans la carte Vitale ou la CNIe? D’autant que les professionels de santé ont une carte personnelle qui peut signer les données.




En théorie, oui la CPS permet de chiffrer les communications (médicale, SESAM Vitale). En pratique, c’est loin d’être compris et maîtrisé par les professionnels de Santé. Il suffit voir les difficultés rencontrés pour activer la e-CPS: lors de l’accès aux plateformes pour gérer le COVID tous les médecins n’avait pas donné leur courriel à leur Ordre). On comprend que l’apprentissage et l’accompagnement est nécessaire pour passer tout le monde a l’usage de la CPS/e-CPS.
Autre exemple: les professionnels ne chiffrent pas leur échanges électroniques et utilisent les GAFAM pour cela (gmail, hotmail, orange & Co).
Il existent pourtant une messagerie sécurisée de santé (MSS) mais elle limité en capacité (500 Mo de mémoire).
Autre point tous les professionnels n’ont pas une CPS ,les infirmières diplômées d’État par exemple. Étrangement depuis l’autonome dernier, l’ASIP s’active à déployer les CPS et lesRPPS auprès des IDE…



Dernier point, la carte vitale n’a pas assez de mémoire pour stocker ce type d’information. Pour la CV n°2, il avait été envisagé de placer le groupe sanguin mais cela pas été fait. Sûrement le choix de laisser la CV dans son rôle de facturation, voir de servir de sesam pour accéder ensuite au DMP.
Je doute que le rôle de la CNI soit de stocker des informations médicales. Pour la sécurité, séparons les usages.
Et il faudrait déployer une nouvelle carte vitale en 6 mois, alors que depuis le lancement de la CV n°2 en 2007, la sécu n’a pas retiré/remplacer les CV n°1. Il existe des CV qui datent de 1998!! À côté, les cartes bancaires avec une technologie similaire sont changées tous les 2 ans!!


une des explications que j’ai vues est que les spécifications de l’appli TAC Verif ont été pondues AVANT le passage de la proposition de loi au parlement, et les modification qui ont suivi (obligations de suppression de données, de non-partage des données à un tiers, etc).



en gros le gouv n’a pas prévu que le parlement fasse des modifications à sa PPL.
le gouv de ce pays prend le parlement pour une chambre d’enregistrement. c’est étonnant hein? vous êtes sur le cul je suis sûr. :mdr:



mis en place de façon temporaire




on y croit :fumer:



Soriatane a dit:


Autre exemple: les professionnels ne chiffrent pas leur échanges électroniques et utilisent les GAFAM pour cela (gmail, hotmail, orange & Co). Il existent pourtant une messagerie sécurisée de santé (MSS) mais elle limité en capacité (500 Mo de mémoire).




franchement là c’est une faute. grave. les archives ça existe. je sais c’est chiant, mais tu peux pas décemment échanger entre confrères des informations confidentielles en passant par Gmail…


c’est pourtant malheureusement le cas pour beaucoup de professionnel de santé….


Heureux les ingénus!!



Pas de formation dédiées, pas de formation continu sur ce sujet, pas de contrainte pour utiliser la MSS, interface webmail peu attirante.



Les professionnels de santé ne sont pas meilleurs que la population générale sur ce sujet.



D’ailleurs il y a quelques années, on avait retrouvé des @gmail utilisé dans la haute administration. Comme quoi ce n’est pas propre aux professionnels de santé.


Déjà la chaîne de confiance est cassée dès le départ car aucune vérification d’identité n’est faite au moment de la vaccination (en tout les cas pour ma part).



C’est tellement Ridicule de tenter de bloquer la copie en empêchant la capture d’écran que j’ai honte pour ceux qui ont eu cette idée. Ceux qui croient que c’est utile doivent imaginer qu’ils sont dans un monde sans camera.



Ensuite ces applications sont particulièrement bavardes.



Je reprends mon crédo de preuve nulle de divulgation de connaissances,.Il faut juste faire la preuve que la personne est immunisée à une date donnée ou jusqu’à une certaine date. Cela peut être suite à une vaccination ou peut-être déterminer par un test.



Donc le cas d’usage est simple l’organisme (verifieur) qui veut la preuve fourni une date et le quidam (prouveur) qui montre la preuve liée à son identité et la réponse oui par rapport a la date proposée.



Je vois bien un biais sur la date car en faisant plus essaies on pourrait la trouver.



Cela serait il possible sans interaction et donc montrant un papier ? Je paris que oui dans la mesure ou il est démontré que les preuves interactives peuvent être transformées en preuve non interactive.



Pour les organismes qui ont besoins de plus de détails ils n’ont qu’à interroger une basse de données à accès contrôler et journalisé.


Ma carte d’identité a été prise et restituée après vaccination.


SebGF

Ma carte d’identité a été prise et restituée après vaccination.


J’ai du la présenter avec ma carte Vitale à l’entrée du vaccinodrome.
Les agents de sécurité demandaient à ce qu’on prépare la CV, un justificatif d’identité et la preuve qu’on avait un rendez-vous avant de laisser entrer.


Cumbalero

J’ai du la présenter avec ma carte Vitale à l’entrée du vaccinodrome.
Les agents de sécurité demandaient à ce qu’on prépare la CV, un justificatif d’identité et la preuve qu’on avait un rendez-vous avant de laisser entrer.


Pareil, j’avais pris RDV chez un des établissements de Pôle Santé Travail (étant rattaché chez eux pour la médecine du travail, j’avais reçu une communication de leur part disant que je pouvais prendre RDV avec eux pour le faire, j’en ai profité).



Et je suis passé devant 3 personnes (si je compte celle à l’accueil) qui ont vérifié le questionnaire et m’ont demandé quelques compléments d’information avant de voir le médecin qui m’a piqué.



J’imagine que la rigueur doit être variable selon le centre de vaccination, mais j’ose espérer que le cas remonté par le commentaire auquel je répondais est une exception.


Cumbalero

J’ai du la présenter avec ma carte Vitale à l’entrée du vaccinodrome.
Les agents de sécurité demandaient à ce qu’on prépare la CV, un justificatif d’identité et la preuve qu’on avait un rendez-vous avant de laisser entrer.


Rien ne m’a été demandé pour ma vaccination, j’ai juste rempli le questionnaire. L’existence du RDV n’a même été vérifiée. Dans centre ils vaccinent au moins 50 personnes par heure 6 jours sur 7.


Jetto

Rien ne m’a été demandé pour ma vaccination, j’ai juste rempli le questionnaire. L’existence du RDV n’a même été vérifiée. Dans centre ils vaccinent au moins 50 personnes par heure 6 jours sur 7.


Tu n’as pas du donner ta carte vitale? C’est léger comme vérification d’identité mais c’est quand même pas rien.



Christian Quest propose une alternative pour protéger les données des utilisateurs : « Plutôt que d’indiquer en clair nom, prénom et date de naissance, utiles pour vérifier quand c’est nécessaire la correspondance avec une pièce d’identité, on aurait pu stocker une empreinte de ces informations (un hash) dans le 2D-DOC », comme c’est le cas avec les mots de passe par exemple.




En pratique je ne vois pas comment, car pour vérifier, au lieu de regarder la correspondance entre un papier d’identité et ce qu’affiche l’application, il faudrait saisir le nom et le prénom (sans erreur : caractères accentués, apostrophes, …). Donc non seulement ce serait long, mais en plus il faudrait faire confiance à l’appareil générant le hash (qui pourrait enregistrer les données saisies, exactement comme là on peut enregistrer les noms scannés).



En revanche, ça n’excuse pas les données de santé en clair, et l’application de vérification qui envoie tout au serveur, alors que tout peut être vérifié en local.


Donc l’appli va être renommée pour faire oublier ce nouveau loupé, c’est ça ?
TousAvecTousAntiCovidVerif ça sonne bien :ouioui:


On pourrait donc gérer un QRCode bogus, ou nettoyé des informations non utiles ?


Pour ou contre, j’osef, c’est pas la question.
Je vais parler au niveau technique.



J’ai du mal à croire que c’est uniquement de l’incompétence, je vois déjà pas mal de moyens d’anonymiser ce genre de choses.
Bon je suis pas un développeur, mais j’ai déjà fait de la prog’ et du scripts.



J’imagine qu’il serai possible de générer un hash en 2D-DOC par génération qui fait correspondre la présence de vaccin directement sur les serveurs TAC avec ce fameux HASH comme ID et renvoyant UNIQUEMENT le nom complet pour vérifier l’identité à l’embarquement avec la fameuse pastille verte ou rouge.



Avantages :




  • Le nom est donné uniquement en réponse si consulté par le bon HASH.

  • Si le HASH est perdu, il peut être supprimé par l’utilisateur et ça corrompt pas l’information.

  • Le HASH peut être subtilisé, mais l’identité en théorie permet de discriminer l’information.

  • Le pass est donc infalsifiable par l’utilisateur lambda.



Inconvénients :




  • Ça demande un poils plus de ressource pour traiter les hash

  • Le poids de la BDD plus conséquente.

  • La concentration des données mais c’est déjà le cas.



On pourrai penser aussi à un jeux de clefs GPG et le qrcode serai uniquement une fingerprint ou la clef privé et le MDP serai le nom de famille et prénom UTF-8. l’information contenu serai la pastille verte ou rouge.



Bon je connais pas leur infra’ mais je pense que ça devrai pas être dur de gérer un truc du genre.



J’ai faux je suppose ?


On ne veut pas que ce soit hyper sécurisé, on veut que ce soit un minimum sécurisé.
Signer le message ne suffit pas: il devrait être codé également. Et ne me dit pas que l’Etat n’a pas les moyen de signer numériquement tous les QR code, avec deux niveaux de signature (un “public” et un “avancé”).



L’Etat ne prends pas les moyens de ses ambitions, ils se disent que ça va passer crème. Ils auraient eu une once de jugeote, personne n’aurait eu à redire, hormis le ouin ouin habituel du “bouh caca c’est centralisé l’état sait tout sur nous ouin ouin”.



Non: tu touche au message, la signature devient invalide ;)


patos

On ne veut pas que ce soit hyper sécurisé, on veut que ce soit un minimum sécurisé.
Signer le message ne suffit pas: il devrait être codé également. Et ne me dit pas que l’Etat n’a pas les moyen de signer numériquement tous les QR code, avec deux niveaux de signature (un “public” et un “avancé”).



L’Etat ne prends pas les moyens de ses ambitions, ils se disent que ça va passer crème. Ils auraient eu une once de jugeote, personne n’aurait eu à redire, hormis le ouin ouin habituel du “bouh caca c’est centralisé l’état sait tout sur nous ouin ouin”.



Non: tu touche au message, la signature devient invalide ;)


Merci du commentaire,



C’est pour cela que j’ai pensé en deuxième lieux à un jeu de clefs GPG, mais ça règle pas les problème de fausse rassurance de policitien et que c’est peut être overkill.



En effet le principe des deux clefs et certainement plus adapté.



Cédric O : n’a « pas d’inquiétude sur la protection de la vie privée »




Normal, il est prévue de détruire prochainement ce qu’il reste de vie privée. Pas d’inquiétude !



J’ai l’impression que la vie privée n’était juste pas dans le cahier des charges. Cela me rappelle le QR des carte d’embarquement des avions => tout est en clair. “Vous comprenez, c’est plus simple et ça marche tout le temps”.


Bien sur qu’il y a des données personnelles dans le QR Code. C’est un peu le principe d’un Pass. D’ailleurs y a les mêmes infos personnelles dans le barcode des passeports. Faut-il bruler les passeports ?



Bref, c’est pas parce que Cédric O dit n’importe quoi que ca doit servir de prétexte à conforter les théories complotistes. Je sais bien qu’il faut faire des vues pour exister, mais tout de même.


Je n’ai pas encore eu l’occasion de tester moi même un scan, mais il contient une empreinte qui en atteste l’authenticité ?
Sinon, qu’est-ce ce qui m’empêche de forger mon propres 2D doc?



Oups RTFM ;)



linkin623 a dit:


Normal, il est prévue de détruire prochainement ce qu’il reste de vie privée. Pas d’inquiétude !



(quote:1878185:127.0.0.1)
Bref, c’est pas parce que Cédric O dit n’importe quoi que ca doit servir de prétexte à conforter les théories complotistes. Je sais bien qu’il faut faire des vues pour exister, mais tout de même.




S’il n’y avait que Cédric O
https://www.publicsenat.fr/article/societe/covid-19-un-rapport-du-senat-preconise-la-collecte-de-donnees-personnelles-pour


Merci pour cet article :smack:



(reply:1878099:GérardMansoif)




Bonne idée…mais les organisateurs de concerts n’ont pas cette clef…


Vraie question : est-ce que le statut vaccinal est une donnée médicale ? Parce qu’on est amené à divulguer cette information déjà aujourd’hui à nombre d’interlocuteurs dans différents domaines (emplois, scolarités, vacances, …) qui ne sont pas des professionnels de santé. Or il me semble que seul des personnels de santé peuvent se voir recueillir des données médicales.


Cédric O c’est aussi celui qui est censé sanctionner les opérateurs qui ne respectent pas leur engagements sur la fibre. On attend toujours.



LySioS a dit:


S’il n’y avait que Cédric O https://www.publicsenat.fr/article/societe/covid-19-un-rapport-du-senat-preconise-la-collecte-de-donnees-personnelles-pour




Il faut un certain temps pour assimiler les concepts comme Donnée personnelle, Donnée médicale personnelle et donnée sensible (PII, PHI, sensitive data) et leurs domaines respectifs (l’informatique, la santé, l’évaluation du risque).



Même quand on est au coeur du truc, on mélange vite les concepts. Alors quand c’est des politiciens qui font des déclarations, souvent pour prendre une posture, faut pas s’étonner qu’ils racontent n’importe quoi.



wanou2 a dit:


Vraie question : est-ce que le statut vaccinal est une donnée médicale ?




oui. C’est même une donnée médicale personnelle.




Parce qu’on est amené à divulguer cette information déjà aujourd’hui à nombre d’interlocuteurs dans différents domaines (emplois, scolarités, vacances, …) qui ne sont pas des professionnels de santé. Or il me semble que seul des personnels de santé peuvent se voir recueillir des données médicales.




Non. Par exemple un agent des douanes peut vérifier que tu es vacciné contre la fièvre jaune avant de te laisser rentrer sur le territoire. Et l’agent des douanes n’est pas un personnels professionnel de santé.



Soriatane a dit:


Il existent pourtant une messagerie sécurisée de santé (MSS) mais elle limité en capacité (500 Mo de mémoire).




Malheureusement, il n’existe pas une, mais des messageries de santé. N’importe qui peut devenir opérateur MSS et proposer sa messagerie. Cela fonctionne exactement comme les e-mails, à une différence près : impossible d’envoyer/recevoir un message à/d’une messagerie non MSS.



Bref, c’est un fork des e-mails, avec obligation de sécurisation des transferts (principalement chiffrement, mais aussi authentification).



Un opérateur peut limiter à 500 Mo tandis qu’un autre peut accepter 10Go s’il le souhaite.



Là où par contre, le système est d’une bêtise incroyable, c’est que théoriquement, chaque professionnel de santé n’a qu’une et une seule adresse MSS, qui répertoriée dans l’annuaire national des professionnels de santé (Annuaire RPPS). Sauf qu’en pratique, un professionnel peut avoir une adresse de l’ordre, une adresse institutionnelle (CH, Clinique, …), choisir son propre opérateur de santé (Apicrypt, …) et se retrouver avec plusieurs adresses…. complexifiant les échanges entre confrères.


Dans le répertoire RPPS j’ai vu jusqu’à 3 adresses MSS.
Cela ne me dérange pas qu’il y ait plusieurs courriels mais il faut indiquer le public/cercle visé (institution, patient, confrères, …)



Jetto a dit:


Rien ne m’a été demandé pour ma vaccination, j’ai juste rempli le questionnaire. L’existence du RDV n’a même été vérifiée. Dans centre ils vaccinent au moins 50 personnes par heure 6 jours sur 7.




Comme tu sais qu’il n’a pas été vérifié ? Tu as forcément donné ton identité, sinon il ne peuvent pas établir les papiers, dont ce fameux QR-Code. Donc à partir de là, il peuvent bien vérifier si tu étais inscrit ou pas, tu ne le vois pas forcément.


En tous cas, merci pour l’article…
Je me posais la question quand j’ai eu mon fameux code ! J’ai ma réponse…


en pratique plutoy que de reinventer la roue pourquoi ne pas avoir réutilisé le numero d’identité nationale ou passeport? cela aurait



benoitc a dit:


en pratique plutoy que de reinventer la roue pourquoi ne pas avoir réutilisé le numero d’identité nationale ou passeport? cela aurait




En l’absence d’identifiant unique en France, autant prendre celui qui a le plus de sens dans le contexte (=santé)… donc le NIR.


En même temps comment pouvait-on croire qu’ils allaient réussir à pondre quelque-chose de correct alors que certains services de l’état envoient encore ton mot de passe en clair par mail quand tu l’as perdu :mdr:



Ou que tel service marche sur tel navigateur n°1 (mais pas sur les autres) tandis qu’un autre va être accessible par le navigateur n°2 uniquement.



Et il y en a tout un florilège des trucs comme ça. Pour leur défense, ils se sont vachement améliorés sur l’esthétique des sites web en 5-10 ans (quand ça marche :transpi: )


C’est pas lié à la France ni à l’application.
Celle-ci respect le modèle de donnée EU. Mais bon, ça prends 15sec de recherche et ça permet pas de taper sur le gouvernement actuel, c’est moins vendeur.



https://github.com/eu-digital-green-certificates/ehn-dgc-schema
https://ec.europa.eu/health/sites/health/files/ehealth/docs/digital-green-certificates_dt-specifications_en.pdf



Exemple de l’implémentation Suisse.
https://github.com/admin-ch/CovidCertificate-Examples



eglyn a dit:


Le pire c’est qu’ils savent qu’à la moindre connerie ils vont se faire défoncer, du coup, pourquoi ils ne s’appliquent pas ? problème de compétence ? C’est quand même bizarre de faire ces choix avec tout le bordel qu’il y a eu sur l’application StopCovid…




Tu demandes de faire preuve de bon sens et d’anticipation ?



C’est une carence qui est malheureusement très rependue.



Nb : pour être clair, je ne vise pas particulièrement les politiques.


Après la différence entre la France et la Suisse, à mon sens, reste sur la façon dont est contrôlé le certificat.
Ici, l’appli de contrôle ne check que la validité du certificat et affiche le nom et le prénom afin de valider sur une pièce d’identité affichée à côté. Il n’y a pas de sauvegarde locale en dehors du détenteur.



https://github.com/admin-ch/CovidCertificate-App-Android
https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/covid-zertifikat.html#-130732899



Soriatane a dit:




Maintenant oui, mais ce n’était pas comme ça initialement, et surtout, cela ne devait pas se passer comme ça. L’idée était bien qu’il n’y ait qu’une seule MSS par professionnel de santé, afin de ne pas se poser de question sur l’adresse à utiliser.



D’autant plus qu’il n’est malheureusement pas rare que l’annuaire RPPS ne soit pas à jour, surtout au niveau des adresses MSS… :accident:



Jetto a dit:


C’est tellement Ridicule de tenter de bloquer la copie en empêchant la capture d’écran que j’ai honte pour ceux qui ont eu cette idée. Ceux qui croient que c’est utile doivent imaginer qu’ils sont dans un monde sans camera.




Ceux qui ont eu cette idée sont les mêmes que ceux qui imaginaient bloquer l’utilisation du clic droit sur les pages Web.


Je vais paraitre pour le con de service, mais je vois vraiment pas ou sont les données sensibles là dedans… A part peut être l’info sur le besoin d’une troisième dose, et encore elle peut s’expliquer de plusieurs façon donc ca donc pas beaucoup d’infos. Tout comme le fait d’être une personne prioritaire, il y a 50 raisons pour cela.



Bref, sur le coup beaucoup de critiques et blabla pour pas grand chose en fait ^^


Ton traitement médical est justement une donnée personnelle. Sinon, partage avec ton patron tout ce qui se passe dans ta vie, on verra à son comportement si ce n’est pas sensible ^^
Et ta date de naissance ouvre pas mal de porte aussi… y compris la récupération de mot de passe sur certains sites gouvernementaux…



Daweb a dit:


Bref, sur le coup beaucoup de critiques et blabla pour pas grand chose en fait ^^




Déjà, la confiance n’est pas là vs ce qui avait été annoncé… et en prime, ce constat fait, on peut légitimement se dire que ce n’est sans doute que la partie émergée de l’iceberg vu le besoin de connexion de l’appli et les possibilités de fichages offerte (exemple de la manif etc).



Ce gouvernement de branque se sera donc loupé sur tout: Un 1er confinement absurde, les masques, la vaccination… et désormais ce passe-passe-sanitaire.


Je vois toujours pas, ils ont juste annoncé des infos sur le vaccin (nombre, fini ou pas, nom et date de naissance.. Je vois pas trop ce qui change justement. Y a même pas le numéro de sécu (je m’attendais à le trouver)



Après le gouvernement de branque, c’est un gouvernement, donc c’est la définition non ? ^^
Pas sur qu’un autre gouvernement ai fait mieux à vrai dire ;)



Heu la date de naissance on la communique à chaque contrôle, quand on doit présenter une pièce d’identité ou autre, et ca se trouve tellement facilement.



Ou est ce qu’on a marqué de la communication d’un traitement médical ?
Pas vu ça (ou alors désolé j’ai mal lu)



Pour la récup de mots de passe, ils demandent pas d’autres chose que juste la date de naissance ? Ca semblerait assez limite si c’était le cas !


Daweb

Je vois toujours pas, ils ont juste annoncé des infos sur le vaccin (nombre, fini ou pas, nom et date de naissance.. Je vois pas trop ce qui change justement. Y a même pas le numéro de sécu (je m’attendais à le trouver)



Après le gouvernement de branque, c’est un gouvernement, donc c’est la définition non ? ^^
Pas sur qu’un autre gouvernement ai fait mieux à vrai dire ;)



Heu la date de naissance on la communique à chaque contrôle, quand on doit présenter une pièce d’identité ou autre, et ca se trouve tellement facilement.



Ou est ce qu’on a marqué de la communication d’un traitement médical ?
Pas vu ça (ou alors désolé j’ai mal lu)



Pour la récup de mots de passe, ils demandent pas d’autres chose que juste la date de naissance ? Ca semblerait assez limite si c’était le cas !


Les seules infos pertinentes, c’est nom prénom date de naissance, vaccination OK et date d’expiration du certificat.



Le type de vaccin, le nombre de doses, la date de vaccination, tout ça sont des données utiles pour la sécurité sociale, certainement pas pour la personne qui fait le contrôle du passe sanitaire (je ne veux pas les donner à mon banquier quand je négocie un prêt, par exemple, il va tiquer si mon passe indique 3 doses).


white_tentacle

Les seules infos pertinentes, c’est nom prénom date de naissance, vaccination OK et date d’expiration du certificat.



Le type de vaccin, le nombre de doses, la date de vaccination, tout ça sont des données utiles pour la sécurité sociale, certainement pas pour la personne qui fait le contrôle du passe sanitaire (je ne veux pas les donner à mon banquier quand je négocie un prêt, par exemple, il va tiquer si mon passe indique 3 doses).


Peut être aussi une vaccination partielle / totale sans préciser le type de vaccin, car on peut imaginer que pour certains trucs moins sensibles, avoir une dose sur les deux depuis 15 jours pourrait être ok.


white_tentacle

Les seules infos pertinentes, c’est nom prénom date de naissance, vaccination OK et date d’expiration du certificat.



Le type de vaccin, le nombre de doses, la date de vaccination, tout ça sont des données utiles pour la sécurité sociale, certainement pas pour la personne qui fait le contrôle du passe sanitaire (je ne veux pas les donner à mon banquier quand je négocie un prêt, par exemple, il va tiquer si mon passe indique 3 doses).


Quand tu établis un prêt bancaire, tu remplis un questionnaire médical à destination de l’assurance emprunteur dans lequel tu donnes beaucoup plus que ça.




  • Antécédents médicaux (nombre d’hospitalisation depuis X années, arrêts de travail, etc)

  • Taille, poids

  • Maladies et traitements en cours

  • Eventuelles pensions

  • Si tu es reconnu travailleur handicapé

  • Si tu fais de l’hypertension, diabète, etc.



Et j’en oublie certainement.


SebGF

Quand tu établis un prêt bancaire, tu remplis un questionnaire médical à destination de l’assurance emprunteur dans lequel tu donnes beaucoup plus que ça.




  • Antécédents médicaux (nombre d’hospitalisation depuis X années, arrêts de travail, etc)

  • Taille, poids

  • Maladies et traitements en cours

  • Eventuelles pensions

  • Si tu es reconnu travailleur handicapé

  • Si tu fais de l’hypertension, diabète, etc.



Et j’en oublie certainement.


Personnellement,
J’ai refusé de communiqué mes informations médicale à ma banque pour faire un prêt, par solidarité et principe.
On ma toujours dis ce genre d’information est obligatoire… cela dit j’ai jamais été inquiété, mais j’ai peut être payer plus cher l’assurance du prêt.
Depuis, je refuse systématiquement de communiquer mes informations personnel aux banques ( sauf l’adresse et le numéro de téléphone, et l’employeur ) ma banquière à lâché l’affaire maintenant.



Bref, pas de rapport direct avec le sujet.
C’était pour insister sur le fait que les “obligations” en vers ma banque est en fait volontaire et non obligatoire dans les fait ( ou je suis passé dans les mailles du filet ).



Quand es-ce qu’on pourra révoquer les mandats de ces incompétents ( cf. Cedric O ) qui se permettent de sortir ce florilège d’arguments foireux et fallacieux et peu loyaux en vers les administrés.



“pas d’inquiétude sur la protection de la vie privée” -Cedric O



Alors que nos informations médicales sont en clair, c’est plus du foutage de gueule, c’est clairement du mépris


SebGF

Quand tu établis un prêt bancaire, tu remplis un questionnaire médical à destination de l’assurance emprunteur dans lequel tu donnes beaucoup plus que ça.




  • Antécédents médicaux (nombre d’hospitalisation depuis X années, arrêts de travail, etc)

  • Taille, poids

  • Maladies et traitements en cours

  • Eventuelles pensions

  • Si tu es reconnu travailleur handicapé

  • Si tu fais de l’hypertension, diabète, etc.



Et j’en oublie certainement.


c’est un peu plus reglo et précis que cela, tu fourni tous cela au médecin conseil de ta banque, dans une enveloppe scellé/dédié celle ci n’a accès à rien. Ensuite ce médecin conseil donne un avis positif ou négatif à ta banque.



Ta banque n’a jamais les informations médical te concernant, bon un avis négatif va rester dans ton dossier :non:


sanscrit

c’est un peu plus reglo et précis que cela, tu fourni tous cela au médecin conseil de ta banque, dans une enveloppe scellé/dédié celle ci n’a accès à rien. Ensuite ce médecin conseil donne un avis positif ou négatif à ta banque.



Ta banque n’a jamais les informations médical te concernant, bon un avis négatif va rester dans ton dossier :non:


Je l’ai fait il y a 4 ans, donc j’avoue ne pas me souvenir de tous les détails de la procédure (je me rappelle surtout que c’est le courtier qui m’avait filé ces documents).


Non cela ne sera jamais utilisé comme les cahiers qui permettaient de remonter les chaines de contamination dans les restaurants à l’automne dernier.



J’ai juste reçu un sms de la part d’un restaurant près du boulot ce matin, je me demande bien comment ils ont eu mon téléphone ?
“A partir du 9 juin, votre restaurant aura le plaisir de vous accueillir de nouveau en terrasse ou à l’intérieur. Rejoignez-vous et suivez-nous sur notre page Facebook”…. :censored:



(quote:1878290:Z-os)
Non cela ne sera jamais utilisé comme les cahiers qui permettaient de remonter les chaines de contamination dans les restaurants à l’automne dernier.



J’ai juste reçu un sms de la part d’un restaurant près du boulot ce matin, je me demande bien comment ils ont eu mon téléphone ? “A partir du 9 juin, votre restaurant aura le plaisir de vous accueillir de nouveau en terrasse ou à l’intérieur. Rejoignez-vous et suivez-nous sur notre page Facebook”…. :censored:




C’est un tentinet limite pour dire un doux euphémisme. Un petit traitement de données personnelles un peu en dehors des clous ?


Très loin des clous, oui.
Je crois que je n’ai même pas besoin de faire de mail tellement ils vont se faire incendier par les collègues.



(reply:1878290:Z-os)




Signale-le à la CNIL.



(reply:1878290:Z-os)




Appli qui partage ta géolocalisation et bien d’autres choses (si ce n’est pas l’os ou l’opérateur), fabriquant ou os du smartphone qui partage ton numéro de tel, ton adresse fuitée par une boite chez qui tu as passé commande (amazon, ubereats, etc? Ou qui sait même le fournisseur d’énergie ou l’opérateur par exemple vu que tout le monde fait n’importe quoi avec les données persos on sait jamais), les magasins qui relèvent ton passage par l’usage de ta carte bleue refourguent ça à plus gros qui analyse derrière (quand ils demandent pas carrément ton adresse pour la facture ou les pharmacies qui aiment bien cette info aussi), les amis qui ont partagé leur carnet de contact, etc, etc.



Tout ça revendu aux databrokers et ensuite les données sont rachetées à bon prix par qui paye.



Voir le cash investigations sur ce thème, ils effleurent (bien) le sujet.


Je veux juste éclaircir un point.
Une pharmacie qui te demande ton adresse lors de la délivrance d’un médicament sur ordonnance, c’est normal et c’est obligatoire.
Après le pharmacien n’est pas censé faire quoi que soit de cette donnée personnelle à part pour la retranscription à l’ordonnancier.


durthu

Je veux juste éclaircir un point.
Une pharmacie qui te demande ton adresse lors de la délivrance d’un médicament sur ordonnance, c’est normal et c’est obligatoire.
Après le pharmacien n’est pas censé faire quoi que soit de cette donnée personnelle à part pour la retranscription à l’ordonnancier.


Apparemment en cherchant un peu, ça dépends si ton médicament dépend d’une des listes soumis à l’ordonnance. (psychotrope anti-dep etc …)



https://www.juritravail.com/Forum/droits-consommateur/conseil-juridique/refuser-de-donner-mon-adresse-au-pharmacien/id/967154



Mais bon, une info’ sur un forum ça vaux pas grand choses et légifrance, pour le moment je trouve rien.



CowKiller a dit:




Je n’ai pas été très direct : En fait là je suis sûr que cela vient des listes “Covid” du restaurant.
Il faudrait des numéros jetables pour être tranquille.




SebGF a dit:


Signale-le à la CNIL.




Oui je pense qu’on va en discuter et faire un seul signalement pour la forme. Pas besoin d’inonder la CNIL pour une entreprise. :transpi:



(reply:1878290:Z-os)




Tiens c’est “marrant” ça, sur le principe je donnais faux nom/prénom, mais avec mon numéro de tel portable du taf.. et maintenant que je te lis, j’ai bien l’impression que ça correspond à peu de choses près au début du spam sur ma ligne pro, alors que je n’en avais jamais eu en 7ans..


Ça me fait penser au bleu de méthylène.


On en discutais entre collègues hier, hop, scan du arcade… toutes les infos visibles. On pensais a un chiffrement ou autre et bien même pas !


Scan du code je voulais dire


Encore du beaucoup de bruit pour pas grand-chose ! IL est bien évident nécessaire de vérifier l’identité au contrôle du certificat. Le moyen le plus simple reste quand même le nom / prénom / date de naissance vs la carte d’identité.




Christian Quest propose une alternative pour protéger les données des utilisateurs : « Plutôt que d’indiquer en clair nom, prénom et date de naissance, utiles pour vérifier quand c’est nécessaire la correspondance avec une pièce d’identité, on aurait pu stocker une empreinte de ces informations (un hash) dans le 2D-DOC », comme c’est le cas avec les mots de passe par exemple.




Y-a-qu’a- faut-qu’on…



Franchement je ne vois pas la plus-value côté vie-privée : Au lieu d’avoir un certificat sécurisée autonome et vérifiable hors ligne avec un simple téléphone. On aurait un certificat centralisé nécessitant une connexion internet pour fonctionner, et n’apportant aucune confidentialité (le vigile il faut bien qu’il vérifie des papiers d’identité ! L’info sécurisée par ce système est celle qu’il va contrôler sur ta carte d’identité.



Ensuite il faudrait quand même se rappeler qu’on parle du nom / prénom / date de naissance. Ce trio d’infos qu’on te demande 10x par jour :




  • La caissière pour faire la carte de fidélité,

  • N’importe quel site notamment réseau sociaux, ou d’e-commerce,
    et ça c’est juste les demandes, il y’ a aussi tous les gens qui donnent ces infos indirectement (les amis qui on fait une fiche contact à mon nom avec la date de mon anniversaire pour-pas-oublier ma grand mère qui laisse trainer un callepin avec en plus mon no de téléphone :) )3



Franchement y’en a marre de voir des gens critiquer en permanence, je ne spens pas qu’il était possible de faire mieux :




  • ça marche pour tout le monde (un papier),

  • ça contient le minimum d’infos nécessaire (on ne peut rien enlever sans que ça ne foncitonne plus)

  • c’est décentralisé

  • ça fonctionne hors-connexion.


Personnellement,
Je donne JAMAIS ma date de naissance même si on peut la trouver facilement.
J’ai pas de compte facebook/twitter personnel.
Je met un adblock à mon navigateur et paie le media en question ( CC NXi ).



L’argument de la grands mère qui laisse trainer un numéro de téléphone sur un callpin chez elle, ça na pas le même impacte qu’un qrcode trouvé dans la rue.



L’intérêt de donner ma date de naissance à Carrefour quand je fait mes courses, ça révèle justement un manque de loyauté lors du traitement de la donnée.



Le problème ici est en deux points :




  • Les informations sont centralisés .

  • Les informations sont pas protégé.



justement comme tu le démontre, un certificat papier serait vraiment plus simple, sauf qu’un qrcode est utilisé, et anonymiser ça est relativement faisable et c’est aussi une obligation car l’information n’est pas à destination d’un médecin tenu par le secret médical,
Autre choses : politiquement c’est compliqué de dire à 70% de sa population de pas se rassembler parce qu’ils sont pas vaccinés (volontairement ou non), ça ostracise pas mal de monde ( sans parler des immunodéficients & Co. ) et dans un pays libéral c’est une question à prendre en compte.
l’État de droit, et la loyauté envers les administrés, tout ces trucs la, c’est pas pour faire jolie hein !



Pas grands monde qui se plaint qu’on leur demande la CNI ou la CV en commentaire.
Je vois pas beaucoup de yaka faut qu’on, je vois des gens qui se poses des questions sur la bonne fois des énoncées de monsieur O et sur les possibilités technique.



benbart34 a dit:


Personnellement,
J’ai refusé de communiqué mes informations médicale à ma banque pour faire un prêt, par solidarité et principe.
On ma toujours dis ce genre d’information est obligatoire… cela dit j’ai jamais été inquiété, mais j’ai peut être payer plus cher l’assurance du prêt.
Depuis, je refuse systématiquement de communiquer mes informations personnel aux banques ( sauf l’adresse et le numéro de téléphone, et l’employeur ) ma banquière à lâché l’affaire maintenant.




Ta banque s’en fout en fait.
Si tu as un accident, tu seras pris en charge par ton assurance. Si tu as un problème de santé, tu ne seras pas pris en charge par ton assurance.
C’est toi qui joue: la banque et l’assurance ne risquent rien.



fofo9012 a dit:


Franchement je ne vois pas la plus-value côté vie-privée : Au lieu d’avoir un certificat sécurisée autonome et vérifiable hors ligne avec un simple téléphone. On aurait un certificat centralisé nécessitant une connexion internet pour fonctionner, et n’apportant aucune confidentialité (le vigile il faut bien qu’il vérifie des papiers d’identité ! L’info sécurisée par ce système est celle qu’il va contrôler sur ta carte d’identité.




Non, si ton application contient la clef publique, elle peut décoder hors ligne les informations. Si ton 2D-DOC est en deux parties, tu peux avoir une partie décodable avec la clef publique, et l’autre sur demande avec connexion Internet.



(reply:1878344:Zone démilitarisée)




Au top la méthode! :yes: Et le coup de l’adresse mail c’est facile à faire en plus!



En effet je me dis maintenant qu’il faudrait peut-être quand on m’appelle (hors ping call) que j’attende de voir qu’elles infos ils ont sur moi.. suivant le nom / prénom par lequel ils m’appellent je pourrai déduire que ça vient de là.. Mais bon j’avoue jsuis bourrin quand je me rends compte que c’est du démarchage, sur le tel pro, je raccroche direct et bloque le numéro dans les 10s qui suivent :D



benbart34 a dit:


Autre choses : politiquement c’est compliqué de dire à 70% de sa population de pas se rassembler parce qu’ils sont pas vaccinés (volontairement ou non), ça ostracise pas mal de monde ( sans parler des immunodéficients & Co. ) et dans un pays libéral c’est une question à prendre en compte. l’État de droit, et la loyauté envers les administrés, tout ces trucs la, c’est pas pour faire jolie hein !




Manque de bol, il y a 41% des adultes vaccinés à la date d’aujourd’hui.
Ensuite il n’est pas question d’ostraciser, simplement d’être responsable car on vit en société où les personnes qui nous entourent ne sont pas forcément comme nous.
La vie en société (y compris libérale) donne des droits mais impose aussi des devoirs: je pense que certains égocentriques ont tendance à l’oublier.



carbier a dit:


Ta banque s’en fout en fait. Si tu as un accident, tu seras pris en charge par ton assurance. Si tu as un problème de santé, tu ne seras pas pris en charge par ton assurance. C’est toi qui joue: la banque et l’assurance ne risquent rien.




Je reconnais qu’en effet je serai peut être pas pris en charge pour ce cas de figure.




carbier a dit:


Manque de bol, il y a 41% des adultes vaccinés à la date d’aujourd’hui. Ensuite il n’est pas question d’ostraciser, simplement d’être responsable car on vit en société où les personnes qui nous entourent ne sont pas forcément comme nous. La vie en société (y compris libérale) donne des droits mais impose aussi des devoirs: je pense que certains égocentriques ont tendance à l’oublier.




J’ai pas envie de jouer sur les chiffres et sur le nombre d’injections, mais bon on est pas loin et l’idée est la.



Dans l’esprit je suis entièrement d’accords sur la responsabilité de se faire vacciner, sauf que c’était juste une mise en perspective.
Je pense qu’on a peut être pas les même appréhensions sur la donnée médicale et son status, on parle de devoir et de loyauté, clairement d’accords et ça va dans les deux sens.



Sinon, comme je l’ai dit dans mon premier commentaire “Pour ou contre, j’osef, c’est pas la question.” car le titre de l’article est “Pass sanitaire : la poudre aux yeux du pseudonymat, des données médicales en clair”


Sujet très orienté politiquement, mais qui oublie un détail : aucune obligation.



Vous pouvez très bien ranger votre QR code dans votre coffre fort, ne pas installer d’application et ne pas se rendre dans les lieux où ces informations seront demandées. Même pas obliger de se faire vacciner !


Oui, mais l’utilisateur est floué sur l’utilisation de l’application et ça n’encourage pas son utilisation.
Dommage c’est une application voué à la base à de bons principes et pour nous tous et fait par nos institutions.



Donc la famille Michu qui télécharge l’application ne sais pas forcément tout ça et elle se reportera à la communication qui en est faites, à comprendre “pas d’inquiétude sur la protection de la vie privée”, or on vois bien que si !



Faux sujet et sujet toxic.
https://twitter.com/BotDuVaccin
https://covidtracker.fr/vaccintracker/


Les carnets papier seront toujours proposés dans les restaurants effectivement, donc aucune obligation d’utiliser les fonctions numériques.



carbier a dit:


Manque de bol, il y a 41% des adultes vaccinés à la date d’aujourd’hui. (…)




41% de la population à reçu 2 doses de vaccins il y a 2 semaines ?



Marc4444 a dit:


Vous pouvez très bien ranger votre QR code dans votre coffre fort, ne pas installer d’application et ne pas se rendre dans les lieux où ces informations seront demandées.




Je n’utilise pas l’application mais je n’avais plus pensé au coffre fort, si j’obtiens un QR Code, je le rangerai dans Cryptomator et basta, merci pour ce rappel.



benbart34 a dit:


Oui, mais l’utilisateur est floué sur l’utilisation de l’application et ça n’encourage pas son utilisation. Dommage c’est une application voué à la base à de bons principes et pour nous tous et fait par nos institutions.



Donc la famille Michu qui télécharge l’application ne sais pas forcément tout ça et elle se reportera à la communication qui en est faites, à comprendre “pas d’inquiétude sur la protection de la vie privée”, or on vois bien que si !



Faux sujet et sujet toxic. https://twitter.com/BotDuVaccin https://covidtracker.fr/vaccintracker/




La famille Michu s’en fou complètement de la protection de la vie privée, au moins pour cet exemple, cet article et les enjeux passeront loin au dessus de leurs têtes. Mais je trouve très bien que cet article donnent pour ceux qui cherchent, l’information précise des données impliquées.


Ca me fait penser à la mère qui a refusé profondément la vaccination, avec l’argument “C’est dangereux” au quel j’avais répondu que “le Covid l’est beaucoup plus”.
Les hôpitaux débordé j’irai pas parier sur le choix fait les médecins sur son sort au cas de mise sous respirateur et qu’elle aurai critiqué et insulté les praticiens comme à son habitude.



Bizarrement, le jour ou j’ai eu le covid, elle a direct fait le vaccin….



Ça n’est pas un argument, c’est quelque chose de personnel.




durthu a dit:


Je veux juste éclaircir un point. Une pharmacie qui te demande ton adresse lors de la délivrance d’un médicament sur ordonnance, c’est normal et c’est obligatoire. Après le pharmacien n’est pas censé faire quoi que soit de cette donnée personnelle à part pour la retranscription à l’ordonnancier.




Il a rien qui leur demande légalement ces informations (arrêtez moi si je me trompe); généralement c’est pour des stat’ et remplir un fichier, je crois qu’il y a peu il y a eu justement polémique dessus.



durthu a dit:


Je veux juste éclaircir un point. Une pharmacie qui te demande ton adresse lors de la délivrance d’un médicament sur ordonnance, c’est normal et c’est obligatoire.




Jamais une pharmacie ne m’a demandé mon adresse.


Tant pis pour elle, s’il y a un contrôle et qu’elle n’a pas l’info. En pratique, elle ne risque pas grand chose.



Je précise bien pour un médicament à prescription obligatoire. Il faut pouvoir justifier de certaines choses en cas de contrôle. On doit (je suis pharmacien en clinique) en plus du nom et prénom du patient avoir son adresse.
A moins que les règles aient changé depuis ma sortie de la fac et que ne soient uniquement pour les médicaments stupéfiants et autres.


durthu

Tant pis pour elle, s’il y a un contrôle et qu’elle n’a pas l’info. En pratique, elle ne risque pas grand chose.



Je précise bien pour un médicament à prescription obligatoire. Il faut pouvoir justifier de certaines choses en cas de contrôle. On doit (je suis pharmacien en clinique) en plus du nom et prénom du patient avoir son adresse.
A moins que les règles aient changé depuis ma sortie de la fac et que ne soient uniquement pour les médicaments stupéfiants et autres.


ça fait sens avec ce qui est dit dans le liens ( plus haut ), et je préfère avoir l’avis du pharmaciens ( vous ^^ )


benbart34

ça fait sens avec ce qui est dit dans le liens ( plus haut ), et je préfère avoir l’avis du pharmaciens ( vous ^^ )


Le pharmacien doit enregistré l’adresse du patient pour les médicaments exigeant une prescription (aussi appelé listé).
Il demande aussi le téléphone pour joindre le patient en cas de problèmes avec les mutuelles ou pour informer que la pharmacie a reçu la commande de médicaments.



Chaque délivrance de médicaments est consigné dans un registre appelé ordonnanceur avec nom adresse du patient et du médecin.



Si tu ne t’ensouviens pas c’est que c’est ta femme qui a donné ton adresse.



Par contre, demander adresse + téléphone pour un anti-moustique c’est abusé.


Si il y a des gens ici qui organisent des évènements mais qui ne veulent pas envoyer toutes leurs données sur les serveurs de ce mystérieux IN groupe, il y a une alternative libre, open-source, et qui fonctionne hors ligne: https://sanipasse.fr



sanscrit a dit:


c’est un peu plus reglo et précis que cela, tu fourni tous cela au médecin conseil de ta banque, dans une enveloppe scellé/dédié celle ci n’a accès à rien. Ensuite ce médecin conseil donne un avis positif ou négatif à ta banque.



Ta banque n’a jamais les informations médical te concernant, bon un avis négatif va rester dans ton dossier :non:




1- Avis négatif ou positif de la part de la banque sur l’obtention d’un prêt
2- Concernant les assureurs c’est le montant de la prime qui est calculé en fonction de ton age et de ta santé. Donc il y a bien une information personnelle qui transite. D’ailleurs même si la banque ne connait pas ton état de santé, le montant de la prime d’assurance est une indication (tiens comme dans la news)
3- C’est le même principe que la news: des informations en clair transitent dans la banque même si elles sont sous enveloppe. Tout est donc affaire de confiance ou pas.


Je n’ai pas lu tous les commentaires,



personnellement je n’ai pas trop de problèmes avec les données personnelles en clair, la seule donnée qui me dérange c’est la date de naissance, voir s’il n’est pas possible de la remplacer par une autre information pour valider la carte d’identité mais moins personnelle.



Dans tous les cas, si les données étaient cryptées, la clé de décryptage serait nécessaire à l’opérateur pour valider la personne, soit codée en dur dans l’application, soit par un appel à un service web, en clair la récupération de la clé ne serait pas trop difficile pour des personne malveillantes donc les données seraient claires à la fin du compte.



Par contre le vrai problème pour moi c’est l’appel aux serveurs car il est possible de classer et de suivre les personnes car l’information est centralisé alors que pour vérifier la signature il n’y a pas besoin de serveur, un jeton JWT le fait très bien, sauf s’il y a un autre problème que celui de la vérification de l’intégrité des données.



durthu a dit:


Je veux juste éclaircir un point. Une pharmacie qui te demande ton adresse lors de la délivrance d’un médicament sur ordonnance, c’est normal et c’est obligatoire. Après le pharmacien n’est pas censé faire quoi que soit de cette donnée personnelle à part pour la retranscription à l’ordonnancier.




ça m’étonnerait. Ou alors il y a des pharmacies qui ne font pas leur boulot parce qu’elles ne demandent pas mon adresse pour un médoc sur ordonnance.



Mais des pharmacies qui la demandent ça m’est arrivé et je me souviens même m’être embrouillé une fois avec le vendeur parce que je comprenais pas pourquoi il me demandait autant d’infos dont le numéro de tel surtout que je venais pour la première et la dernière fois vu que c’était pas à côté de chez moi. Et si je me souviens bien (ça date) c’était pour un antimoustique :mdr: Le gars osait hausser le ton en me sortant que c’était pas si grave de donner ces infos, que ça pouvait servir s’il y avait un problème de lot défectueux, qu’il pourrait m’appeler et m’envoyer un courrier :mdr: Surtout si je revenais ça pourrait être utile un jour. Il avait du mal à capter que je reviendrais pas (parce que c’était loin et maintenant parce qu’il m’avait gonflé).



durthu a dit:


Je précise bien pour un médicament à prescription obligatoire. Il faut pouvoir justifier de certaines choses en cas de contrôle. On doit (je suis pharmacien en clinique) en plus du nom et prénom du patient avoir son adresse. A moins que les règles aient changé depuis ma sortie de la fac et que ne soient uniquement pour les médicaments stupéfiants et autres.




Ok là maintenant je sais plus. En même temps j’ai pas vraiment d’intérêt à changer de pharmacie, ça se trouve j’ai donné mon adresse à celle à laquelle je vais (depuis bien 15 ans au moins, ça fait une paye) sans m’en souvenir.



(quote:1878302:Z-os)
Je n’ai pas été très direct : En fait là je suis sûr que cela vient des listes “Covid” du restaurant. Il faudrait des numéros jetables pour être tranquille.




Ok je vois. J’ai trouvé ça au passage.




benbart34 a dit:


Personnellement, Je donne JAMAIS ma date de naissance même si on peut la trouver facilement. J’ai pas de compte facebook/twitter personnel. Je met un adblock à mon navigateur et paie le media en question ( CC NXi ).




Justement si tu avais un compte twitter/facebook tu te rendrais compte par les pubs que tu reçois que mettre un adblock est de plus en plus sans intérêt (surtout que tu as surement un compte facebook fantôme, tout le monde a un compte facebook. Même celui qui n’en a jamais ouvert). C’est bête, mais vu que la machinerie derrière la pub ciblée est extrêmement opaque, les pubs des réseaux sociaux permettent d’apprécier l’évolution dans le temps de l’envergure des pratiques de vol des données personnelles. Du genre tu surfes sur un site, même avec ton/tes adblocks préférés, et hop aujourd’hui au maximum quelques minutes plus tard maintenant tu reçois une pub qui correspond sur ton compte de réseau social. Ou une vidéo youtube correspondante t’es proposée. Il y a quelques années je notais que ça apparaissait au bout de plusieurs heures voir jours seulement (et du coup je doutais plus de la véracité du vol de données en me disant que c’était un hasard, une simple coïncidence).



Un exemple nextinpact : Je ne sais plus sur quel fil, carbier a mis un lien vers la ruchequiditoui, j’ai cliqué avec un navigateur bien bien blindé pourtant, 5 minutes après j’avais pour la première fois de ma vie la pub pour la ruchequiditoui sur un de mes comptes.



Mais il y a pire, je note beaucoup trop souvent à mon gout, tout comme d’autres dans mon entourage, l’apparition très rapide de pubs (que je n’avais jamais eu) ou de propositions vidéos venant de nul part mais correspondant à ce que tu peux raconter au tel et même à ce que tu racontes uniquement chez toi en conversation. Évidemment vas prouver ce que je sous entends, impossible, ça reste et restera sans doute des soupçons.


Clairement, j’ai une farandole d’outils de paranoïaque pour ce genre de choses ^^, ad block est clairement mon exemple mainstream et ça va pas sans une hygiène avec les outils.
Même malgré ça, je suis pas du tout à l’abri.



Puis ad block est aussi un outils de pression sur les annonceurs, c’est pas tout blanc non plus ( la ça va glisser sur un sujet tendus des block lists ).
Le libriste dans mon âme refuse les annonceurs et les traqueurs, donc il est vrai que je privilégie certains médias plus que d’autres, mais il m’arrive d’arriver sur des sites qui propose des liens vers FB & Co, bloqué par DNS chez moi. mais je me ferme aussi d’un monde.
Sujet complexe techniquement et philosophiquement je m’en sort pas.



Enfin la on parle d’une sujet tellement vaste, le sujet à la base était le pseudonymat et les données médicale en clair de l’application du passe sanitaire du gouvernement, qu’en pense tu au vu de cet article et surtout as tu des arguments qui ne sont pas dans l’article ?