La CNIL revient sur la Carte Vitale électronique et la carte Vitale biométrique
Le 23 février 2023 à 07h46
1 min
Sciences et espace
Sciences
La Commission rappelle que cette expérimentation est généralisée à l’ensemble du territoire depuis le début de l’année. Le déploiement se fait progressivement jusqu’en 2025. L’e-carte Vitale est dans tous les cas facultative.
Comme la carte physique, l’e-carte Vitale contiendra les informations administratives nécessaires au remboursement des soins, à la prise en charge en cas d'hospitalisation et à l’identification du titulaire et des ayants-droit.
Enfin, la CNIL rappelle un point important : « La "e-carte Vitale" n’est pas une carte Vitale biométrique. L’utilisation de la biométrie par l’ "e-carte Vitale" ne concerne que l’authentification de la personne lors de l’activation de son application, et non au moment de la prise en charge médicale ou de l’hospitalisation. Ceci la distingue du projet de carte Vitale biométrique, qui fait l’objet de discussions au Parlement ».
Le 23 février 2023 à 07h46
Commentaires (29)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/02/2023 à 08h56
Donc elle est biométrique…
Le 23/02/2023 à 09h20
Non. Une fois l’application activée après authentification de la personne une seule fois, elle n’utilise plus la biométrie, elle n’est plus biométrique.
La carte Vitale biométrique envisagée par le Parlement utiliserait une authentification biométrique lors de son utilisation courante.
Le 23/02/2023 à 09h47
Elle utilise la biométrie (même si c’est une seule fois), elle est biométrique
.
Le 24/02/2023 à 09h02
La carte n’est pas biométrique, c’est l’authentification de l’accès au service qui l’est et encore, tu dois pouvoir choisir une autre méthode je pense.
C’est “juste” une déclinaison de la DSP2 au niveau données de santé qui dit que tu dois d’authentifié à certains services pour limiter la fraude.
Ta CB est biométrique quand tu payes sur Internet après l’avoir enregistrée sur un site comme Amazon ? Ah ban non .. BAh la CV c’est pareil
Voilà ! Enfin quelqu’un qui réfléchis !
Le 24/02/2023 à 09h28
Donc l’explication donnée par la CNIL est mauvaise, ça n’est pas l’“e-carte Vitale” qui utilise la biométrie.
Le 24/02/2023 à 09h38
Ou bien ta lecture qui est erronée
La CNIL parle de 2 sujets totalement différents.
la e-carte, pour laquelle la biométrie (si le terminal le permet) sera nécessaire pour accéder au service (ouvrir l’app et enrôler la carte), comme tu le ferais avec une CB
la carte biométrique, où là il y aura des choses en lien avec la biométrie dans la carte, et pourquoi pas, comme sur certaines cartes bancaires, un lecteur d’empreinte sur la carte.
Le 23/02/2023 à 11h18
Je plusoie. Que ce soit UNE fois ou MILLE fois, à partir du moment où le processus d’utilisation ou d’activation requière une reconnaissance biométrique la carte est de fait biométrique.
Le 23/02/2023 à 11h46
Non. De même que ma carte bancaire quand je valide un paiement sur mon smartphone avec mon empreinte digitale n’est pas biométrique.
Le 23/02/2023 à 12h32
Parfait exemple. Fin de discussion.
Le 23/02/2023 à 15h07
Deux autres points pour plussoyer :
Le 23/02/2023 à 17h18
Pas dans ce contexte : la CNIL met en opposition deux projets distincts de la part leur finalité. “Biométrique” accollé à “carte vitale” dans le propos de la CNIL n’est pas un qualificatif mais des noms de produits.
La Carte Vitale Biométrique est un projet de loi en cours d’étude qui doit entre autres contenir les empreintes digitales du détenteur pour établir un lien fort et éviter la falsification. Ce qui est sujet à controverse puisque aujourd’hui, la Carte Vitale est liée à un groupe d’ayants droits. La Carte Vitale Biométrique va donc individualiser celle-ci.
La e-Carte Vitale est une version dématérialisée de celle qu’on connaît aujourd’hui. Sa seule donnée biométrique est la photo également présente sur le support physique.
La CNIL fait ici un rappel visant à éviter la confusion entre deux sujets distincts.
Le 23/02/2023 à 17h26
Donc si je comprends bien la fraude va perdurer…
Le 23/02/2023 à 17h43
Un peu de lecture.
Le 24/02/2023 à 09h07
Sur les paiements la fraude est repartie à la hausse depuis 1 an malgré l’authentification forte obligatoire
Le problème est toujours au même endroit, entre la chaise et le clavier, ou entre l’arrière du téléphone et l’écran, suivant ton référentiel
Les gens valident tout et n’importe quoi sans se poser la moindre question et s’étonnent après d’avoir des emmerdes.
Je peux te dire que certains ont du commencer à s’en mordre les doigts d’avoir valider une opération avec un faux conseillé au téléphone sans regarder l’écran du téléphone..
Le 24/02/2023 à 16h00
Car ça dépend des PSP et comment les plateformes se configure dessus… Et oui c’est débile, ce n’est pas un paramètre au global lié à ta CB.
Et donc si une plateforme, qui souhaite faire de la fraude, tente de configurer le PSP façon YOLO pour avoir le 3DS à partir d’une GROSSE somme, genre 10 000€ (yep), bah c’est des fois possible. Y’a des grosses plateformes type STRIPE qui sont des machines à fraude ou à blanchir de la tune mais chut je peux pas trop en dire.
Le 24/02/2023 à 16h52
J’a un truc qui s’appelle la DSP2 et qui est une obligation légale et réglementaire en Europe
Y’a des émetteurs de cartes qui doivent des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2
Y’a des acquéreurs (banque du commerçant et leurs processeurs monétiques PSP) qui doivent également rendre des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2
Y’a des PAT (plateforme de paiement internet) qui doivent également rendre des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2
Enfin, y’a le marchand qui doit des comptes à sa banque, qui doit elle-même des comptes ..
Donc le côté Yolo il est limité en Europe, et pour la France c’est le 15 mai 2021 que la fin de la récrée à sonné et que le 3DS est obligatoire pour tout paiement (sauf exceptions encadrées, et 10 000€ c’est hors de toute exception si le plafond de la carte le permettait).
Pour que le 3DS ce fasse il faut que la carte soit enrôlée auprès des réseaux par ta banque, et c’est obligatoire pour les Amex, Visa et Mastercard.
Même les cartes Titres Restau sont 3DS maintenant ce qui n’était pas le cas avant.
De plus Stipe (si je reprends ton exemple, qui est PAT et Acquéreur/PSP) n’a pas trop d’intérêt à laisser passer trop la fraude, les prunes de Visa et Mastercard sont relativement dissuasives
Mais je suis curieux d’échanger avec toi sur le sujet en MP
Le 24/02/2023 à 18h21
Oui le PSD2. Disons que… tu peux pas trop faire du yolo, ça dépend de pas mal de paramètres, mais tu peux, PSD2 ou pas, et avant qu’on te tape dessus ou que tu perdes ta licence “bancaire” tu peux tester pas mal de chose.
Au pire ça se cache dans un audit hein.
Un gros comme STRIPE j’ose pas imaginer les trucs sales chez eux.
Pour ton 3DS obligatoire, si tu passes par un site qui utilise un PSP étranger, t’es sûr que c’est obligatoire ? Je pense à amazon qui me demande rarement (voir jamais) de 3DS.
Le 27/02/2023 à 08h05
Dison que l’audit de Visa et Mastercard c’est pas un audit tiers partie
CB idem.
Et au final, l’émetteur de la carte il est pas chaud patate pour la fraude, tout comme l’acquéreur (Stripe ou un autre).
Pour une boite comme Stripe, perdre les agréments Visa et Mastercard c’est la mort assurée ;)
Le 3DS est obligatoire, sauf cas particuliers , que tu le voix ou pas :)
C’est sur cette partie que tu ne vois pas que ta banque et Stripe n’ont pas intérêt à jouer aux cons de trop et trop longtemps.
Le 27/02/2023 à 13h15
Ah je dis pas. Sur le papier ça fait peur. Dans la réalité c’est YOLO.
Le 24/02/2023 à 09h48
Je ne parle que de l’ecarte vitale, et de ces deux phrases :
Soit la carte utilise la biométrie et elle est biométrique, soit elle ne l’utilise jamais et elle ne l’est pas. Elle ne peut pas l’utiliser (ne serait-ce qu’une seule fois) et ne pas l’être…
Je ne le fais pas avec une CB
Le 24/02/2023 à 10h39
C’était pas claire sur la compréhension de la chose, je préférais remettre le contexte :)
Tu confonds 2 choses bien différentes, “être” et “se servir de”, d’où mon rappel d’ailleurs.
Utiliser un service tiers de biométrie pour fonctionner ce n’est pas l’être sois même.
Tu ne fais pas d’achat sur internet ou de virement depuis ta banque en ligne ?
Le principe reste le même
L’app ne contient pas les données non plus, c’est le support matériel (le téléphone) qui les contient et qui permet l’authentification pour l’app sans y avoir accès.
edit : même principe que le paiement, c’est bien ça :)
Le 24/02/2023 à 12h32
La CNIL dit que la e-carte Vitale n’est pas une carte Vitale biométrique parce que la e-carte Vitale et la carte Vitale biométrique sont deux choses différentes. Cf mon message #8.
C’est la même chose que dire Orange n’est pas une orange.
Les deux cartes intègrent bien une partie biométrique pour une finalité différente, mais l’autre est également le nom d’un projet.
La e-carte vitale, ou carte vitale dématérialisée a été autorisée par le décret n°2022-1719 du 28 décembre 2022.
La carte vitale biométrique est une proposition de loi déposée en 2019 par le sénateur Philippe Mouiller.
La CNIL n’a fait aucune erreur, c’est ta lecture qui est incorrecte.
Le 24/02/2023 à 13h27
En lisant le décret, on voit qu’à l’installation de l’application, il y a une vérification de l’identité au moyen d’une carte d’identité avec puce (donc plutôt récente) et d’un smartphone avec un lecteur sans contact ou à défaut comme indiqué à l’Article R161-33-18 du code de la sécurité sociale.
Et dans ce dernier cas, il y a bien utilisation ponctuelle de la biométrie prise de photo de la carte d’identité et de la personne et comparaison des photos. Les données biométriques sont détruites dans un délai max de 96 h.
Mais on est d’accord, ce n’est pas la carte de la proposition de loi que tu as cité.
Le 24/02/2023 à 10h04
Je pense que l’idée est qu’elle ne contient pas de données biométriques. Par contre elle peut utiliser un service qui contient ces données pour l’authentification.
(donc impossible de récupérer les données biométriques sur ou avec la carte)
Carte demande au service : “C’est bien Mihashi”
Service demande à Mihashi son empreinte digitale
Service valide que c’est bien l’empreinte de Mihashi
Carte prend acte de la validation et active l’application.
Le 24/02/2023 à 11h34
Donc la carte n’utilise pas la biométrie (contrairement à ce que dit la CNIL), elle utilise un service tiers qui peux (ou pas) utiliser de la biométrie.
Si, mais rien de biométrique.
Le 24/02/2023 à 13h22
Oui, alors qu’elle aurait dû dire que la “e-carte Vitale” n’est pas la “carte Vitale biométrique” (note l’article défini à la place de l’article indéfini et l’utilisation des guillemets comme pour le nom de l’e-carte Vitale), ça change tout le sens.
Donc l’“e-carte Vitale” est bien une carte biométrique…
Justement, non.
Le 24/02/2023 à 13h46
Lis la proposition de loi du sénat : “Proposition de loi tendant à instituer une carte Vitale biométrique”. La CNIL n’a fait que de reprendre les éléments de langage du législateur.
Oui, la CNIL n’a en aucun cas contredit que la e-carte Vitale n’est pas douée de fonctions biométriques. Elle a dit que ce n’est pas une carte Vitale biométrique au sens de la proposition de loi relative à celle-ci.
Le 24/02/2023 à 14h12
Toujours pas. Le législateur peut vouloir créer une autre carte biométrique, si la CNIL parle de celle-ci (et je ne crois pas que ce soit le cas) elle doit utiliser un article défini plutôt que de faire un contre-sens.
Le 24/02/2023 à 16h32
Elle parlait bien de ce projet :