Connexion
Abonnez-vous

La CNIL revient sur la Carte Vitale électronique et la carte Vitale biométrique

La CNIL revient sur la Carte Vitale électronique et la carte Vitale biométrique

Le 23 février 2023 à 07h46

La Commission rappelle que cette expérimentation est généralisée à l’ensemble du territoire depuis le début de l’année. Le déploiement se fait progressivement jusqu’en 2025. L’e-carte Vitale est dans tous les cas facultative. 

Comme la carte physique, l’e-carte Vitale contiendra les informations administratives nécessaires au remboursement des soins, à la prise en charge en cas d'hospitalisation et à l’identification du titulaire et des ayants-droit.

Enfin, la CNIL rappelle un point important : « La "e-carte Vitale" n’est pas une carte Vitale biométrique. L’utilisation de la biométrie par l’ "e-carte Vitale" ne concerne que l’authentification de la personne lors de l’activation de son application, et non au moment de la prise en charge médicale ou de l’hospitalisation. Ceci la distingue du projet de carte Vitale biométrique, qui fait l’objet de discussions au Parlement ». 

Le 23 février 2023 à 07h46

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

La “e-carte Vitale” n’est pas une carte Vitale biométrique
utilisation de la biométrie par l’e-carte Vitale


Donc elle est biométrique… :mad2:

votre avatar

Non. Une fois l’application activée après authentification de la personne une seule fois, elle n’utilise plus la biométrie, elle n’est plus biométrique.



La carte Vitale biométrique envisagée par le Parlement utiliserait une authentification biométrique lors de son utilisation courante.

votre avatar

Elle utilise la biométrie (même si c’est une seule fois), elle est biométrique :langue:.

votre avatar

La carte n’est pas biométrique, c’est l’authentification de l’accès au service qui l’est et encore, tu dois pouvoir choisir une autre méthode je pense.



C’est “juste” une déclinaison de la DSP2 au niveau données de santé qui dit que tu dois d’authentifié à certains services pour limiter la fraude.



Ta CB est biométrique quand tu payes sur Internet après l’avoir enregistrée sur un site comme Amazon ? Ah ban non .. BAh la CV c’est pareil :langue:



Voilà ! Enfin quelqu’un qui réfléchis ! :smack:

votre avatar

Donc l’explication donnée par la CNIL est mauvaise, ça n’est pas l’“e-carte Vitale” qui utilise la biométrie.

votre avatar

Ou bien ta lecture qui est erronée :transpi:



La CNIL parle de 2 sujets totalement différents.



la e-carte, pour laquelle la biométrie (si le terminal le permet) sera nécessaire pour accéder au service (ouvrir l’app et enrôler la carte), comme tu le ferais avec une CB



la carte biométrique, où là il y aura des choses en lien avec la biométrie dans la carte, et pourquoi pas, comme sur certaines cartes bancaires, un lecteur d’empreinte sur la carte.

votre avatar

Je plusoie. Que ce soit UNE fois ou MILLE fois, à partir du moment où le processus d’utilisation ou d’activation requière une reconnaissance biométrique la carte est de fait biométrique.

votre avatar

Non. De même que ma carte bancaire quand je valide un paiement sur mon smartphone avec mon empreinte digitale n’est pas biométrique.

votre avatar

Parfait exemple. Fin de discussion.

votre avatar

loser a dit:


Non. De même que ma carte bancaire quand je valide un paiement sur mon smartphone avec mon empreinte digitale n’est pas biométrique.


Deux autres points pour plussoyer :




  • Aucune obligation d’activer la biométrie sur les OS, pour certains ça n’existe pas du tout, c’est un schéma ou un mot de passe.

  • L’information biométrique est stockée et gérée uniquement par l’OS, aucune application n’a accès à la donnée. L’app récupère juste un “OK” d’une API de vérification qu’elle sollicite. D’où le fait que pour la CNIL c’est pas un sujet pour la e-Carte Vitale, puisqu’elle gère ce sujet à une échelle plus large avec les éditeurs des OS.

votre avatar

Mihashi a dit:


Elle utilise la biométrie (même si c’est une seule fois), elle est biométrique :langue:.


Pas dans ce contexte : la CNIL met en opposition deux projets distincts de la part leur finalité. “Biométrique” accollé à “carte vitale” dans le propos de la CNIL n’est pas un qualificatif mais des noms de produits.



La Carte Vitale Biométrique est un projet de loi en cours d’étude qui doit entre autres contenir les empreintes digitales du détenteur pour établir un lien fort et éviter la falsification. Ce qui est sujet à controverse puisque aujourd’hui, la Carte Vitale est liée à un groupe d’ayants droits. La Carte Vitale Biométrique va donc individualiser celle-ci.



La e-Carte Vitale est une version dématérialisée de celle qu’on connaît aujourd’hui. Sa seule donnée biométrique est la photo également présente sur le support physique.



La CNIL fait ici un rappel visant à éviter la confusion entre deux sujets distincts.

votre avatar

Donc si je comprends bien la fraude va perdurer…

votre avatar

Un peu de lecture.

votre avatar

Sur les paiements la fraude est repartie à la hausse depuis 1 an malgré l’authentification forte obligatoire :transpi:



Le problème est toujours au même endroit, entre la chaise et le clavier, ou entre l’arrière du téléphone et l’écran, suivant ton référentiel :yes:



Les gens valident tout et n’importe quoi sans se poser la moindre question et s’étonnent après d’avoir des emmerdes.
Je peux te dire que certains ont du commencer à s’en mordre les doigts d’avoir valider une opération avec un faux conseillé au téléphone sans regarder l’écran du téléphone..

votre avatar

Car ça dépend des PSP et comment les plateformes se configure dessus… Et oui c’est débile, ce n’est pas un paramètre au global lié à ta CB.



Et donc si une plateforme, qui souhaite faire de la fraude, tente de configurer le PSP façon YOLO pour avoir le 3DS à partir d’une GROSSE somme, genre 10 000€ (yep), bah c’est des fois possible. Y’a des grosses plateformes type STRIPE qui sont des machines à fraude ou à blanchir de la tune mais chut je peux pas trop en dire. :D

votre avatar

J’a un truc qui s’appelle la DSP2 et qui est une obligation légale et réglementaire en Europe :D
Y’a des émetteurs de cartes qui doivent des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2 :D
Y’a des acquéreurs (banque du commerçant et leurs processeurs monétiques PSP) qui doivent également rendre des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2 :D
Y’a des PAT (plateforme de paiement internet) qui doivent également rendre des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2 :D
Enfin, y’a le marchand qui doit des comptes à sa banque, qui doit elle-même des comptes ..



Donc le côté Yolo il est limité en Europe, et pour la France c’est le 15 mai 2021 que la fin de la récrée à sonné et que le 3DS est obligatoire pour tout paiement (sauf exceptions encadrées, et 10 000€ c’est hors de toute exception si le plafond de la carte le permettait).
Pour que le 3DS ce fasse il faut que la carte soit enrôlée auprès des réseaux par ta banque, et c’est obligatoire pour les Amex, Visa et Mastercard.
Même les cartes Titres Restau sont 3DS maintenant ce qui n’était pas le cas avant.



De plus Stipe (si je reprends ton exemple, qui est PAT et Acquéreur/PSP) n’a pas trop d’intérêt à laisser passer trop la fraude, les prunes de Visa et Mastercard sont relativement dissuasives :transpi:



Mais je suis curieux d’échanger avec toi sur le sujet en MP :yes:

votre avatar

Oui le PSD2. Disons que… tu peux pas trop faire du yolo, ça dépend de pas mal de paramètres, mais tu peux, PSD2 ou pas, et avant qu’on te tape dessus ou que tu perdes ta licence “bancaire” tu peux tester pas mal de chose. :D
Au pire ça se cache dans un audit hein.
Un gros comme STRIPE j’ose pas imaginer les trucs sales chez eux.



Pour ton 3DS obligatoire, si tu passes par un site qui utilise un PSP étranger, t’es sûr que c’est obligatoire ? Je pense à amazon qui me demande rarement (voir jamais) de 3DS.

votre avatar

Dison que l’audit de Visa et Mastercard c’est pas un audit tiers partie :transpi:
CB idem.
Et au final, l’émetteur de la carte il est pas chaud patate pour la fraude, tout comme l’acquéreur (Stripe ou un autre).
Pour une boite comme Stripe, perdre les agréments Visa et Mastercard c’est la mort assurée ;)



Le 3DS est obligatoire, sauf cas particuliers , que tu le voix ou pas :)
C’est sur cette partie que tu ne vois pas que ta banque et Stripe n’ont pas intérêt à jouer aux cons de trop et trop longtemps.

votre avatar

Ah je dis pas. Sur le papier ça fait peur. Dans la réalité c’est YOLO.

votre avatar

the_Grim_Reaper a dit:


Ou bien ta lecture qui est erronée :transpi:



La CNIL parle de 2 sujets totalement différents.


Je ne parle que de l’ecarte vitale, et de ces deux phrases :




La “e-carte Vitale” n’est pas une carte Vitale biométrique
L’utilisation de la biométrie par l’ “e-carte Vitale”


Soit la carte utilise la biométrie et elle est biométrique, soit elle ne l’utilise jamais et elle ne l’est pas. Elle ne peut pas l’utiliser (ne serait-ce qu’une seule fois) et ne pas l’être…




la e-carte, pour laquelle la biométrie (si le terminal le permet) sera nécessaire pour accéder au service (ouvrir l’app et enrôler la carte), comme tu le ferais avec une CB


Je ne le fais pas avec une CB :keskidit:

votre avatar

C’était pas claire sur la compréhension de la chose, je préférais remettre le contexte :)



Tu confonds 2 choses bien différentes, “être” et “se servir de”, d’où mon rappel d’ailleurs.
Utiliser un service tiers de biométrie pour fonctionner ce n’est pas l’être sois même.



Tu ne fais pas d’achat sur internet ou de virement depuis ta banque en ligne ?
Le principe reste le même :D



L’app ne contient pas les données non plus, c’est le support matériel (le téléphone) qui les contient et qui permet l’authentification pour l’app sans y avoir accès.



edit : même principe que le paiement, c’est bien ça :)

votre avatar

La CNIL dit que la e-carte Vitale n’est pas une carte Vitale biométrique parce que la e-carte Vitale et la carte Vitale biométrique sont deux choses différentes. Cf mon message #8.



C’est la même chose que dire Orange n’est pas une orange.



Les deux cartes intègrent bien une partie biométrique pour une finalité différente, mais l’autre est également le nom d’un projet.



La e-carte vitale, ou carte vitale dématérialisée a été autorisée par le décret n°2022-1719 du 28 décembre 2022.



La carte vitale biométrique est une proposition de loi déposée en 2019 par le sénateur Philippe Mouiller.



La CNIL n’a fait aucune erreur, c’est ta lecture qui est incorrecte.

votre avatar

En lisant le décret, on voit qu’à l’installation de l’application, il y a une vérification de l’identité au moyen d’une carte d’identité avec puce (donc plutôt récente) et d’un smartphone avec un lecteur sans contact ou à défaut comme indiqué à l’Article R161-33-18 du code de la sécurité sociale.



Et dans ce dernier cas, il y a bien utilisation ponctuelle de la biométrie prise de photo de la carte d’identité et de la personne et comparaison des photos. Les données biométriques sont détruites dans un délai max de 96 h.



Mais on est d’accord, ce n’est pas la carte de la proposition de loi que tu as cité.

votre avatar

Mihashi a dit:


Soit la carte utilise la biométrie et elle est biométrique, soit elle ne l’utilise jamais et elle ne l’est pas. Elle ne peut pas l’utiliser (ne serait-ce qu’une seule fois) et ne pas l’être…


Je pense que l’idée est qu’elle ne contient pas de données biométriques. Par contre elle peut utiliser un service qui contient ces données pour l’authentification.



(donc impossible de récupérer les données biométriques sur ou avec la carte)



Carte demande au service : “C’est bien Mihashi”
Service demande à Mihashi son empreinte digitale
Service valide que c’est bien l’empreinte de Mihashi
Carte prend acte de la validation et active l’application.

votre avatar

the_Grim_Reaper a dit:


C’était pas claire sur la compréhension de la chose, je préférais remettre le contexte :)



Tu confonds 2 choses bien différentes, “être” et “se servir de”, d’où mon rappel d’ailleurs. Utiliser un service tiers de biométrie pour fonctionner ce n’est pas l’être sois même.


Donc la carte n’utilise pas la biométrie (contrairement à ce que dit la CNIL), elle utilise un service tiers qui peux (ou pas) utiliser de la biométrie.




Tu ne fais pas d’achat sur internet ou de virement depuis ta banque en ligne ? Le principe reste le même :D


Si, mais rien de biométrique.

votre avatar

SebGF a dit:


La CNIL dit que la e-carte Vitale n’est pas une carte Vitale biométrique parce que la e-carte Vitale et la carte Vitale biométrique sont deux choses différentes. Cf mon message #8.


Oui, alors qu’elle aurait dû dire que la “e-carte Vitale” n’est pas la “carte Vitale biométrique” (note l’article défini à la place de l’article indéfini et l’utilisation des guillemets comme pour le nom de l’e-carte Vitale), ça change tout le sens.




Les deux cartes intègrent bien une partie biométrique pour une finalité différente, mais l’autre est également le nom d’un projet.


Donc l’“e-carte Vitale” est bien une carte biométrique…




La CNIL n’a fait aucune erreur, c’est ta lecture qui est incorrecte.


Justement, non.

votre avatar

Oui, alors qu’elle aurait dû dire que la “e-carte Vitale” n’est pas la “carte Vitale biométrique” (note l’article défini à la place de l’article indéfini et l’utilisation des guillemets comme pour le nom de l’e-carte Vitale), ça change tout le sens.


Lis la proposition de loi du sénat : “Proposition de loi tendant à instituer une carte Vitale biométrique”. La CNIL n’a fait que de reprendre les éléments de langage du législateur.



Oui, la CNIL n’a en aucun cas contredit que la e-carte Vitale n’est pas douée de fonctions biométriques. Elle a dit que ce n’est pas une carte Vitale biométrique au sens de la proposition de loi relative à celle-ci.

votre avatar

SebGF a dit:


Lis la proposition de loi du sénat : “Proposition de loi tendant à instituer une carte Vitale biométrique”. La CNIL n’a fait que de reprendre les éléments de langage du législateur.


Toujours pas. Le législateur peut vouloir créer une autre carte biométrique, si la CNIL parle de celle-ci (et je ne crois pas que ce soit le cas) elle doit utiliser un article défini plutôt que de faire un contre-sens.

votre avatar

Elle parlait bien de ce projet :




La « e-carte Vitale » n’est pas une carte Vitale biométrique



L’utilisation de la biométrie par l’ « e-carte Vitale » ne concerne que l’authentification de la personne lors de l’activation de son application, et non au moment de la prise en charge médicale ou de l’hospitalisation.



Ceci la distingue du projet de carte Vitale biométrique, qui fait l’objet de discussions au Parlement.


La CNIL revient sur la Carte Vitale électronique et la carte Vitale biométrique

Fermer