La Commission rappelle que cette expérimentation est généralisée à l’ensemble du territoire depuis le début de l’année. Le déploiement se fait progressivement jusqu’en 2025. L’e-carte Vitale est dans tous les cas facultative.
Comme la carte physique, l’e-carte Vitale contiendra les informations administratives nécessaires au remboursement des soins, à la prise en charge en cas d'hospitalisation et à l’identification du titulaire et des ayants-droit.
Enfin, la CNIL rappelle un point important : « La "e-carte Vitale" n’est pas une carte Vitale biométrique. L’utilisation de la biométrie par l’ "e-carte Vitale" ne concerne que l’authentification de la personne lors de l’activation de son application, et non au moment de la prise en charge médicale ou de l’hospitalisation. Ceci la distingue du projet de carte Vitale biométrique, qui fait l’objet de discussions au Parlement ».
Commentaires (29)
#1
Donc elle est biométrique…
#1.1
Non. Une fois l’application activée après authentification de la personne une seule fois, elle n’utilise plus la biométrie, elle n’est plus biométrique.
La carte Vitale biométrique envisagée par le Parlement utiliserait une authentification biométrique lors de son utilisation courante.
#1.2
Elle utilise la biométrie (même si c’est une seule fois), elle est biométrique
.
#1.3
La carte n’est pas biométrique, c’est l’authentification de l’accès au service qui l’est et encore, tu dois pouvoir choisir une autre méthode je pense.
C’est “juste” une déclinaison de la DSP2 au niveau données de santé qui dit que tu dois d’authentifié à certains services pour limiter la fraude.
Ta CB est biométrique quand tu payes sur Internet après l’avoir enregistrée sur un site comme Amazon ? Ah ban non .. BAh la CV c’est pareil
Voilà ! Enfin quelqu’un qui réfléchis !
#1.4
Donc l’explication donnée par la CNIL est mauvaise, ça n’est pas l’“e-carte Vitale” qui utilise la biométrie.
#1.5
Ou bien ta lecture qui est erronée
La CNIL parle de 2 sujets totalement différents.
la e-carte, pour laquelle la biométrie (si le terminal le permet) sera nécessaire pour accéder au service (ouvrir l’app et enrôler la carte), comme tu le ferais avec une CB
la carte biométrique, où là il y aura des choses en lien avec la biométrie dans la carte, et pourquoi pas, comme sur certaines cartes bancaires, un lecteur d’empreinte sur la carte.
#2
Je plusoie. Que ce soit UNE fois ou MILLE fois, à partir du moment où le processus d’utilisation ou d’activation requière une reconnaissance biométrique la carte est de fait biométrique.
#2.1
Non. De même que ma carte bancaire quand je valide un paiement sur mon smartphone avec mon empreinte digitale n’est pas biométrique.
#2.2
Parfait exemple. Fin de discussion.
#3
Deux autres points pour plussoyer :
#4
Pas dans ce contexte : la CNIL met en opposition deux projets distincts de la part leur finalité. “Biométrique” accollé à “carte vitale” dans le propos de la CNIL n’est pas un qualificatif mais des noms de produits.
La Carte Vitale Biométrique est un projet de loi en cours d’étude qui doit entre autres contenir les empreintes digitales du détenteur pour établir un lien fort et éviter la falsification. Ce qui est sujet à controverse puisque aujourd’hui, la Carte Vitale est liée à un groupe d’ayants droits. La Carte Vitale Biométrique va donc individualiser celle-ci.
La e-Carte Vitale est une version dématérialisée de celle qu’on connaît aujourd’hui. Sa seule donnée biométrique est la photo également présente sur le support physique.
La CNIL fait ici un rappel visant à éviter la confusion entre deux sujets distincts.
#5
Donc si je comprends bien la fraude va perdurer…
#5.1
Un peu de lecture.
#5.2
Sur les paiements la fraude est repartie à la hausse depuis 1 an malgré l’authentification forte obligatoire
Le problème est toujours au même endroit, entre la chaise et le clavier, ou entre l’arrière du téléphone et l’écran, suivant ton référentiel
Les gens valident tout et n’importe quoi sans se poser la moindre question et s’étonnent après d’avoir des emmerdes.
Je peux te dire que certains ont du commencer à s’en mordre les doigts d’avoir valider une opération avec un faux conseillé au téléphone sans regarder l’écran du téléphone..
#5.3
Car ça dépend des PSP et comment les plateformes se configure dessus… Et oui c’est débile, ce n’est pas un paramètre au global lié à ta CB.
Et donc si une plateforme, qui souhaite faire de la fraude, tente de configurer le PSP façon YOLO pour avoir le 3DS à partir d’une GROSSE somme, genre 10 000€ (yep), bah c’est des fois possible. Y’a des grosses plateformes type STRIPE qui sont des machines à fraude ou à blanchir de la tune mais chut je peux pas trop en dire.
#5.4
J’a un truc qui s’appelle la DSP2 et qui est une obligation légale et réglementaire en Europe
Y’a des émetteurs de cartes qui doivent des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2
Y’a des acquéreurs (banque du commerçant et leurs processeurs monétiques PSP) qui doivent également rendre des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2
Y’a des PAT (plateforme de paiement internet) qui doivent également rendre des comptes à Visa, Mastercard (et CB éventuellement) sur l’application de la DSP2
Enfin, y’a le marchand qui doit des comptes à sa banque, qui doit elle-même des comptes ..
Donc le côté Yolo il est limité en Europe, et pour la France c’est le 15 mai 2021 que la fin de la récrée à sonné et que le 3DS est obligatoire pour tout paiement (sauf exceptions encadrées, et 10 000€ c’est hors de toute exception si le plafond de la carte le permettait).
Pour que le 3DS ce fasse il faut que la carte soit enrôlée auprès des réseaux par ta banque, et c’est obligatoire pour les Amex, Visa et Mastercard.
Même les cartes Titres Restau sont 3DS maintenant ce qui n’était pas le cas avant.
De plus Stipe (si je reprends ton exemple, qui est PAT et Acquéreur/PSP) n’a pas trop d’intérêt à laisser passer trop la fraude, les prunes de Visa et Mastercard sont relativement dissuasives
Mais je suis curieux d’échanger avec toi sur le sujet en MP
#5.5
Oui le PSD2. Disons que… tu peux pas trop faire du yolo, ça dépend de pas mal de paramètres, mais tu peux, PSD2 ou pas, et avant qu’on te tape dessus ou que tu perdes ta licence “bancaire” tu peux tester pas mal de chose.
Au pire ça se cache dans un audit hein.
Un gros comme STRIPE j’ose pas imaginer les trucs sales chez eux.
Pour ton 3DS obligatoire, si tu passes par un site qui utilise un PSP étranger, t’es sûr que c’est obligatoire ? Je pense à amazon qui me demande rarement (voir jamais) de 3DS.
#5.6
Dison que l’audit de Visa et Mastercard c’est pas un audit tiers partie
CB idem.
Et au final, l’émetteur de la carte il est pas chaud patate pour la fraude, tout comme l’acquéreur (Stripe ou un autre).
Pour une boite comme Stripe, perdre les agréments Visa et Mastercard c’est la mort assurée ;)
Le 3DS est obligatoire, sauf cas particuliers , que tu le voix ou pas :)
C’est sur cette partie que tu ne vois pas que ta banque et Stripe n’ont pas intérêt à jouer aux cons de trop et trop longtemps.
#5.7
Ah je dis pas. Sur le papier ça fait peur. Dans la réalité c’est YOLO.
#6
Je ne parle que de l’ecarte vitale, et de ces deux phrases :
Soit la carte utilise la biométrie et elle est biométrique, soit elle ne l’utilise jamais et elle ne l’est pas. Elle ne peut pas l’utiliser (ne serait-ce qu’une seule fois) et ne pas l’être…
Je ne le fais pas avec une CB
#6.1
C’était pas claire sur la compréhension de la chose, je préférais remettre le contexte :)
Tu confonds 2 choses bien différentes, “être” et “se servir de”, d’où mon rappel d’ailleurs.
Utiliser un service tiers de biométrie pour fonctionner ce n’est pas l’être sois même.
Tu ne fais pas d’achat sur internet ou de virement depuis ta banque en ligne ?
Le principe reste le même
L’app ne contient pas les données non plus, c’est le support matériel (le téléphone) qui les contient et qui permet l’authentification pour l’app sans y avoir accès.
edit : même principe que le paiement, c’est bien ça :)
#6.2
La CNIL dit que la e-carte Vitale n’est pas une carte Vitale biométrique parce que la e-carte Vitale et la carte Vitale biométrique sont deux choses différentes. Cf mon message #8.
C’est la même chose que dire Orange n’est pas une orange.
Les deux cartes intègrent bien une partie biométrique pour une finalité différente, mais l’autre est également le nom d’un projet.
La e-carte vitale, ou carte vitale dématérialisée a été autorisée par le décret n°2022-1719 du 28 décembre 2022.
La carte vitale biométrique est une proposition de loi déposée en 2019 par le sénateur Philippe Mouiller.
La CNIL n’a fait aucune erreur, c’est ta lecture qui est incorrecte.
#6.3
En lisant le décret, on voit qu’à l’installation de l’application, il y a une vérification de l’identité au moyen d’une carte d’identité avec puce (donc plutôt récente) et d’un smartphone avec un lecteur sans contact ou à défaut comme indiqué à l’Article R161-33-18 du code de la sécurité sociale.
Et dans ce dernier cas, il y a bien utilisation ponctuelle de la biométrie prise de photo de la carte d’identité et de la personne et comparaison des photos. Les données biométriques sont détruites dans un délai max de 96 h.
Mais on est d’accord, ce n’est pas la carte de la proposition de loi que tu as cité.
#7
Je pense que l’idée est qu’elle ne contient pas de données biométriques. Par contre elle peut utiliser un service qui contient ces données pour l’authentification.
(donc impossible de récupérer les données biométriques sur ou avec la carte)
Carte demande au service : “C’est bien Mihashi”
Service demande à Mihashi son empreinte digitale
Service valide que c’est bien l’empreinte de Mihashi
Carte prend acte de la validation et active l’application.
#8
Donc la carte n’utilise pas la biométrie (contrairement à ce que dit la CNIL), elle utilise un service tiers qui peux (ou pas) utiliser de la biométrie.
Si, mais rien de biométrique.
#9
Oui, alors qu’elle aurait dû dire que la “e-carte Vitale” n’est pas la “carte Vitale biométrique” (note l’article défini à la place de l’article indéfini et l’utilisation des guillemets comme pour le nom de l’e-carte Vitale), ça change tout le sens.
Donc l’“e-carte Vitale” est bien une carte biométrique…
Justement, non.
#9.1
Lis la proposition de loi du sénat : “Proposition de loi tendant à instituer une carte Vitale biométrique”. La CNIL n’a fait que de reprendre les éléments de langage du législateur.
Oui, la CNIL n’a en aucun cas contredit que la e-carte Vitale n’est pas douée de fonctions biométriques. Elle a dit que ce n’est pas une carte Vitale biométrique au sens de la proposition de loi relative à celle-ci.
#10
Toujours pas. Le législateur peut vouloir créer une autre carte biométrique, si la CNIL parle de celle-ci (et je ne crois pas que ce soit le cas) elle doit utiliser un article défini plutôt que de faire un contre-sens.
#10.1
Elle parlait bien de ce projet :