IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Application TousAntiCovid et Pass sanitaire : des données conservées en clair, des doutes quant à la sécurité des données transmises,
La CNIL relève les défaillances de l'application

Le , par Stéphane le calme

46PARTAGES

6  1 
Depuis mercredi 9 juin 2021, un pass sanitaire est mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il n'est pas obligatoire et n'est pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Cependant, il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons, etc.

Le pass a deux fonctions :
  • Le pass sanitaire « activités » doit permettre la reprise de diverses activités interrompues en raison de la crise sanitaire et la réouverture des lieux fermés impliquant de grands rassemblements de personnes (à partir de 1 000 personnes).
  • Le pass sanitaire « frontières », mis en œuvre dans le cadre du futur certificat numérique Covid de l’Union européenne (qui entrera en vigueur le 1er juillet prochain). Il doit permettre de faciliter la libre circulation au sein de l’Union européenne.

Le principe du passe sanitaire, accompagné d’un certain nombre de garanties, a été décidé par la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire. Après avoir rendu un premier avis sur le principe du passe sanitaire le 12 mai dernier, la CNIL s’est prononcée, le 7 juin 2021, sur les conditions de sa mise en œuvre.

Des données conservées en clair

Christian Quest (porte-parole d’OpenStreetMap France, entre autres), a noté que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».

Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.

Même constat du côté de la CNIL qui déclare :

« d’une part, les données relatives aux preuves sont conservées en clair au sein des codes-barres présents sur les justificatifs et, d’autre part, que l’application "TousAntiCovid Verif" est librement accessible sur les magasins d’applications mobiles. Elle relève également que les codes utilisés pour le certificat européen contiendront également les données en clair. Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ».


Des doutes quant à la sécurité des données transmises

Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises. Si la Commission ne remet pas en cause la conformité de cette architecture au RGPD, elle rappelle « qu’à l’issue de la vérification, aucune donnée ne devra être conservée par le serveur central ».

En outre, afin de mettre en place l’architecture la plus protectrice possible, la Commission invite le Gouvernement à étudier la mise en place d’une version davantage décentralisée, dans laquelle les règles de gestion pourraient être mises à jour dynamiquement et proactivement par le serveur central, afin de limiter les envois de données à ce serveur tout en garantissant l’application des règles mises à jour.

De plus, la Commission estime que le contrôle de la validité des justificatifs pourrait être réalisé en local pour les opérations de contrôle du passe sanitaire relatif aux grands rassemblements de personnes. En effet, dans cette hypothèse les règles de gestion sont simples et maitrisées par le Gouvernement. La Commission considère donc qu’il n’y a aucun obstacle à ce que le contrôle de la validité des preuves soit effectué en local, la seule donnée pouvant être échangée avec le serveur central étant la signature électronique de la preuve. Elle invite donc le Gouvernement à faire évoluer le fonctionnement de l’application afin de permettre un contrôle local des données des justificatifs.

Le fonctionnement de l’application TousAntiCovid Verif

Le contrôle du passe sanitaire doit se faire par les personnes habilitées à contrôler les justificatifs, au moyen de l’application mobile TousAntiCovid Verif.

Conformément au principe de minimisation des données, les personnes habilitées à contrôler les justificatifs à l’aide de l’application TousAntiCovid Verif n’auront accès qu’aux seuls noms, prénoms et date de naissance de la personne concernée ainsi qu’au résultat positif ou négatif de détention d’un justificatif conforme.

La CNIL rappelle toutefois qu’il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé. Elle a invité le Gouvernement à mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le passe sanitaire (ne pas présenter les justificatifs dans des lieux qui ne sont pas concernés par le passe sanitaire, ne pas les publier sur les réseaux sociaux, etc.).

La CNIL rappelle qu’aucune donnée personnelle ne devra être conservée ni par le serveur central ni par l’application TousAntiCovid Verif à l’issue de la vérification du justificatif.

En outre, la CNIL constate que le code source de l’application « TousAntiCovid Vérif », déjà disponible sur les magasins d’applications mobiles (« AppStore » et « Playstore »), n’a pas été rendu public. La Commission regrette cette non-publication et appelle le Gouvernement à rendre public ce code source expurgé, le cas échéant, des secrets permettant de sécuriser les transmissions de données avec les serveurs centraux.

Et les risques de fraudes ?

Interrogé sur le nombre de QR codes qui ont pu être falsifiés à ce jour, Cédric O n'avance pas de chiffre, mais affirme que « les équipes d'Air France sont confrontées à plusieurs tentatives de fraude par semaine ». Alors que l'Europe avance sur son projet de "green pass" à l'échelle du continent, Cédric O observe que « tout le monde en Europe fait état de détection de fausses preuves de tests, voire de vaccins ».

« C'est important pour nous de sécuriser cet élément-là », souligne-t-il, notant que l'un des avantages du pass sanitaire est de « faire en sorte que les preuves présentées soient infalsifiables ».

Des faux sont d'ores et déjà en circulation. D'ailleurs, une infirmière a été soupçonnée d'avoir délivré des certificats de vaccination contre rémunération. Elle travaillait, depuis le mois de janvier, au centre de vaccination anti-covid de l’hôpital Saint-Anne à Paris. Prise en flagrant délit, elle vient d’être suspendue par la direction de l’établissement hospitalier.

« Moi, je l'ai observée pendant deux ou trois semaines », raconte un membre du personnel, qui a souhaité rester anonyme. « Elle disait aux autres infirmières : 'C'est pour moi... il y a des gens qui vont arriver, c'est pour moi!'. Elle les faisait venir dans son box. Normalement il y a deux infirmières par box avec un paravent de séparation pour l'intimité des personnes. Mais là, elle demandait à sa collègue de sortir. Elle faisait ça avec au moins une dizaine de personnes par journée travaillée. En fait, elle ne vaccinait pas les gens, mais elle se faisait payer pour qu'ils repartent avec un QR Code frauduleux, à priori pour pouvoir partir à l'étranger ».

Nadine Phan, directrice des soins à l’hôpital Saint-Anne, n'a cependant pas confirmé que cette personne recevait de l'argent et n'a pas pu se prononcer quant aux motifs de la fraude.

Certains membres de l'équipe ont pris contact avec leur hiérarchie. Les deux chefs de service sont informés et mercredi dernier, quand l'infirmière demande à se charger personnellement d'un couple en faisant sortir, une nouvelle fois, sa collègue, un médecin est alerté et intervient. « Normalement, on désinfecte la peau des personnes à vacciner avec un produit orange. Le médecin a voulu vérifier si les personnes avaient bien été vaccinées et il n'y avait aucune trace de désinfectant : ni colorant ni pansement. Elle a été prise en flagrant délit. Ça a été un choc.... Et ça pose un problème de santé publique parce que les personnes qui ont obtenu un faux certificat de vaccination courent un risque... et elles font courir un risque aux autres ».

Cependant, les personnes qui en ont bénéficié devraient rapidement être identifiées, car ces fameux QR Codes sont nominatifs. En effet, selon les concepteurs de l’application de contrôle, la falsification est impossible. « Si vous prenez le QR Code d’un membre de votre famille, au moment du contrôle, par comparaison avec le titre d’identité, on verra l’écart », assure Agnès Diallo, directrice activité services numériques à l’Imprimerie nationale (In groupe).

Pour rappel, les fraudes aux certificats de vaccination sont passibles de 45 000 euros d’amende.

Source : avis de la CNIL

Voir aussi :

L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
Covid-19 : accord trouvé sur le pass sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
L'adoption de l'IA par les entreprises en Europe accélérée par la COVID, mais seules 27 % l'ont effectivement déployé dans le cadre de leurs activités, selon IBM

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 09/06/2021 à 20:48
Citation Envoyé par Stéphane le calme Voir le message
Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises.
Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?

Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !

Citation Envoyé par Stéphane le calme Voir le message
Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes
C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.

Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
10  1 
Avatar de AoCannaille
Membre expert https://www.developpez.com
Le 10/06/2021 à 9:33
Citation Envoyé par DevTroglodyte Voir le message
[...]ce pass n'est pas basé sur de l'idéologie, mais sur des faits scientifiques. [...]
Les ségrégations décrites précédemment ont toutes en leur temps été justifiées scientifiquement.
3  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 09/06/2021 à 21:27
Citation Envoyé par Matthieu Vergne Voir le message
Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?
Elle se fout de nous, comme tous les autres!

Citation Envoyé par Matthieu Vergne Voir le message
C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.
C'est une preuve de plus que la sécurité de données, le gouvernement s'en taponne.

Citation Envoyé par Matthieu Vergne Voir le message
Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
Gouvernement d'escrocs, oui. Ils sont très compétents pour escroquer les Français, comme leurs prédécesseurs.
3  1 
Avatar de tanaka59
Expert confirmé https://www.developpez.com
Le 09/06/2021 à 22:06
Bonjour,

Quand je lis "passe sanitaire" , j'ai l'impression qu'on parle de :

> l'étoile jaune des juifs
> la différence de couleur de peau (l'apartheid comme en Afrique du Sud)
> le crédit social comme en Chine

En gros celui qui n'est pas vacciné (a cause de n'importe facteur), ou qu'il l'est partiellement à moins de "droit" ... Cela s'appelle de la ségrégation médicale

---

Tiens bientôt on aura un passeport pour "humain de compagnie" :





---

Et les risques de fraudes ?
Déjà en cas de piratage d'un DMP ou d'un compte ameli ... l'usurpateur/fraudeur peut utiliser votre passeport vaccinal en votre nom ! Donc a accès à votre secret médical ...

Puis bon se "passeport" n'a rien d'anonyme ... Vu qu'on donne son nom et prénom dessus !

Donc tout à fait en terme de "sécurité des données" , c'est une vaste mascarde !



Citation Envoyé par Matthieu Vergne
Elle se fout de qui là, la CNIL ?

Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !
Citation Envoyé par kain_tn
Elle se fout de nous, comme tous les autres!
Encore une institution qui est plu à la page ...
3  1 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 10/06/2021 à 9:50
Citation Envoyé par DevTroglodyte Voir le message
Moui, mais non. Enfin, pas vraiment. Ca peut potentiellement entrainer des dérives (et vu nos gouvernants, c'est fort possible), mais pour le coup, ce pass n'est pas basé sur de l'idéologie, mais sur des faits scientifiques. Ca fait une sacrée différence. Là où ça serait de la ségrégation, c'est si le vaccin n'était pas accessibles à certaines catégories de population.
Oui mais non. Tout le monde n'est pas égal face aux virus.

Par exemple je l'ai choppé (probablement au bureau) début 2020 et si je n'avais pas fait de test, je ne l'aurai jamais su (aucun symptôme). Dès lors, je ne vois pas en quoi je devrais être forcé de me faire vacciner tous les 6 mois, alors que ce vaccin n'empêche pas la contagion mais rend asymptomatique: la preuve, en Suisse on a eu quelques cas de personnes âgées qui se sont contaminées entre elles malgré le fait d'avoir été entièrement vaccinées par exemple.

D'un autre côté, j'ai perdu ma tante deux jours après sa vaccination. Elle vivait pourtant isolée au fin fond de la campagne: il y avait peu de chances pour qu'elle l'attrape ou qu'elle contamine qui que ce soit. Mes parents, eux, sont vaccinés (c'est leur "choix", pas le mien) et pour le moment ils se portent bien.
J'ai bien fait les vaccins les plus courants, mais par exemple je ne me vaccine pas contre la grippe saisonnière, parce que je suis assez jeune pour y résister, que je ne tombe vraiment malade qu'une fois tous les 4-5 ans et que je reste chez moi quand ça arrive.

Là j'ai l'impression qu'on veut nous la faire à l'envers: d'un côté on a des hôpitaux surchargés même hors covid (70% officiellement pour la Suisse par exemple / 25% pour les urgences) pour lesquels on continue de diminuer les moyens (certains sont même "obligés" de recourir à des sociétés privées pour rendre "rentable" leur activité - comprendre facturer au malade et donc à la SECU des choses dont il n'a pas besoin), et dans le même temps on veut me forcer à verser de l'argent tous les six mois à des sociétés pharmaceutiques déjà ultrariches. Ça devient une redevance à ce niveau là, sur un "marché" qui représente des dizaines de milliards. Et cerise sur le gâteau, nos "dirigeants" profitent de la situation pour étendre le traçage individuel et la collecte de données privées. C'est quand même dingue!

Je n'ai pas oublié certains scandales comme le Mediator, le Crestor, etc, et je trouve que la gestion de cette "crise" laisse un peu trop de pouvoir à ces multinationales qui ne se montrent déjà pas dignes de confiance en temps "normal". Alors forcer les gens à consommer leurs produits tous les X mois, c'est un non pour moi - et tant pis si je ne peux plus voyager: je dépenserai moins mon argent.

On n'est plus tant dans la science que dans la consommation. Il faut se calmer deux minutes et arrêter d'accepter n'importe quoi. Si vous avez peur pour votre vie, vous avez un vaccin de disponible.

EDIT: au passage, l'affaire des dîners mondains de certaines de nos "élites" pendant le confinement en dit long sur ce qu'ils pensent de cette crise sanitaire.
3  2 
Avatar de TotoParis
Membre averti https://www.developpez.com
Le 10/06/2021 à 14:51
C'est l'aboutissement d'une gestion calamiteuse de bout en bout pour un virus dont la létalité n'est que très relative.
Ca fait cher payé le masque chirurgical à 5 cents d'euro fabriqué dans la Chine...infectée !
Mais regardez ce qui pourrait bien nous arriver : https://www.santemagazine.fr/actuali...ondiale-892769
2  1 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 10/06/2021 à 15:55
Citation Envoyé par Ryu2000 Voir le message
pas de masque, pas de certificat, pas de vaccin, pas de passeport vaccinal
Je crois que tu es optimiste... Les états ont pris goût au contrôle qu'ils nous ont imposés, d'où cette "urgence", sans doute, à mettre en place les passeports, les applications et tout leur bordel avant que ça ne soit terminé... Vous vous souvenez quand on nous vendait l'Europe (la CEE à l'époque) comme "c'est super, vous pourrez circuler librement sans douanes? La Liberté!"
1  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 10/06/2021 à 16:16
Citation Envoyé par Ryu2000 Voir le message
J'essaie la pensée positive
Plus le virus mute moins il est violent, donc ça va finir par aller au bout d'un moment. Quand il fera 0 mort les gouvernements auront du mal à justifier les histoires de vaccination.

Les personnes à risque vont se faire vacciner et on ne parlera plus de virus. (avec un peu de chance)
D'ici là, ils auront mis en place un outil impossible à déboulonner, comme il y en a des tas (au pif comme ça, HADOPI, qu'ils n'arrivent pas à justifier mais qui continue quand même depuis des années).
1  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 10/06/2021 à 18:51
Citation Envoyé par DevTroglodyte Voir le message
Si seulement il n'y avait que les diners mondains... Je crois que c'est la partie de la population qui en proportion a le plus été touchée par le virus.
Ça malheureusement je ne peux pas me prononcer car je n'ai pas vu de statistiques par classe sociale, mais je trouve scandaleux de demander aux gens de faire une chose (au point de faire crever les ménages et commerces les plus fragiles), mais de faire le contraire derrière.
1  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 10/06/2021 à 15:40
Citation Envoyé par TotoParis Voir le message
C'est l'aboutissement d'une gestion calamiteuse de bout en bout pour un virus dont la létalité n'est que très relative.
Si la pandémie a fait si peu de morts c'est justement parce que les gouvernements ont réagit très vite et très fort.
Si on n'avait pas obligé les gens à rester enfermé chez eux pendant plus d'un an, la pandémie aurait peut-être fait plus de morts.

Là on dirait qu'on arrive à la fin, c'est bon il y a des gens qui ont ont été vaccinés 2, 3 fois, avec un peu de chance on pourra bientôt vivre un peu plus normalement (pas de masque, pas de certificat, pas de vaccin, pas de passeport vaccinal).
Les festivals de 60 000 personnes debout et sans masque ne sont peut-être plus si loin.

Par contre un jour ça redeviendra moins drôle, quand on reparlera de la dette.
L'état à creuser sa dette plus vite que jamais auparavant pour payer le chômage partiel et les aides aux entreprises. Ça fait mal.
1  1