Appli non officielle de pass sanitaire ?

[Beastie971]

Bonjour

Je voudrais vous soumettre ma première (et mauvaise) expérience de scan de pass sanitaire (je suis contre mais vacciné depuis avant l'imposition de cette xxxxxx).

Hier nous allons au restaurant, moitié contrains par la situation et moitié contents. Le restaurateur nous demande donc le pass sanitaire. On dégaine donc nous precieux cesames fourrés aux données personnelles et la surprise. ... Je vois un bref instant s'afficher les données brutes du QR code avant un écran affichant le mot valide le en vert ... Idem pour ma femme. Le restaurateur indiqué qu'il a du mettre son numéro SIREN a linstall de l'appli...

Les restaurants se seraient ils dit que quitte à devoir scanner le bouzin ils allaient faire du blé avec ?

J'ai trouvé que d'autres applis peuvent être utilisées mais que le données ne doivent pas sortir de l'UE ... Sachant que TAC Verif doit fonctionner sans connexion, je suis assez inquiet de savoir on sont partie mes données medicales

Y a t'il des expériences similaires ?

[foetus]

Si cela t'intéresse, la serpillière qu'est la CNIL qui a autorisé le pass sanitaire en juillet 2021, a donné ses recommendations

 

La CNIL donne son avis sur les dispositifs de lecture alternatifs du passe sanitaire, lien developpez.net le mardi 10 août
Source : CNIL, lien officiel

Révélation

l’allongement de la durée de conservation des données et bien d’autres points relatifs à la loi sur la gestion de la crise sanitaire

Depuis quelques jours, le Conseil constitutionnel a rendu sa décision qui a validé plusieurs dispositions contestées de la loi relative à la gestion de la crise sanitaire. Si le gouvernement français a salué cette décision qui favorise une extension du passe sanitaire, allonge la durée de conservation des données du fichier contenant la centralisation des tests de dépistage et donne aux ARS un accès aux données relatives à la vaccination des professionnels placés sous leur contrôle, la CNIL quant à elle a émis des réserves sur plusieurs points comme les dispositifs de lecture alternatifs du passe sanitaire, le fichier SI-DEP, ainsi que le système de gestion et de suivi des vaccinations (Vaccin Covid).

Recommandations de la CNIL concernant l’évolution du passe sanitaire

Afin de pouvoir mieux lutter contre la pandémie à coronavirus, le gouvernement français a pris plusieurs décrets qui permettent :
*) de faire désormais le contrôle du passe sanitaire en ligne à l’aide de nouveaux dispositifs alternatifs à l’application TousAntiCovid Verif ;
*) l’élargissement des données accessibles aux contrôleurs dans le cadre de certains déplacements aux informations relatives à l’examen de dépistage ou au vaccin réalisé ;
*) la conservation temporaire de certaines informations par les dispositifs de contrôle.

Depuis ce lundi, l’extension du passe sanitaire est donc entrée en vigueur dans le pays. Déjà exigé depuis le 21 juillet dans les lieux de culture, le passe sanitaire est désormais indispensable pour accéder à certains endroits comme les bars, les restaurants, les cinémas, les hôpitaux, les transports en commun, etc. Il se présente sous la forme d’un QR code et peut être désormais lu par TousAntiCovid Verif, mais aussi d’autres dispositifs alternatifs. Compte tenu de la sensibilité des données traitées, la CNIL invite le Gouvernement à revoir certaines dispositions dans son projet de publier des décrets d’application pour affiner la mise en application de la loi relative à la gestion de la crise sanitaire.

De prime abord, la CNIL (la Commission nationale de l’informatique et des libertés) interpelle le Gouvernement français sur la nécessité de vérifier que les dispositifs de lecture alternatifs à l’application TousAntiCovid Verif respectent les conditions fixées par arrêté du ministre chargé de la santé, avant de pouvoir être utilisés par les acteurs devant contrôler le passe sanitaire. Pour la CNIL, « le Gouvernement devrait notamment contrôler le respect de l’ensemble des conditions posées par les textes, la conformité au RGPD (notamment l’absence de transfert illicite de données en dehors de l’Union européenne) ainsi que la sécurité du dispositif. Il devrait aussi prévoir des garanties complémentaires permettant d’assurer la transparence du dispositif (par exemple, la publication d’une liste des applications de lecture conformes et du code source de ces dispositifs) ». Cette exigence de la CNIL semble assez pertinente, car un manque de garde-fous pourrait donner lieu à l’agrégation d’informations personnelles par les dispositifs alternatifs de lecture des données de santé.

En outre, la CNIL estime que si l’élargissement de l’accès aux informations de l’application TousAntiCovid Verif semble justifié, il devrait être toutefois limité à certains déplacements à l’étranger. Par ailleurs, pour les voyageurs à destination ou en provenance de la Corse ou des outre-mer ainsi que pour le personnel intervenant dans les services de transport concernés, la Commission nationale de l’informatique et des libertés (CNIL) préconise que le contrôle du passe sanitaire ne donne accès qu’à un nombre limité d’informations comme l’identité de la personne et le caractère valide du justificatif (« bouton vert » ou « bouton rouge »).

Concernant la conservation temporaire des données, la CNIL avance que si la vérification du passe sanitaire en ligne pourrait nécessiter de conserver les informations liées au contrôle jusqu’à ce que la personne concernée puisse effectuer son déplacement ou accéder au lieu où elle souhaite se rendre, le gouvernement devrait toutefois limiter la conservation temporaire au seul résultat de vérification opérée, conformément au principe de minimisation des données.

Recommandions de la CNIL sur la sécurité des données lors de la conversion des données pour l’obtention d’un certificat au format européen

Un autre point abordé par la CNIL est la sécurité des données transmises pour générer un passe sanitaire valide en France. En effet, pour permettre aux Français de l’étranger et aux étrangers d’avoir un passe sanitaire valable en France, le Gouvernement a mis en place un portail dédié, connecté au « convertisseur de certificats », permettant de générer un passe sanitaire valable en France. Ce passe est généré par des agents habilités sur la base d’informations transmises par les demandeurs.

Pour la CNIL, il est plus qu’évident de sécuriser l’envoi des informations nécessaires à la génération du certificat au format européen (par exemple grâce à la mise en place d’un portail web sécurisé) et de s’assurer de la suppression des informations une fois le certificat transmis à leurs détenteurs.

Enfin, elle relève que si le « convertisseur de certificats » faisait intervenir un prestataire étatsunien, le Gouvernement a pris des mesures satisfaisantes afin de garantir la conformité au RGPD des transferts de données opérés en prévoyant de changer de prestataire, dans les jours à venir, au profit d’une société soumise à des juridictions relevant exclusivement de l’Union européenne

Avis de la CNIL sur l’allongement de la durée de conservation des données de SI-DEP (système d’information de dépistage)

Dans le principe actuel, les données des personnes testées positives à la COVID-19 sont conservées pendant 3 mois dans le SI-DEP et celles concernant la validité des certificats de rétablissement sont conservées pendant 6 mois à compter de la contamination. Partant du fait qu’il existait un décalage entre la durée de conservation de ces deux types de données, le législateur a décidé d’allonger la durée de conservation des données des personnes testées positives à la COVID-19 jusqu’à 6 mois après leur collecte. Le projet de décret du gouvernement reprend à l’identique les dispositions législatives sur ce point. Vu la pertinence de la proposition, aucune objection n’a été faite à ce sujet par la CNIL.

Mise en garde de la CNIL concernant le contrôle de l’obligation vaccinale des professionnels par les Agences régionales de santé (ARS)

Avec la validation de la loi sur la gestion de la crise sanitaire, certains professionnels comme les médecins, les chirurgiens-dentistes, les infirmiers diplômés d’État, les pédicures-podologues, etc. ont l’obligation de se faire vacciner. Pour veiller à l’application de cette loi, le législateur a autorisé les agences régionales de santé (ARS) à accéder, avec le concours des organismes d’assurance maladie, aux données relatives à la vaccination des professionnels placés sous leur contrôle.

Pour la CNIL, en donnant cette prérogative aux ARS, la loi aménage ainsi une dérogation au secret médical au bénéfice des ARS, dans la mesure où les données sur le statut de vaccination d’une personne figurant dans le système d’information « Vaccin covid » sont couvertes par le secret médical, et ne sont accessibles qu’aux professionnels de santé participant à la réalisation de la vaccination de la personne concernée et à certaines autorités sanitaires pour l’exercice de leurs missions (CNAM, ANSM).

Pour éviter des abus de la part des ARS, la CNIL a recommandé au gouvernement :
*) d’exiger que les agents des ARS reçoivent uniquement les données des professionnels exerçant à titre libéral et dans leur territoire de compétence ;
*) d’exiger que les accès aux données des professionnels soient limités aux seuls agents ayant comme mission le suivi et le contrôle de l’obligation de vaccination des professionnels ;
*) qu’une liste précise des données soit mentionnée dans le décret.

Pour rassurer, le ministère explique que les données transmises prendraient la forme de listes de professionnels non vaccinés, par rapprochement avec le Fichier National des Professionnels de Santé (FNPS), sous la responsabilité de la CNAM.

Mais là encore, étant donné que ce fichier a été créé en 2004 pour recenser l’adresse d’exercice professionnel et le numéro identifiant du répertoire partagé des professionnels de santé (RPPS), la CNIL considère que les finalités du FNPS devraient être modifiées avant que ce fichier puisse être réutilisé pour la constitution de listes. En outre, la CNIL insiste sur la nécessité :
*) d’informer les personnes concernées par le FNPS (tous les professionnels de santé salariés ou libéraux) puisque le système d’information Vaccin Covid ne concerne que les personnes ayant reçu un bon de vaccination ou étant vaccinées;
*) de donner la possibilité pour ces personnes d’exercer les droits relatifs à la protection de leurs données.

Concernant la conservation des listes par les ARS et les organismes d’assurance maladie, la CNIL a émis les remarques suivantes :
*) la conservation des listes doit se faire seulement jusqu’à la fin de l’obligation vaccinale et pas au-delà ;
*) un effacement des listes par les organismes d’assurance maladie doit se faire dès leur accusé de réception par les ARS;
*) une transmission régulière et une conservation par les ARS uniquement de la liste la plus récente.

Enfin, la CNIL précise que « le contexte sanitaire actuel peut justifier des mesures exceptionnelles uniquement si elles restent limitées dans le temps et si elles sont nécessaires pour lutter contre le rebond épidémique et éviter un nouveau confinement. Il est donc essentiel que l’impact des différents dispositifs numériques sur la stratégie sanitaire globale soit étudié et documenté régulièrement, à partir de données objectives, afin de s’assurer que le recours à ces dispositifs prenne fin dès que leur nécessité disparaîtra ».

 

[ecatomb]

Tu peux tester "TousAntiCovid Verif"  dans l'app store ou google play.

L'application est obligée de retourner l'identité de la personne concernée par le QRCode et s'il est valide. Sans l'identité, n'importe qui pourrait utiliser le QR Code d'un autre alors qu'il n'est pas vacciné et contaminé par le covid.

 

il y a 46 minutes, Beastie971 a dit :

Les restaurants se seraient ils dit que quitte à devoir scanner le bouzin ils allaient faire du blé avec ?

Je n'ai pas compris cette partie. Est-ce du second degré ? Sinon, comment se font-il de l'argent en scannant les QR Code ?

[Beastie971]

Il y a 1 heure, ecatomb a dit :

Tu peux tester "TousAntiCovid Verif"  dans l'app store ou google play.

L'application est obligée de retourner l'identité de la personne concernée par le QRCode et s'il est valide. Sans l'identité, n'importe qui pourrait utiliser le QR Code d'un autre alors qu'il n'est pas vacciné et contaminé par le covid.

 

Je n'ai pas compris cette partie. Est-ce du second degré ? Sinon, comment se font-il de l'argent en scannant les QR Code ?

En vendant des donnees médicales comme des pharmaciens l'ont fait avec la carte vitale par exemple...

[ecatomb]

Voici le type d'information sensée s'afficher dans l'application TousAntiCovid Verif (image de l'application sur google play). Tu peux l'installer sur ton smartphone et tester par toi même. Je ne vois pas de données médicales dedans. 

 

Un article plus détaillé sur le sujet :

https://www.francebleu.fr/infos/economie-social/pass-sanitaire-quelles-sont-les-donnees-personnelles-transmises-par-le-qr-code-1628584123

 

Si le commerçant a accès aux données médicales cryptées, c'est qu'il utilise une autre application et ne respecte donc pas la loi. Dans ce cas, tu dois pouvoir porter plainte.

 

ps: une info un peu hors sujet ci-dessous

Concernant les informations personnelles, n'oublie pas que payer avec une carte bancaire permet d'en avoir. On peut arriver à regrouper tout les payements que tu as fait et où. Cela permet d'identifier tes habitudes, ton style de vie, si tu es célibataire, en couple, avec enfant, etc...

 

[Beastie971]

J'ai testé lappli officielle iqiand elle est sortie. Et jamais elle n'affiche les données en base 45 du QR code. D'où les doutes. Et oui la CNIL a fait ses recommandations. On ne tardera pas à avoir un scandale je pense

Il y a 3 heures, ecatomb a dit :

Tu peux tester "TousAntiCovid Verif"  dans l'app store ou google play.

L'application est obligée de retourner l'identité de la personne concernée par le QRCode et s'il est valide. Sans l'identité, n'importe qui pourrait utiliser le QR Code d'un autre alors qu'il n'est pas vacciné et contaminé par le covid.

 

Je n'ai pas compris cette partie. Est-ce du second degré ? Sinon, comment se font-il de l'argent en scannant les QR Code ?

Il n'a pas utilisé l'appli officielle, elle ne se comporte pas comme ça. Ce sont les données butte en base45 qui se sont affichees puis un écran ressemblant à l'appli officielle