Close

TousAntiCovid et TousAntiCovid Verif, ces applications sont-elles protectrices de vos données personnelles ?

Source: Pixabay

Sans vouloir entrer dans la polémique de faut-il étendre ou pas le #PasseSanitaire, ou même de la nécessité d’en avoir tout simplement un. Dans cet article, je souhaiterais tout simplement comprendre, si la sécurité et la protection de nos données personnelles et de santé sont correctement assurées. Il est en effet, critique compte tenu du caractère systématique, et récurent de l’utilisation de ce #PasseSanitaire, que la population française puisse avoir un minimum de confiance dans cet outil largement déployé.

 

Des failles de sécurité ?

 

Attachons-nous tout d’abord, à l’application elle-même, si l’on en croit le Blog Cyber Veille, il y effectivement une faille critique dans l’application. Cette faille peut permettre à un tiers effectuant le contrôle, soit par erreur, soit intentionnellement de récupérer sur son smart phone par la lecture de votre QR Code, nom, prénom, date de naissance, type de vaccin et date d’injection… Même si vous n’avez rien à cacher, c’est toutefois plus que fâcheux, non ?

La CNIL a indiqué lors de sa délibération du 7 juin 2021, que le code source de l’application « TousAntiCovid Vérif » n’a pas été rendu public, bien que le livre III du code des relations entre public et l’administration le prévoit, comme l’a très justement souligné l’association InterHop.

Par ailleurs, il faut bien comprendre que les données de santé liées au COVID-19 collectées par l’application, sont transmises au SNDS (Système National de Données de Santé) et donc en fait dans le Data Hub Santé hébergé à l’heure actuelle chez Microsoft et donc dépendant du Droit Américain…

A ce sujet, j’ai déjà eu l’occasion d’écrire quelques articles pour alerter sur les problèmes que cela posait  (Articles 1, 2, 3 et 4)

Dans le processus de suivi des données personnelles, arrêtons-nous ensuite sur la prise de rendez-vous. Pour aller consulter ou pour aller se faire vacciner, là encore nombre d’interrogations viennent à l’esprit, lorsque l’on apprend que la plateforme mise en avant, #Doctolib est hébergé par AWS d’Amazon, et qu’en plus une nouvelle fois, InterHop a pu mettre en lumière des zones d’ombres sur le traitement des données (InterHop répond à France Inter et Doctolib) …

Pour continuer dans la même veine, il semblerait – comme je ne suis pas expert, je me permets de mettre le conditionnel, que le site gouvernemental qui sert à récupérer nos attestations de tests PCR ou de vaccination pointe vers un hébergement US (utilisation de l’extension FlagFox sur Firefox). Si cela se confirme, on marche sur la tête, et on peut se demander vraiment s’il existe un pilote dans l’avion avec deux neurones qui fonctionnent !

Que faire ?

 

Je n’ai hélas pas de recommandations fermes à vous proposer. En effet, votre comportement sera dicté par l’arbitrage que vous ferez en tenant compte de la situation sanitaire et de votre sensibilité sur la protection de vos données, et l’usage malveillant qui pourrait en être fait.

Cependant de mon point de vue, la généralisation du #PasseSanitaire pose un problème majeur et structurel sur la sécurité de nos données. Les faits sont hélas parlants par eux-mêmes. Le fait de recueillir à des attestations papier, ne résout pas le problème, en effet comme le démontre le Blog Cyber Veille, la personne qui vérifie votre QR Code est à risque de collecter vos données personnelles même de façon involontaire, c’est-à-dire par une erreur de manipulation.

Pour ma part, je conseille de déposer une plainte auprès de la #CNIL, c’est la seule façon de faire bouger les lignes et de s’assurer qu’à terme, l’application sera sécurisée. Mais je dois avouer que de façon très générale, l’accumulations de ces « erreurs » imprécisions, mauvais choix m’interrogent sur la pertinence même du traçage systématique organisé (ou si mal), sans les mesures minimales pour s’assurer que les données personnelles et de santé des français soient protégées !

 

Conclusions

 

Devant cette incurie sur les choix technologiques majeurs et structurants sur les mesures mises en place, je m’interroge sur la capacité réelle de nos dirigeants à prendre les bonnes décisions. C’est-à-dire des solutions sanitairement pertinentes, tout en protégeant les intérêts de la population française, et donc de sa #souveraineténumérique !

Il est réellement à craindre des utilisations frauduleuses et inappropriées de nos données personnelles, dans cette crise, comme si les autres scandales, le Data Hub Santé et l’affaire IQVIA ne suffisait pas (dans l’article suivant) …

scroll to top