Sensibilisation aux données COVID
Dans le cadre de la St Cham Games Week, Zoomacom propose une (expérience de...) sensibilisation aux données contenues dans le pass sanitaire / vaccinal.
Objectif
- 1. Montrer les données inscrites dans le QR Code du pass sanitaire / vaccinal.
- 2. S'assurer que le scan d'un pass est bien fait dans les règles du RGPD.
Déroulé
Résumé
- 1. Les personnes qui accueillent les visiteurs au salon (ou ailleurs) scannent leur pass sanitaire / vaccinal avec l'application "Tous Anti Covid Verif".
- 2. Le scan est ensuite effectué avec sanipasse.fr pour montrer les données contenues dans le pass.
- 3. S'en suit une discussion, si envie des personnes scannées, sur les démarches à entreprendre pour s'assurer que ces données personnelles et sensibles sont bien sécurisées.
En détails
- 1. Installation de l'application TAC Vérif sur l'appareil dédié (smartphone ou tablette)
- 2. Scan du pass d'un visiteur
- 3. Explication des données (Nom, Prénom, Date de naissance, et validité du pass) lues par l'application
- 3. Proposition de scanner ce même pass avec sanipasse.fr pour lui proposer de voir toutes les informations contenues dans le QR Code
- 4. Explication sur les données supplémentaires (voir ci-dessous)
- Pays de vaccination
- Numéro de la dose
- Nombre de doses requises
- Date de vaccination
- Entité émettrice
- Fabricant de vaccin
- Produit vaccinal
- Agent prophylactique
- Maladie ciblée
- Identifiant unique
- Empreinte numérique
- Date de création
- Date d'expiration
- Autorité émettrice
- Version du certificat vert
- Pays d'origine
- Organisation émettrice
- Nom du certificat
- Certificat signé par
- Date du début de validité
- Date de fin de validité
Qu'est-ce que cela pose comme questions ?
Concernant l'application- La personne chargée du contrôle peut facilement scanner le passe sanitaire différemment, de façon à avoir accès aux informations qu’elle n’est pas censée pouvoir lire.
- Si l'application de vérification est privée (comme l'est actuellement l'application TousAntiCovid-Vérif), elle ne peut être auditée publiquement par des chercheurs en sécurité indépendants.
- Et c'est une conséquence des deux points ci-dessus: elle ne peut susciter que la défiance de la part des citoyens dont le passe est contrôlé, et qui n'ont pas de garanties sur le contenu exact des informations personnelles qui sont lues.
- "Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement »."
4 critères cumulatifs
- Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.
- Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.
- Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.
l’identité du responsable du traitement ;
les finalités poursuivies ;
les catégories de données collectées ;
l’existence d’un droit de retrait du consentement ;
- Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.
Sources
- TAC Verif : professionnels comment utiliser l’application de vérification du Pass vaccinal ?, francenum.gouv.fr, 21/07/2021 - mis à jour le 28/01/2022
Animation MedNum42 données