Sensibilisation aux données COVID


Dans le cadre de la St Cham Games Week, Zoomacom propose une (expérience de...) sensibilisation aux données contenues dans le pass sanitaire / vaccinal.

Objectif

  • 1. Montrer les données inscrites dans le QR Code du pass sanitaire / vaccinal.
  • 2. S'assurer que le scan d'un pass est bien fait dans les règles du RGPD.

Déroulé

Résumé

  • 1. Les personnes qui accueillent les visiteurs au salon (ou ailleurs) scannent leur pass sanitaire / vaccinal avec l'application "Tous Anti Covid Verif".
  • 2. Le scan est ensuite effectué avec sanipasse.fr pour montrer les données contenues dans le pass.
  • 3. S'en suit une discussion, si envie des personnes scannées, sur les démarches à entreprendre pour s'assurer que ces données personnelles et sensibles sont bien sécurisées.
Précision : "Les personnes autorisées à contrôler les justificatifs doivent être nommément habilitées par les responsables de l'établissement. Pour ce faire, un registre doit être mis en place afin de détailler les personnes et la date de leur habilitation, ainsi que les jours et horaires des contrôles effectués par ces personnes." Source : francenum.gouv.fr

En détails

  • 1. Installation de l'application TAC Vérif sur l'appareil dédié (smartphone ou tablette)
  • 2. Scan du pass d'un visiteur
  • 3. Explication des données (Nom, Prénom, Date de naissance, et validité du pass) lues par l'application
  • 3. Proposition de scanner ce même pass avec sanipasse.fr pour lui proposer de voir toutes les informations contenues dans le QR Code
  • 4. Explication sur les données supplémentaires (voir ci-dessous)
Informations de vaccination
  • Pays de vaccination
  • Numéro de la dose
  • Nombre de doses requises
  • Date de vaccination
  • Entité émettrice
  • Fabricant de vaccin
  • Produit vaccinal
  • Agent prophylactique
  • Maladie ciblée
  • Identifiant unique
  • Empreinte numérique
Informations sur la signature numérique
  • Date de création
  • Date d'expiration
  • Autorité émettrice
  • Version du certificat vert
Informations générales du certificat de signature
  • Pays d'origine
  • Organisation émettrice
  • Nom du certificat
  • Certificat signé par
  • Date du début de validité
  • Date de fin de validité
Possibilité d'enregistrer le certificat dans mon carnet

Qu'est-ce que cela pose comme questions ?

Concernant l'application
  • La personne chargée du contrôle peut facilement scanner le passe sanitaire différemment, de façon à avoir accès aux informations qu’elle n’est pas censée pouvoir lire.
  • Si l'application de vérification est privée (comme l'est actuellement l'application TousAntiCovid -Vérif), elle ne peut être auditée publiquement par des chercheurs en sécurité indépendants.
  • Et c'est une conséquence des deux points ci-dessus: elle ne peut susciter que la défiance de la part des citoyens dont le passe est contrôlé, et qui n'ont pas de garanties sur le contenu exact des informations personnelles qui sont lues.
Le consentement
  • "Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement »."
Source : CNIL
4 critères cumulatifs
  • Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.
  • Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.
  • Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.
Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :
l’identité du responsable du traitement ;
les finalités poursuivies ;
les catégories de données collectées ;
l’existence d’un droit de retrait du consentement ;
  • Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.
Source : CNIL

Sources