Le certificat vert numérique, fausse bonne idée
Contenu
- Points majeurs
- Contexte
- Le certificat vert numérique
- Décodage
- 1. Certificat vert numérique
- 2. Preuve numérique
- 3. Faciliter la libre circulation
- 4. Le certificat contient des informations à caractère personnel et de santé
- 5. Informations récupérables en lisant un QR code
- 6. Procédé "sûr et sécurisé"
- 7. Valable dans tous les pays de l'UE
- 8. Les données seront stockées dans une base de données nationale
- 9. Le portail européen n'aura pas accès aux données à caractère personnel
- 10. Levées coordonnées des restrictions sanitaires en vigueur
- Des questions encore sans réponse
- Conclusion
- Prise de décision dans l'urgence, une catastrophe annoncée
- Comment ne pas risquer une violation de nos vies privées ?
- Comment voyager sans certificat ?
EDIT 2020-06-09: Cert article a été écrit avant la publication de la solution française intégrée à TousAntiCovid. Depuis, des investigations ont été mené et confirment les inquiétudes relevées ici.
Points majeurs
- Tant que tout le monde n'aura pas accès à un vaccin efficace, tout système exigeant un certificat pour une entrée ou un service sera injuste.
- Les gouvernements doivent trouver des alternatives qui n'introduisent pas et ne renforcent pas les pratiques d'exclusion et de discrimination.
- L'immunité face au covid ne peut pas justifier l'expansion ou la mise en place de fichage numérique.
- Finalement, en matière de santé publique, la fin ne justifie pas toujours les moyens. Surtout quand ils sont inefficaces.
Contexte
Le 6 avril 2021 le CEPD et le Contrôleur européen de la protection des données rendent un avis sur la proposition de certificat vert numérique.
Souhaité par les uns comme une pâte blanche efficace, dénoncé par les autres comme un outil supplémentaire de fichage de la population, le certificat/passeport alimente des débats houleux.
La crise sanitaire que nous traversons requiert un éclairage sur diverses notions médicales, légales, techniques et éthiques. Je n'ai aucune compétence médicale au delà de l'enseignement que certains spécialistes ont bien voulu prendre le temps de partager avec moi pour la rédaction de cet article. Aussi, malgré une petite parenthèse, je me bornerai uniquement aux questions qui touchent à la vie privée.
Le certificat vert numérique
Selon la Commission européenne, qui a proposé cette solution le 17 mars 2021, le certificat vert numérique est un certificat pour faciliter la libre circulation en toute sécurité des citoyens au sein de l'UE durant la pandémie de COVID-19. Ces documents seront valables dans tous les États membres de l'UE.
La version courte de communication présente sur la fiche d'information nous explique que c'est une preuve numérique attestant qu'une personne :
- a été vaccinée contre la COVID-19, ou
- a reçu un résultat de test négatif, ou
- s'est rétablie du COVID-19.
Sur le même document nous pouvons lire que les principales caractéristiques du certificat sont :
- format numérique et/ou papier
- avec QR code
- gratuit
- dans la langue nationale et en anglais
- sûr et sécurisé
- valable dans tous les pays de l’UE
Il pourrait être délivré par des hôpitaux, des centres de test ou des autorités sanitaires. La version numérique est stockée sur un appareil mobile, le papier est aussi disponible, mais les deux disposent d'un QR code contenant les informations ainsi qu'un "cachet numérique" visant à garantir l'authenticité du certificat. Toutes ces données sont stockées dans une base de données sécurisée dans chaque pays. La Commission européenne mettra en place un portail qui permettra de vérifier toutes les signatures des certificats dans l’ensemble de l’UE. Les données à caractère personnel encodées dans le certificat ne seront pas transmises au portail, étant donné qu’elles ne sont pas nécessaires pour vérifier la signature électronique.
Il contribuera à garantir que les restrictions actuellement en vigueur pourront être levées de manière coordonnée.
(fin du copier/coller de la fiche de communication)
Décodage
1. Certificat vert numérique
Ce document existe déjà à l'échelle des pays membres du Règlement sanitaire international de l'OMS. C'est le certificat international de vaccination. Il est connu de tous les voyageurs qui ont un jour eu besoin de documenter leurs vaccinations. C'est un document papier utilisé et reconnu par 195 pays.
Pourquoi créer un doublon régional (UE) quand une solution mondiale existe ?
2. Preuve numérique
Le règlement fait état de son inquiétude face à la fraude :
Le risque que représentent les faux certificats COVID-19 est réel. Le 1er février 2021, Europol a diffusé une alerte précoce sur les ventes illicites de faux certificats négatifs de test COVID-19 17 . Avec les moyens technologiques disponibles et facilement accessibles, comme les imprimantes haute résolution et divers logiciels d’édition graphique, les fraudeurs sont en mesure de produire des faux certificats, des certificats falsifiés ou des certificats contrefaits de haute qualité. Des cas de ventes illicites de certificats de test frauduleux ont été signalés, impliquant des groupes organisés de falsification et des escrocs individuels opportunistes qui vendent des faux certificats hors ligne et en ligne.
La Commission européenne présente ce certificat comme une preuve numérique. Pour comprendre ce qu'est une preuve numérique il faut se pencher sur une notion cryptographique : la signature numérique.
Une signature numérique permet de garantir l'intégrité d'une donnée numérique et d'en authentifier l'auteur. On parle alors de six conditions à réunir : authentique, infalsifiable, non réutilisable, inaltérable et irrévocable. Cela étant dit nous ne parlons ici que de la signature et de la donnée signée. Une donnée signée ne constitue en rien une preuve. Cela veut uniquement dire que "la donnée signée par X est bien signée par X et elle n'a pas changé depuis sa signature". Autrement dit, une signature se moque que la donnée elle-même. On pourrait tout à fait signer que vous avez le sang jaune sans pour autant que ce soit vrai.
Dans ce contexte, la signature numérique ne prévient pas une fraude ou un mensonge contenu dans la donnée. Par exemple, un organisme peu scrupuleux pourrait tout à fait utiliser sa clé de chiffrement pour signer la déclaration très officielle disant que Mr. Durand a reçu tel vaccin, tel jour à telle heure. On comprend vite les limitations après l'effet d'annonce.
Alors quelle est la preuve ? Est-ce que la Commission européenne nous parle de preuve au sens des six conditions à réunir lors d'une signature ? Ou est-il question d'une preuve médicale donc scientifique ?
Si c'est une preuve qui démontre avec certitude l'auteur et une non-altération de la donnée, elle n'engage que l'auteur.
Si c'est une preuve scientifique alors elle souhaite établir une vérité qui doit être vérifiable via une démonstration réplicable. Hors cette démonstration pose plusieurs difficultés puisque la donnée n'est pas obligatoirement liée à la réalité médicale de l'individu.
- Comment vérifier la correspondance donnée - réalité ? Un test immunitaire ?
- Est-ce que ce test immunitaire confirme exclusivement l'administration d'un vaccin ou est-ce que cela peut aussi montrer une précédente exposition ?
- Si cela peut montrer une précédente infection, quelle est la date de cette infection ? En effet, un anti-datage pourrait invalider la valeur de la donnée signée.
Est-ce que la signature numérique prévient la fraude dans ce cas ? Non.
3. Faciliter la libre circulation
La libre circulation est libre par définition. C'est-à-dire sans entrave. Faciliter une libre circulation équivaut à ne pas ajouter d'entrave.
La question posée est l'entrave à la circulation que représente la peur légitime de la contamination et de la propagation du virus. Pour autant, la solution envisagée pose une entrave à circulation des personnes n'ayants pas de "certificat vert numérique". Autrement dit, la Commission européenne veut favoriser la libre circulation avec un certificat faisant fi des discriminations que ce même certificat va introduire.
Le règlement fait d'ailleurs part de son inquiétude à ce sujet :
Le présent règlement ne devrait pas être interprété comme facilitant ou encourageant l’adoption de restrictions de la libre circulation pendant la pandémie. Il cherche plutôt à fournir un cadre harmonisé pour la reconnaissance des certificats sanitaires COVID-19 dans le cas où un État membre applique de telles restrictions. Toute limitation de la libre circulation au sein de l’UE justifiée par des raisons d’ordre public, de sécurité publique ou de santé publique doit être nécessaire, proportionnée et fondée sur des critères objectifs et non discriminatoires.
Autrement dit, ce règlement crée un contexte favorisant une discrimination mais ceux qui en détournent l'intention initiale ne sont pas gentils. C'est tout ?
Le CEPD et le Contrôleur européen de la protection des données rappellent que :
le certificat vert numérique devrait être limitée à la pandémie de COVID-19 et suspendu une fois la pandémie surmontée, c’est-à-dire que la proposition devrait préciser que les États membres ne devraient plus avoir accès aux données personnelles à l’issue de la crise.
Pour autant certains États membres envisagent déjà de réutiliser le certificat vert numérique pour d’autres usages tels que l’accès à certains lieux (restaurants, lieux culturels, salles de sports, etc.). Ce qui viendrait porter atteinte aux droits et libertés fondamentaux des personnes ; cette solution risque de ne pas respecter les principes de proportionnalité et de nécessité – en portant le risque de créer des discriminations.
Pourquoi créer une entrave à la libre circulation des personnes en introduisant un risque de discrimination ?
4. Le certificat contient des informations à caractère personnel et de santé
Le règlement européen sur la protection des données à caractère personnel (RGPD) entré en application le 25 mai 2018 définit "données de santé" :
Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.
L'information selon laquelle un individu à reçu un vaccin ou non est donc une donnée de santé. Elle est strictement privée. La demander en dehors d'un contexte médical présente une tentative d'atteinte à la vie privée.
Je vous renvoie sur l'article "Je n'ai rien à cacher" pour comprendre en quoi protéger sa vie privée est important.
À partir du moment où l'identité d'une personne est liée à sa santée cela représente un risque toxique. L'Inde a par exemple déployé un système où l'identité de chaque citoyen est liée à son état de santé face au covod pour "éviter de dupliquer des données". Via, une nouvelle carte d'identité.
5. Informations récupérables en lisant un QR code
Un QR code n'est ni plus ni moins qu'un code barre qui peut contenir un certain nombre d'informations. Plus que le simple code barre.
Le QR code nécessite un lecteur pour lire l'information qu'il contient. C'est-à-dire un appareil qui va le prendre en photo et l'interpréter pour afficher les informations sur un écran créant à cette occasion une possible copie. La grosse différence avec le certificat international de vaccination exclusivement papier, c'est que la copie est rendue possible par le dispositif. Le papier se lit par un humain. L'information de santé reste à la discrétion de l'individu qui présente le papier et de celui qui le lit. En facilitant la copie, l'utilisation du QR code menace la vie privée des individus en facilitant sa violation.
Une donnée chiffrée même dans un QR code ne veut pas dire que personne n'y accède.
Pourquoi proposer un dispositif qui permet de copier et de partager des données médicales privées ?
6. Procédé "sûr et sécurisé"
La Commission européenne se garde bien de préciser des menaces. Sans les spécifier, l'affirmation selon laquelle un dispositif et "sûr et sécurisé" relève de la croyance. Par exemple, le certificat vert numérique ne prévient pas la copie des informations à caractère personnel et de santé. Il ne protège pas contre la fraude. Il n'est pas certain que personne d'autre que l'individu qui vérifie les informations à l'instant T ne les partage pas. Il n'est pas certain non plus qu'aucun traitement supplémentaire de ces données de santé ne soit engagé dans le futur.
Pourquoi utiliser un biais cognitif (le biais de croyance) sur une fiche de présentation émise par la Commission européenne ?
7. Valable dans tous les pays de l'UE
Et les autres ? Si un certificat vert numérique est exigé aux citoyens de l'UE ou aux ressortissants de pays hors UE pour circuler librement, que vont faire les autres pays ? Avec ce système, l'UE récupère des informations de santé sur des ressortissants étrangers. Cela ne représente-t-il pas une menace pour un gouvernement étranger ?
Souhaitons-nous que les autres pays soient inspirés au point de déployer une solution similaire permettant d'aspirer les données de santé des citoyens européens ? N'y aurait-il pas, ici, une menace individuelle ?
8. Les données seront stockées dans une base de données nationale
Contrairement au certificat international de vaccination existant cette solution numérique nécessite la centralisation des données. En effet, le carnet papier de l'OMS reste avec le porteur qui contrôle la divulgation de ses informations médicales. Une base de donnée centralisée permet la consultation incontrôlée par des tiers. N'importe qui ayant accès à la lecture des données sans accord du patient est, par voie de conséquence, un tiers non identifié.
Cette question pose un sérieux problème en elle-même. Au-delà de ça la Commission européenne nous dit que le système est sécurisé hors la sécurité est une discipline très vaste qui s'étend bien au-delà des permissions accordées à des individus. Un des principes majeurs en sécurité est la gestion du risque.
- Prévenir une fuite d'information est primordial, mais que faire en cas de fuite ?
- Comment réagir au vol de données de santé de milliers de Français ?
- Et d'européens ?
- Que faire face à l'utilisation de ces données par des individus ou des groupes d'individus malveillants ? (Usurpateur d'identité, concurrents, gouvernements...)
Le meilleur moyen de ne pas risquer une fuite de donnée, c'est de ne pas la fournir.
9. Le portail européen n'aura pas accès aux données à caractère personnel
Remarquez la citation exacte de la fiche :
Toutes ces données sont stockées dans une base de données sécurisée dans chaque pays. La Commission européenne mettra en place un portail qui permettra de vérifier toutes les signatures des certificats dans l’ensemble de l’UE. Les données à caractère personnel encodées dans le certificat ne seront pas transmises au portail, étant donné qu’elles ne sont pas nécessaires pour vérifier la signature électronique.
D'aucun pourrait argumenter ici qu'un œil moins aguerri pourrait croire que les données personnelles de chaque individu ne sont pas stockées dans une base de données, car elles ne sont pas nécessaire. Vous l'aviez vu ? Bonne lecture.
Donc :
- il y aura bien des données à caractère personnel stockées
- il y aura bien des données de santé stockées
- chaque pays sera responsable des données de ses citoyens
- le "portail" n'aura pas accès aux données privées, mais uniquement à la signature
À ce sujet la CNIL explique que :
Si la volonté est bien de limiter au strict nécessaire les informations disponibles sur ces certificats, l’avis considère que la Commission européenne devrait justifier de la nécessité de certaines données appelées à figurer sur les certificats (par exemple, le produit vaccinal concerné, le titulaire de l’autorisation de mise sur le marché, etc.), conformément au principe de minimisation des données personnelles consacré par le règlement général sur la protection des données (RGPD).
10. Levées coordonnées des restrictions sanitaires en vigueur
Ce certificat contribura aux levées les restrictions sanitaires en vigueur de manière coordonnée au sein de l'UE.
La Commission européenne nous explique ici le véritable enjeu de ce certificat vert numérique. Le but ultime est de mesurer avec précision le risque d'une levée des restrictions sanitaire pour coordonner des actions à l'échelle de l'union. L'UE tenterait-elle de nous dire qu'elle ne sait pas compter le nombre de vaccins ou de tests qu'elle administre à sa population ? Un taux de vaccination de la population n'est pas une donnée de santé privée.
Des questions encore sans réponse
Plusieurs questions fondamentales se posent à la suite de la lecture de ces documents.
- Que faire des données de santé récoltées à la seconde suivant la levée des restrictions sanitaire ?
Les supprimer ! Pardon, le plus simple est de ne pas les récolter et de compter le nombre de vaccins administrés. Mais effectivement, il faudrait les supprimer. Malheureusement, la France est connue pour voter des lois lui permettant de conserver des données, peu importe le prétexte. Par exemple, la recherche scientifique a besoin de données à analyser pour comprendre certains phénomènes. Ils ont souvent recours à la pseudonymisation voir à l'anonymisation des données. L'intention paraît noble. Pour autant, les experts en science des données sont parfaitement capables de faire du recoupement de données pour identifier les éléments a posteriori. C'est même leur travail.
- Y-a-t'il un risque de dérives liberticides rendue possibles par l'adoption du "certificat vert numérique" ?
Le certificat de vaccination existe déjà pour l’OMS et les pays membres du RSI. Ce certificat vert est soi-disant mieux parce qu’il est "signé électroniquement” . On ne peut pas garder les infos plus loin que la pandémie. Donc demain, la loi sur la conservation des données de vaccination sera prolongée indéfiniment parce que 🥁 🥁 🥁 ! Ben maintenant qu’on sait “signer”le certificat pour la covid… autant garder la même chose pour tous les autres vaccins. Ou comment expliquer qu'une solution foireuse va résoudre un problème inexistant.
Personne n'a jamais abusé sur les données de santé en Europe. Ce serait connu. A moins que...
- Pourquoi ne pas rendre le vaccin contre la COVID-19 obligatoire au même titre que l'hépatite ou la rage ?
Je m'en tiendrai à une citation de mon médecin généraliste :
L'extension d'un vaccin à l'obligation vaccinale ne peut suivre qu'après l'étude de l'ensemble des déclarations d'événements ou effets indésirables, car il nous faut un état des lieux précis avant l'obligation. Cela représente un recul sur l'administration de plusieurs millions de doses pour être en mesure de mettre au point une pharmacovigilance afin de prévenir et de gérer les risques d'effets indésirables. Ce qui n'est, à ce stade, évidemment pas le cas. La COVID-19 soumet le système de santé à l'épreuve des variants. Les vaccins proposés aujourd'hui nous aident à combattre un virus qui pourrait disparaitre demain sans pour autant faire disparaitre ses variants. L'exemple parfait est la grippe. Ce contexte ne permet pas de réunir les conditions nécessaires à l'obligation vaccinale.
Cette question expédiée je peux me concentrer sur le sujet principal de cet article : le certificat vert numérique. En effet, si l'obligation vaccinale n'est pas possible en l'état, nous pourrions conclure que le certificat vert numérique est nécessaire. Mais alors que son concept seul pose des questions légales, éthiques et techniques ne serions-nous pas en train d'assister à un futur élargissement à tous les vaccins non obligatoires ?
Conclusion
Pour résumer, le certificat vert numérique :
- réinvente un certificat existant pour 195 pays
- ne présente pas une preuve de vaccination, mais qu'un organisme autorisé "dit quelque chose"
- pose un problème de libre circulation des ressortissants européens dans l'UE basée sur une discrimination médicale
- pose un gros risque de violation de la vie privée
- incite les pays hors UE à proposer la même menace en retour
- ouvre la porte à l'élargissement de la menace à plus de données de santé dans le futur
Pour rassurer (ou cacher) ces problèmes, la Commission européenne utilise des biais cognitifs en jouant sur l'ignorance technologique de la majorité de lecteurs. Autrement dit, elle communique sur un pseudo-sentiment de sécurité, mais ce projet est loin d’être fiable. Pire, elle pourrait favoriser les comportements à risque de ceux qui tendraient à croire que vaccinés, ils ne craignent plus rien ou ne transmettent pas le virus.
Dans l'état, ce certificat vert numérique manque de garanties que le gendarme français de la protection des données (la CNIL) a pointé.
Mais alors pourquoi proposer cette solution ?
Au fond, je pense que l'intention est louable. La Commission européenne est en charge de ~447 millions d'européens dans 27 pays. De son point de vue la comparaison est simple :
problèmes individuels < intéret du plus grand nombre
Le hic, c'est que cette condition n'est pas remplie dans le cas du certificat. D'abord parce que les problèmes individuels qu'il impose ne sont pas limités à un petit nombre, mais à tous les ressortissants européens. Ensuite, parce qu'il n'est pas dans l'intérêt de la population, mais dans celui de la Commission européenne.
Si l'objectif est de "contribuer à garantir que les restrictions actuellement en vigueur pourront être levées de manière coordonnée" alors Compter le nombre de doses administrées par région "contribue" tout aussi bien.
Prise de décision dans l'urgence, une catastrophe annoncée
La commission européenne nous dit qu'elle est face à un dilemme légal. Elle doit garantir la libre circulation au sein de l'UE, mais elle doit aussi gérer une pandémie qui requiert un maximum de distance sociale. Autrement dit, elle a besoin que chacun reste chez soi sans avoir le droit de strictement l'obliger. Elle fait son job. Elle essaye d'harmoniser des mesures nationales individuelles (pires que la sienne) tout en gérant une pandémie et en tentant de protéger ce qu'elle peut. Seulement il vaut mieux ne rien faire que de mal faire. Ici, il vaudrait mieux interdire aux pays de réaliser leurs idées saugrenues plutôt que de les standardiser.
Il y a d'ailleurs un point intéressant à noter à ce sujet dans le chapitre 3, point 3 :
- RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D’IMPACT
- Analyse d’impact
Compte tenu de l’urgence, la Commission n’a pas procédé à une analyse d’impact.
Pour le contrôleur Européen de la Protection des Données, ces applications nécessitent une évaluation d'impact avant un éventuel déploiement.
Peut-être que les personnes qui proposent cette solution oublient, dans l'urgence, qu'on ne résout pas une difficulté médicale par le fichage numérique de la population. Autrement dit, ce n'est pas parce qu'on peut le faire qu'on doit le faire.
Accepter de ne pas prendre tout le temps nécessaire pour discuter de ce projet c'est accepter le risque de discriminations des invididus. C’est aussi ouvrir la porte à une nouvelle forme de la société de surveillance.
Alors que faire si la Commission européenne souhaite modifier les comportements de la population, mais que ses actions sont limitées à un cadre légal ? Peut-être considérer l'acteur principal dans l'équation : La population à son échelle individuelle.
Comment ne pas risquer une violation de nos vies privées ?
Ne pas fournir les informations relatives à nos vies privées.
EDIT 2021-06-09:
Certains Sénateurs français ne sont pas de cet avis. Ainsi on peut lire dans l'article intitulé Covid-19 : un rapport du Sénat préconise la collecte de données personnelles pour prévenir les crises sanitaires
Cette plateforme numérique, nommée Crisis Data Hub, en référence au Health Data Hub permettrait par ailleurs une expérimentation au niveau local, pour une approche plus proportionnelle et territorialisée de la crise, qui a tardé à se mettre en place au moment de la crise du covid. Les rapporteurs imaginent ainsi plusieurs scénarii selon l’ampleur de l’épidémie : des outils d’information et de coordination face à une crise « modérée », des outils de rappel à l’ordre (type envoi d’un SMS) en cas de situation plus grave, et des mesures plus fortes pour les cas extrêmes, avec par exemple la désactivation du titre de transport ou des comptes bancaires d’une personne qui violerait la quarantaine.
« Nous ne proposons pas de limiter les libertés, nous cherchons un moyen de les retrouver »
Comment voyager sans certificat ?
Comprendre l'importance primordiale de la distance sociale.
Pas de contact,
⇒ pas de transmission
⇒ pas de malade
⇒ disparition du virus / moins de variant / temps suffisant pour un vaccin plus
efficace
⇒ levée des restrictions sanitaires
Après tout, le vaccin n'existe que parce qu'il y a des malades dont la vie est menacée ;)
Cela demande de la patience et fait écho à un autre sujet :
L'instantanéité rendue possible par la technologie génère-t-elle notre propre adversaire : l'obligation d'immédiateté ?
EDIT 2020-06-09:
Continuer la lecture:
- Pass sanitaire et vie privée : quels sont les risques ? par Broken by Design publié seulement 2 semaines après cet article.
La video de leur est disponible sur Peertube. - Fin du pseudonymat dans TousAntiCovid et passe sanitaire trop bavard