Le pass sanitaire attaqué devant le Conseil d'État - La Quadrature du Net

De April MediaWiki
Révision datée du 2 juillet 2021 à 11:13 par Morandim (discussion | contributions) (Page créée avec « Catégorie:Transcriptions '''Titre :''' Le pass sanitaire attaqué devant le Conseil d'État '''Intervenants :''' Bastien Le Guerrec - Olivier Véran en off - Philip... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)


Titre : Le pass sanitaire attaqué devant le Conseil d'État

Intervenants : Bastien Le Guerrec - Olivier Véran en off - Philippe Bas en off - Loïc Hervé en off - Sylvie Robert en off - Yaël Braun-Pivet en off - Antoine Etcheto

Lieu : Blast

Date : 22 juin 2021

Durée : 22 min 27

Vidéo

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

La crise sanitaire a conduit le gouvernement à mettre en place de nombreux dispositifs exceptionnels. Parmi eux le passeport sanitaire censé attester de l'état de vaccination d'une personne. Mais pour Bastien Le Querrec de la Quadrature du net, ce pass et en particulier son QR code comportent de nombreux risques pour la protection de nos données personnelles.

Transcription

Antoine Etcheto : On peut faire un petit test avec mon pass sanitaire ?

Bastien Le Guerrec : Oui. Là je scanne et ensuite je peux récupérer sur mon ordinateur les informations qui ont été stockées sur mon téléphone, donc je sais que le pass a été délivré le 9 juin 2021, que vous vous appelez Antoine Etcheto, né en 1993. Le vaccin s’appelle Pfizer, vous avez eu une seule injection alors qu’il vous en faudra deux. La dernière injection s’est faite le 9 juin 2021 et votre vaccination n’est pas complète.

Antoine Etcheto : Tout ça, toutes ces informations vous avez pu les récupérer, en fait, juste à partir de la feuille.

Antoine Etcheto : Bonjour à tous.
Aujourd’hui sur Blast je vais vous parler des pass sanitaires et de la faille potentielle qu’ils pourraient poser pour la protection de nos données personnelles. La campagne de vaccination contre le Covid 19 avance bon train, que ce soit Pfizer, Moderna ou AstraZeneca. Si vous faites partie des 17 millions de Français déjà vaccinés vous avez eu normalement ce petit pass qui devrait vous permettre d’accéder à des festivals ou à des rassemblements.
Bastien Le Guerrec bonjour. Vous êtes juriste et membre de La Quadrature du Net avec laquelle vous avez déposé un référé-liberté contre ces pass, une procédure d’urgence auprès du Conseil d’État qui vise à attaquer un décret d’application et tout simplement la décision de distribuer ces pass. Concrètement qu’est-ce qui a motivé cette action ? Quel est le problème avec les pass sanitaires ?

Bastien Le Guerrec : Les pass sanitaires, tels qu’ils sont délivrés aujourd’hui, sont illégaux de plusieurs manières.
D’une part, la loi de gestion de sortie de crise sanitaire est très stricte et impose qu’il y ait très peu d’informations dans le code en deux dimensions des pass qui sont délivrés, le code qu’on peut scanner, notamment ne sont pas prévues que des informations de santé soient incluses dans ces codes en deux dimensions et il en va de même pour les données d’état-civil, c’est-à-dire le nom, le prénom, la date de naissance et, pour certains pass, le genre des personnes.
Toutes ces données figurent dans les codes en deux dimensions de ces pass sanitaires au mépris flagrant de la loi française de gestion de sortie de crise sanitaire, mais également des règles européennes de protection des données personnelles.
C’est pour cela que nous attaquons ces pass parce qu ces données sont accessibles à n’importe quelle personne qui lirait ces pass sanitaires au moment de la présentation de ces documents pour rentrer dans un festival par exemple, sans que les personnes qui se font voler leurs données soient au courant parce que toutes ces données sont librement accessibles dans ces pass sanitaires et sans aucune mesure de protection technique quelconque qui empêcherait un tiers malintentionné de détourner ces données.

Voix off : Scannez dès maintenant le 2D-DOC présent sur la preuve sanitaire du participant. Celle-ci peut-être au format papier, en PDF, ou enregistrée dans l’application TousAntiCovid-Carnet.

Antoine Etcheto : Ces QR Codes, ces codes 2D, ne devaient servir qu’à authentifier le pass et ne devaient pas comporter des informations personnelles.

Bastien Le Guerrec : Exactement Ces codes en deux dimensions ont comme objectif de lutter contre la fraude aux documents. L’objectif c’est, à un coût très réduit, quasiment nul, de pouvoir authentifier la véracité, l’authenticité d’un document. Pour cela ces codes en deux dimensions contiennent toutes les informations personnelles que l’on veut authentifier. Il y a, dans ces codes en deux dimensions, toutes les informations relatives à l’état-civil des personnes, à leur état de santé, pour qu’elles soient authentifiées, sont présentes alors même que la loi précise très clairement que, quand on scanne ces codes en deux dimensions, on ne devrait pas être en capacité de savoir s’il s’agit d’un pass sanitaire suite à un test PCR, suite à une vaccination ou suite à une immunité naturelle, y compris, nous dit toujours la loi, on ne devrait pas être en capacité technique de pouvoir récupérer toutes ces informations, mais juste de savoir que le pass qui est en train d’être présenté est un vrai pass ou est une contrefaçon.
Ici, pour lutter contre la fraude, on a mis à disposition de n’importe quel tiers qui scannerait ces codes toutes les informations personnelles sur les personnes, sur leur état de santé, qui sont des données sensibles, protégées particulièrement par les règles françaises et européennes au mépris, finalement, d’une règle très simple qui s’appelle le principe de la minimisation des données, c’est-à-dire que des données personnelles qui ne sont pas utiles n’ont pas à figurer dans un traitement de données. Or là, très clairement, la quantité de données est beaucoup trop importante par rapport à ce qui est nécessaire et ce que prévoit la loi.

Antoine Etcheto : Qu’est-ce qui s’est passé entre ce que prévoyait la loi et comment ça s’est traduit dans les faits avec ces codes qui comportent des données personnelles qui sont facilement lisibles ? Qu’est-ce qui s’est passé en fait ?

Bastien Le Guerrec : Début avril on a les premières spécifications techniques des tests PCR donc des pass sanitaires pour des tests PCR. Fin avril on a les spécifications techniques pour les certificats de vaccination. Or le projet de loi de gestion de la sortie de crise sanitaire n’est présenté que fin avril et discuté en mai par le Parlement. Or le Parlement, au moment des discussions parlementaires à la fois à l’Assemblée nationale et au Sénat, a voulu réduire le nombre de données qui étaient accessibles dans ces codes. Le gouvernement avait déjà prévu un certain nombre de règles techniques, en avril, avant même que le Parlement ne se prononce sur ces pass sanitaires et n’encadre leur usage. Aujourd’hui les pass qui sont déployés par le ministre des Solidarités et de la Santé sont des pass sur les spécifications techniques d’avant les discussions parlementaires, avant le débat législatif, sur un ensemble de données qui, précisément, a été refusé par le Parlement. C’est au Sénat, notamment, que sont arrivées aujourd’hui les dispositions qu’on utilise pour estimer que ces pass sanitaires sont illégaux parce que, lorsqu’on regarde les débats parlementaires au Sénat, c’est bien précisé que ces codes en deux dimensions devraient être une version minime, allégée en matière de données personnelles, par rapport à ce qui est imprimé, justement pour éviter d’avoir trop de données, notamment de santé, qui soient accessibles à n’importe quel tiers.

Philippe Bas, sénateur, en off : Nous avons apporté de nombreuses garanties. Ce dispositif est le dispositif d’un été. Il doit tomber au mois de septembre. Il ne pourra pas comporter d’informations médicales accessibles aux personnes qui seront chargées du contrôle.

Bastien Le Guerrec : Aujourd’hui, quand on scanne ces pass sanitaires, on peut obtenir l’identité civile, l’état de vaccination ou l’état de test PCR, mais on peut également recouper ces données avec le lieu où ce scan a été fait, l’heure, le contexte, si c’est dans tel festival ou tel autre lieu, et toutes ces informations posent des problèmes qui sont, à notre sens, très graves pour le droit à la liberté d’expression, le droit à la vie privée, le droit à la protection des données, et c’est pour cela qu’on estime qu’il faut urgemment mettre en suspension cette délivrance de pass, sous leur forme actuelle en tout cas.

Antoine Etcheto : On pourrait vous répondre, au final, que la personne qui scanne puisse savoir comment je m’appelle, si j’ai eu du Pfizer ou du Moderna et si je suis à ma première ou deuxième injection, ce n’est pas si grave !

Bastien Le Guerrec : Rien qu’avec le nombre d’injections requis on peut déterminer si vous êtes une personne immunodéficiente ou pas. Dans les pass sanitaires, on peut savoir combien de doses sont exigées pour avoir une protection complète. Si on a eu une dose qui est nécessaire on peut savoir, on peut déterminer que la personne a eu précédemment le Covid 19 et qu’elle a une forme d’immunité naturelle passée qu’on va juste réactiver avec une seule dose.
Si on a deux doses qui sont requises, et cette information est dans le pass sanitaire, on peut en déduire que la personne qui présente le pass n’a jamais été infectée.
Si elle a trois doses, on peut, si c’est une personne jeune, déterminer qu’elle est très probablement immunodéficiente, ce qui pose des problèmes de santé avec des risques de discrimination très importants, avec des risques de mésusage de ces données. Les données de santé, y compris autour du Covid 19, sont des données qui sont très recherchées par les data brokers, c’est-à-dire des entreprises dont le fonds de commerce est la récolte, l’exploitation et la revente de données personnelles très précises sur les gens. Avec les informations de santé autour du Covid 19 on peut notamment faire des déductions statistiques sur le risque ; ça peut intéresser une banque, une assurance. Ce mésusage possible des données n’est pas du tout anodin, il n’est pas du tout minime, il est au contraire très important parce qu’il peut être recoupé avec d’autres données disponibles.

Antoine Etcheto : On parle de ces codes, les codes 2D, qui sont très facilement crackables, en fait les données sont très facilement lisibles. C’est ça ?

Bastien Le Guerrec : Les spécifications techniques de ces codes sont libres. C’est l’ANTS, l’Agence nationale des titres sécurisés qui met autour d’une même table des industriels, des administrations pour se mettre d’accord sur les spécifications techniques. Ces spécifications techniques sont publiées sur le site de l’ANTS, et c’est ce qu’on a utilisé à La Quadrature pour développer une application qui permet de récolter les données de ces pass.

Yaël Braun-Pivet en off : Pour apporter des garanties vraiment très fermes, qui sont vraiment nécessaires dans un État démocratique.

Bastien Le Guerrec : À partir du moment où les données sont, sans aucune barrière technique, lisibles sur ces pass, n’importe quel tiers, qu’il ait ou pas ces spécifications techniques, peut récupérer ces données. Le fait d’avoir les spécifications techniques permet d’accélérer la chose, mais si aucune information technique sur comment sont fabriqués ces codes en deux dimensions n’était disponible ça prendrait juste un peu plus de temps mais ça ne rendrait absolument pas impossible le fait de pouvoir récupérer facilement ces données.
Aujourd’hui ces données sont récupérables par n’importe quelle personne qui scanne les pass sanitaires. À l’entrée d’un festival, lorsqu’une personne chargée de contrôler les pass sanitaires utilise son téléphone pour scanner ces pass que présentent les personnes qui se rendent dans un lieu, eh bien elle peut, si elle est mal intentionnée, récupérer au passage toutes les informations sans que la personne qui présente son pass soit au courant de ce mésusage, de cette extirpation, de ce vol de données personnelles.

Antoine Etcheto : Vous-mêmes, à La Quadrature, vous avez développé en quoi ?, une journée, une application permettant de récupérer les données personnelles des gens à partir de ces codes.

Bastien Le Guerrec : Exactement. Ce qu’on a montré au Conseil d’État c’est la grande facilité avec laquelle on peut construire un système qui permet de voler ces données personnelles.

Antoine Etcheto : Pour que les gens se rendent bien compte, on peut faire un petit test avec mon pass sanitaire, avec l’application que vous avez développée.

Bastien Le Guerrec : Oui.

Antoine Etcheto : J’ai été vacciné il y a quelque temps, je ne dis pas quel jour, comme ça on va voir si vous arrivez à retrouver.

Bastien Le Guerrec : Là je scanne. Le scan s’est fait, c’est très rapide. Je pourrais scanner d’autres certificats et ensuite je peux récupérer sur mon ordinateur les informations qui ont été stockées sur mon téléphone, on va le faire tout de suite, et je pourrai voir toutes les informations.
Voilà. Donc je sais que le pass a été délivré le 9 juin 2021, que vous vous appelez Antoine Etcheto, né en 1993, je ne donnerai pas la date de naissance complète.

Antoine Etcheto : Vous pouvez !

Bastien Le Guerrec : Contre le Covid 19, avec le nom de la molécule J07BX03 qui est la molécule la plus utilisée, le vaccin s’appelle Pfizer–BioNTech COVID-19. Vous avez eu une seule injection alors qu’il vous en faudra deux. La dernière injection s’est faite le 9 juin 2021 et votre vaccination n’est pas complète.

11’ 23

Antoine Etcheto : Tout est vrai. D’accord. Ça nous a pris une trentaine de secondes, une minute au maximum, vous avez pu récupérer toutes ces informations juste à partir de la feuille.