Ce matin, la cellule EnquĂȘte de Radio France publiait un article sur le chiffrement des donnĂ©es de santĂ© de Doctolib, explications
https://www.francetvinfo.fr/internet/securite-sur-internet/enquete-doctolib-certaines-donnees-medicales-ne-sont-pas-entierement-protegees_5147644.html par @geraldinehallot@twitter.activitypub.actor
Doctolib fait ce choix légitime: il n'est pas admissible que si on perd son PC, on perde ses documents. En passant par un tiers "de confiance" comme Tanker, on a les doc chez Doctolib, et les clés chez Tanker, soit.
Sauf que Doctolib a racheté Tanker ...
https://www.usine-digitale.fr/article/doctolib-rachete-la-start-up-tanker-pour-securiser-les-donnees-de-sante-de-bout-en-bout.N1776322
- Ces données arrivent en clair sur un serveur chez AWS (Amazon, US) elles sont stockées en base.
MĂȘme si ces donnĂ©es sont chiffrĂ©es dans la base, elles le seraient avec une clĂ© prĂ©sente sur d'autres serveurs AWS. AccĂ©der Ă ces donnĂ©es pour AWS est donc trivial.
Avec @Snowden on a découvert que quand les USA pouvaient accéder à une donnée, il y accédaient.
Quand ils pouvaient l'exploiter, ils l'exploitait.
Cette absence de confiance crée déjà des problÚmes, mais elle devrait juste interdire tout stockage de données personnelle aux US.
> je considÚre que ces rendez-vous SONT une donnée de santé
Ce n'est pas l'avis du Conseil d'Ătat qu'@interhop a sollicitĂ© Ă ce sujet.
https://interhop.org/2021/03/12/communique-presse-decision-ce-rendezvous
Ton inquiÚtude est légitime, il faut soutenir @interhop, c'est ce que je fais.
@lutindiscret @interhop
NON ! c'est plus compliqué que cela :
- le Conseil d'Etat a répondu en référé, pas sur le fond, le référé n'approfondit pas un sujet, donc ne ferait pas jurisprudence
- le Conseil d'Etat parle des rendez-vous de vaccination dans le cadre de la crise du Covid-19, c'est trÚs précis et cela ne s'applique pas aux rendez-vous médicaux de maniÚre générale.
@vincib @lutindiscret
Juste pour dire que tout ceci avait été dit au conseil d'etat et que nous avions produit une analyse technique dont le résumé est ici : https://www.franceinter.fr/societe/doctolib-nos-donnees-medicales-ne-sont-pas-entierement-protegees
On a un peu l'impression que tout ceci est nouveau...
@interhop @lutindiscret
Ă ma connaissance le nouveau c'est
- des journalistes d'enquĂȘte ont envie de se saisir du sujet ;)
- ils ont un doc ou doctolib dit que "le E2EE n'en est pas vraiment mais pour la comm', ça ira" ;)
@vincib Merci beaucoup pour toutes ces informations et prĂ©cisionsâŻ! đ
@vincib Merci pour toutes ces infos et éclaircissements !
Question subsidiaire pour tous : comment faire sans ? Facilement bien sûr !
Je pense aux populations loin du numérique comme nos aßnés....
@vincib il me semble assez trivial d'avoir de bonnes infos de santé en regardant les RdV.
Si je prends mon cas : visite réguliÚre (2à fois par an) chez mon généraliste. Et visite réguliÚre (tous les 2 ans) chez un pneumologue : On peut en déduire que j'ai une maladie chronique du cÎté du systÚme respiratoire.
Maintenant, le problĂšme des agendas c'est que les standards liĂ©s (j'ai iCalendar & CalDAV en tĂȘte) sont restĂ©s dans l'Ăšre prĂ©-Snowden :(
@vincib quoi ? ils veulent dire que si je vais voir un proctologue c'est peut ĂȘtre pour un problĂšme Ă lâĆil ?
@vincib faudrait peut ĂȘtre se mettre d'accord sur ce qui constitue une donnĂ©e de santĂ©. Et ce de façon factuel.
Et rappelons que AWS est une entreprise américaine soumise au Cloud Act https://fr.wikipedia.org/wiki/CLOUD_Act#Critiques
En clair : les Ătats-Unis peuvent accĂ©der Ă toute donnĂ©e chez AWS de maniĂšre confidentielle.
Il est donc possible pour l'état américain d'accéder à la liste des rendez-vous médicaux