Journal Intérêt légitime ou comment faire n'importe quoi avec vos données

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
59
17
déc.
2021

Ah Nal,

Depuis le début de la grande partie mondiale de chat covid, j'avais réussi à ne jamais avoir besoin d'être testé.

Mais il y a peu, une personne de mon entourage a perdu et j'ai du découvrir la fabuleuse exploration nasale.

J'ai pu aussi constaté qu'une fois de plus, la gestion des données personnelles, sensibles et de santé avec les lois de type RGPD, les certifications HDS et les RSSI vigilants… hé bien c'est du vent.

En résumé:

  • je suis allé dans un labo privé, je n'ai rien signé, je n'ai donné mon consentement à rien du tout ;
  • mes données se retrouvent dans le SI du labo (j'aurais préféré une pseudonymisation, mais c'est encore logique) ;
  • le lien vers les résultats me sont transmis par SMS (canal non sécurisé) avec pour seule protection ma date de naissance ;
  • toutes mes données sont transmises à SIDEP, un machin géré par l'Assistance publique-hôpitaux de Paris: WTF je n'ai jamais demandé ça, je ne vis même pas à Paris…
  • au nom de l'intérêt légitime, SIDEP garde tout, pas d'opposition possible, on est RGPD perché, pouce et retouche pas son père ;
  • SIDEP déverse automatiquement toutes mes données pseudonymisées (et pas anonymisées) dans le Health Data Hub hébergé par Microsoft : pour s'y opposer il faut envoyer par mail ou courrier (canaux non sécurisés): mon identité, NIR, date de naissance, adresse, sexe, nom de mon chien, parfum de glace préféré…

Tout cela est sans doute légal, mais on est très loin d'un monde privacy first où le labo devrait juste par exemple:

  • conserver des données pour me contacter ;
  • me fournir une url+token au moment où je passe le test pour venir les chercher plus tard ;
  • que cette url renvoie juste une page avec oui/non ;
  • ne pas transmettre mes données.
  • # Et l'enregistrement pour vaccination

    Posté par  . Évalué à 10.

    J'ajoute la prise de rendez-vous pour vaccination impossible à faire autre part que sur Doctolib, entreprise privée à qui on offre le pactole de forcer tous les français à créer un compte chez eux. Et a fortiori, à accepter leurs conditions d'utilisation.

    • [^] # Re: Et l'enregistrement pour vaccination

      Posté par  . Évalué à 10.

      Petite nuance: la vaccination est tout à fait possible sans passer par Doctolib. Tu as des sites concurrents à Doctolib qui proposent des créneaux de vaccination et surtout, tu peux aller en pharmacie, passer par ton médecin généraliste, des infirmier·e·s libérales…

      Après je conçois tout à fait la gène à laisser des entreprises du privé (dont une avec un presque monopole) gérer ce genre d'actions de santé publique. Malheureusement, c'est un combat perdu depuis bien longtemps.

      • [^] # Re: Et l'enregistrement pour vaccination

        Posté par  . Évalué à 10.

        Ah. À voir si j'arrive à en profiter pour ma troisième dose. Dans mon coin, pour la 1ère et la deuxième, tout le monde force à s'inscrire sur Doctolib. Et les secrétaires qui acceptent les prises de rendez-vous par téléphone… enregistrent leur interlocuteur sur Doctolib en leur demandant oralement leurs informations.

        • [^] # Re: Et l'enregistrement pour vaccination

          Posté par  . Évalué à 7.

          Pour ma 3ème dose, j'ai l'expérience inverse. Impossible d'avoir un rendez-vous sur doctolib avant mars et à plus de 100km. Je suis allé en pharmacie à côté de chez moi, c'était sans rendez-vous. Ils m'ont tout de suite vacciné. En plus, pas besoin d'attendre 20 min après l'injection et j'en ai profité pour faire la grippe en même temps (sur l'autre bras quand même).

    • [^] # Re: Et l'enregistrement pour vaccination

      Posté par  . Évalué à 7.

      Impossible ? Pas partout, en tous cas : dans mon entourage on a tous fait nos injections sans passer par Doctolib ni aucun autre site. On a juste appelé le numéro d'appel pour la vaccination de mon département, avec un temps d'attente très raisonnable.

      Mais je me doute que si tous avaient fait comme ça, leur standard aurait explosé, donc ta remarque reste pertinente (en Isère, la page de prise de rendez-vous "officielle" renvoie vers un autre site que Doctolib - je ne sais plus lequel - mais le résultat est le même, il faut créer un compte chez une entreprise privée).

    • [^] # Re: Et l'enregistrement pour vaccination

      Posté par  (site web personnel, Mastodon) . Évalué à 6.

      J'ajoute la prise de rendez-vous pour vaccination impossible à faire autre part que sur Doctolib

      Cela dépend des endroits. Dans mon quartier, il y a une pharmacie où on prend rendez-vous au comptoir et qui les inscrit sur un agenda papier ! C'est là où je vais me faire vacciner, évidemment, et en plus c'est la plus proche.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Et l'enregistrement pour vaccination

      Posté par  (site web personnel) . Évalué à 8. Dernière modification le 27 décembre 2021 à 17:23.

      je ne comprends pas ce que tu dis

      https://vitemadose.covidtracker.fr/

      te cherche des rendez-vous sur 9 sites, dont Doctolib, Maiia, Ordoclic, Keldoc, mapharma…

      Certains amis ont utilisé des pharmacies ou médecins.

      ウィズコロナ

  • # Pertinence noyée dans le bruit

    Posté par  (site web personnel) . Évalué à -6. Dernière modification le 17 décembre 2021 à 10:18.

    ne pas transmettre mes données.

    Autant je peux avoir une oreille compréhensive pour ta complainte sur le olé-olé des données, autant ta demande est tellement extrême que tu t’élimines de toi-même de toute discussion à part avec les gens qui pensent comme toi (ce qui donc ne sert à rien).
    En effet, tu demandes de facto à ce qu'on ne puisse pas construire certains indicateurs utiles pour le suivie de la pandémie (taux de positivité avec un certain degré de granularité genre l'âge) ni qu'on ne te lâche pas si jamais le résultat est positif (donc négatif pour toi ;-) ), et tu sous-entends qu'une entité devrait être exclue de la chaîne juste parce que toi tu ne l'aimes pas, et tu en veux à Paris (moi je dois faire des demandes à Nantes que je ne connais pas du tout, et alors?).

    Et à force d'aller trop loin, tu participes aux "ils gonflent avec leurs demandes jusqu'auboutistes, on ignore même si peut-être une partie est pertinence".
    Dommage, une partie est en fait pertinence mais noyée dans le bruit.

    • [^] # Re: Pertinence noyée dans le bruit

      Posté par  (site web personnel, Mastodon) . Évalué à 9.

      La demande n'est pas si extrême ; il s'agit à la rigueur de fournir une information transparente… Quand tu remplis leur formulaire, il devrait y avoir la mention comme quoi les données vont être utilisées pour d'autres choses et transmises à des tiers ; pas que tu le découvres par de cette façon. C'est un peu le même souci quand j'appelle mon médecin pour prendre rendez-vous, qu'on me demande mon numéro de portable, et que la veille du rendez-vous je reçois un SMS de Doctolib alors que je ne me suis jamais inscrit dessus et qu'on ne m'a pas informé que les informations des patient-e-s leurs sont transmises. Juste être informé, comme le demande la législation, est-ce trop demander ?

      La première fois que j'ai eu à faire une demande à Nantes, j'ai demandé à comprendre. Pourquoi me retirer ce droit en arguant que je voudrais retirer Nantes de la chaîne ? ou que je n'aimerais pas cette entité ? (ça ressemble fortement à un procès d'intention non ? et même si le désamour est avéré, est-ce que ça change quelque chose à la question fondamentale d'information complète …quand on ne cherche pas à faire diversion ?)

      “It is seldom that liberty of any kind is lost all at once.” ― David Hume

    • [^] # Re: Pertinence noyée dans le bruit

      Posté par  (site web personnel) . Évalué à 10.

      Tu as dégainé le pistolet à troll trop vite :-)

      Relis un peu, je ne suis nulle part dans le journal opposé à la ville de Paris, ni contre le suivi de la pandémie.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Pertinence noyée dans le bruit

        Posté par  (site web personnel) . Évalué à 10.

        Relis un peu, je ne suis nulle part dans le journal opposé à la ville de Paris, ni contre le suivi de la pandémie.

        Ben si un peu quand même puisque tu écris dans le journal que "le labo devrait juste par exemple (…) ne pas transmettre mes données".
        J'imagine que la transmission des données c'est fait pour évaluer la situation épidémiologique du pays, calculer les taux de positivité par région, par tranche d'âge, etc, etc.
        Rien de déconnant selon mon point de vue dans une situation de pandémie mondiale.

        Que cela puisse être amélioré, renforcé, tout ce que tu veux, oui.
        Mais bon que l’État arrive déjà à mettre tout ça en place et que ça tourne pas trop mal c'est déjà très bien je trouve.
        Je viens de lire un article sur The Atlantic et franchement je préfère notre système intégré par rapport au bordel injuste et inégalitaire américain.

        Je viens de me faire tester (test antigénique) pour la toute première fois aujourd'hui. Très peu d'attente à la pharmacie, rien à payer, un résultat (négatif !) envoyé en à peine quelques heures. Avec un QR code dedans que je peux intégrer à un pass sanitaire valable à l'échelle européenne parce que le système a été interconnecté.
        Franchement il est difficile de se plaindre je trouve.

        • [^] # Re: Pertinence noyée dans le bruit

          Posté par  (site web personnel) . Évalué à 1.

          Franchement il est difficile de se plaindre je trouve.

          Au contraire, c'est extrêmement facile pour moi, car je travaille régulièrement sur ces sujets.

          Ça me fait l'effet de lire un rapport Sonar sur un projet codé avec le cul :-)

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Commentaire supprimé

    Posté par  . Évalué à 10.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Rappel : RGPD = 6 bases légales

      Posté par  (site web personnel) . Évalué à -1.

      Pour le laboratoire, il y a également des obligations légales (notamment en terme d'identitovigilance).

      Déjà que le secret médical en temps normal, la plupart du personnel s'en bat les couilles ou la chatte, alors l'identitovigilance en période de rush avec 40 patients masqués…

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: Rappel : RGPD = 6 bases légales

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Le RGPD est là pour obliger à informer, des droits, des traitements, des finalités, des fuites, etc… mais absolument pas pour empêcher les traitements eux-mêmes, à moins qu'ils ne soient illicites.

      Voilà, c'est ce qui fait défaut dans le cas présent (juste la mention que les données sont envoyées au sidep pour permettre le suivi de l'épidémie, ça ne mange pas de pain)

      “It is seldom that liberty of any kind is lost all at once.” ― David Hume

  • # Dans le même genre

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    C'est ce qui se passe aujourd'hui dans chaque établissement de santé où je vais, c'est de devoir beugler à travers le masque et devant plusieurs personnes qui attendent :
    - Nom
    - Prénom
    - Date de naissance
    - Numéro de téléphone
    - Adresse mail

    (J'ai eu un accident récemment, donc j'ai fait : service médical d'urgence, CHU radiologie, CHU chirurgie orthopédique, Kiné).

  • # Tu oublies les CDN

    Posté par  (site web personnel) . Évalué à 9.

    Tout doctolib passe par cloudflare, tout SI-DEP par Radware Cloud …

  • # Refuser le test

    Posté par  (site web personnel) . Évalué à -10.

    Sinon, tu peux aussi refuser le test, même si tu es caca contact.

    • [^] # Re: Refuser le test

      Posté par  . Évalué à 7.

      Le test, c'est pas juste pour ton information personnelle, c'est aussi pour évaluer le risque que tu aies aussi transmis le virus, et pour t'éviter une isolation totale pendant une bonne quinzaine de jours.

      • [^] # Re: Refuser le test

        Posté par  (site web personnel) . Évalué à -10.

        Mwahahaha…

      • [^] # Re: Refuser le test

        Posté par  (site web personnel) . Évalué à 8. Dernière modification le 17 décembre 2021 à 17:40.

        Je voulais me faire trouer le nez tester, mais pas trouer la privacité voir mes données partir n'importe où.

        C'est comme pour la vente lié: un bon PC oui, mais sans Windows dedans.

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

        • [^] # Re: Refuser le test

          Posté par  (site web personnel) . Évalué à -10. Dernière modification le 17 décembre 2021 à 17:47.

          En effet c'est dur de mettre un doigt dans l'engrenage de cette mascarade qu'on nous sert depuis 2 ans sans y laisser un bras.

          Le totalitarisme c'est tout ou rien ! Et ses collaborateurs modérés finissent toujours dévorés par le système qu'ils ont contribué à installer.

        • [^] # Re: Refuser le test

          Posté par  . Évalué à 5.

          Oui, je ne te dis pas qu'il faut absolument le faire sinon tu es un néo-facho-nazi-crypto-communiste. Je répondais au message du dessus en disant qu'il faut quand même réfléchir aux conséquences possibles quand on décide de ne pas le faire.

          Malheureusement je ne crois pas qu'il y ait de "bonne" solution pour toi.

        • [^] # Re: Refuser le test

          Posté par  (site web personnel) . Évalué à 2.

          Chez moi on peut acheter un test en pharmacie et le réaliser sois-même en privé sans en partager le résultat avec qui que ce soit.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Opposition aux données

    Posté par  . Évalué à 2.

    Et bien je tombe des nues… Je croyais que c'était l'APHP qui gérait ça… Et c'est bien le cas mais c'est plus subtil:
    (extrait d'un article de journal)

    Selon plusieurs documents transmis aux laboratoires par l’Assistance publique-Hôpitaux de Paris (AP-HP) – qui hébergera la base de données – que nous avons pu consulter, les autorités prévoient aussi que ce fichier abonde, de manière « pseudonymisée », le Health Data Hub, la controversée plate-forme d’analyse de données médicales.
    Super…

    Et concernant le refus (toujours dans le même journal)

    Pour Contact Covid comme pour le Sidep, les modalités exactes du droit de refus à ce que des données personnelles y figurent – que prévoit sous certaines conditions le droit européen – seront déterminées par décret.

    Cependant, selon les documents que nous avons pu consulter, certaines données figureront obligatoirement dans le Sidep : le nom, le sexe, la date de naissance, l’adresse, le numéro de téléphone du malade, mais aussi son type de résidence (habitat individuel, personne hospitalisée…) et d’activité (professionnel de santé ou non). D’autres données, comme la date d’apparition des premiers symptômes, l’adresse électronique ou le lieu de naissance, pourront ne pas être versées au fichier. Enfin, les patients pourront s’opposer à ce que leurs données soient utilisées à des fins de recherche dans le cadre du Health Data Hub.
    Bon et bien je vais partir à la pèche aux décrets (si quelqu'un a, je suis preneur!)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.