Les mandats de vaccination deviennent de plus en plus urgents de la part des responsables de la santé publique et de divers gouvernements. Au fur et à mesure de leur déploiement, nous devons protéger les utilisateurs de passeports vaccinaux et ceux qui ne souhaitent pas utiliser – ou ne peuvent pas utiliser – un moyen numérisable numériquement pour prouver la vaccination. Nous ne pouvons pas laisser les outils utilisés pour lutter pour la santé publique être subvertis en systèmes pour perpétuer l'iniquité ou pour couvrir une collecte de données inutile et sans rapport.
Au cours de l'année écoulée, l'EFF a suivi les propositions de passeport vaccinal et la manière dont elles ont été mises en œuvre. Nous avons des objections, en particulier lorsqu'il est déployé par des entreprises technologiques opportunistes qui créent déjà des inégalités numériques et gèrent mal les données des utilisateurs . Nous espérons pouvoir les empêcher de se transformer en une autre couche de suivi des utilisateurs.
Une preuve de vaccination papier soulève moins de problèmes, tout comme une photo numérique d'une carte papier affichée sur un écran de téléphone. Les informations d'identification de vaccination numérisables, qui pourraient être utilisées pour suivre les mouvements physiques des personnes à travers les portes et dans le temps, sont beaucoup plus préoccupantes. Ainsi, nous nous opposons à toute utilisation de justificatifs de vaccination scannables. Au minimum, ces systèmes doivent avoir une alternative papier, un code source ouvert et des garanties de conception et de politique pour minimiser le risque de suivi.
L'année dernière, des « passeports d'immunité » ont été proposés et parfois mis en œuvre avant même que la science ne soit bien développée sur l'immunité et la vaccination contre le COVID-19. De nombreux gouvernements et entreprises privées étaient apparemment moins motivés par la santé publique et la science informées, que par la nécessité de promouvoir le mouvement économique. Certaines organisations et gouvernements en ont même profité pour créer un nouveau système de vérification numérique pour les vaccinés. La transparence et la protection nécessaires ont fait défaut, et il y a donc des limites claires pour les empêcher de dégénérer en un système de surveillance inutile. Même si nous reconnaissons que de nombreux systèmes d'accréditation des vaccins ont été mis en œuvre de bonne foi, vous trouverez ci-dessous plusieurs exemples de faux pas dangereux qui, nous l'espérons, ne se reproduiront pas.
Pass Excelsior de l'État de New York
Lancée en avril, cette application mobile optionnelle a été progressivement adoptée. Trois problèmes clés sont apparus avec ce déploiement.
Premièrement, IBM n'a pas été transparent sur la façon dont cette application a été construite. Au lieu de cela, l'entreprise a utilisé de vagues mots à la mode comme « technologie blockchain » qui ne brossent pas un tableau détaillé de la façon dont ils protègent les données des utilisateurs.
Deuxièmement, le Surveillance Technology Oversight Project (STOP), membre de l'Electronic Frontier Alliance, a découvert un contrat que l'État de New York avait avec IBM, décrivant une «phase 2» du passeport. Il aurait non seulement un prix nettement plus élevé (2,5 à 17 millions de dollars), mais une extension de ce que Excelsior peut contenir, comme les permis de conduire et autres dossiers médicaux.
Troisièmement, un projet de loi a été déposé pour protéger les données de Covid un mois après le lancement de l'Excelsior Pass. Il a été adopté par l'Assemblée de l'État de New York, mais n'a jamais été repris par le Sénat de l'État de New York. Les protections auraient dû passer avant que l'État ne déploie l'Excelsior Pass.
Une voie « claire » pour centraliser les informations d'identification de vaccination avec d'autres données personnelles
CLEAR affiche un slogan d'entreprise à l'aéroport de San Francisco.
CLEAR occupe déjà une place dans les principaux aéroports des États-Unis en tant que seule entreprise privée du programme de voyageur enregistré de la TSA. Cette entreprise était donc prête à lancer son Pass Santé , qui vise à faciliter le dépistage du Covid en liant les données de santé à l'identification numérique biométrique. Le modèle commercial original de CLEAR est né d'une précédente ruée vers la sécurité, dans un monde post-11 septembre. Maintenant, ils sont là pour la prochaine tâche de sécurité précipitée : la vérification de la vaccination pour le voyage. Selon les mots de la responsable des affaires publiques de CLEAR, Maria Comella, à Axios :
« La plate-forme d'identité biométrique de confiance de CLEAR est née du 11 septembre pour aider des millions de voyageurs à se sentir en sécurité lorsqu'ils volent. Désormais, la technologie sans contact de CLEAR est capable de connecter l'identité à des informations sur la santé pour aider les gens à se sentir en confiance lorsqu'ils retournent au bureau.
Une application de réservation de restaurant, OpenTable , vient d'annoncer son intention d'intégrer les informations d'identification de vaccination de CLEAR dans son propre système. Il n'y a pas de limite logique à la façon dont les identifications numériques centralisées comme celles créées par CLEAR pourraient se répandre dans nos vies en facilitant la preuve de la vaccination, et avec elle de nouveaux vecteurs pour suivre nos mouvements et nos activités.
Bien sûr, CLEAR n'est pas la seule entreprise à attirer ouvertement de grands clients gouvernementaux pour fusionner des systèmes de preuve de vaccination numérisables dans des systèmes d'identification numérique et de stockage de données plus grands. Par exemple, le National Healthcare System au Royaume-Uni a passé un contrat avec Entrust, une autre entreprise qui envisageait ouvertement de transformer les informations de vaccination en systèmes d'identification nationaux (ce à quoi l'EFF s'oppose ). En l' absence de lois fédérales protégeant adéquatement la confidentialité de nos données, on nous demande de faire confiance à la parole des entreprises à but lucratif qui continuent de croître en collectant et en monétisant nos données sous toutes leurs formes.
De même, les compagnies aériennes américaines utilisent des passeports vaccinaux, soumis à des politiques qui réservent la prérogative de l'entreprise de vendre des données sur les clients à des tiers. Ainsi, toute analyse des informations sur la santé des passagers peut être ajoutée aux profils des milliers de personnes qui voyagent chaque année.
Approche de l'Illinois
Dans l'Illinois au début du mois, le système « Vax Verify » de l'État a été lancé pour offrir des informations d'identification numériques aux citoyens vaccinés. Une faille flagrante est l'utilisation d'Experian, le courtier de données controversé , pour vérifier l'identité de ceux qui accèdent au portail. Le portail demande même des numéros de sécurité sociale (facultatif) pour rationaliser le processus avec Experian.
De nombreux Américains ont été la cible d' escroqueries basées sur Covid , donc l'un des principaux conseils est de geler votre crédit pendant cette période mouvementée. Ces conseils sont offerts sur le site Web d' Experian , par exemple. Cependant, pour accéder à Vax Verify de l'Illinois, les utilisateurs doivent débloquer leur crédit avec Experian pour terminer l'enregistrement. Cela donne la priorité aux informations d'identification de vaccin numériques sur la propre protection de crédit de l'utilisateur.
Par défaut, le système partage également le statut de vaccination avec des tiers. La page FAQ explique que les utilisateurs peuvent révoquer rétroactivement le soi-disant « consentement » à ce partage.
Une nouvelle injustice
Nous avons eu des inquiétudes au sujet des « passeports vaccins » et des « passeports d'immunité » utilisés pour faire passer les bénéfices des entreprises au-dessus de véritables solutions de santé communautaire et amplifier les inégalités.
Malheureusement, nous en avons vu beaucoup prendre le mauvais chemin. Et ça pourrait empirer. Avec plus d' une centaine de candidats vaccins COVID-19 en cours d'essais cliniques à travers le monde, les fabricants de ces nouveaux systèmes numériques plaident pour une « chaîne de confiance » qui marque uniquement certains laboratoires et établissements de santé comme valides. Ce nouveau marqueur laissera délibérément derrière lui de nombreuses personnes à travers le monde dont les systèmes pourraient ne pas être en mesure de respecter les exigences créées par ces nouveaux systèmes numériques d'épreuve des vaccins. Par exemple, bon nombre de ces nouveaux systèmes comportent des éléments de gouvernance d' infrastructure à clé publique pour la cryptographie à clé publique, qui crée une liste de clés publiques « de confiance » associées à des laboratoires de santé « de confiance ». Mais la définition de la "fiabilité" technique n'a pas été convenue ou appliquée avant Covid, ce qui fait craindre que l'imposition de tels systèmes dans le monde empêche des centaines de millions de personnes d'obtenir des visas ou même de voyager, tout cela parce que leur pays les laboratoires peuvent ne pas surmonter ces obstacles techniques inutiles. Un exemple serait le système de certificat numérique COVID de l' UE . Cela nécessite une liste importante d'exigences techniques pour atteindre l'interopérabilité, notamment la disponibilité des données, les formats de stockage des données et des protocoles de communication et de sérialisation des données spécifiques.
Aperçu du système de certification numérique COVID de l'UE. Source : https://ec.europa.eu/health/sites/default/files/ehealth/docs/digital-green-certificates_v5_en.pdf
Cette dépendance principale à l'égard des passeports numériques repousse efficacement la présentation d'options papier pour les voyages internationaux et potentiellement les voyages nationaux. Ils dévalorisent le papier en tant que vérification appropriée de la preuve de vaccination, car le vérificateur ne peut pas scanner une clé publique. La seule option papier viable consiste à imprimer le code QR du justificatif d'identité vérifié numériquement, qui verrouille toujours les personnes dans ces nouveaux systèmes de vérification.
Ces nouveaux systèmes basés sur la confiance, s'ils sont mis en œuvre d'une manière qui disqualifie automatiquement les personnes qui ont reçu de véritables vaccins, auront des effets désastreux pour les années à venir. Il met en place un monde où certaines personnes peuvent se déplacer facilement, et ceux qui ont déjà eu du mal avec les visas connaîtront un autre mur à gravir. Les vaccins devraient être un outil pour rouvrir les portes. Les passeports vaccinaux numériques, tels que nous les avons vus déployés jusqu'à présent, sont beaucoup plus susceptibles de les fermer.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/08/vaccine-passport-missteps-we-should-not-repeat le Tue, 31 Aug 2021 15:58:41 +0000.