Les JO, les QR-code et le GDPR
Je pensais bêtement que les papiers d'identité et un contrôle de police par des agents assermentés étaient suffisants pour assurer la sécurité dans l'espace public.
La délicate alerte envoyée hier soir vers 20h a sonné comme un clairon m'enjoignant de jeter un coup d'œil sur ce qui nous attend. Et peut-être pas que pour les JO.
Certains se sont probablement habitué aux QR-code et leur révocation, ou ne pas en avoir et avoir ses droits limités, car avec les Jeux Olympiques on a droit au retour tant attendu si pas espéré de ce moyen de contrôle de la population et de traçage de ses déplacements à chaque vérification.
Évidemment, tout cela est bien heureusement "dématérialisé" en newspeak, ce qui en bon français se traduit par le fait que vous devez avoir un smartphone sur vous à tout moment dans les zones ou pour y entrer. Sans que ça soit clair il devrait être possible d'utiliser une copie imprimée.
Mais il y a un bonus inattendu, c'est pass-jeux.gouv.fr et plus précisément sa politique de confidentialité du 10 avril 2024 (version 1).
On y découvre que des données personnelles sont transmises à "l'organisateur" sans préciser quel en est l'entité juridique, que les données seront effacées "trois mois à compter de la fin de l’événement" sans aucune précision sur l'évènement ni sa date de fin, et surtout ni quelles données seront transmises ni à quels processeurs ou sous-processeurs, ce qui est pourtant la base légale établie par le GDPR.
Plus amusant, pour accéder à ses informations ou les faire effacer en application du GDPR, il faut envoyer une copie d'une pièce d'identité par email: ce n'est pas un moyen de transfert avec une sécurité garantie, et pire ce document d'identification personnel va se retrouver dans différents serveurs, certains étrangers, dans des logiciels clients aussi ou dans le cache du navigateur, sans aucun contrôle exerçable là-dessus.
Pour terminer, ce QR-code sera aussi transmis par email, la cerise sur le gateau insécuritaire...