Ouverture d’un Dossier de Soins Partag\u00e9s<\/h2>\n
\u00c0 Luxembourg, il y a eu 2 mani\u00e8res, \u00e0 ma connaissance, de recevoir une invitation \u00e0 l’ouverture d’un DSP : apr\u00e8s avoir suivi un parcours sant\u00e9 de type consultation d’un sp\u00e9cialiste, ou hospitalisation, le m\u00e9decin peut en faire la demande pour vous ; ou plus r\u00e9cemment syst\u00e9matiquement car la chose se g\u00e9n\u00e9ralise au niveau du Grand-Duch\u00e9.<\/p>\n
J’ai donc re\u00e7u aujourd’hui un courrier de l’Agence eSant\u00e9 Luxembourg<\/a> me pr\u00e9sentant l’entr\u00e9e en vigueur d’un r\u00e9glement Grand-Ducal dans un premier temps, puis la gratuit\u00e9 du service dans un second temps. Ce n’\u00e9tait pas sans me rappeler le hame\u00e7onnage \u00e0 la sauce Caisse de Retraite qui vous font croire qu’en ouvrant une micro-entreprise en France vous avez l’obligation de souscrire \u00e0 leur caisse. M\u00eame structure de texte, m\u00eame sentiment d’arnaque.<\/p>\n Le premier contact se fait par courrier postal. Surprise et d\u00e9couverte : je n’ai jamais fait de demande pour ce type de dossier, et n’ayant aucune confiance en les outils gouvernementaux, je n’\u00e9tais pas rassur\u00e9 de savoir qu’un dossier avait \u00e9t\u00e9 cr\u00e9\u00e9 \u00e0 mon nom, et d\u00e9j\u00e0 publi\u00e9 sur leur syst\u00e8me.<\/p>\n Mais peu importe, la vraie question c’est\u00a0 : pourquoi m’envoyer un courrier avec une cl\u00e9 d’activation et la cl\u00e9 de pr\u00e9sence \u2014c’est la cl\u00e9 que vous partagez au personnel de sant\u00e9 pour lui donner acc\u00e8s \u00e0 votre dossier\u2014 dans le m\u00eame courrier ? Non, le courrier postal n’est pas une mani\u00e8re s\u00e9curis\u00e9e de faire transiter une information suppos\u00e9e s\u00e9curiser un espace en ligne. Je dirais presque moins s\u00e9curis\u00e9e qu’une adresse e-mail, mais \u00e7a d\u00e9pend certainement de votre sensibilit\u00e9 vis \u00e0 vis de votre propre s\u00e9curit\u00e9 en ligne.<\/p>\n Mais passons \u00e0 la suite, il y a certainement une mani\u00e8re de s\u00e9curiser l’activation du dossier en ligne qui m’\u00e9chappe pour le moment. M\u00eame si ces premi\u00e8res \u00e9tapes ne me donnent pas confiance.<\/p>\n Je tape donc https:\/\/esante.lu<\/a> et je tombe sur, une page morte<\/strong>. Je v\u00e9rifie sur le courrier re\u00e7u, il est bien mentionn\u00e9 esante.lu\u2026 Ah non, pardon, www.esante.lu. Cette fois cela fonctionne avec les www. On est en 2020 les loulous, il serait temps de prendre en compte ce crit\u00e8re ergonomique simple de rendre accessible votre site web avec ou sans www<\/a>. Je tombe alors sur ce site web. Mais pour le moment aucun risque pour moi, je continue en cherchant l’acc\u00e8s Patient. Je demande un acc\u00e8s et je me fais rejeter car je n’ai pas accepter les conditions d’utilisations. Ha ! Je n’avais pas vu la case \u00e0 cocher (ergonomie tout \u00e7a\u2026). Du coup je prends le temps de lire les conditions d’utilisation\u2026 Eh oui, je suis comme \u00e7a.<\/p>\n La perte de sa qualit\u00e9 de Professionnel de sant\u00e9, Patient ou Agent de Sant\u00e9 entra\u00eene pour l\u2019Utilisateur la perte de son droit d\u2019acc\u00e8s respectivement comme Professionnel de sant\u00e9, Patient ou Agent de Sant\u00e9.<\/p><\/blockquote>\n Ok, donc sur des crit\u00e8res propres \u00e0 l’Agence de sant\u00e9, en plus de me cr\u00e9er mon espace sans me demander mon avis, je peux prendre le risque de stocker des informations de sant\u00e9 en ligne, donner acc\u00e8s \u00e0 des professionnels, et me faire jeter de mon acc\u00e8s selon des crit\u00e8res obscures. Je ne sais pas ce que \u00e7a donne d’un point de vue respect des directives europ\u00e9ennes sur l’acc\u00e8s aux donn\u00e9es me concernant, mais \u00e7a m’a fait froid dans le dos de lire cela.<\/p>\n Nous ne sommes clairement plus ici sur une illusion de s\u00e9curit\u00e9, car il n’y a pas de risque, mais il n’y a plus d’illusion non plus, il n’y a qu’un sentiment de malaise et d’ins\u00e9curit\u00e9, entre le design visuel du site, les erreurs techniques et les conditions d’utilisation.<\/strong><\/p>\n Je continue \u00e0 avancer, parce que pour le moment je souhaite juste acc\u00e9der \u00e0 mon espace priv\u00e9 pour voir quelles donn\u00e9es sont d\u00e9j\u00e0 enregistr\u00e9es et diffus\u00e9es sans mon accord.<\/p>\n Je parcours le formulaire d’entr\u00e9e, plut\u00f4t simple sur les premi\u00e8res \u00e9tapes, et je me rends compte que celui ci n’est pas accessible (cliquer sur un label ne me fait pas rentrer dans le champs \u00e0 remplir), je plains les personnes en situation de handicap, que j’imagine bien plus concern\u00e9es que moi par l’acc\u00e8s \u00e0 ce type de service. Soit dit en passant : encore un site du Gouvernement Luxembourgeois pas accessible. Mais passons, je sais aujourd’hui qu’il y a des gens biens qui travaillent sur cet aspect !<\/p>\n La premi\u00e8re \u00e9tape propose un Captcha. Je vous laisse lire cet article sur le sujet<\/a> pour m’\u00e9viter de vous r\u00e9sumer cela par \u00ab\u00a0c’est de la merde\u00a0\u00bb.<\/p>\n La deuxi\u00e8me \u00e9tape me propose de taper un mot de passe. Aucun moyen de savoir ce que j’ai \u00e9crit et je me suis tromp\u00e9 une premi\u00e8re fois. D’autant plus qu’\u00e0 Luxembourg, tu as vite fait de passer d’un clavier AZERTY, \u00e0 un clavier QWERTY ou QWERTZ. Passons \u00e0 nouveau sur l’ergonomie, n’est-ce pas.<\/p>\n En troisi\u00e8me \u00e9tape je dois rentrer mon num\u00e9ro de t\u00e9l\u00e9phone pour s\u00e9curiser mon espace. Alors l\u00e0 c’est la grosse blague, car si je suis un \u00ab\u00a0man in the middle<\/em><\/span>\u00a0\u00bb qui a intercept\u00e9 le courrier, jusque l\u00e0 je peux facilement passer ces \u00e9tapes en \u00e9tant le \u00ab\u00a0hacker\u00a0\u00bb.<\/p>\n Je pense que je me suis tromp\u00e9 dans mon num\u00e9ro de t\u00e9l\u00e9phone, car je n’ai jamais re\u00e7u de SMS. J’aurais bien v\u00e9rifi\u00e9 quel t\u00e9l\u00e9phone j’ai entr\u00e9, mais je ne peux pas, il est remplac\u00e9 par des ast\u00e9risques :<\/p>\n Je souhaite revenir en arri\u00e8re, mais je ne peux pas non plus : ergonomie de merde s\u00e9rieux !<\/p>\n Oblig\u00e9 de tout recommencer. Cette fois le num\u00e9ro de t\u00e9l\u00e9phone semble \u00eatre le bon. J’arrive \u00e0 l’\u00e9tape 4 \u00ab\u00a0autres moyens d’authentification\u00a0\u00bb qui me permet de connecter mon compte \u00e0 un service fort d’authenfication double facteur. Cette \u00e9tape est optionnelle\u2026 Ok, je passe \u00e0 l’\u00e9tape suivante sans ajouter ce moyen d’authentification, car s’il est optionnel c’est clairement que tout le reste est purement illusoire. Ce site web n’est pas s\u00e9curis\u00e9. Ma seule envie est de v\u00e9rifier ce qui est en ligne et le supprimer.<\/p>\n Derni\u00e8re \u00e9tape, je peux me connecter. Donc jusque l\u00e0 une personne qui a intercept\u00e9 mon courrier peut se connecter \u00e0 ma place et g\u00e9rer mon espace. Puisque cette personne aura mis son num\u00e9ro de t\u00e9l\u00e9phone et que c’est le seul moyen n\u00e9cessaire mis en place pour s’authentifier.<\/p>\n Sur mon espace priv\u00e9, je retrouve mon nom complet avec mes diff\u00e9rents pr\u00e9noms, un moyen de changer les informations d\u00e9j\u00e0 renseign\u00e9es. Mais aucun moyen de supprimer mon espace ni ces informations.<\/p>\n En ouvrant mon dossier, je me rends compte que celui-ci est ouvert par d\u00e9faut ce qui est en contradiction avec les informations pr\u00e9c\u00e9dentes donn\u00e9es ci et l\u00e0 qui me demandaient d’activer le dossier pour l’ouvrir. J’ai donc demand\u00e9 \u00e0 le fermer et j’en ai profit\u00e9 pour demander une cl\u00f4ture et un retrait des informations me concernant de ce site web, comme le pr\u00e9voit la r\u00e9glementation.<\/p>\n Le principe de l’illusion est de faire croire en quelque chose par les apparences pour vous leurrer, volontairement ou involontairement. On adore cela lorsqu’il s’agit de spectacles de magie, beaucoup moins lorsqu’il s’agit de mensonge sur la qualit\u00e9 d’un produit.<\/p>\n Le probl\u00e8me quand il s’agit de s\u00e9curit\u00e9, c’est qu’une illusion vous ins\u00e9curise totalement. Prenons par exemple la situation de COVID19 actuelle : certains d’entre vous portez des gants, et avez l’illusion d’\u00eatre prot\u00e9g\u00e9s gr\u00e2ce \u00e0 eux. J’ai vu certains d’entre vous porter des gants, toucher des objets, toucher votre nez, vos yeux, retoucher votre t\u00e9l\u00e9phone, prendre une pomme sur une \u00e9tale dans un supermarch\u00e9. Au final vous pensez \u00eatre prot\u00e9g\u00e9s donc vous faites n’importe quoi et en oubliez les gestes essentiels. Quand il s’agit de la s\u00e9curit\u00e9 \u2014mais \u00e7a marche aussi dans le domaine de l’ergonomie web ou l’exp\u00e9rience utilisateur\u2014 il y a des patterns ou des a priori qui vous font croire en un syst\u00e8me s\u00e9curis\u00e9 (comme l’histoire des gants), mais qui appliqu\u00e9s n’importe comment ne sont qu’illusion. Pour reprendre l’exp\u00e9rience pr\u00e9c\u00e9dente, voici certains de ces a priori.<\/p>\n \u00ab\u00a0Utiliser un courrier postal permet de s’assurer de l’identit\u00e9 de la personne\u00a0\u00bb : c’est faux. Puisque il y a plusieurs interventions humaines entre l’\u00e9mission et la r\u00e9ception, il y a autant de risque d’erreur, ou de \u00ab\u00a0man in the middle<\/a>\u00a0\u00bb qui intercepterait la communication.<\/p>\n De m\u00eame faire transiter en m\u00eame temps un identifiant et un mot de passe, ou ici un code d’activation qui est le seul n\u00e9cessaire pour s’authentifier est un tr\u00e8s gros risque.<\/p>\n Alors comment fallait-il faire pour s\u00e9curiser \u00e0 cette \u00e9tape ?<\/strong><\/p>\n Lorsque vous souhaitez mettre en place une double authentification par t\u00e9l\u00e9phone, demander le num\u00e9ro de t\u00e9l\u00e9phone alors que vous n’\u00eates pas certain de l’identit\u00e9 de la personne est contre-productif. En effet, dans mon r\u00e9cit d’exp\u00e9rience pr\u00e9c\u00e9dent, partant du principe qu’une tierce personne a intercept\u00e9 mon courrier, demander un num\u00e9ro de t\u00e9l\u00e9phone \u00e0 cette personne ne sert \u00e0 rien, elle ne me rendra pas acc\u00e8s \u00e0 mon espace alors vol\u00e9.<\/p>\n Alors comment fallait-il faire pour s\u00e9curiser cette \u00e9tape ?<\/strong><\/p>\n Une autre chose que vous avez certainement remarqu\u00e9 lors de mon exp\u00e9rience avec eSant\u00e9 \u00e9tait mes doutes initiaux et ma perte de confiance au fur et \u00e0 mesure du parcours. Plusieurs choses ont perturb\u00e9 mon parcours et \u00e9rod\u00e9 ma confiance :<\/p>\n Un ami m’a dit avoir activ\u00e9 son dossier et n’avoir jamais r\u00e9ussi \u00e0 l’utiliser pour y glisser des documents. D’apr\u00e8s ce qu’il m’a dit, aucun m\u00e9decin n’a jamais r\u00e9ussi \u00e0 l’utiliser non plus puisqu’il n’a jamais retrouv\u00e9 aucun document dedans.<\/p>\n Pour moi c’est parfait : un projet qui a certainement d\u00fb co\u00fbter beaucoup d’argent \u00e0 Grand-Duch\u00e9 et qui n’est ni accessible ni suffisant ergonomique pour \u00eatre utilisable, et qui en plus n’est pas s\u00e9curis\u00e9. Je ne perds rien \u00e0 avoir demand\u00e9 la fermeture du dossier et la suppression de mes donn\u00e9es personnelles.<\/p>\n Je suis persuad\u00e9 que ce projet de dossier m\u00e9dical centralis\u00e9 peut \u00eatre d’une pr\u00e9cieuse aide pour la transmission d’informations entre les professionnels de sant\u00e9, mais avec un tel projet pilote, fort \u00e0 parier que l’adoption et les \u00e9volutions vont \u00eatre tr\u00e8s compliqu\u00e9es.<\/p>\nIllusion de la s\u00e9curit\u00e9 : le courrier postal<\/h3>\n
![\"La](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esante-luxembourg-courrier@2x.jpg\")
<\/p>\n
\nIl y a 2 jours j’ai re\u00e7u le courrier de mon voisin dans ma bo\u00eete \u00e0 lettres, ce qui veut dire que potentiellement une autre personne aurait pu recevoir mes 2 codes, en m\u00eame temps, par erreur.<\/p>\nIllusion de la s\u00e9curit\u00e9 : Le site web esante.lu<\/h3>\n
\nConnaissant techniquement ce qu’il suffit de faire pour prendre cela en charge, j’ai encore moins confiance en leur site web et la qualit\u00e9 du code qui est cens\u00e9 s\u00e9curiser mon espace sant\u00e9.<\/p>\n![\"Design](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esante-design.jpg\")
<\/p>\n
\nJe vous avoue que j’ai rev\u00e9rifi\u00e9 l’URL \u00e9crite sur mon courrier en voyant le design. Cens\u00e9 \u00eatre un site web pour un service relativement r\u00e9cent, j’ai eu l’impression de tomber sur un outil datant des ann\u00e9es 2009, \u00e0 l’\u00e9poque o\u00f9 j’ai commenc\u00e9 \u00e0 bosser dans le domaine, ce style commen\u00e7ait d\u00e9j\u00e0 \u00e0 \u00eatre d\u00e9pass\u00e9, et me rappelle cruellement les sites web cod\u00e9s avec les pieds o\u00f9 la s\u00e9curit\u00e9 laissait elle aussi \u00e0 d\u00e9sirer.<\/p>\n
\nBon point, la page d’activation m’explique les prochaines \u00e9tapes, mais le fait que je puisse me connecter avec mon num\u00e9ro de s\u00e9curit\u00e9 social et le code re\u00e7u par courrier ne me rassure pas : deux informations relativement facile \u00e0 obtenir qui permettraient d’acc\u00e9der \u00e0 un dossier d\u00e9j\u00e0 disponible sur leur site.<\/p>\nIllusion de la s\u00e9curit\u00e9 : l’espace priv\u00e9<\/h3>\n
![\"Processus](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esant-luxembourg-securite-1-b.jpg\")
<\/p>\n![\"Etape](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esant-luxembourg-securite-2.jpg\")
<\/p>\n![\"Demande](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esant-luxembourg-securite-3-b.jpg\")
<\/p>\n![\"Le](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esant-luxembourg-securite-3-message.jpg\")
<\/p>\n
\nOPTIONNELLE !? La seule \u00e9tape s\u00e9curisante de votre processus est une \u00e9tape optionnelle ?<\/p>\n![\"La](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esant-luxembourg-securite-4.jpg\")
<\/p>\n![\"\"](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esant-luxembourg-securite-dossier-ouvert.jpg\")
<\/p>\n![\"\"](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2020\/04\/esant-luxembourg-securite-dossier-ferme.jpg\")
<\/p>\nQu’est-ce que l’illusion de la s\u00e9curit\u00e9 ?<\/h2>\n
\nAu final vous avez utilis\u00e9 un pattern connu de sp\u00e9cialiste de sant\u00e9 (porter des gants), et mis de c\u00f4t\u00e9 de qui vous prot\u00e8ge vraiment, \u00e0 savoir votre conscience, votre connaissance et votre attention aux gestes de s\u00e9curit\u00e9.<\/p>\nPenser que le courrier est un moyen s\u00e9curis\u00e9<\/h3>\n
\n
Penser que demander un num\u00e9ro de t\u00e9l\u00e9phone est suffisant<\/h3>\n
\n
\n
L’exp\u00e9rience utilisateur et la s\u00e9curit\u00e9<\/h3>\n
\n
Les gens parlent<\/h3>\n