GuiGui's Show

Via les listes de FDN.

Le Dossier médical partagé (DMP, ex-Dossier médical personnel) est l'une des composantes de Mon espace santé, sur lequel j'ai donné mon avis ici.

Il y a quelques mois, des médias ont annoncé que les médecins seraient bientôt obligés de consulter et de compléter le DMP. C'était dans le cadre du projet de loi de financement de la sécu pour 2026. J'attendais donc son adoption pour voir de quoi il en retourne, étant donné que les médias ne font jamais de suivi.

D'abord, les médecins ont une obligation de report dans le DMP depuis pas mal de temps. C'est le L1111-15 du Code de la santé publique (CSP). Le verbe « doit » a été introduit par l'article 98 de la loi 2020-1525 sur l'accélération et la simplification de l'action publique, avec prise d'effet en décembre 2020. Rien n'est précisé si le patient a refusé le DMP, mais a priori, personne n'est responsable des actions d'autrui.

De même, les prestations « particulièrement coûteuses » ou à « risque de mésusage » (de qui ?) sont prises en charge par la sécu uniquement si le médecin prescripteur montre qu'il a consulté le DMP ou qu'il respecte les indications ouvrant droit au remboursement. Déclaration via un téléservice 😮️ (parce qu'un docteur n'a que ça à foutre…). Il s'agit du L162-1-7-1 du Code de la sécurité sociale (CSS) introduit par l'article 48 de la loi 2025-199 de financement de la sécu pour 2025, avec entrée en vigueur en janvier 2026.

On est donc sur une tendance longue, de fond.

Ensuite, l'article 85 du projet de loi de financement de la sécu pour 2026 (PLFSS 2026) prévoit :

• les établissement de santé (au sens large) doivent mettre en œuvre les moyens (matériels, organisationnels, et d'information) permettant à leurs professionnels de santé de respecter leur obligation de report dans le DMP. L'idée est ici de faire évoluer les logiciels informatiques ;
  
  
• tous les professionnels de santé, y compris libéraux, peuvent faire l'objet d'une pénalité financière en cas de non-report dans le DMP ou, pour les établissements, en cas de manquement à l'obligation du 1er point. Pénalité décidée par l'organisme local de la sécu, et affectée au budget de la sécu. Modalités dans un décret. Aucune précision pour le cas où le patient a refusé le DMP. Il s'agit donc d'un renforcement de l'obligation déjà prévue au L1111-15 CSP (cf. supra) ;
  
  
• tous les professionnels de santé peuvent faire l'objet d'une pénalité financière en cas de non-consultation du DMP avant la prescription d'une prestation « particulièrement coûteuse » ou à « risque de mésusage » (liste définie par arrêté). Modalités dans un décret. Aucune précision pour le cas où le patient a refusé le DMP. Il s'agit donc d'une transformation de la disposition déjà prévue au L162-1-7-1 CSS (cf. supra) : on bascule d'un non-remboursement fondé sur deux critères alternatifs vers une obligation couplée à une pénalité.

Enfin, dans sa décision 2025-899 DC (points 98 et 102), le Conseil constitutionnel a retoqué l'article 85 du PLFSS 2026. Donc, à ce jour, ne restent que les dispositions décrites au début (« D'abord »).

Néanmoins, la censure du Conseil intervient uniquement sur la forme, au motif que ces dispositions n'ont pas un lien suffisamment avéré avec l'objet d'une loi de financement de la sécu (on parle de « cavalier législatif »). Dit autrement : le Conseil constitu ne se prononce pas sur le fond. À l’accoutumée, de telles dispositions reviennent toujours.

À la fin de chaque page d'un site web marchand, je lis « Vos derniers produits vus ». J'y trouve un produit que j'ai effectivement zieuté il y a plus d'une semaine.

Je me demande le fonctionnement technique sous-jacent puisque j'ai refusé les cookies dudit site (avec uBlock Origin et ses listes dédiées) et que, de toute façon, l'extension Cookie AutoDelete les a supprimés dès que j'ai fermé l'onglet (il y a plus d'une semaine, donc).

Depuis l'onglet « Réseau » des « Outils de développement web » de Firefox, et avec l'aide de sa fonctionnalité de blocage d'URLs, j'identifie assez vite le JavaScript responsable. Évidemment, il a été rendu illisible par l'éditeur du site web.

Aeris me suggère le local storage. Je suis dubitatif, car je crois avoir configuré Cookie AutoDelete pour purger cet endroit-là aussi. Mais Aeris met indubitablement en évidence des appels au local storage dans le JavaScript précité.

Si je demande à Cookie AutoDelete (CAD) de « Nettoyer le stockage local pour ce domaine », les « derniers produits vus » disparaissent.

Pourquoi CAD ne le fait-il pas tout seul ? Parce que, dans ses paramètres, je n'ai pas coché « Activer le nettoyage du stockage local ». De mémoire, j'ai agi ainsi car, si on l'active, CAD efface alors, à la fermeture d'un onglet, le stockage local pour tous les sites web, et je n'étais pas certain que ça soit indolore.

J'ai donc modifié ma configuration de Cookie AutoDelete pour activer cela. Aucun dysfonctionnement après plusieurs jours.

Évidemment, rien ne sera jamais aussi efficace que le paramètre de Firefox « Supprimer les cookies et les données des sites à la fermeture de Firefox », mais je ferme rarement mon navigateur web (mise en veille aka suspend to ram).

En conclusion, des techniques toujours plus fines sont mises en œuvre pour nous vendre de la merde, et il faut s'en protéger par une vigilance infinie et par des outils et des paramètres toujours plus nombreux et complexes. C'est intenable.

Après la technique, quid de la légalité ?

Comme le rappelle le point 13 des lignes directrices de la CNIL et le point 44 de celles du CEPD, la lecture ou écriture dans le local storage tombe dans le giron de l'article 5(3) de la directive européenne ePrivacy et de sa transposition dans l'article 82 de la loi 78-17 dite Informatique et Libertés.

Or, ces articles disposent que toutes les opérations de lecture / écriture dans le terminal d'un visiteur sont soumises au consentement, sauf si elles visent à effectuer une communication électronique ou si elles sont strictement nécessaires pour fournir un service expressément demandé par le visiteur.

Le caractère intrusif ou non de l'opération n'entre pas en ligne de compte, pas plus que la question de savoir si les données stockées constituent des données à caractère personnel (qui, elles-mêmes, ne se résument pas aux données nominatives) ou non.

En l'espèce, un rappel des produits déjà consultés sous forme d'une recommandation ne concourt pas à transmettre une communication électronique et il ne découle pas strictement d'un service que j'aurais expressément demandé.

En conclusion, l'éditeur du site web aurait dû recueillir mon consentement pour écrire et lire dans mon stockage local, ce qu'il n'a pas fait. Même avec un profil Firefox vierge (sans extensions ni paramètres persos), le site web écrit dans le stockage local avant l'expression du consentement et le refus de tout dans le bandeau cookies ne change rien.

Bien évidemment, lorsqu'une opération de lecture / écriture sur le terminal du visiteur d'un site web est fondée sur le consentement, elle ne peut avoir lieu qu'après l'expression du consentement.

L'éditeur du site web est donc en tort.

Avec du Aeris et du PURR dedans.

Par contre, l'article payant alors qu'il s'agit des propos d'une autre personne, pas d'un travail journalistique, je n'adhère pas, donc article complet ci-dessous. L'emphase est de moi.

Marianne : Pourquoi avez-vous lancé le site « Bonjour la fuite », qui recense les fuites de données signalées en France ?

Aeris : C’est la suite d’un combat que je mène sur le sujet de la protection des données personnelles. Dans les années 2010, j’étais actif dans le logiciel libre. Puis il y a eu, en 2013, l’affaire Edward Snowden [ce lanceur d’alerte qui a dénoncé l’ampleur de l’espionnage numérique américain, N.D.L.R.]. J’ai alors participé à la création des cafés « Vie privée », pour expliquer comment on peut se protéger et ce que les services de renseignement pouvaient faire.

Trois ans plus tard, il y a le Règlement général sur la protection des données (RGPD), un texte vraiment bien. Nous avions de bons espoirs, mais on sentait déjà que cela n’allait pas le faire avec la Cnil [Commission nationale informatique et libertés]. Et en effet, nous avions beau lui signaler des manquements au RGPD, il n’y avait aucune sanction. À quatre, nous avons été ainsi à l’origine de plus de dix mille plaintes. Nous avons décidé de nous regrouper dans une association, PURR (Pour un RGPD respecté), pour faire bouger les choses.

Puis après la fuite « Viamedis », en février 2024, j’ai décidé de faire ce site pour essayer d'attirer l'attention sur ces problématiques. Pour l’alimenter, je m’appuie sur les notifications de violation de données envoyées par des responsables du traitement des données personnelles. Après, c’est également beaucoup de veille sur les réseaux ou les forums de revente de base de données, avec la problématique de qualification des données : il y a quand même pas mal de faux qui circulent aussi.

Quelle est votre analyse sur ce phénomène des fuites de données ?

Il y a deux choses qui se renforcent l'une l'autre. D'un côté, l'absence totale de sanctions de la Cnil, alors que même avant le RGPD, la France était supposée être couverte par une législation quasiment équivalente. Cela n’a pas du tout incité les entreprises à investir dans la sécurité informatique. Nous avons ainsi beaucoup de retours de directeurs de systèmes d’information auprès de notre association, expliquant qu’ils voudraient faire les choses bien mais qu’ils n’ont pas de moyens et que la direction n’écoute pas. Et de l’autre, il y a aussi des moyens d'attaque qui ne sont pas forcément plus efficaces aujourd'hui, mais qui permettent en tout cas de les automatiser. C’est cette conjonction qui fait que de plus en plus de systèmes informatiques sautent.

Pourquoi est-ce que ces fuites de données sont un problème ?

Ces données relatives au nom, prénom, à l’adresse, à l’e-mail ou encore au numéro de téléphone sont surtout utilisées pour faire du hameçonnage ou, quand des pièces d’identité ont fuité, pour des usurpations d’identité. Il y a également des services payants qui ont agrégé des bases de données, c’est littéralement du doxxing [divulgation malveillante d’informations sur une personne] généralisé. C’est donc une vraie perte d’intimité, alors qu'on a pourtant tous quelque chose à cacher. On peut ainsi tous servir de point d’entrée à des criminels pour des fraudes. Et cela facilite aussi les escroqueries au faux conseiller bancaire, quand l’escroc connaît vos derniers achats ou le nom de votre grand-mère. Enfin, cela peut être dramatique dans certains cas : je pense aux enlèvements autour de la crypto.

Ce constat d’une inaction de la Cnil n’est-il pas contredit par les récentes amendes prononcées contre Free ou France Travail, respectivement de 42 et 5 millions d’euros ?

Même si ce sont des gros montants, ces sanctions sont ridicules vu l’ampleur de la catastrophe et la taille des organisations concernées. Et surtout, il n’y a toujours pas d’électrochoc dans le secteur. Les responsables de traitement nous disent qu’il y a toujours peu de risque de prendre une amende. La Cnil, elle, nous reproche de demander des sanctions monstrueuses. Mais nous, ce qu’on demande, ce sont des sanctions justes, dissuasives et surtout plus fréquentes.

[J'aurais plutôt répondu que seules deux entités sur des milliers ont été sanctionnées, pas de quoi sabrer le champagne. Surtout si la CNIL se relâche après ces deux coups médiatiques.]

Si les responsables de traitement n’ont pas l'impression qu'ils risquent une sanction sous un an, ils vont continuer à violer la loi. Et sur ce plan, nous sommes derniers ou avant-derniers en Europe. L’Espagne, par exemple, c’est environ quarante fois plus de sanctions pour un volume de plaintes identiques. Ce n’est pas forcément une question de ressources. Je pense que la Cnil a un vrai problème d'organisation interne et d’outillage, et qu’il y a aussi une volonté politique de ne pas sanctionner les entreprises au nom de la compétitivité.

Sur d’autres sujets équivalents, comme ChatGPT en Italie, d’autres pays ont pris des décisions contraignantes. Mais la Cnil n’a pas bougé, alors qu’elle aurait pu pourtant par exemple imposer un moratoire de trois mois avant ensuite de dire oui ou non. De même, c’est aujourd’hui un enfer pour déposer une plainte auprès de l’autorité administrative indépendante. Cela fait ainsi trois ans que nous demandons en vain la mise en place d’un lien direct en page d’accueil.

Vous êtes à l’origine de nombreux recours devant le Conseil d’État, dont un contre votre ex-employeur. Mais au final, l’absence de résultat pour le moment ne suggère-t-il pas une démarche contre-productive ?

J’en suis à 26 recours devant le Conseil d’État, dont cinq encore en cours, pour un résultat quasiment négatif, à part des remarques sur la qualité de l’instruction de la Cnil et sa célérité – on est censé être informés dans les trois mois après le dépôt d’une plainte. Mais aujourd’hui, nous n’avons pas le choix. Pour attaquer une décision de l’autorité administrative indépendante, le Conseil d’État est le seul compétent. C’est un problème : ce type de contestation devrait plutôt être renvoyée devant le tribunal administratif. Ce serait plus logique, car le Conseil d’État n’a pas du tout l’habitude de traiter des dossiers au fond. À la fin décembre, nous avons ainsi vu une vingtaine de dossiers étudiés dans la même audience. C’était pour faire du chiffre et évacuer nos plaintes plutôt que de nous donner raison ou transmettre nos recours sous la forme d’une question préjudicielle à la Cour de Justice de l’Union européenne.

[Je confirme que toutes les juridictions administratives expédient les dossiers avant l'été et, surtout, avant la fin de l'année, afin, entre autres, de faire du chiffre. C'est ainsi que fonctionne la justice en France. Ça se vérifie dans l'Open Data des juridictions administratives].

Pour plusieurs destinations disposant d'IPv4 et d'IPv6 (fonctionnel, de surcroît), je constate que mon serveur emails Postfix envoie mes courriels en IPv4.

Pour privilégier IPv6, on ajoute ceci dans main.cf :

smtp_address_preference = ipv6
smtp_balance_inet_protocols = yes

(J'utilise la version 3.7 de Postfix, donc la valeur de « smtp_balance_inet_protocols » est déjà « yes » par défaut, donc je pourrais ne pas la spécifier.)

Puis on recharge la configuration : systemctl reload postfix.

Documentation officielle : smtp_address_preference ; smtp_balance_inet_protocols.

La réception d'emails sur IPv6 ou IPv4 est au choix de l'émetteur, le destinataire ne peut pas influer sur ça (sauf en opérant uniquement sur un seul protocole).

La Quadrature du net s'exprime, sur Blast, sur les très nombreuses fuites massives de données à caractère personnel de ces deux dernières années (voir : 1, 2, 16 fuites/jour en 2024, 26/jour sur les neuf premiers mois de 2025), et donc, in fine, sur les manquements à la protection desdites données, qui ont permis ces fuites, commis par toutes les entités (sociétés commerciales, professions libérales, administrations, associations, etc.).

Je partage le constat : toujours plus de traitements de toujours plus de données personnelles et un régulateur, la CNIL, toujours aussi passif, donc ces violations de données étaient hautement prévisibles.

Néanmoins, je trouve que le terme « fichage » est inadapté. En effet, il est connoté fichiers de police et/ou courtiers en données et/ou publicité ciblée et/ou « quand c'est gratuit, c'est toi le produit ». Or, l'ampleur du problème, c'est l'intégralité des traitements de données personnelles, y compris ceux, légitimes, d'une société commerciale sur ses clients, d'une profession libérale sur ses clients, d'une fédération sportive sur ses licenciés, d'une administration sur ses administrés.

En effet, ce qui rend possible les fuites de données et qui en augmente l'impact, c'est l'absence de l'hygiène numérique minimale des entités qui opèrent ces traitements (que l'on nomme des responsables de traitement), c'est l'absence de moyens alloués à la protection des données, c'est l'insuffisante sécurisation des données, c'est la conservation indistinguée de toujours plus de données pour des durées déraisonnables toujours plus longues. Tous les acteurs pratiquent cela, tous.

Derrière toutes les récentes violations de données, on retrouve toujours des durées de conservation hallucinantes (exemple caricatural : Free), l'absence d'authentification multifacteurs (ex. caricatural : le ministère de l'Intérieur), l'absence de limitation du volume de données personnelles qu'un compte peut extraire sur une période donnée (ex. caricatural : Hellowork), l'absence de traçabilité des manipulations sur les données (ex. : Free), l'absence de défense en profondeur (idem), l'absence de formation des intervenants, etc. L'effort minimal n'est pas produit, sans raison valable. Sources : celles pointées au début.

Les guides et recommandations de l'ANSSI et de la CNIL préconisent toutes les bonnes pratiques en ces matières depuis des années. Les associations, sociétés, et administrations se torchent avec dans les grandes largeurs.

Dit autrement, le problème n'est pas uniquement les méchants GAFAM ou le méchant État et/ou le méchant pirate informatique, c'est l'ensemble des entités qui manipulent nos données à caractère personnel. La PME du coin ou l'association sympa font, elles aussi, en permanence, n'importe quoi avec nos données à caractère personnel.

Voilà l'ampleur du problème auquel nous sommes confrontés.

Cessons de nous focaliser sur les cyberattaques, sur les pirates : focalisons-nous sur l'ensemble des entités qui maltraitent nos données à caractère personnel.

Si t'as envie de contribuer à faire bouger les choses, l'association Pour un RGPD respecté t'attend.

+ CHU, docteur, Université : ils répondent à l'enquête 🎤

Centre d'évaluation et de traitement de la douleur (centre antidouleur) = CETD = traitement des douleurs chroniques sans solution.

Au CETD rattaché au CHU de Montpellier :

• Sophrologie, musicothérapie, hypnose, art-thérapie, etc. 😑️

  • Suite à une remarque, je précise : les effets de l'hypnosédation (réduction des sédatifs lors d'une intervention chirurgicale) et du traitement hypnotique du colon irritable sont prouvés, mais pas ceux de l'hypnoanalgésie (traitement de la douleur en général), ni de l'hypnothérapie (psychothérapie). Sources : Inserm 2015, ministère de la santé 2016, Conseil national de l'Ordre des médecins 2023, page 73. Les pratiques précitées à l'œuvre au CETD de Montpellier (sophrologie, etc.) proviennent des propos de son ex-boss en réaction à la vidéo de G Milgram. Dans ce contexte (cf. infra), et vu mon vécu dans lequel mes connaissances m'ont surtout parlé de l'hypnothérapie (soigner un mal-être psychique actuel en fouillant le passé refoulé, blablabla), j'ai présupposé que c'est de cela dont il parle. Même si c'était de l'hypnoanalgésie, ça resterait douteux.

• L'ex-boss, médecin, attribue la cause d'une maladie génétique ou d'une fibromyalgie à un défaut affectif des parents, refoulé, qu'il déduit à partir de questions sur les parents ou des vêtements (exemples : pull rayé noir et blanc = prison = cœur brisé ; tee-shirt Mickey = viol refoulé à l'âge de 9 ans) ou du néant (suppositions pseudo-mentalistes). 😑️ Sa réaction publique à la vidéo est lunaire : aucune plainte, les « patients se protègent dans leur douleur », « il faut casser le blocage [du patient] ». Pour un neurochirurgien spécialiste de la douleur formé par ce médecin : « sa pratique est imprégnée de psychanalyse, les patients, ensuite, adhèrent ou pas ». 😑️

• Un autre docteur, vacataire :

  • Prescrit, sur une ordonnance officielle, de l'homéopathie et des huiles essentielles, et, sur une ordonnance dénuée des mentions obligatoires, du silicium G5 (dont l'inventeur a été condamné pour pratique illégale de la médecine) et des coquilles d'huîtres soi-disant pour « reprogrammer les gènes » de la patiente. 😑️
    
    
  • Pratique la méditation chamanique en criant de manière stridente et en époussetant le dos des patients en claquant des doigts.
    
    

  • Parle, dans ses interventions publiques, de « thérapie quantique », de « soins spirituels », d'une « guérison par la maladie » d'une « vie antérieure » qui « pèse sur l'âme », d'une guérison qui dépend de la « relation à Dieu », « à la spiritualité », à l'équilibre de l'âme.

    • Il prétend, dans sa pratique médicale, « appeler » les huiles essentielles afin de les utiliser sans les sortir de leurs flacons. 🤣️
      
      
    • Il fait référence à la chirurgie psychique ou à la prétendue origine humaine des pyramides de Bosnie. 😑️
      
      
    • Il prétend que « le sage n'a plus besoin de la science », car il s'est émancipé des savoirs.
  • Est désormais à la retraite, il n'enseigne plus à la faculté de médecine de Montpellier (même s'il figurait dans le DU 2026). Il a créé son centre de médecine alternative en Suisse. Sous son titre de médecin, il encadre des retraites de guérison aux pyramides de Bosnie, et il vend des huiles essentielles dont les recettes lui auraient été communiquées par Sainte Marie Madeleine. 🤣️

P.-S. : ça fait bobo de voir un démystificateur accepter un sponsorat des charlatans-mystificateurs que sont les services de suppression de données à caractère personnel comme Incogni (développé par Surfshark, qui a fusionné avec NordVPN, dont le marketing est agressif et partiellement pipeau). Faites ce que je dis, pas ce que je fais ! 😑️

#G Milgram

La méthode Brighter Minds du mouvement sectaire Shri Ram Chandra Mission du Daaji pour « libérer le plein potentiel des enfants », pour les « connecter à leurs cœurs », pour qu'ils « trouvent leur lumière ».

Libérer le plein potentiel = reconnaître des couleurs, ou même lire, les yeux bandés. 🤣️

Échelle de mesure de la conscience / de l'éveil spirituel de David Hawkins. Niveau de conscience de la queue d'un chien = 500. Einstein = 499. Tableau de Rembrandt = 705. Jésus = 1000. Bouquin de Hawkins = 999,8. 🤣️

#G Milgram

Depuis 2020, Atol commercialise ses lunettes Lexilens pour dyslexiques.

Présentées comme un « dispositif médical », promesse d'une lecture 2 à 3 fois plus rapide, aucune vraie étude mais des témoignages, marketing agressif, etc. La page Wikipédia fourmille de sources étayant les critiques.

La DGCCRF et son échelon local, la DDPP, et l'ANSES se seraient penchées dessus, un contrôle serait en cours, mais comme d'habitude, l'établissement de la preuve serait compliqué et des emplois en jeu, donc l'autorité politique (préfet, tutelle d'une DDPP) freinerait, etc. Source, à partir de 34 m 13.

#G Milgram

On passe 24h sur un porte-conteneurs avec Yvan !

#Amixem