Le PFPDT affirme ensuite avoir consulté le Centre national pour la cybersécurité et conclu que les violations portées à sa connaissance étaient plausibles. Selon le préposé, «le carnet de vaccination électronique, tel que proposé sur la plateforme, est susceptible de porter atteinte aux droits de la personnalité d’un grand nombre de personnes, d’autant plus qu’il s’agit en l’espèce de données sensibles concernant la santé».
Lire aussi: La délicate collecte de données vaccinales
Manipulation possible
L’enquête de Republik pointe plusieurs problèmes liés aux données. D’abord, le média souligne que chaque professionnel de la santé inscrit sur la plateforme a un accès complet aux données de vaccination et de santé de tous les particuliers inscrits. Du coup, des criminels pourraient, par exemple, manipuler leurs données de vaccination pertinentes pour le covid. Republik a aussi constaté qu’aucune vérification réelle de l’identité n’a eu lieu lors de l’enregistrement des professionnels de la santé. Du coup, «n’importe qui pouvait se faire passer pour un docteur», selon le média.
Enfin, Republik note qu’avec un peu de connaissances techniques, les données de vaccination et d’autres données sanitaires pourraient également être manipulées.
Lire aussi: Notre carnet de vaccination chez Apple? «Non merci», dit la Suisse
Conclusion du média alémanique: «La porte d’entrée à l’utilisation abusive et la compromission des données de quelque 450 000 personnes vaccinées enregistrées, dont 240 000 personnes vaccinées contre le covid, est grande ouverte avec les failles de sécurité identifiées.» De quoi provoquer la colère du préposé. Mardi, celui-ci écrivait dans un communiqué que «les responsables de la fondation ont été sommés de se prononcer au plus vite sur les griefs formulés à leur encontre et la dénonciation de Republik. Le PFPDT attend en outre des renseignements sur les données éventuellement perdues.»
Faux comptes?
Mardi, sur son site, la fondation affirmait que «la plupart des faiblesses techniques ont été corrigées tôt le matin du lundi 22 mars 2021». «Nous sommes en train d’analyser l’impact de ces vulnérabilités passées pour voir si de faux comptes ou cartes de vaccination ont effectivement été créés», écrivait aussi la fondation. De son côté, l’OFSP disait mardi avoir demandé à la fondation d’examiner les informations et de supprimer les lacunes. D’ici là, la plateforme d’information parallèle MyCOVIDvac.ch a été désactivée.
Mardi après-midi, l'OFSp précisait ceci au Temps: «Au cours des dernières années l’OFSP a soutenu financièrement la fondation pour des activités de promotion. La sécurité des données était uniquement de la responsabilité de la fondation, et cette dernière nous a toujours assuré d’y consacrer tout le soin nécessaire. Aucune défaillance ne nous a d’ailleurs été signalée auparavant». L'OFSP pense-t-il que cela va rendre les citoyens moins confiants envers le carnet de vaccination numérique? «La fondation mesvaccins n’est pas lié au projet du futur certificat Covid-19, répond un porte--parole de l'office. L'OFSP travaille actuellement sur le contenu et les exigences techniques en vue de l’élaboration du certificat. Dès que ceux-ci seront disponibles, nous pourrons évaluer l'adéquation des solutions existantes à ce qui est prévu de concevoir.»
Information exigée
L’affaire va sans doute tout de même porter un coup dur aux projets de carnet numérique de vaccination, qui devront être repensés. Mardi, la Stiftung für Konsumentenschutz (SKS), l’équivalent alémanique de la Fédération romande des consommateurs, exigeait l’arrêt immédiat et durable des activités de Mesvaccins.ch. La SKS demandait aussi que les personnes qui se sont enregistrées soient informées au cas où leurs données auraient fait l’objet d’un abus.