Publicité

Le site Mesvaccins.ch déconnecté pour violation de la protection des données

La plateforme, pressentie pour être la base du carnet de vaccination numérique suisse, est l’objet d’une procédure de la part du Préposé fédéral à la protection des données. Le site abrite les données de 240 000 personnes vaccinées contre le covid

Plusieurs failles ont été détectées sur le site www.mesvaccins.ch. — © 123rf
Plusieurs failles ont été détectées sur le site www.mesvaccins.ch. — © 123rf

C’est une action rarissime: mardi matin, le préposé fédéral à la protection des données et à la transparence (PFPDT), André Lobsiger, a ordonné la fermeture d’un site web. Et pas n’importe lequel, puisqu’il s’agit de Mesvaccins.ch. Le site, pressenti pour être la plateforme de référence à la base du carnet de vaccination numérique pour le coronavirus en Suisse, est donc désormais hors ligne. Mesvaccins.ch est proposé par une fondation à but non lucratif, qui collabore avec l’Office fédéral de la santé publique (OFSP). La fondation a aussi développé une application, MyViavac, disponible sur tous les téléphones. Mardi, plus rien ne fonctionnait.

Pourquoi une telle mesure? Le préposé estime que les violations de la protection des données qui ont été portées à sa connaissance par un site d’information sont plausibles et a demandé à la fondation de retirer la plateforme d’internet jusqu’à nouvel ordre. Ce média, c’est le site alémanique Republik.ch. Le 21 mars dernier, Republik a averti le préposé des conclusions de son enquête portant sur des violations possibles de la protection des données sur la plateforme www.mesvaccins.ch (www.meineimpfungen.ch en allemand). Chacun pouvait auparavant créer de manière volontaire, et gratuitement, son carnet de vaccination en ligne.

Le PFPDT affirme ensuite avoir consulté le Centre national pour la cybersécurité et conclu que les violations portées à sa connaissance étaient plausibles. Selon le préposé, «le carnet de vaccination électronique, tel que proposé sur la plateforme, est susceptible de porter atteinte aux droits de la personnalité d’un grand nombre de personnes, d’autant plus qu’il s’agit en l’espèce de données sensibles concernant la santé».

Lire aussi: La délicate collecte de données vaccinales

Manipulation possible

L’enquête de Republik pointe plusieurs problèmes liés aux données. D’abord, le média souligne que chaque professionnel de la santé inscrit sur la plateforme a un accès complet aux données de vaccination et de santé de tous les particuliers inscrits. Du coup, des criminels pourraient, par exemple, manipuler leurs données de vaccination pertinentes pour le covid. Republik a aussi constaté qu’aucune vérification réelle de l’identité n’a eu lieu lors de l’enregistrement des professionnels de la santé. Du coup, «n’importe qui pouvait se faire passer pour un docteur», selon le média.

Enfin, Republik note qu’avec un peu de connaissances techniques, les données de vaccination et d’autres données sanitaires pourraient également être manipulées.

Lire aussi: Notre carnet de vaccination chez Apple? «Non merci», dit la Suisse

Conclusion du média alémanique: «La porte d’entrée à l’utilisation abusive et la compromission des données de quelque 450 000 personnes vaccinées enregistrées, dont 240 000 personnes vaccinées contre le covid, est grande ouverte avec les failles de sécurité identifiées.» De quoi provoquer la colère du préposé. Mardi, celui-ci écrivait dans un communiqué que «les responsables de la fondation ont été sommés de se prononcer au plus vite sur les griefs formulés à leur encontre et la dénonciation de Republik. Le PFPDT attend en outre des renseignements sur les données éventuellement perdues.»

Faux comptes?

Mardi, sur son site, la fondation affirmait que «la plupart des faiblesses techniques ont été corrigées tôt le matin du lundi 22 mars 2021». «Nous sommes en train d’analyser l’impact de ces vulnérabilités passées pour voir si de faux comptes ou cartes de vaccination ont effectivement été créés», écrivait aussi la fondation. De son côté, l’OFSP disait mardi avoir demandé à la fondation d’examiner les informations et de supprimer les lacunes. D’ici là, la plateforme d’information parallèle MyCOVIDvac.ch a été désactivée.

Mardi après-midi, l'OFSp précisait ceci au Temps: «Au cours des dernières années l’OFSP a soutenu financièrement la fondation pour des activités de promotion. La sécurité des données était uniquement de la responsabilité de la fondation, et cette dernière nous a toujours assuré d’y consacrer tout le soin nécessaire. Aucune défaillance ne nous a d’ailleurs été signalée auparavant». L'OFSP pense-t-il que cela va rendre les citoyens moins confiants envers le carnet de vaccination numérique? «La fondation mesvaccins n’est pas lié au projet du futur certificat Covid-19, répond un porte--parole de l'office. L'OFSP travaille actuellement sur le contenu et les exigences techniques en vue de l’élaboration du certificat. Dès que ceux-ci seront disponibles, nous pourrons évaluer l'adéquation des solutions existantes à ce qui est prévu de concevoir.»

Information exigée

L’affaire va sans doute tout de même porter un coup dur aux projets de carnet numérique de vaccination, qui devront être repensés. Mardi, la Stiftung für Konsumentenschutz (SKS), l’équivalent alémanique de la Fédération romande des consommateurs, exigeait l’arrêt immédiat et durable des activités de Mesvaccins.ch. La SKS demandait aussi que les personnes qui se sont enregistrées soient informées au cas où leurs données auraient fait l’objet d’un abus.