La table ronde EDI 2023 organisée le 30 juin dans la salle du Grand Conseil de Lucerne a été placée sous le signe de la nLPD, laquelle entrera en vigueur sans délai transitoire au 1er septembre 2023. Reto Vogt, rédacteur en chef d’«Inside IT», a relancé le scandale de la plateforme de vaccination numérique.

Depuis plus de 15 ans, Reto Vogt écrit sur l’informatique, les ordinateurs et la numérisation. Depuis 2021, il est rédacteur en chef d’«Inside IT», le plus grand magazine en ligne de Suisse avec plus de 100 000 lecteur·rice·s. Il parle de tout ce qui a trait à l’informatique – donc aussi des choses qui vont mal à grande échelle. Par exemple, les effarantes lacunes de sécurité de la plateforme de vaccination mesvaccins.ch, la manière de les traiter et ce qu’il adviendra des quelque cinq millions de données enregistrées.

De grandes lacunes dans le carnet de vaccination numérique
Mesvaccins.ch était une plateforme nationale de vaccination volontaire qui permettait de s’inscrire et d’enregistrer numériquement les vaccins effectués. «L’enregistrement devait remplacer le livret jaune en papier», indique Reto Vogt. L’exploitant de la plateforme était la fondation mesvaccins, financée par l’Office fédéral de la santé publique (OFSP). Avec la pandémie, le nombre de personnes enregistrées a rapidement augmenté pour passer d’environ 100 000 à 450 000. Les déficits ont alors été sans appel. «La question de la protection des données n’a jamais été abordée avec sérieux. La raison invoquée par le responsable était qu’il ne s’agissait pas d’une initiative à but lucratif. Une réponse que l’on peut également interpréter de la manière suivante: inutile de s’en donner la peine. Ce fut là l’une des principales erreurs et j’espère que la nouvelle loi sur la protection des données changera beaucoup de choses.»

En janvier 2021, de nombreux médias ont fait état de failles de sécurité, la plateforme étant «ouverte comme un annuaire téléphonique». Des consultants en sécurité indépendants avaient mis au jour au moins neuf grandes failles avant d’en informer les médias. «Le fait est que l’on a pu éviter le pire grâce aux recherches en matière de sécurité et aux médias. Si les failles n’avaient pas été décelées et si les consultants en sécurité n’avaient pas tiré le signal d’alarme auprès des médias, je suis certain que cette plateforme existerait encore aujourd’hui et que les données auraient été compromises.» 

«Un désastre»
Des défauts techniques permettaient par exemple de s’enregistrer en toute impunité en tant que professionnel de santé et donc, premièrement, d’avoir accès à toutes les données des personnes enregistrées et, deuxièmement, de les manipuler. «Les données étaient quasiment publiques.» Même les données de vaccination des conseillers fédéraux étaient accessibles. «C’était un vrai désastre.» La plateforme a été mise hors ligne en mars 2021 et l’activité opérationnelle a cessé par manque de moyens. Grâce à un don privé, les données des utilisateur·trice·s leur ont été retournées par e-mail – sous forme d’archive ZIP non cryptée. Reto Vogt de résumer, résigné: «Même quand on croit que la situation ne pourrait être pire, elle parvient malgré tout à s’aggraver.»

Suppression des données: oui ou non?
Les données de mesvaccins.ch devaient être supprimées. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a déposé une demande en ce sens en mai 2022 – avant de se rétracter un mois plus tard seulement. Le canton d’Argovie voulait intervenir en tant que sauveur et transférer les données dans des dossiers de patients de la communauté eHealth Aargau. Les utilisateur·trice·s devaient ensuite pouvoir supprimer leurs données personnelles de vaccination dans les trois mois, les récupérer ou les transférer dans un dossier électronique de patient (DEP) existant. «Il s’agit d’une pure opération de relations publiques pour le DEP. Ce qui me choque le plus est qu’on n’ait jamais demandé aux personnes inscrites si elles étaient d’accord avec le transfert de données vers le canton d’Argovie.»

Conclusion:
Reto Vogt est clairement favorable à la suppression de l’ensemble des données: «Elles doivent disparaître. Elles sont inutilisables et potentiellement compromises. Mais les tractations continuent. Nous n’avons tiré aucune leçon de ces erreurs.» De plus, les cyberattaques et donc la recherche de failles dans les institutions ou les bases de données du système de santé européen continueraient à augmenter. «La situation ne s’améliore pas, il faut s’y préparer. Néanmoins, je suis sûr que la Confédération pourrait y arriver si elle permettait aux bonnes personnes d’agir.»

Présentation (PDF)