« Le carnet de vacci­na­tion élec­tro­nique suisse : sûr – pratique – durable »¹. Ce slogan provient d’un dépliant de 2018 créé à l’attention des méde­cins, vantant les avan­tages de la plate­forme en ligne gérée par la fonda­tion mesvac­cins. Or, depuis, beau­coup d’encre a coulé sur ce scan­dale concer­nant d’affolantes failles de sécu­rité (art. 5 let. h nLPD) au point que la plate­forme a été fermée tempo­rai­re­ment dans le courant du mois de mars 2021, puis défi­ni­ti­ve­ment en mai. Entretemps, la fonda­tion a fina­le­ment annoncé le 24 août 2021 sa prochaine liqui­da­tion. Le rapport final de la procé­dure d’établissement des faits (art. 29 al. 1 LPD), ouverte le 22 mars 2021, a été publié par le PFPDT le 7 septembre dernier. Trois recom­man­da­tions au sens de l’art. 29 al. 3 LPD ont été émises.

En quali­fiant l’affaire mesvac­cins comme étant une erreur de système au sens de l’art. 29 al. 1 let. a LPD, le Préposé fédé­ral a consa­cré une partie non négli­geable de son rapport aux mesures tech­niques et orga­ni­sa­tion­nelles que la fonda­tion mesvac­cins aurait dû mettre en place afin d’éviter les failles de sécu­rité exis­tantes. En effet, il s’est avéré que ces dernières étaient telles que les données conte­nues sur la plate­forme en ligne mesvac​cins​.ch ont pu être consul­tées, modi­fiées ou suppri­mées par des tiers non auto­ri­sés. L’un des problèmes rele­vait du fait que les méca­nismes mis en place permet­tant de véri­fier si aucun accès indu n’avait eu lieu étaient obso­lètes et cela à double titre. Il faut rappe­ler à cet égard qu’avant le scan­dale, il était prévu que la fonda­tion mesvac­cins soit char­gée d’établir un module ayant la même fonc­tion que l’actuel certi­fi­cat Covid. Or bien que ce module dont le déve­lop­pe­ment est plus récent que la plate­forme origi­nelle mesvac​cins​.ch, celui-là ne respec­tait pas davan­tage les exigences de sécu­rité de protec­tion des données.

Le Préposé fédé­ral a insisté sur l’importance d’un proces­sus effi­cace de jour­na­li­sa­tion des accès. Celui utilisé par la plate­forme était défi­cient pour plusieurs raisons : les données jour­nal n’étaient conser­vées que 30 jours, n’étaient pas proté­gées contre une quel­conque mani­pu­la­tion et un système d’alerte auto­ma­tique aurait dû être mis en place afin que les gérants de la plate­forme soient aver­tis en cas de compor­te­ment frau­du­leux. Pour cette raison, personne ne peut déter­mi­ner si, d’une part, des accès sans auto­ri­sa­tion à la plate­forme ont eu lieu, et, d’autre part, quelles données auraient pu être modi­fiées ou suppri­mées sans droit. Un rapport établi par une entre­prise experte en cyber­sé­cu­rité, mentionné par le PFPDT, indique qu’il aurait suffi à un pirate d’accéder au compte d’un seul profes­sion­nel de la santé inscrit sur la plate­forme pour avoir accès aux données de toutes les personnes qui l’ont utili­sée. Ce rapport indique égale­ment que ces problèmes exis­taient au moins quelques mois avant la révé­la­tion au public des failles de la plate­forme par le maga­zine Republik​.ch.

Au vu de ces problèmes liés à l’intégrité des données, le Préposé fédé­ral a recom­mandé que le prin­cipe d’exactitude soit respecté, ce qui implique que les données trai­tées par la fonda­tion doivent être correctes. Les éléments expo­sés nous font penser qu’il sera diffi­cile de s’en assurer.

Ces éléments nous permettent de signa­ler que, bien que l’obligation de la protec­tion des données dès la concep­tion, à charge du respon­sable du trai­te­ment, ne soit pas encore connue du droit suisse, elle a néan­moins déjà toute son impor­tance. De plus, le rapport indique, malgré le fait que les données stockées sur la plate­forme soient actuel­le­ment inac­ces­sibles en raison de la liqui­da­tion de la fonda­tion, qu’elles doivent néan­moins l’être d’une manière qui soit conforme aux prin­cipes de fina­lité et de sécu­rité de la protec­tion des données. Autrement dit, il ne faudrait pas, alors même que la plate­forme a été fermée, que des accès indus soient encore possibles. L’obligation de privacy by design, permet en effet, de par sa logique ex ante, d’éviter un bon nombre de risques liés à la protec­tion des données avant leur réalisation.

D’autres ques­tions juri­diques se sont posées dans cette affaire. Tout d’abord, il existe, en rapport avec la liqui­da­tion de la fonda­tion, le problème de ce qu’il advien­dra des données de vacci­na­tion stockées sur la plate­forme. En effet, un nombre non négli­geable de personnes n’y ont plus accès, ce qui est notam­ment parti­cu­liè­re­ment problé­ma­tique dans le cas où ces personnes n’ont plus de version papier de leur carnet de vacci­na­tion, ou une quel­conque autre manière de savoir quels vaccins leur ont été inocu­lés. Le Préposé fédé­ral a ainsi recom­mandé qu’une infor­ma­tion active à ce sujet soit donnée aux personnes concer­nées. On peut consta­ter que la fonda­tion commu­nique régu­liè­re­ment au public sur les bribes de son site web. Une solu­tion a été trou­vée pour les personnes qui ont utilisé l’application myViavac sur leur télé­phone, qui repre­nait les données de la plate­forme mesvac​cins​.ch, leur permet­tant de récu­pé­rer leurs données vacci­nales. Quant aux personnes qui n’utilisaient que la plate­forme mesvac​cin​.ch, aucune solu­tion n’a encore été propo­sée, bien que la fonda­tion affirme que des discus­sions avec les auto­ri­tés afin d’en trou­ver sont menées. La récente entrée en vigueur de l’art. 242b LP permet de faci­li­ter les démarches dans le contexte de la liqui­da­tion de la fondation.

Ensuite, le Préposé fédé­ral a discuté des frais encou­rus par les personnes concer­nées ayant exercé leur droit d’accès afin d’établir des copies certi­fiées de leur pièce d’identité, celles-ci étant requises par la fonda­tion. Il insiste à cet égard sur le carac­tère excep­tion­nel de la parti­ci­pa­tion aux frais de la personne concer­née lors d’une procé­dure de droit d’accès, hypo­thèse prévue par l’art. 2 OLPD. L’exception se veut restric­tive et les diffi­cul­tés actuelles de la fonda­tion ne sauraient remplir l’hypothèse de l’art. 2 al. 1 let. b OLPD, permet­tant de deman­der à la personne concer­née de parti­ci­per aux frais, à savoir un volume de travail consi­dé­rable. Le Préposé a donc indi­qué dans sa recom­man­da­tion que les frais encou­rus par les personnes concer­nées afin d’établir des copies certi­fiées de leurs docu­ments d’identité devront être rembour­sés par la fonda­tion. De plus, les personnes concer­nées devront être infor­mées de l’éventuelle atteinte à l’exactitude des données.

Les recom­man­da­tions émises par le Préposé fédé­ral ont été accep­tées par la fonda­tion. Le problème majeur de l’affaire reste donc celui pour les personnes concer­nées de pouvoir récu­pé­rer leurs données. Dans l’ensemble, cette affaire nous montre qu’une logique ex post telle que celle utili­sée par la fonda­tion mesvac­cins n’a actuel­le­ment plus sa place. Les outils qu’amènera la révi­sion de la LPD, tels que l’analyse d’impact rela­tive à la protec­tion des données (art. 22 nLPD), l’obligation de  privacy by design (art. 7 al. 1 et 2 nLPD) ainsi que l’annonce des viola­tions de sécu­rité des données (art. 24 al. 1 nLPD) permet­tront, nous en sommes convain­cus, d’éviter d’avoir à déplo­rer de nouveaux scan­dales du même genre.

1. Disponible ici (consulté le 15 octobre 2021). C’est d’ailleurs avec une certaine ironie que nous avons remar­qué qu’il est toujours possible de comman­der des exem­plaires de ce dépliant sur le shop des publi­ca­tions fédérales.