swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Failles dès la conception dans l’affaire mesvac​cins​.ch

Alexandre Barbey, le 15 octobre 2021
Le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) a émis trois recom­man­da­tions à l’issue d’une procé­dure d’établissement des faits à l’encontre de la fonda­tion mesvac­cins dans son rapport final publié le 7 septembre 2021. Des failles dans les mesures tech­niques et orga­ni­sa­tion­nelles sont mises en cause.

« Le carnet de vacci­na­tion élec­tro­nique suisse : sûr – pratique – durable »1. Ce slogan provient d’un dépliant de 2018 créé à l’attention des méde­cins, vantant les avan­tages de la plate­forme en ligne gérée par la fonda­tion mesvac­cins. Or, depuis, beau­coup d’encre a coulé sur ce scan­dale concer­nant d’affolantes failles de sécu­rité (art. 5 let. h nLPD) au point que la plate­forme a été fermée tempo­rai­re­ment dans le courant du mois de mars 2021, puis défi­ni­ti­ve­ment en mai. Entretemps, la fonda­tion a fina­le­ment annoncé le 24 août 2021 sa prochaine liqui­da­tion. Le rapport final de la procé­dure d’établissement des faits (art. 29 al. 1 LPD), ouverte le 22 mars 2021, a été publié par le PFPDT le 7 septembre dernier. Trois recom­man­da­tions au sens de l’art. 29 al. 3 LPD ont été émises.

En quali­fiant l’affaire mesvac­cins comme étant une erreur de système au sens de l’art. 29 al. 1 let. a LPD, le Préposé fédé­ral a consa­cré une partie non négli­geable de son rapport aux mesures tech­niques et orga­ni­sa­tion­nelles que la fonda­tion mesvac­cins aurait dû mettre en place afin d’éviter les failles de sécu­rité exis­tantes. En effet, il s’est avéré que ces dernières étaient telles que les données conte­nues sur la plate­forme en ligne mesvac​cins​.ch ont pu être consul­tées, modi­fiées ou suppri­mées par des tiers non auto­ri­sés. L’un des problèmes rele­vait du fait que les méca­nismes mis en place permet­tant de véri­fier si aucun accès indu n’avait eu lieu étaient obso­lètes et cela à double titre. Il faut rappe­ler à cet égard qu’avant le scan­dale, il était prévu que la fonda­tion mesvac­cins soit char­gée d’établir un module ayant la même fonc­tion que l’actuel certi­fi­cat Covid. Or bien que ce module dont le déve­lop­pe­ment est plus récent que la plate­forme origi­nelle mesvac​cins​.ch, celui-là ne respec­tait pas davan­tage les exigences de sécu­rité de protec­tion des données.

Le Préposé fédé­ral a insisté sur l’importance d’un proces­sus effi­cace de jour­na­li­sa­tion des accès. Celui utilisé par la plate­forme était défi­cient pour plusieurs raisons : les données jour­nal n’étaient conser­vées que 30 jours, n’étaient pas proté­gées contre une quel­conque mani­pu­la­tion et un système d’alerte auto­ma­tique aurait dû être mis en place afin que les gérants de la plate­forme soient aver­tis en cas de compor­te­ment frau­du­leux. Pour cette raison, personne ne peut déter­mi­ner si, d’une part, des accès sans auto­ri­sa­tion à la plate­forme ont eu lieu, et, d’autre part, quelles données auraient pu être modi­fiées ou suppri­mées sans droit. Un rapport établi par une entre­prise experte en cyber­sé­cu­rité, mentionné par le PFPDT, indique qu’il aurait suffi à un pirate d’accéder au compte d’un seul profes­sion­nel de la santé inscrit sur la plate­forme pour avoir accès aux données de toutes les personnes qui l’ont utili­sée. Ce rapport indique égale­ment que ces problèmes exis­taient au moins quelques mois avant la révé­la­tion au public des failles de la plate­forme par le maga­zine Republik​.ch.

Au vu de ces problèmes liés à l’intégrité des données, le Préposé fédé­ral a recom­mandé que le prin­cipe d’exactitude soit respecté, ce qui implique que les données trai­tées par la fonda­tion doivent être correctes. Les éléments expo­sés nous font penser qu’il sera diffi­cile de s’en assurer.

Ces éléments nous permettent de signa­ler que, bien que l’obligation de la protec­tion des données dès la concep­tion, à charge du respon­sable du trai­te­ment, ne soit pas encore connue du droit suisse, elle a néan­moins déjà toute son impor­tance. De plus, le rapport indique, malgré le fait que les données stockées sur la plate­forme soient actuel­le­ment inac­ces­sibles en raison de la liqui­da­tion de la fonda­tion, qu’elles doivent néan­moins l’être d’une manière qui soit conforme aux prin­cipes de fina­lité et de sécu­rité de la protec­tion des données. Autrement dit, il ne faudrait pas, alors même que la plate­forme a été fermée, que des accès indus soient encore possibles. L’obligation de privacy by design, permet en effet, de par sa logique ex ante, d’éviter un bon nombre de risques liés à la protec­tion des données avant leur réalisation.

D’autres ques­tions juri­diques se sont posées dans cette affaire. Tout d’abord, il existe, en rapport avec la liqui­da­tion de la fonda­tion, le problème de ce qu’il advien­dra des données de vacci­na­tion stockées sur la plate­forme. En effet, un nombre non négli­geable de personnes n’y ont plus accès, ce qui est notam­ment parti­cu­liè­re­ment problé­ma­tique dans le cas où ces personnes n’ont plus de version papier de leur carnet de vacci­na­tion, ou une quel­conque autre manière de savoir quels vaccins leur ont été inocu­lés. Le Préposé fédé­ral a ainsi recom­mandé qu’une infor­ma­tion active à ce sujet soit donnée aux personnes concer­nées. On peut consta­ter que la fonda­tion commu­nique régu­liè­re­ment au public sur les bribes de son site web. Une solu­tion a été trou­vée pour les personnes qui ont utilisé l’application myViavac sur leur télé­phone, qui repre­nait les données de la plate­forme mesvac​cins​.ch, leur permet­tant de récu­pé­rer leurs données vacci­nales. Quant aux personnes qui n’utilisaient que la plate­forme mesvac​cin​.ch, aucune solu­tion n’a encore été propo­sée, bien que la fonda­tion affirme que des discus­sions avec les auto­ri­tés afin d’en trou­ver sont menées. La récente entrée en vigueur de l’art. 242b LP permet de faci­li­ter les démarches dans le contexte de la liqui­da­tion de la fondation.

Ensuite, le Préposé fédé­ral a discuté des frais encou­rus par les personnes concer­nées ayant exercé leur droit d’accès afin d’établir des copies certi­fiées de leur pièce d’identité, celles-ci étant requises par la fonda­tion. Il insiste à cet égard sur le carac­tère excep­tion­nel de la parti­ci­pa­tion aux frais de la personne concer­née lors d’une procé­dure de droit d’accès, hypo­thèse prévue par l’art. 2 OLPD. L’exception se veut restric­tive et les diffi­cul­tés actuelles de la fonda­tion ne sauraient remplir l’hypothèse de l’art. 2 al. 1 let. b OLPD, permet­tant de deman­der à la personne concer­née de parti­ci­per aux frais, à savoir un volume de travail consi­dé­rable. Le Préposé a donc indi­qué dans sa recom­man­da­tion que les frais encou­rus par les personnes concer­nées afin d’établir des copies certi­fiées de leurs docu­ments d’identité devront être rembour­sés par la fonda­tion. De plus, les personnes concer­nées devront être infor­mées de l’éventuelle atteinte à l’exactitude des données.

Les recom­man­da­tions émises par le Préposé fédé­ral ont été accep­tées par la fonda­tion. Le problème majeur de l’affaire reste donc celui pour les personnes concer­nées de pouvoir récu­pé­rer leurs données. Dans l’ensemble, cette affaire nous montre qu’une logique ex post telle que celle utili­sée par la fonda­tion mesvac­cins n’a actuel­le­ment plus sa place. Les outils qu’amènera la révi­sion de la LPD, tels que l’analyse d’impact rela­tive à la protec­tion des données (art. 22 nLPD), l’obligation de  privacy by design (art. 7 al. 1 et 2 nLPD) ainsi que l’annonce des viola­tions de sécu­rité des données (art. 24 al. 1 nLPD) permet­tront, nous en sommes convain­cus, d’éviter d’avoir à déplo­rer de nouveaux scan­dales du même genre.

  1. Disponible ici (consulté le 15 octobre 2021). C’est d’ailleurs avec une certaine ironie que nous avons remar­qué qu’il est toujours possible de comman­der des exem­plaires de ce dépliant sur le shop des publi­ca­tions fédérales.


Proposition de citation : Alexandre Barbey, Failles dès la conception dans l’affaire mesvac​cins​.ch, 15 octobre 2021 in www.swissprivacy.law/94


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Carnet de vaccination électronique : la piqûre de rappel du PFPDT
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law