L’affaire « mesvac​cins​.ch »

Par commu­ni­qué de presse du 23 mars 2021, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) a annoncé qu’il avait ouvert une procé­dure formelle contre l’exploitant de la plate­forme en ligne www​.mesvac​cins​.ch, admi­nis­trée par la fonda­tion du même nom. À la suite d’une enquête du média « Republik », le PFPDT a estimé que le carnet de vacci­na­tion élec­tro­nique géré par la plate­forme susmen­tion­née était suscep­tible de porter atteinte aux droits de la person­na­lité d’un grand nombre de personnes, souli­gnant au passage la nature sensible des données trai­tées (données rela­tives à la santé). En l’occurrence, le PFDPT a requis du respon­sable du trai­te­ment qu’il suspende avec effet immé­diat ses trai­te­ments en lien avec la plate­forme www​.mesvac​cins​.ch. Pour rappel, la procé­dure initiée sur la base de l’art. 29 LPD pour­rait débou­cher sur une recom­man­da­tion du PFPDT de modi­fier ou de cesser le trai­te­ment qui, si elle n’est pas suivie, est suscep­tible d’entraîner la saisine du Tribunal admi­nis­tra­tif fédé­ral par le PFPDT.

La fonda­tion « mesvac­cins » est une fonda­tion suisse sans but lucra­tif dont le but prin­ci­pal est d’exploiter un carnet de vacci­na­tion élec­tro­nique, ce qu’elle fait depuis une dizaine d’années déjà. Le carnet de vacci­na­tion élec­tro­nique ne doit pas être confondu avec le dossier élec­tro­nique du patient (DEP), quant à lui régi par la Loi fédé­rale sur le dossier élec­tro­nique du patient et qui commence à être concrè­te­ment déployé dans certains cantons depuis le début de l’année 2021. Le DEP permet­tra égale­ment d’héberger un carnet de vacci­na­tion sous forme numé­rique, qui ne se confon­dra cepen­dant pas avec le carnet proposé par la fonda­tion « mesvac­cins ».

Le carnet de vacci­na­tion élec­tro­nique proposé par la fonda­tion susmen­tion­née est soutenu par plusieurs parte­naires insti­tu­tion­nels ou privés, parmi lesquels figurent la Confédération suisse (via l’OFSP), la Commission fédé­rale pour les vacci­na­tions (CFV), la Conférence suisse des direc­teurs de la santé (CDS), l’Association des méde­cins canto­naux de Suisse (AMCS) ou la Société suisse des phar­ma­ciens (pharmaSuisse). Il contient les infor­ma­tions figu­rant dans le carnet de vacci­na­tion ordi­naire, mais peut aussi conte­nir des infor­ma­tions supplé­men­taires, en parti­cu­lier des infor­ma­tions en lien avec les aller­gies, les mala­dies anté­rieures ou les facteurs de risques (y compris des voyages prévus). Il doit permettre aux personnes concer­nées de déci­der qui peut accé­der aux données enregistrées.

Le carnet élec­tro­nique de vacci­na­tion susmen­tionné ne repose pas sur une loi qui établi­rait son prin­cipe ou la manière de trai­ter les données person­nelles – sensibles – exploi­tées dans ce contexte (à ce sujet, voir notam­ment : Philippe Gilliéron, Vaccination COVID-19 : oui, il faut parta­ger nos données !, 8 janvier 2021, p. 2, dispo­nible sur https://​www​.wg​-avocats​.ch/). L’ouverture d’un tel carnet repose donc exclu­si­ve­ment sur le consen­te­ment de la personne concernée.

Dans le cadre de la lutte contre la COVID-19, la fonda­tion « mesvac­cins » a déve­loppé un module spéci­fique du carnet de vacci­na­tion élec­tro­nique inti­tulé « myCOVIDvac », qui permet d’y enre­gis­trer élec­tro­ni­que­ment les vacci­na­tions liées au COVID-19. L’utilisation de « myCOVIDvac » est offi­ciel­le­ment recom­man­dée par l’OFSP (voir : fiche d’information offi­cielle), notam­ment au motif que le carnet de vacci­na­tion élec­tro­nique est consi­déré comme un docu­ment offi­ciel, qu’il est imprimé avec le logo de l’OFSP ou encore parce que les données sont « conser­vées en Suisse de manière sécu­ri­sée ». La fiche d’information offi­cielle précise en outre que « Si un certi­fi­cat inter­na­tio­nal de vacci­na­tion COVID-19 était exigé ulté­rieu­re­ment (par exemple pour les voyages dans certains pays ou avec certaines compa­gnies aériennes), les données enre­gis­trées pour­raient servir de base à un certi­fi­cat de vacci­na­tion inter­na­tio­nal (« smart yellow card » de l’OMS). »

Dans le contexte de la pandé­mie, le trai­te­ment des données de santé et plus parti­cu­liè­re­ment de celles liées au COVID-19 est une ques­tion parti­cu­liè­re­ment sensible. Or, les allé­ga­tions portées par le média Republik quant aux défauts de sécu­rité de la plate­forme mesvac​cins​.ch avant sa mise hors service sont parti­cu­liè­re­ment sérieuses. Elles laissent suggé­rer que chaque profes­sion­nel de la santé inscrit sur la plate­forme aurait eu un accès complet aux données de vacci­na­tion de tous les parti­cu­liers inscrits (y compris les données de vacci­na­tion COVID-19), avec possi­bi­lité de modi­fi­ca­tions. Le média allègue égale­ment des défauts en matière de véri­fi­ca­tion d’identité des profes­sion­nels de la santé ainsi que l’existence de failles de sécu­rité importantes.

Il est inté­res­sant de noter que de telles accu­sa­tions contre la plate­forme ne sont pas nouvelles. Dans un article du 19 janvier 2021, le même média avait souli­gné que les données étaient en fait exploi­tées par une société privée (Arpage SA) qui aurait notam­ment recouru à des proto­coles de sécu­rité obso­lètes. Par le passé, certains juristes, à l’image de Philippe Gilliéron, s’étaient par ailleurs inter­rogé sur le contenu pour le moins opaque et lacu­naire des condi­tions géné­rales de la plate­forme, notam­ment concer­nant la sous-trai­tance des données avec la société Arpage SA, les condi­tions auxquelles les employés ou des tiers pouvaient accé­der aux données, ou encore la réuti­li­sa­tion des données concer­nées (Philippe Gilliéron, Vaccination COVID-19 : oui, il faut parta­ger nos données !, 8 janvier 2021, p. 2 ss, dispo­nible sur www​.wg​-avocats​.ch). Le même auteur recom­man­dait alors l’adoption de mesures de sécu­rité simi­laires à celles exigées pour l’exploitation du DEP.

À ce stade et en l’absence d’informations complé­men­taires, il est trop tôt pour se déter­mi­ner sur la viola­tion des mesures de sécu­rité par la fonda­tion « mesvac­cins », qui à l’aune de la nLPD aurait dû être annon­cée tant au PFPDT qu’aux personnes concer­nées (art. 24 nLPD). Cela étant, il n’est pas inutile de rappe­ler que l’exploitation des données de la santé, en parti­cu­lier lorsqu’elle est encou­ra­gée par l’État, doit offrir des garan­ties de sécu­rité parti­cu­liè­re­ment élevées. C’est à cette seule condi­tion que la confiance néces­saire de la popu­la­tion peut être préser­vée à l’égard des auto­ri­tés sani­taires, et permettre à ces dernières de remplir leurs tâches.

Dans ce contexte, l’ouverture (raris­sime) d’une enquête par le PFPDT à l’encontre de la plate­forme www​.mesvac​cins​.ch pour défauts de sécu­rité est un signal parti­cu­liè­re­ment néga­tif, qui risque de saper bon nombre d’efforts menés jusqu’à ce jour pour opti­mi­ser la campagne de vacci­na­tions et mettre sur pied à l’avenir un « certi­fi­cat » élec­tro­nique de vacci­na­tion dont les contours n’ont pas encore été réel­le­ment dévoi­lés en Suisse, bien que quelques infor­ma­tions ont filtré lors du point de presse du 24 mars 2021 de la Confédération. Le déploie­ment d’un tel certi­fi­cat par la Confédération néces­site à notre sens l’adoption d’une base légale formelle qui prévoi­rait non seule­ment le prin­cipe du trai­te­ment, mais aussi les condi­tions auxquelles les données en ques­tion pour­raient être trai­tées. À cet égard, il est utile d’apporter ici un bref aperçu des derniers déve­lop­pe­ments euro­péens en la matière.

Situation euro­péenne

Afin de faci­li­ter la libre circu­la­tion dans l’Union euro­péenne durant la pandé­mie de COVID-19, la Commission euro­péenne a récem­ment trans­mis aux instances légis­la­tives euro­péennes une propo­si­tion de règle­ment dans le but de créer un certi­fi­cat vert numé­rique temporaire.

Ouvert à d’autres pays que les États membres de l’Union euro­péenne, tels que la Suisse, celui-ci devrait être dispo­nible sous forme élec­tro­nique (p. ex par le biais d’une appli­ca­tion mobile) ou sur papier et compor­tera un code QR visant à garan­tir son authen­ti­cité. La règle­men­ta­tion repose sur trois prin­ci­paux éléments.

Premièrement, le certi­fi­cat vert numé­rique doit être acces­sible et sûr pour tous les citoyens de l’Union euro­péenne. Ce faisant, la gratuité devrait être la norme.

Deuxièmement, le certi­fi­cat vert numé­rique ne doit pas entraî­ner une discri­mi­na­tion entre les personnes vacci­nées et non-vacci­nées. C’est pour cette raison que le certi­fi­cat vert numé­rique devrait conte­nir tant les certi­fi­cats de vacci­na­tion que les certi­fi­cats rela­tifs aux tests de dépis­tage, mais aussi les certi­fi­cats des personnes qui ont guéri de la COVID-19.

Troisièmement, et afin de respec­ter le prin­cipe de mini­mi­sa­tion (art. 5 par. 1 let. c RGPD), les certi­fi­cats ne devraient conte­nir que les infor­ma­tions essen­tielles, telles que le nom et prénom, la date de nais­sance, la date de déli­vrance ainsi que des infor­ma­tions perti­nentes sur le vaccin, respec­ti­ve­ment le test ou le réta­blis­se­ment de la personne, ainsi qu’un iden­ti­fiant unique. Une liste exacte des données devant être incluses se trouve au sein de l’annexe de la propo­si­tion de règlement.

Le certi­fi­cat vert numé­rique n’est qu’un outil tempo­raire proposé par la Commission euro­péenne afin d’endiguer les obstacles qui se posent à l’encontre de la libre circu­la­tion, tel que reconnu par l’art. 21 du Traité sur le fonc­tion­ne­ment de l’Union euro­péenne. Ainsi, l’art. 15 par. 2 de la propo­si­tion prévoit que la Commission euro­péenne devra suspendre le certi­fi­cat vert numé­rique dès que le direc­teur géné­ral de l’Organisation mondiale de la santé aura déclaré que l’urgence de santé publique de portée inter­na­tio­nale aura cessé.

Si la ques­tion du traçage des contacts repré­sen­tait la pomme de discorde de l’année 2020, nous pouvons affir­mer sans aucun doute qu’elle est désor­mais rempla­cée par la ques­tion de la vacci­na­tion et de la créa­tion d’un certi­fi­cat numé­rique, qui reste encore à être empoi­gnée par la Confédération. La COVID-19 aura pour bien­fait de mettre en exergue le retard pris par le domaine de la santé dans les ques­tions du numé­rique, ensei­gne­ment dont il faudra tirer leçon. D’ici là, nous ne manque­rons pas de vous tenir au courant des évolu­tions en la matière, notam­ment législatives.