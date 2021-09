Berne (awp/ats) - Les failles techniques de la Fondation mesvaccins étaient très graves, indique le Préposé fédéral à la protection des données Adrian Lobsiger dans son rapport final. La fondation était en charge du carnet de vaccination électronique sur mandat de l'OFSP.

"Il s'est avéré que les failles techniques étaient vraiment très graves et affectaient l'ensemble de l'offre de la plateforme", a déclaré M. Lobsiger à la radio alémanique SRF vendredi. Dans le rapport final, la plateforme est décrite comme un système obsolète qui a grandi pendant des années sans être protégé contre les menaces relatives à sa sécurité.

Les utilisateurs devraient pouvoir récupérer leurs données ou les supprimer. Une solution viable a été trouvée et est sur la table, a expliqué M. Lobsiger, sans donner de détails.

L'Office fédéral de la santé publique (OFSP) travaille effectivement sur une solution pour restituer les données aux utilisateurs, a confirmé vendredi l'office à Keystone-ATS. Pour l'instant, aucun autre détail n'a été donné sur la forme de cette solution, qui est en cours de développement.

Plateforme désactivée

M. Lobsiger a répété à la radio SRF ce qu'il avait dit à la fin du mois de juin, lorsque les enquêtes sur mesvaccins.ch n'étaient pas encore terminées: "Comme leçon de l'histoire, la Confédération doit se sentir aussi responsable lorsqu'elle collabore avec des entreprises privées que lorsqu'elle traite elle-même des données de santé, et doit donc y regarder de près."

Dans ses recommandations, il demande à la fondation de répondre dans un délai raisonnable aux utilisateurs qui auraient demandé des informations ou d'effacer leurs données. Ils doivent aussi être remboursés pour d'éventuelles légalisations de copies. Le respect de la protection des données doit être garanti même si la plateforme a été fermée.

En mai, la plateforme mesvaccins.ch a été fermée en raison de failles de sécurité. Le magazine en ligne alémanique Republik.ch avait dévoilé fin mars que 450'000 données de vaccination, dont celles concernant 240'000 personnes vaccinées contre le Covid-19, étaient ouvertement accessibles et manipulables.

L'Office fédéral de la santé publique (OFSP) et le Préposé fédéral à la protection des données et à la transparence (PFPDT) ont donc pris des mesures. La plateforme a été désactivée et une procédure a été engagée contre les opérateurs.

La plateforme mesvaccins.ch était exploitée par la fondation sur mandat de l'OFSP. Elle documentait notamment les vaccinations contre le Covid-19 dans le carnet de vaccination électronique.

Manque de moyens

Fin août, la Fondation mesvaccins a mis fin à ses activités par manque de moyens financiers. Depuis, toutes les données, y compris celles des utilisateurs de la plateforme, restent stockées de manière sécurisée, mais ne seront plus traitées.

Il est donc impossible de répondre aux demandes d'envoi ou de suppression des données, y compris celles qui sont actuellement en suspens, expliquait la Fondation.

"Un scandale", avait alors jugé la Protection des consommateurs. Vendredi, la directrice de sa branche alémanique, Sara Stalder, a déploré à la radio qu'il ne soit toujours pas clair comment pourront être récupérées les données des utilisateurs. Mais au moins, il y a désormais une lueur d'espoir, selon elle.

ats/al