La plate-forme suisse du carnet de vaccination numérique doit fermer

En Suisse, une solution pour un carnet de vaccination numérique a été lancée avec le site web "mesvaccinations.ch". Cette initiative a été soutenue par l'Office fédéral de la santé publique. Enfin, il devrait permettre, en particulier dans la situation actuelle, de prouver facilement la vaccination Covid-19. Ainsi, les Suisses devraient par exemple pouvoir passer des vacances là où une preuve de vaccination le rend possible.

Mais c'est justement dans le module fabriqué à cet effet que certaines choses ont mal tourné.

Failles de sécurité

Dès le mois de mars, il a été révélé que la plateforme présentait d'importantes failles de sécurité.

L'idée de base était que les citoyens puissent y inscrire le plus facilement possible la date à laquelle ils ont été vaccinés et qu'ils puissent vérifier eux-mêmes quels vaccins leur manquent éventuellement. Il s'agit ici de données personnelles d'une catégorie particulière selon l'article 9 I du RGPD. Les utilisateurs ont été assurés que l'accès à ces données par des tiers (comme le personnel médical) n'était possible qu'avec leur consentement.

Malheureusement, la réalité était tout autre : N'importe qui pouvait s'enregistrer en tant que médecin sur la plateforme sans être contrôlé plus avant et pouvait ensuite consulter toutes les données des utilisateurs. L'identifiant de l'utilisateur était un simple horodatage de la date d'enregistrement, de sorte qu'il était facile d'obtenir le certificat de vaccination d'un utilisateur en tâtonnant. Les numéros d'identification nécessaires à l'enregistrement en tant que médecin se trouvent en Suisse dans un répertoire disponible publiquement, de sorte qu'il était facile d'en abuser à des fins personnelles.

Avec un peu plus de savoir-faire technique, il aurait également été possible d'accéder à la plateforme via la fonction de réinitialisation du mot de passe.

Outre la possibilité de s'enregistrer comme faux médecin et de consulter les données, il aurait également été possible de modifier les données. Il aurait ainsi été possible de déplacer des personnes dans des groupes à risque ou de manipuler des données de vaccination.

Non seulement cela va à l'encontre de tout le sens et de l'objectif du portail, mais cela constitue également une violation importante de la protection des données des utilisateurs.

La bureaucratie

Confronté à ces accusations, l'exploitant a d'abord retiré la plateforme du réseau afin de corriger les erreurs. Mais de nombreux utilisateurs avaient déjà perdu confiance et voulaient que leurs données soient supprimées. Pour cela, l'opérateur a demandé une copie certifiée conforme de la carte d'identité, qui coûterait à l'utilisateur l'équivalent de 13 euros, ainsi que d'autres données personnelles et, pour les mineurs, une attestation de garde. L'opérateur a refusé de prendre en charge ces frais. Dès que la plate-forme sera à nouveau en ligne, chaque utilisateur pourra procéder lui-même à la suppression, a déclaré l'exploitant.

Mais cela n'a jamais eu lieu. L'exploitant se voit dans l'impossibilité de reprendre l'exploitation du site web. Il n'y aurait pas encore de solution pour que les utilisateurs puissent récupérer leurs données.

Ici, des droits tout à fait fondamentaux des personnes concernées selon le RGPD sont rendus plus difficiles et finalement pratiquement refusés.

Une procédure de surveillance a déjà été engagée contre les exploitants.

Le Parlement suisse ne voit pas dans la plateforme les normes que la loi suisse Covid-19, qui vient d'être adoptée, impose à une solution numérique de carnet de vaccination, ce qui n'est guère surprenant.

Reste à savoir quelle suite sera donnée (à l'exploitant).