Couac – Mesvaccins.ch envoie des donnees non protegees a ses usagers
Publié

CouacMesvaccins.ch envoie des données non protégées à ses usagers

La plateforme a envoyé vendredi, à ses utilisateurs, des e-mails non cryptés contenant des données sensibles. L’association alémanique de protection des consommateurs se fâche.

par
Christine Talos
Fin mars, on apprenait que 450’000 données de vaccination de mesvaccins.ch, dont 240’000 provenant de personnes vaccinées contre le Covid-19, pouvaient être manipulées. Ce qui avait conduit l’OFSP et le Préposé fédéral à la protection des données à prendre des mesures.

Fin mars, on apprenait que 450’000 données de vaccination de mesvaccins.ch, dont 240’000 provenant de personnes vaccinées contre le Covid-19, pouvaient être manipulées. Ce qui avait conduit l’OFSP et le Préposé fédéral à la protection des données à prendre des mesures.

20min/Taddeo Cerletti

La plateforme mesvaccins.ch fait à nouveau l’objet de violentes critiques. Elle vient de s’attirer une volée de bois vert de la Stiftung für Konsumentenschutz (SKS), soit l’équivalent de la Fédération romande des consommateurs en Suisse alémanique, qui parle d’amateurisme et de cafouillage de la part de la fondation qui gère le site. Que s’est-il passé?

Vendredi soir, la plateforme, fermée depuis le mois de mai, a envoyé à ses utilisateurs des e-mails non cryptés avec des fichiers zip joints contenant des données de vaccinations sensibles. Ceci sans préavis ni information aux personnes concernées, juste un message posté sur le site. Les données ont en outre été envoyées depuis une adresse électronique inconnue (distribution@mesvaccins.ch), ce qui a fait que nombre de destinataires ont vu le courrier finir dans leur dossier spams ou ne l’ont carrément pas reçu, car jugé suspect et bloqué par le pare-feu de leur ordinateur.

«Cette méthode est en contradiction avec les exigences les plus fondamentales d’une protection adéquate des données», critique vertement l’association SKS, dans un communiqué, mardi. En effet, les e-mails non cryptés, y compris les pièces jointes, peuvent être facilement interceptés et lus par un tiers, explique-t-elle. «Envoyer des données de santé aussi sensibles par le biais d’e-mails non sécurisés avec une pièce jointe suspecte relève de l’amateurisme et d’un manque de professionnalisme. Cela montre une fois de plus que la fondation se fiche de la protection des données et n’est pas du tout à la hauteur de sa tâche», se fâche Sara Stalder, responsable de la protection des consommateurs à la SKS.

Failles de sécurité

Pour rappel, la plateforme mesvaccins.ch, gérée par la fondation mesvaccins.ch et exploitée sur mandat de l’OFSP, était chargée de documenter notamment les vaccinations contre le Covid dans le carnet de vaccination électronique. Elle avait dû mettre fin à ses activités, fin août, par manque de moyens financiers et était fermée depuis la mi-mai en raison de failles de sécurité.

Sur son site, la fondation, en liquidation, expliquait vendredi, qu’elle était enfin en mesure «de rendre à l’immense majorité des utilisateurs» les données hébergées sur mesvaccins.ch. «Nous n’avons pas reçu l’aide financière sollicitée depuis ce printemps auprès de l’OFSP, mais un donateur anonyme nous permet enfin de rendre leurs données aux utilisateurs», expliquait-elle. En ajoutant que les questions ouvertes avaient pu être clarifiées avec le Préposé fédéral à la protection des données et à la transparence (PFPDT) notamment. Et en prévenant que les courriels pouvaient finir dans les spams.

Pas conforme à la protection des données

Mais dans un communiqué, le PFPDT s’est défendu: «Le procédé mis en œuvre par la fondation est en contradiction avec les exigences demandées par le PFPDT vis-à-vis de l’OFSP. L’envoi non crypté de données de santé par e-mail sans procédure d’authentification à plusieurs facteurs n’est pas conforme à la protection des données», a-t-il écrit. «La formulation de la lettre d’accompagnement de la Fondation donne la fausse impression que la procédure mentionnée a été convenue avec le PFPDT. Ce n’est pas le cas», critique-t-il encore.

Sur son site Internet la Fondation a insisté et défendu sa méthode. Elle affirme ainsi que la solution retenue pour l’envoi des données de vaccinations est conforme aux recommandations du PFPDT. «Comme demandé par le PFPDT, les utilisateurs sont rendus attentifs au fait que la Fondation ne peut pas prouver activement l’intégrité et l’exactitude des données. Elle demande donc aux personnes concernées de contrôler les données et de vérifier ainsi leur plausibilité», écrit-elle.

Sanctions exigées

«L’envoi de courriers électroniques est conforme à la loi suisse sur la protection des données. Cela nécessite une sécurité appropriée des données, les différents intérêts devant être mis en balance, les uns avec les autres. La Fondation est d’avis que dans cette pesée des intérêts et dans un souci de proportionnalité, l’envoi de courriels s’effectue conformément à la loi sur la protection des données», conclut-elle.

De son côté, la SKS exige dans son communiqué que les acteurs impliqués, dont l’OFSP et le PFPDT, fassent tout leur possible pour arrêter la procédure et trouver une solution conforme à la protection des données. En outre, les responsables de la fondation mesvaccins.ch doivent être sanctionnés, réclame-t-elle. «Il ne doit pas être possible de laisser un tel gâchis derrière eux sans être tenus pour responsables», conclut-elle.

Ton opinion

13 commentaires