Publié

Mesvaccins.ch a envoyé des données mal protégées à ses utilisateurs

Mesvaccins.ch a envoyé des données mal protégées à ses utilisateurs
Mesvaccins.ch a envoyé des données mal protégées à ses utilisateurs / Forum / 3 min. / le 9 novembre 2021
Fermée, la plateforme mesvaccins.ch envoie depuis vendredi à ses utilisateurs leurs données de vaccination en pièce jointe à un courriel non crypté. Or ce procédé est en contradiction avec les exigences du Préposé fédéral à la protection des données.

La plateforme mesvaccins.ch avait cessé ses activités en laissant ses utilisateurs sans nouvelles de leurs données de vaccination pendant de longs mois.

>> Lire : La fin de Mesvaccins.ch scandalise la protection des consommateurs

Mais depuis vendredi dernier, la fondation qui gère ce carnet de vaccination électronique a entrepris de les restituer, par mail, grâce au soutien financier d’un donateur anonyme. "Par ce courriel, nous sommes enfin en mesure de pouvoir vous fournir vos données de vaccination hébergées sur mesvaccins.ch", peut-on y lire.

Pour Philippe Aubert, utilisateur de la première heure du carnet de vaccination électronique, ces quelques lignes reçues - et surtout le fichier ZIP qui les accompagne - constituent un dénouement heureux. En août, il avait contacté l'émission A bon entendeur pour faire part de sa colère: il avait perdu l’accès à la liste de tous ses vaccins avec l’annonce de la fin des activités de la plateforme.

Un généreux donateur anonyme

Contactée, la fondation avait expliqué ne plus avoir les moyens financiers de restituer ces données. Mais aujourd’hui, la situation a changé grâce à l’intervention d’un donateur anonyme.

"La Fondation mesvaccins a trouvé un donateur privé dont la générosité égale la discrétion", explique sa présidente Claire-Anne Siegrist à l'émission A bon entendeur. "Il a pris en charge tous les coûts de l’opération, mais souhaite rester anonyme".

Le Préposé dénonce l'envoi non crypté de données

Pour le Préposé fédéral à la protection des données et à la transparence (PFPDT), ce dénouement est cependant moins heureux qu’il n’y paraît.

"L’envoi non crypté de données de santé par e-mail, sans procédure d’authentification à plusieurs facteurs, n’est pas conforme à la protection des données", dénonce Adrian Lobsiger sur son site internet. "La formulation de la lettre d’accompagnement de la fondation donne la fausse impression que la procédure mentionnée a été convenue avec le PFPDT. Ce n’est pas le cas".

Le Préposé, qui a pris connaissance lundi de cet envoi, a indiqué à la RTS qu'il est très surpris de l'attitude de la Fondation dans cette affaire. La Fondation a envoyé un signal public indiquant qu'elle n’a pas d’estime pour la sécurité technique des données de santé, estime-t-il.

En conséquence, son service a demandé à la Fondation de mettre fin à cet envoi qu'il qualifie d'illégal, et de prendre les mesures de sécurité appropriées pour remplir les exigences de la loi sur la protection des données. Adrian Lobsiger n'a pas de pouvoir de sanction, mais il pourrait dénoncer les évènements auprès de l'autorité cantonale de poursuite pénale compétente.

L'OFSP et la Fondation dos à dos

Interrogé par la RTS, l'Office fédéral de la santé explique avoir offert ses services pour trouver une solution sûre et efficace. Les discussions étaient encore en cours lorsque la fondation a pris la décision unilatérale de restituer ces données. L'OFSP regrette et écrit qu’il avait une solution d'ici la fin de l'année.

Mais la Fondation répond que l'OFSP n'avait montré aucun intérêt à s'impliquer jusqu’à il y a quelques jours. Ce n'est que le 28 octobre qu'il l’a contactée. Trop tard compte tenu de la liquidation de la Fondation.

Du point de vue de la présidente de la Fondation mesvaccins, les efforts consentis ont porté leurs fruits et c’est un soulagement. "Au contraire de bien d’autres entreprises publiques ou privées hackées récemment, nous n’avons toujours aucune suspicion de perte, de manipulation ou de vol de données", réaffirme Claire-Anne Siegrist.

Des messages dans le courrier indésirable

Selon la radio-télévision alémanique SRF, certains destinataires auraient retrouvé l’email dans leur courrier indésirable, ce que confirme le site mesvaccins.ch: "Vu le nombre de destinataires, il est possible que certains courriels arrivent dans la boîte aux lettres des messages indésirables. Nous invitons tous ceux qui attendent leurs données à surveiller l’arrivée d’un mail en provenance de distribution@mesvaccins.ch".

Contactée, la Fondation alémanique pour la protection des consommateurs (FPC) réagit avec virulence par le biais de sa directrice générale, Sara Stalder: "C’est une farce. Ces gens s’amusent avec des données hautement sensibles. C’est une honte", déplore-t-elle.

Aucune suspicion d'interventions malveillantes

C’est le média alémanique Republik.ch qui avait révélé en mars dernier de graves lacunes de sécurité dans la gestion des données par Mesvaccins.ch, où 450’000 personnes étaient inscrites. Rien qu’en Suisse romande, 120'000 personnes disposaient d’un carnet de vaccination sur la plateforme.

La Fondation mesvaccins a annoncé sa liquidation au mois d’août. Dans un rapport publié en septembre, le Préposé fédéral à la protection des données confirmait que de très graves failles techniques affectaient l’ensemble de l’offre de la plateforme.

Viviane Gabriel/Gaël Klein/oang

Publié