Une faille informatique a menacé la sécurité de données personnelles liées au Covid-19
Un particulier a signalé au préposé fédéral et au Centre national pour la cybersécurité (NCSC) une faille du contrôle d’accès dans une banque de données stockant des données de santé provenant de centres de dépistage Covid-19 situés sur plusieurs sites en Suisse. Les responsables ayant pris les mesures immédiates appropriées, le risque pour les personnes concernées a pu être minimisé, indique le préposé fédéral à la protection des données et à la transparence.
Dans son rapport final publié vendredi, le préposé constate que cette banque de données de centres privés de dépistage Covid-19 était insuffisamment sécurisée.
Comme le risque pour les personnes concernées a pu être minimisé et que l'exploitation des centres de dépistage Covid-19 avait déjà été suspendue quelque temps avant la connaissance de la faille en question, la procédure est ainsi close sans recommandation, précise-t-il.
Souligner la présence de risques
Le préposé tire néanmoins des enseignements. Le cas démontre d'une part les risques qui peuvent résulter de failles dans une banque de données. D'autre part, la prise de mesures immédiates et la journalisation des accès à la banque de données ont permis d'exclure des risques supplémentaires pour les personnes concernées, écrit-il.
Le préposé fédéral à la protection des données était déjà intervenu pour faire fermer un site lié à la pandémie de Covid-19, au printemps 2021. L'ancienne plateforme mesvaccins.ch présentait des manquements graves en matière de protection des données et de sécurité. Plus tard, une commission parlementaire a relevé que le Département fédéral de l'intérieur et l'Office fédéral de la santé publique avaient exercé leur devoir de surveillance "avec une trop grande retenue".
La fondation a restitué les données de vaccination à une partie des quelque 300'000 utilisateurs par courrier électronique non chiffré. Les autres ont dû être détruites.
ats/juma