Envois non-cryptés mesvaccins envoie des données mal protégées à ses utilisateurs

om, ats

9.11.2021 - 11:49

Depuis vendredi, mesvaccins envoie aux utilisateurs de la plateforme leurs données de vaccination. Elles figurent en pièce jointe à un courriel non crypté, un procédé en contradiction avec les exigences du Préposé fédéral à la protection fédéral des données (PFPDT).

om, ats

Pour mémoire,la plateforme mesvaccins.ch, gérée par la fondation mesvaccins, a mis fin à ses activités fin août par manque de moyens financiers. Elle était fermée depuis la mi-mai en raison de faille de sécurité (archives).
Pour mémoire,la plateforme mesvaccins.ch, gérée par la fondation mesvaccins, a mis fin à ses activités fin août par manque de moyens financiers. Elle était fermée depuis la mi-mai en raison de faille de sécurité (archives).
ATS

Pour mémoire, la plateforme mesvaccins.ch, gérée par la fondation mesvaccins, a mis fin à ses activités fin août par manque de moyens financiers. Elle était fermée depuis la mi-mai en raison de faille de sécurité. La plateforme était exploitée sur mandat de l'Office fédéral de la santé publique (OFSP). Elle documentait notamment les vaccinations contre le Covid-19 dans le carnet de vaccination électronique.

Le PFPDT a rappelé dans un communiqué diffusé mardi avoir conseillé l'OFSP lors de plusieurs rencontres dans le cadre d’un projet de récupération des données. Elle a également résumé en détail par écrit les exigences de protection des données pour l'envoi des données de vaccination aux utilisateurs. Des exigences pas respectées par les courriels envoyés depuis vendredi par la fondation.

L'envoi non crypté de données de santé sans procédure d'authentification à plusieurs facteurs n'est pas conforme à la protection des données, critique le préposé. Il s'en prend aussi à la formulation de la lettre d'accompagnement de la Fondation. Elle donne la fausse impression que l'envoi de courriels a été convenu avec le PFPDT. Ce n'est pas le cas.

Dans les pourriels

Les critiques fusent du côté de la Stiftung für Konsumentenschutz (SKS – l'équivalent de la Fédération romande des consommateurs en Suisse alémanique). Pour de nombreux destinataires, les courriels ont fini dans le dossier des pourriels. D'autres n'ont pas du tout reçu les courriels car leur pare-feu les a considérés comme suspects et ne les a pas délivrés. SKS pointe du doigt l'amateurisme de la fondation.

La fondation de protection des consommateurs affirme en outre que les courriels non cryptés avec pièces jointes peuvent être interceptés et lus par des tiers. Elle demande aux autorités de surveillance de mettre fin aux agissements de la fondation mesvaccins et de sanctionner ses responsables.

Si toutes les données de vaccination n'ont pas encore été envoyées, des solutions respectant la protection des données doivent être trouvées pour la suite des opérations, conclut la SKS.

Grâce à un donateur anonyme

Sur son site internet, la fondation, en liquidation, avait indiqué la semaine dernière ne pas avoir reçu les fonds demandés à l'OFSP. Un donateur anonyme lui avait toutefois permis de procéder à l'envoi des données. Elle avait prévenu que les courriels pourraient aboutir dans le dossier des pourriels. Aux utilisateurs de vérifier leurs données et de contacter leur médecin en cas de doute.

La fondation n'a pas pu être jointe par téléphone mardi. Dans un courriel, elle a indiqué que ses activités avaient cessé pour des raisons financières.