Petit retour dans le temps. La plate-forme mes vaccins.ch exploitée par une fondation éponyme avait envoyé en novembre 2021 à ses utilisateurs des e-mails non cryptés contenant des données sensibles, provoquant de ce fait le courroux de l’association alémanique de protection des consommateurs. Cet épisode faisait suite à de précédents déboires intervenus en mars 2021, déboires ayant provoqué l’intervention formelle du préposé fédéral à la protection des données.
En substance, des lacunes en termes de sécurité des données avaient été mises en exergue par le média Republik.ch. Il s’agissait d’une possibilité pour les professionnels de santé d’accéder sans difficulté aux données personnelles de tous les particuliers inscrits (adresse, numéro de téléphone, date de naissance, assurance maladie, statut vaccinal, risque de contracter le Covid 19). Il leur était également loisible de modifier ces données et de faire passer, par exemple, une personne âgée dans un groupe de personnes moins vulnérables. En sus, des falsifications étaient possibles relativement aux professionnels qui s’y enregistraient. 450'000 personnes étaient exposées du fait de la violation des normes de sécurité des données, dont 240'000 vaccinés… En bref, une pétaudière qui ne cessait de prospérer, ce qui allait rapidement sceller le sort de la fondation qui exploitait la plate-forme.
La mise en faillite est intervenue le 17 novembre 2021. La masse en faillite contenait conséquemment et logiquement des données personnelles sensibles des utilisatrices et utilisateurs de la plateforme.
Dans le cadre de la procédure de faillite, l’Office des faillites Berne-Mittelland concerné avait initialement envisagé de vendre ces données personnelles de gré à gré à une entreprise privée (sic !).
Je vous laisse le soin d’imaginer les conséquences (violation de la sphère privée et de l'autodétermination informationnelle des utilisateurs notamment) d’une telle vente, qui n’aurait jamais dû être ne serait-ce qu’envisagée par les personnes en charge de la gestion de la faillite.
Vendredi 20 mai 2022, le préposé fédéral, en accord avec le préposé à la protection des données du canton de Berne, a émis une recommandation formelle à l’Office des faillites de Berne-Mittelland, (agissant pour le compte de la masse de la faillite de la fondation mesvaccins.ch), de renoncer à la vente de gré à gré prévue. Il a, de surcroît, recommandé la suppression de toutes les données. L’Office des faillites de Berne-Mittelland a accepté ces recommandations. Les données seront donc en définitive supprimées, ce qui était la seule issue possible.
Ce fiasco illustre, une nouvelle fois, la nécessité de soumettre le traitement des données (et a fortiori de données sensibles) à une régulation forte, les contrevenants devant être punis sévèrement. À défaut, on ne pourra que conseiller aux citoyens de ne plus accepter de confier leurs données…
