La plateforme de certificats de vaccination sous le feu des critiques - procédure engagée

Après que le Préposé fédéral à la protection des données et à la transparence (PFPDT) a été informé le 21 mars 2021 par le magazine en ligne "Republik" de ses clarifications concernant d'éventuelles violations de la protection des données de la plateforme de vaccination. www.meineimpfungen.ch (certificat de vaccination numérique), elle a examiné sommairement les allégations du médium et les informations dont elle dispose. Après consultation du Centre national de cybersécurité (NCSC), il a été conclu que les violations signalées étaient plausibles, rapporte le PFPDT.

Données personnelles particulièrement sensibles concernées

La fondation meineimpfungen a pour but d'exploiter le dossier de vaccination électronique sur une plateforme électronique, de le faire connaître et de le diffuser auprès de la population. 

Le PFPDT a actuellement mis un terme à cette situation : Le 22 mars 2021, le haut responsable de la protection des données a ouvert une procédure de clarification des faits en vertu de l'article 29 de la loi fédérale sur la protection des données (LPD) à l'encontre de la fondation, dont le siège est à Gümligen (Berne). En outre, écrit le commissaire à la protection des données, des efforts ont été faits pour arrêter immédiatement le traitement des données qui avaient été signalées comme étant inadéquates. La raison : le traitement des données de la plateforme de vaccination était susceptible de porter atteinte aux droits de la personnalité d'un grand nombre de personnes, d'autant plus qu'en l'espèce, ce sont les données personnelles relatives à la santé qui sont particulièrement dignes de protection.

Les responsables de la fondation sont maintenant appelés à commenter très rapidement auprès du PFPDT les accusations portées et la plainte déposée par "République". En outre, des informations sont attendues sur toute perte de données.

Que dit la fondation ?

En raison de la procédure en cours, le PFPDT ne souhaite pas faire de commentaires supplémentaires sur cette affaire pour le moment. Selon "Republik", on ignore si des cybercriminels ont exploité les failles de sécurité et siphonné les données sensibles de la plateforme. Que dit la fondation à propos de ces allégations ? Sur www.meineimpfungen.ch, il est seulement indiqué "Sorry, urgent maintenance is required. Nous nous excusons pour ce désagrément et nous ferons de notre mieux pour en raccourcir la durée." Plus loin, la plateforme indique : " Pour maintenir la sécurité des données, le fonctionnement de la plateforme meineimpfungen.ch est temporairement interrompu. "

Dans une première déclaration, l'organisation écrit : "La fondation meineimpfungen a été informée des vulnérabilités de la plateforme en ligne par des spécialistes le dimanche 21 mars 2021. Les vulnérabilités concernent principalement la possibilité d'un enregistrement non autorisé en tant que spécialiste. La majorité des vulnérabilités techniques ont déjà été corrigées au petit matin du lundi 22 mars 2021. Pour des raisons de sécurité, nous avons suspendu l'exploitation de la plate-forme jusqu'à ce qu'une analyse complète ait été effectuée."

Critique sévère de la protection des consommateurs

La fondation meineimpfungen a été chargée par la Confédération d'établir un passeport électronique de vaccination Covid. Cette procédure a été critiquée dès le départ, souligne l'organisation de protection des consommateurs. La fuite de données - 450 000 utilisateurs ont été exposés - montre que les critiques étaient justifiées.
Sara Stalder, directrice exécutive de la protection des consommateurs, exige : "L'activité de meineimfpungen doit être arrêtée immédiatement et définitivement. Il faut aussi cesser immédiatement de faire de la publicité pour ce dossier de vaccination électronique lors du processus d'enregistrement de la vaccination Covid et aussi sur place dans les centres de vaccination." Il poursuit : "Il faut également que le législateur établisse des bases strictes pour une solution sécurisée. La confidentialité des données doit être garantie à 100 %. Nous parlons de données personnelles très sensibles qui méritent d'être protégées."