Sécurité et confidentialité: le carnet de vaccination électronique suisse n'était pas prêt

Le carnet de vaccination électronique suisse est-il fiable? Proposée via l’application «myViavac», cette solution est également accessible depuis un portail web à l’adresse www.mesvaccins.ch. Mis au point par la fondation Mesvaccins et soutenu par l’Office fédéral de la santé publique (OFSP), cette solution n’a pas attendu la campagne de vaccination contre le Covid-19 pour voir le jour. Elle est en effet disponible depuis 2011 déjà, lit-on dans les archives des communiqués de l’OFSP. Son niveau d'adoption est toutefois longtemps resté fort modeste.

Des limites connues

«Le carnet de vaccination électronique est toujours plus utilisé: le nombre de dossiers sur www.mesvaccins.ch dépasse désormais les 150'000, soit une hausse de 20% en un an. Mais pour qu’à l’avenir, il devienne la norme et supplante la version papier, des efforts importants sont nécessaires», déclaraient les autorités sanitaires helvétiques en avril 2018. Malgré ses limites soulignées par l’OFSP, la solution est aujourd’hui recommandée par l’OFSP, dans l’attente d’une alternative valable au niveau international répondant à des normes que doit spécifier l’OMS, lit-on dans un article récent du quotidien Le Temps.

Crise sanitaire oblige, la solution voit son nombre d'utilisateurs bondir. A la fin de l'automne, 300’000 personnes avaient déjà souscrit un carnet de vaccination numérique, rapporte le média en ligne Republik.ch dans un article pointant du doigt les problèmes de sécurité et de confidentialité des données de Mesvaccins.ch.

Politique de protection des données incomplète

Outre une expérience utilisateurs laissant à désirer (organisation confuse, termes s’adressant à des spécialistes), la plateforme n’affichait il y a peu qu’une politique de protection des données des plus minimalistes. Hannes Boesch, membre du conseil de la fondation, a d’abord justifié la pratique en déclarant ne pas monétiser les données ajoutant que la fondation n’a pas d’objectifs lucratifs. Or, Republik.ch a identifié dans les coulisses du site des traqueurs et une anonymisation défectueuse des données collectées. A noter que Hannes Boesch est également CEO de la société Arpage, qui a développé le site et en exploite la base de données.

Protocoles obsolètes

Outre ces soucis de confidentialité, le site présente des manquements en matière de cybersécurité. Au moment de publier l’article, le média en ligne assure que les pages de support contenaient une vulnérabilité d’injection SQL. Par ailleurs, la connexion sécurisée au site reposait sur les protocoles désuets TLS 1.0 et TLS 1.1. C’est aujourd’hui le protocole TLS 1.2 qui est activé. Le membre du conseil de la fondation assure que l'accès via TLS 1.3 (la version la plus récente) devrait être possible prochainement, ajoutant que des audits de sécurité seront effectués chaque semaine. Depuis la publication de l’article de Republik.ch, certaines modifications et corrections ont donc été réalisées. Mais impossible de savoir si le site répond aujourd’hui parfaitement aux exigences de sécurité et de protection des données, le logiciel n’étant pas open source. On s’étonnera surtout que les administrateurs du site aient apparemment pris conscience de ses lacunes qu’une fois confrontés aux questions du média alémanique. L’OFSP et les responsables des outils que l’office soutient semblent décidément avoir bien du mal à s’adapter au rythme des nouveaux besoins de numérisation apparaissant avec la pandémie.

Lire aussi:
>> Les lacunes aberrantes de la collecte de données à l’OFSP
>> Sang-Il Kim, OFSP: «Pas de transformation numérique sans transformation sociale»
>> Lenteur des vaccinations contre le Covid: couac numérique et fédéralisme en cause