Un fichier en ligne accessible partout pour remplacer un bout de carton souvent introuvable, quelle bonne idée! Promis à un avenir radieux, le carnet de vaccination électronique se termine en immense gâchis: Berne a ordonné la destruction des données de 300 000 utilisateurs… avant de revenir en arrière au dernier moment.
«En tant que victime de cette débâcle, je m’y oppose formellement», proteste Fabrice Glarner, de Satigny. Ses courriers recommandés pour récupérer ses informations, et celles de son épouse, sont restés sans réponse jusqu’à ce jour. De leur côté, les médecins s’insurgent. «Certains problèmes étaient connus depuis longtemps», relève Philippe Luchsinger, président de Médecins de famille et de l’enfance Suisse. «Si les données sont supprimées, il faudra recommencer de zéro avec les livrets de vaccinations, en y inscrivant ce que nos patients savent encore, et ce que nous avons dans nos dossiers médicaux.»
«C’est une catastrophe», dénonce Cédric Deruaz. Le médecin, installé à La Chaux-de-Fonds, avait encouragé ses patients à participer activement et dénonce, aujourd’hui, la passivité de l’Office fédéral de la santé publique (lire encadré): retour sur un cafouillage à grande échelle.
Blocage pour protéger les données
En 2011, la Fondation mesvaccins.ch met au point le carnet de vaccination électronique à travers une plateforme et une application, myviavac. L’outil, soutenu par l’OFSP, repose sur une base volontaire. «Je m’y suis mis rapidement», témoigne Fabrice Glarner. Fini, le suivi fastidieux des vaccinations: accessible depuis le cabinet du médecin, le carnet indique aussi les dates des rappels.
A la fin de 2020, un nouveau module, myCOVIDvac, complète le logiciel pour y intégrer les piqûres contre le coronavirus. Coup de tonnerre le 21 mars 2021: le magazine alémanique d’enquête en ligne Republik annonce que les informations confidentielles stockées sur la plateforme ne sont pas protégées. La Fondation bloque immédiatement tous les accès. Au vu de la gravité du cas, le Préposé fédéral à la protection des données et à la transparence (PPFDT) ouvre une enquête. Au total, près de soixante failles seront constatées, et pas des moindres:
- �Aucun protocole prévoyant des tests de sécurité réguliers ou de système d’alarme pour déceler d’éventuelles attaques n’a été prévu.
- Une fois connectés, les intervenants ont accès aux données de tous les utilisateurs et peuvent les manipuler.
- De fausses saisies ont été constatées pour le tétanos et le Covid-19.
Failles irréparables
En septembre 2021, le PPFDT publie son rapport définitif. «Le carnet de vaccination et le module myCOVIDvac reposent sur des bases obsolètes qui n’ont jamais été adaptées pour parer aux menaces de cybersécurité actuelles.» On ne saura jamais si des données ont été manipulées ou pas et il est impossible, à ce stade, de réparer les failles du système.
Au début du mois de novembre 2021, nouvelle gaffe: la Fondation envoie aux utilisateurs les informations qui les concernent dans des mails non sécurisés. Le PFPDT bloque tout et mesvaccins.ch est mise en faillite le 17 novembre 2021.
Recherche de solution
Six mois plus tard, les événements se précipitent. Le 25 mai dernier, le PFPDT ordonne de supprimer les précieuses informations une fois terminée la procédure de faillite. C’est le seul moyen trouvé pour les mettre définitivement à l’abri. Le 20 juin, l’OFSP annonce financer un avant-projet. Les spécialistes argoviens du dossier électronique du patient (DEP) étudieront la possibilité de récupérer les données pour les intégrer ensuite au DEP. Le PFPDT, qui a donné son feu vert, accorde un dernier sursis aux fameux gigaoctets: le feuilleton se poursuivra cet automne.
Claire Houriet Rime
Quinze mois pour sortir la bouée
Pourquoi les autorités fédérales ont-elles attendu si longtemps avant de réagir? «Je suis stupéfait qu’elles n’aient pas attribué plus tôt le financement nécessaire au maintien de cette activité», dénonce Cédric Deruaz, médecin à La Chaux-de-Fonds. Même indignation chez Fabrice Glarner: «J’ai décidé de passer au carnet de vaccination électronique sur recommandation de l’Etat. Il n’a pas fait les vérifications nécessaires en amont. Et il est resté longtemps passif», s’insurge le lecteur de Satigny.
Sur le plan légal, c’est la Fondation mesvaccins.ch qui est responsable de la débâcle. L’OFSP explique avoir multiplié les démarches pour éviter d’en arriver là, avant de «regretter la non-restitution des données». Il aura cependant fallu la décision radicale du PFPDT pour faire chauffer les réseaux téléphoniques et entrevoir une issue. Si les experts argoviens parviennent à une solution, l’OFSP aura du pain sur la planche pour regagner la confiance du public. La promotion d’un nouveau carnet de vaccination, prévue pour la fin de l’année, s’annonce difficile.
