Clôture de l’établissement des faits concernant la banque de données de centres privés de dépistage Covid-19
Berne, 28.04.2023 - Suite à la réception d’un signalement par un particulier, le Préposé a procédé à un établissement des faits concernant une banque de données insuffisamment sécurisée de centres privés de dépistage Covid-19. Dans son rapport final publié ce jour, il a établi que les données de santé traitées dans la banque de données avaient été exposées à des risques de sécurité considérables en raison de la faille signalée. Comme les responsables avaient pris les mesures immédiates appropriées après la découverte de cette faille, le risque pour les personnes concernées a pu être réduit. La procédure est ainsi close sans recommandation.
En novembre 2022, un particulier a signalé au Préposé fédéral et au Centre national pour la cybersécurité (NCSC) une faille du contrôle d’accès dans une banque de données stockant des données de santé provenant de centres de dépistage Covid-19 situés sur plusieurs sites en Suisse. Profitant d’une faille du serveur Internet, cette personne était entrée dans la banque de données et avait téléchargé une copie des données qui y étaient traitées. Le jour même de ce signalement, les responsables ont retiré la banque de données du serveur et l'ont déplacée sur un support physique chiffré.
Dans le cadre de l'établissement des faits qu'il avait ouvert à la suite de l’annonce reçue et des premières investigations qui ont suivi, le Préposé fédéral a constaté diverses lacunes en matière de sécurité des données. Sur la base des journaux d'accès, le responsable des centres de dépistage a confirmé qu'aucun autre accès non autorisé aux données n'avait eu lieu. En outre, grâce aux mesures immédiates prises, il n'y avait plus de risque pour les personnes concernées. Compte tenu de cette situation et du fait que l'exploitation des centres de dépistage Covid-19 avait déjà été suspendue quelque temps avant la connaissance de la faille en question, le Préposé a clos la procédure sans émettre de recommandation.
En raison du caractère transfrontière du système, le Préposé fédéral a été en échange avec plusieurs autorités dans le cadre de l’entraide administrative, notamment les autorités de protection des données d'Autriche et de la Principauté du Liechtenstein.
Le cas démontre d'une part les risques qui peuvent résulter de failles dans une banque de données. D'autre part, la prise de mesures immédiates et la journalisation des accès à la banque de données ont permis d'exclure des risques supplémentaires pour les personnes concernées.
Adresse pour l'envoi de questions
Préposé fédéral à la protection des données et à la transparence (PFPDT), Tél. +41 58 464 94 10, info@edoeb.admin.ch
Auteur
Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.html