Alain Maron: « Pas question de suspendre Bruvax »
Il ne peut être question de suspendre la plate-forme d’inscription bruxelloise à la vaccination qui reçoit entre 20.000 et 30.000 demandes d’inscriptions par jour à Bruxelles et ne fait l’objet d’aucune plainte, a affirmé jeudi le ministre bruxellois de la Santé, Alain Maron (Ecolo).
Celui-ci a précisé que cette plate-forme avait subi des adaptations et en subirait encore à la suite de la dénonciation, il y a une dizaine de jours d’une faille sur la protection des données, par l’association Charta 21.
Selon cette dernière, l’écueil tient au fait que le numéro de registre national est nécessaire à l’inscription et que des personnes autres que le titulaire peuvent introduire ce numéro sur la plate-forme et être informées du statut vaccinal de celui-ci.
Alain Maron a rappelé aux députés de la commission de la Santé du parlement bruxellois qui l’interrogeaient jeudi que Bru-Vax, lancée en avril dernier, a été conçue pour améliorer l’accessibilité à la vaccination, dans un contexte bruxellois de fracture numérique, de problème de réception des lettres d’invitation et de moindre adhésion vaccinale des citoyens.
Contrairement à la plate-forme Doclr à laquelle Bruxelles a renoncé, Bru-vax ne requiert pas d’enregistrement préalable, ni d’utilisation de la carte d’identité, ni d’un autre système complexe d’identification (basée, par exemple, sur une série de chiffres), qui sont utilisés pour accéder à des données médicales. La prise de rendez-vous de milliers de personnes par des tiers de confiance comme les pharmaciens, les médecins généralistes, les proches ou encore les travailleurs de rue a été grandement facilitée.
« Dans la pratique, les call centers mis en place dans tout le pays pour soutenir la prise de rendez-vous appliquent la même procédure que celle établie pour le site Bru-vax. Il est donc possible pour un usurpateur en possession du numéro NISS de déduire le statut vaccinal de la personne pour qui il prétend téléphoner », a commenté au passage Alain Maron.
Selon le ministre, le changement incriminé à Bru-vax est intervenu le 15 septembre dernier. Il visait à faciliter la prise de rendez-vous pour la troisième dose et éviter que les personnes s’inscrivent pour deux rendez-vous alors qu’ils n’en avaient besoin que d’un.
Selon les analyses initiales du service juridique de la Cocom, l’administration estime que l’affichage, pour des raisons médicales – certains citoyens ne peuvent recevoir celle-ci-, du fait qu’un citoyen (n’)est (pas) éligible à une vaccination ou à recevoir une (première/deuxième/troisième) dose en encodant le numéro de registre national et un code postal bruxellois, ne constitue pas une « violation de la sécurité » au sens de la définition de l’article 4.12 du Règlement Général de Protection des Données.
Néanmoins, le site Bru-vax a à nouveau été adapté le 19 novembre, afin que la personne qui se connecte à Bru-vax ne puisse plus savoir si la personne est éligible pour une première dose ou une dose de rappel.
En parallèle, une analyse juridique externe effectuée en urgence à la demande du ministre Maron indique, dixit celui-ci, qu’il « paraît a priori difficile de soutenir que les changements intervenus le 15 septembre ne constituent pas une violation de données à caractère personnel, étant donné que le traitement permettait à tout un chacun ayant accès au NISS d’une personne concernée de se faire passer pour elle et d’en déduire son statut vaccinal ».
L’avocat consulté retient que le RGPD offre au responsable du traitement une marge de manoeuvre dans la détermination du niveau de sécurité adapté au traitement et que l’objectif de lutter autant que faire se peut contre la pandémie en tenant compte de la spécificité bruxelloise et des risques de santé que celle-ci court, a été pondéré de manière beaucoup plus élevée que les risques d’accès non autorisés au statut vaccinal des personnes concernées.
« En conclusion, l’analyse de risque réalisée par la Cocom est basée sur une pondération des risques et avantages approfondie. Elle n’a pas été prise à la légère. Nous avons décidé de suivre l’avis de l’avocat sans attendre c’est-à-dire d’examiner à nouveau le niveau de sécurité adapté afin de rencontrer l’objectif d’accessibilité tout en maximisant le respect des règles RGPD et d’adopter, en attendant l’issue de ce processus et de la définition de nouvelles mesures permettant l’accès au site Bruvax, un processus parfaitement conforme au RGPD », a encore expliqué le ministre.
Les instructions des agents du call-center bruxellois pour la vaccination sont également en train d’être revues pour s’assurer que la personne qui appelle le call center ne puisse pas déduire d’informations à caractère privé lors de la conversation.