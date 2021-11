Confrontée à une alerte de fuite de données à caractère personnel sur sa plateforme de vaccination Bruvax, la Commission communautaire commune (la Cocom, administration publique en charge de la santé à Bruxelles) n’a pas jugé nécessaire d’alerter l’Autorité de Protection des données pour en notifier le risque, cette semaine. L’APD, n’a en effet reçu aucune notification à cet égard. Le Règlement général de protection des données (RGPD) prévoit pourtant qu’en cas de fuites de données, l’organisme dispose de trois jours pour informer l’Autorité. Et même qu’en cas d’atteinte grave aux libertés fondamentales des personnes concernées, elle les informe, et prenne des mesures urgentes, comme la suspension ou la modification de la plateforme, dans le but de mettre fin au problème.

Pour rappel, Le Soir révélait mardi une faille mise au jour par l’association Charta 21 : la possibilité de déduire assez simplement le statut vaccinal d’une Bruxelloise ou d’un Bruxellois. Il suffit pour cela d’introduire sur le site un numéro de registre national pour une prise de rendez-vous. Car si la personne propriétaire du numéro n’est pas vaccinée, elle peut poursuivre sur le site. Dans le cas contraire, un message apparaît : " Vous n’êtes pas éligible ". Le statut vaccinal en découle donc.

Bruvax conforme au RGPD d'après la Cocom

La Cocom estime, après un examen réalisé par ses juristes, que la plateforme Bruvax respecte bien les données à caractère personnel. D’abord parce que plusieurs raisons peuvent empêcher ou permettre l’accès à la prise de rendez-vous. Et puis parce qu’il est interdit d’utiliser le numéro de registre national d’une personne sans son accord : "Selon les analyses de notre service juridique, Bruvax ne permet pas la fuite massive des données à caractère personnel. Il n’y a pas de violation de données à caractère personnel dès lors que le système de sécurité de Bruvax ne permet pas un accès non autorisé aux données", dit-elle.

Le caractère illégal de l’acte ne change rien

Pourtant, le fait qu’il soit illégal d’encoder un numéro de registre national de quelqu’un d’autre ne change rien au fait qu’il s’agisse d’une fuite de données. En effet, la définition de la fuite de données – "violation de données" plus exactement- selon l’article 4.12 du RGPD est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. L’acte accidentel ou illicite est donc bien envisagé.

La Cocom a par ailleurs annoncé que le système Bruvax sera adapté aujourd’hui pour permettre plus facilement de s’inscrire à la troisième dose.