Pourquoi les données de vaccination sont si mal protégées

Par

Chaque professionnel de santé peut, en quelques clics, obtenir le numéro de Sécurité sociale d’une personne et accéder à ses données vaccinales, y compris celles du président. Cette possibilité est en outre ouverte à certains agents administratifs. Pourtant, pour la Cnam et la Cnil, ce dispositif ne pose pas de problème.

Cet article est en accès libre. L’information nous protège ! Je m’abonne

La faille ayant conduit à la divulgation des données vaccinales d’Emmanuel Macron était dénoncée depuis de nombreux mois. Elle est pourtant assumée totalement par les autorités et même validée par le gendarme des données personnelles, la Commission nationale de l’informatique et des libertés (Cnil).

Comme le révélait Mediapart au mois de janvier dernier, n’importe quel professionnel de santé peut, avec le numéro de Sécurité sociale, également appelé NIR, obtenir les informations vaccinales d’une personne contenues dans le fichier Vaccin-Covid.

À l’époque, la Caisse nationale de l’assurance maladie (Cnam) avait déjà réfuté le terme de « faille ». « Il appartient au médecin de procéder à une recherche ou à un enregistrement uniquement et exclusivement pour ses patients, avait-elle fait savoir à Mediapart. Il s’agit là des règles courantes relatives à l’exercice professionnel des médecins qui sont soumis au secret médical et dont l’encadrement professionnel est très strict. »

Le ministre de la santé Olivier Véran lors d’une visite dans un centre d'appels de l'Assurance-maladie dédié à la vaccination contre le Covid-19, le 29 mars 2021, à Créteil. © Photo de Ludovic Marin / Pool / AFP Le ministre de la santé Olivier Véran lors d’une visite dans un centre d'appels de l'Assurance-maladie dédié à la vaccination contre le Covid-19, le 29 mars 2021, à Créteil. © Photo de Ludovic Marin / Pool / AFP

De son côté, la Cnil assurait alors à Mediapart que des contrôles seraient « conduits dans les prochaines semaines » et qu’ils se poursuivraient « tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent ». « Dans ce cadre, prévenait la commission, la sécurité des données, notamment les profils d’habilitation et permissions d’accès, fera l’objet d’une vigilance particulière. »

Pourtant, au mois de juin dernier, à l’occasion de la publication de son rapport au Parlement sur la mise en œuvre des dispositifs de surveillance de l’épidémie, la commission n’avait, elle non plus, rien trouvé à redire à l’organisation et aux conditions d’accès aux données médicales. « Contrairement à ce qui a été rapporté dans la presse, affirmait même la Cnil, cette fonctionnalité de recherche par le NIR, ouverte à tout professionnel de santé habilité à réaliser des opérations de vaccination, ne constitue pas un défaut de sécurité. »

« Ces possibilités de recherches par NIR ne sont pas exclusives au téléservice Vaccin-Covid », rappelait en outre la commission. Elle précisait avoir « constaté qu’un message de rappel est affiché à l’attention des professionnels de santé pour leur rappeler que toute consultation illégitime peut entraîner des sanctions ».

Ce simple avertissement n’a visiblement pas été suffisant pour dissuader certaines personnes d’accéder aux données du président de la République, comme le montrent les révélations de Mediapart. Et les professionnels à avoir effectué cette recherche pourraient être plus nombreux que ce que laissent penser les propos rassurants de la Cnam et de la Cnil.

Réagissant à l’article de Mediapart, un médecin, Michael, a ainsi expliqué, sur Twitter, comment la procédure, qu’il a lui-même réalisée, prenait « littéralement 1 minute ». Sur son ordinateur, le professionnel de santé, qui avait déjà dénoncé ces problèmes au début du mois d’août sur son blog, dispose en effet d’un téléservice baptisé INSi permettant d’obtenir le NIR d’une personne avec ses seuls nom, prénom et date de naissance. Il lui suffit ensuite d’entrer le numéro dans la base de données Vaccin-Covid pour obtenir les informations.

« Le secret médical incite à arrêter là, poursuit-il, mais d’autres personnes moins scrupuleuses sont peut-être en train de lister le statut de politiciens… Là, le statut du PR [président de la République – ndlr] est accessible, on peut le modifier/supprimer », expliquait encore le médecin, avant de prévenir : « Bon, après faut prévoir du café pour quand le GIGN débarque chez vous. » En effet, le seul contrôle réel exercé sur les accès au système se fait a posteriori via une traçabilité permettant de retrouver tout utilisateur ayant consulté des données. Celle-ci est assurée par la carte de professionnel de santé, CPS ou e-CPS, que le professionnel utilise pour se connecter.

La sécurité des données de vaccination repose donc sur une simple confiance aveugle en la déontologie des professionnels de santé devant respecter le secret médical. Ce garde-fou semble d’autant plus fragile que, dans le cadre de la lutte contre l’épidémie, l’accès aux fichiers de santé a été dans les faits étendu à d’autres agents administratifs, et donc habituellement non soumis au secret médical.

Dans son avis rendu le 10 décembre 2020 sur le projet de création du fichier, la Cnil avait pourtant averti que « seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du SI “Vaccin-Covid”, dans les strictes limites de leur besoin d’en connaître pour l’exercice de leurs missions ».

Rien, pourtant, n’a depuis été fait pour limiter l’accès des non-professionnels de santé aux données de vaccination. Encore plus inquiétant, dans son rapport du mois de juin dernier, la Cnil rapportait avoir constaté que dans certains centres de vaccination, « pour des raisons pratiques inhérentes au fonctionnement de ces centres, le téléservice Vaccin-Covid est régulièrement alimenté par des personnels administratifs utilisant le compte d’un professionnel de santé ».

« Les investigations se poursuivent afin de savoir si les exigences en termes de traçabilité et d’imputabilité (c’est-à-dire la possibilité d’attribuer la responsabilité de l’action à une personne) des actions sont respectées », poursuivait la commission.

Trois mois plus tard, les choses ne semblent pas avoir beaucoup évolué. Contactée par Mediapart pour savoir ce qu’avaient donné ces investigations, la Cnil renvoie en effet à son rapport du mois de juin.

Pas de mobilisation sans confiance
Pas de confiance sans vérité
Soutenez-nous