2021
L’APD contacte la COCOM suite à une potentielle fuite de données de la plateforme Bruvax
L’Autorité de protection des données (APD) a pris contact aujourd’hui avec la COCOM suite aux indications dans la presse d’une potentielle fuite de données liée à la plateforme Bruvax. L’APD n’a pas reçu de notification de la part de la COCOM à ce sujet, et lui a donc demandé des informations supplémentaires afin de mieux pouvoir évaluer la situation. Selon la presse, la plateforme aurait été modifiée aujourd’hui pour y remédier.
Selon des articles de presse parus ce 16 novembre 2021, il aurait été possible de supposer le statut vaccinal d'une personne sur la plateforme Bruvax en y indiquant le numéro de registre national de la personne concernée. Ceci pourrait constituer une grave fuite de données de santé.
Une fuite de donnée au sens du RGPD est une violation de la sécurité entraînant, de manière accidentelle ou intentionnelle, la destruction, la perte, l’altération, la transmission non autorisée de données à caractère personnel, ou encore l’accès non autorisé à de telles données . Toute fuite de données personnelles susceptible d’engendrer un risque pour les droits et libertés des individus doit être notifiée à l’Autorité de protection des données, au maximum 72 heures après la découverte de la fuite. Dans le cas d’un risque dit élevé, les personnes concernées doivent également être mises au courant.
Ce matin l’APD n’avait pas encore reçu de notification de la COCOM à ce sujet. Elle a donc décidé de prendre contact avec la COCOM afin de lui demander plus d’informations, notamment sur les mesures de sécurité mises en place, le moment où la COCOM a été mise au courant d’une potentielle faille dans son système, et l’évaluation qui a été faite quant à la nécessité ou non de notifier l’APD.
Les données liées à la santé, comme par exemple les données de vaccination, sont des informations particulièrement sensibles, elles figurent d'ailleurs pour cette raison parmi les priorités du plan Stratégique 2020-2025 de l'APD. Comme l’APD l’a répété à de nombreuses reprises depuis le début de la pandémie, ces données doivent être traitées avec la plus grande prudence.