Mesvaccins.ch fait faillite: les données utilisateurs peut-être à jamais inaccessibles
La fondation qui gère la plateforme de carnets de vaccination numériques Mesvaccins.ch, désactivée depuis quelques mois, a demandé sa liquidation. Les utilisateurs risquent de ne jamais récupérer leurs données. Pour ICTjournal, un avocat éclaire sur la complexité de la situation au regard de la loi sur la protection des données.
Le site web Mesvaccins.ch a annoncé la fin de ses activités opérationnelles. La fondation qui le gérait indique s’être résolue à demander sa liquidation à l’Autorité de surveillance des fondations, faute d'avoir su générer les financements nécessaires à la poursuite de ses activités. «Cela signifie que toutes les données, y compris celles des utilisateurs de la plateforme mesvaccins.ch, restent stockées de manière sécurisée, mais ne seront plus traitées. Il est donc impossible de répondre aux demandes d’envoi ou de suppression des données, y compris celles qui sont actuellement en suspens», explique la Fondation mesvaccins. Cette dernière était soutenue par l’Office fédérale de la santé publique (OFSP) qui a passablement misé sur ce carnet de vaccination numérique dans le cadre de la pandémie de Covid, en la finançant à hauteur d'un quart de million de francs par an, a révélé il y a quelques mois la SRF.
Fin mars, le Préposé fédéral à la protection des données (PFPDT) a ordonné la fermeture de Mesvaccins.ch, à la suite d’une enquête du média alémanique Republik.ch, qui avait identifié de graves lacunes en matière de privacy. La plateforme a ensuite été désactivée à la mi-mai.
Les données inaccessibles peut-être de manière définitive
Dans leur dernière annonce, les responsables de la plateforme précise qu’ils vont encore s'efforcer à chercher une solution pour permettre l’accès à leurs données aux utilisateurs, en concertation avec le PFPDT, l’OFSP et l’Autorité de surveillance des fondations. «Si aucune solution n’était trouvée, les données resteraient inaccessibles dans un avenir proche - voire de manière définitive», ajoute la Fondation mesvaccins.
Les utilisateurs souhaitant disposer de leurs données sont-ils d'une manière ou d'une autre protégés par le droit suisse? «Puisque l'activité même de cette fondation consistait à conserver des données, on peut se demander s'il n' y a pas d'obligation, durant la liquidation, du permettre aux utilisateurs de récupérer leur données», explique à ICTjournal Sylvain Métille, associé au sein de l'étude HDC et avocat spécialiste de la protection des données.
Que dit la LPD?
Sous sa forme actuelle, la Loi fédérale sur la protection des données (LPD) prévoit (article 15) la possibilité de demander la rectification ou la destruction de données. La LPD révisée, qui devrait entrer en vigueur courant 2022, introduit le droit à la portabilité des données (article 28). Celui-ci donnera la possibilité de demander la remise des données personnelles, sous un format électronique couramment utilisé, ou demander à les transmettre à un tiers. Mais sous l'angle de la protection des données, ce droit à la portabilité n’est dans tous les cas valable que s’il y a quelqu’un en face, fait remarquer Sylvain Métille.
Les données sont-elles une valeur patrimoniale?
Une fois une société au fondation liquidée, la problématique se rapporte davantage aux droits liés aux fondations, aux sociétés et à la succession. «Le travail n’a pas été fait pour savoir s’il faut considérer ou non les données comme d'autres valeurs patrimoniales comme l'argent par exemple», ajoute l’avocat. Dans le cas de la faillite d’une fondation, la responsabilité de l'Autorité de surveillance dans la restitution des données n’est donc pas clairement établie.
Quoi qu’il en soit, les utilisateurs de mes Mesvaccins.ch qui veulent encore espérer retrouver leurs données ont tout intérêt à se manifester avant la fin de la procédure de liquidation…