Bruvax ou le mépris de la vie privée des citoyens

La révélation par l’ASBL Charta21 de la gigantesque faille de sécurité de BRUVAX, mais surtout les réactions surréalistes des autorités bruxelloises ont démontré une fois de plus le mépris de nos gouvernements pour le respect des données personnelles et médicales des citoyens.

Le gouvernement bruxellois avait considéré que la plateforme de prise de rendez-vous adoptée par les gouvernements wallons et flamands était trop complexe pour les bruxellois. Considérant sans doute, avec un certain mépris, que les capacités intellectuelles et informatiques des bruxellois étaient inférieures à celles des autres concitoyens. Une application spécifique, simple d’accès, BRUVAX a donc été proposée aux bruxellois par la Commission Communautaire Commune, la COCOM. N’oublions pas de préciser que l’application utilisée dans le reste de la Belgique ne pose aucun problème de sécurité connu à ce jour.

Si la simplicité a du bon, la sécurité des données personnelles des citoyens est néanmoins indispensable et le gouvernement bruxellois ne peut pas ignorer que le RGPD, règlement européen sur la protection des données personnelles, est d’application. Or la sécurité des données vaccinales des bruxellois a été tellement ignorée que nous ne pouvons que constater l’incompétence ou la négligence des autorisés bruxelloises.

En effet, en allant sur la plateforme BRUVAX, en encodant son numéro national et un code postal bruxellois, le citoyen bruxellois voit soit apparaître une liste de centres de vaccinations, démontrant ainsi la non-vaccination complète, soit un message précisant qu’il n’est pas éligible à la vaccination montrant ainsi que sa vaccination est complète.

Si chaque bruxellois dispose évidemment de son numéro national, celui-ci est connu de son employeur, de son banquier, de son assureur, de nombreuses administrations, … De plus lorsqu’on est par exemple administrateur d’une ASBL ou membre de conseil d’administration le numéro national est publié aux annexes du moniteur belge et donc se trouve en quelques clics. Grâce à BRUVAX, il est donc désormais facile de connaître le statut vaccinal de ses employés, de certains de ses voisins, collègues, des ministres, de stars des médias ou du sport, etc. à partir du moment où ils sont bruxellois. Il s’agit donc d’une gigantesque faille de sécurité et d’une infraction au RGPD.

De plus, lorsqu’on introduit le numéro national d’un non bruxellois et un code postal bruxellois au hasard, ce non-bruxellois apparait systématiquement comme non vacciné, délivrant ainsi une fausse information dans la très grande majorité des cas, vu le pourcentage de personnes vaccinées. Imaginez donc un employeur wallon qui constaterait, via une source officielle, BRUVAX, qu’un de ses collaborateurs est non vacciné alors qu’il l’est complètement.

Une réaction surréaliste de BRUVAX

Face à la constatation de cette violation des données personnelles des bruxellois, le principe de précaution aurait dû être, pour la COCOM, de suspendre immédiatement BRUVAX et de permettre rapidement aux bruxellois de prendre RV au moyen d’une plateforme sécurisée, par exemple comme celle utilisée par le reste du pays.

Le surréalisme étant une caractéristique nationale, la réaction de la COCOM a été de dire qu’utiliser le numéro de registre national d’une autre personne sans autorisation était illégal. Même si c’est théoriquement exact, le manque de sécurité est criant. Essayez de dire à votre assureur, après un cambriolage alors que vous aviez laissé la porte de la maison ouverte, que ce n’est pas votre faute car le cambriolage est illégal ! La mise en oeuvre de la sécurité des données doit prendre en compte tous les risques, voire le hacking et la criminalité informatique. Or la COCOM a communiqué en disant que ses juristes considéraient que tout allait bien mais qu’une adaptation aurait lieu.

Mais les erreurs ne s’arrêtent pas là. Lorsqu’une violation de données grave est constatée, et porte une atteinte grave aux droits et libertés des personnes concernées, ce qui est clairement le cas ici, toute organisation doit prévenir l’Autorité de Protection des Données (APD) endéans les 72 heures et les personnes concernées dans les meilleurs délais. Et ce n’est pas le seul manquement au RGPD constaté. Mais comme la COCOM considère que tout va bien elle n’en a rien fait.

Face à ce mutisme de la COCOM et aux nombreuses réactions des citoyens et des médias, l’APD a du se saisir du dossier et a contacté la COCOM

Une adaptation qui fait pire que bien

La COCOM a fini par faire évoluer son application en proposant une nouvelle version, mais en faisant pire que bien. En effet, si rien n’a changé en matière d’accès aux informations des bruxellois, elle pose une question de plus en demandant aux bruxellois intéressés s’ils ont une comorbidité. Et donc la COCOM collecte désormais une information très personnelle et médicale. En effet les comorbités selon Sciensano sont l’obésité, le diabète, le cancer, l’hypertension, etc. On peut se demander sur quelle base légale BRUVAX collecte cette information et en quoi cela améliore la sécurité des données personnelles des bruxellois.

Tout va très bien Madame la Marquise

Une semaine après que l’ASBL Charta21 ait révélé cette gigantesque faille de sécurité rien n’a donc changé, et il suffit de se promener dans les réseaux sociaux pour voir que #bruvaxgate est devenu un sujet de conversation important et que de nombreuses, personnes ont testé cette faille de sécurité qui leur semblait être tellement énorme qu’elle pouvait passer pour une fake news.

La violation de données vie BRUVAX n’est malheureusement qu’un exemple du peu de considération que nos gouvernants ont du respect de la vie privée des citoyens. N’oublions pas l’affaire HELENA, CovidScan, la non prise en compte des nombreux avis de l’APD dans le cadre de la loi pandémie et des nombreuses législations prises dans le cadre de la pandémie, et la menace de renvoi par la Commission Européenne de l’Etat belge devant la Cour Européenne de Justice pour non-respect du RGPD.

Comment ne pas rappeler, une fois de plus que le respect de la vie privée et les mesures de santé publique ne sont pas incompatibles et que le droit à la santé et le droit à la vie privée peuvent et doivent coexister.