Texte déposé
Toute personne qui doit ou veut avoir une vie sociale doit, à ce jour, détenir un certificat covid.
Toute personne qui a un établissement public ou est organisatrice d'un événement dans un lieu public a téléchargé l'application pour contrôler lesdits certificats.
Compte tenu de cette nouvelle réalité, le certificat Covid et le contrôle de celui-ci, soulèvent des questions de cybersécurité et de protection des données personnelles ainsi que de responsabilité des acteurs impliqués.
Les informations transmises sont des données personnelles (nom, prénom, date de naissance), ainsi que des données sensibles, soit celles sur la santé de la personne (vaccinée, guérie, date du vaccin, date du test...).
L'usage du certificat light est une réponse partielle aux besoins de protection. Pour l'utiliser, ce certificat doit toutefois faire l'objet d'une demande sur un serveur de l'OFSP afin d'obtenir un certificat avec des données limitées, pour une durée de 48 h. Par cette procédure, l'OFSP obtient, théoriquement, le certificat complet de la personne, la date de la demande, ainsi que la localisation.
Si l'auteure du postulat soutient les efforts visant à combattre la pandémie, elle tient toutefois à ce que les moyens utilisés respectent le principe de protection des données.
Les réponses aux questions suivantes sont souhaitées pour clarifier cette situation :
1. Quelles sont les données qui sont enregistrées, conservées, protégées, et utilisées ? Par quels serveurs, maintenus par quels prestataires, et dans quels pays transitent les données pour l'obtention du certificat ?
2. Quel est le niveau de sécurité des logiciels qui permettent de contrôler les QR code ? Quelles sont les personnes habilitées à le faire (quelles compétences, responsabilités, que font-elles des données récoltées) ? Quelle légitime autorité possèdent-elles pour vérifier l'identité des individus et outrepasser le secret médical ?
3. Lors des discussions sur le certificat Covid, il avait été demandé que la gestion des données se fasse de manière décentralisée, afin d'éviter que l'OFSP ne puisse avoir les données de tout un chacun. Qu'en est-il aujourd'hui ?
4. Quelles sont les mesures envisagées par le Conseil fédéral pour renforcer la protection des données et limiter la transmission de données personnelles ou sensibles à des tiers ?