«Ce n’est pas un bug, c’est une fonctionnalité»… ce dicton ironique utilisé pour se moquer des éditeurs de logiciels réticents à reconnaître les dysfonctionnements de leurs solutions peut-il être décliné en «Ce n’est pas une faille, c’est une fonctionnalité» concernant l’application du certificat Covid suisse? La question se pose sérieusement au vu de la découverte rapportée par nos confrères du Temps: l’application Covid Certificate, qui s’adresse aux grand public, permet de scanner le code QR du certificat de n’importe qui. Et donc d'avoir accès à des informations a priori confidentielles.
Pour rappel, l’app Covid Certificate Check permet aux organisateurs d’événement, douaniers, compagnies aériennes, etc. de vérifier si une personne est vaccinée, immunisée ou testée négative. En Suisse, cette app de vérification est conçue de sorte à n'afficher qu’un minimum d'informations (nom, prénom, date de naissance, certificat valable ou non). L’app de stockage des informations destinée aux individus collectent et affichent les données plus détaillées une fois que l'utilisateur scanne le code QR transmis par les autorités compétentes. Ces données concernent par exemple le type de vaccin administré, la date de vaccination et celle de la création du certificat.
Ordonnance COVID-19 vs. conditions d’utilisation
Interrogé par le Temps, Sylvain Métille, avocat spécialisé en protection des données, estime qu’il y a effectivement un souci et que la possibilité d'accéder ainsi à des données détaillées de tierces personnes va à l'encontre de l’Ordonnance COVID-19 sur les certificats. De son côté, l’Office fédéral de l’informatique et de la télécommunication (OFIT), qui supervise ces applications, nie tout problème de confidentialité. Ajoutant que recourir à l'app de stockage pour la vérification des certificats violerait les conditions d’utilisation de l’application.
Le Préposé fédéral à la protection des données évoque lui aussi un problème de confidentialité.Toujours dans l’article du Temps, il souligne que les données du certificat ne sont pas chiffrées pour se conformer aux spécifications établies par l’Union européenne. Celles-ci prévoient l’accès aux informations détaillées listées précédemment.
Il convient de noter qu'un système européen informant simplement si le certificat est valide ou non fonctionnerait uniquement si tous les pays s'accordaient sur les conditions de validation (durée de l'immunité pour chaque vaccin ou pour les personnes précédemment infectées, délai acceptable après un test PCR, etc.).