On vous rappelle le scandale, car il est déjà presque oublié. Il s’agit de l’échec cuisant de Mesvaccins.ch, en début d’année. A l’origine, cette plateforme numérique privée avait pour objectif de gérer une sorte de carnet de vaccination en ligne. Il était même envisagé que Mesvaccins.ch s’implique dans la campagne de vaccination contre le Covid. Le fonctionnement: toute personne qui se fait vacciner obtient une entrée dans le système «myCOVIDvac», à partir duquel un code QR est généré ultérieurement. L’Office fédéral de la santé publique (OFSP) y croyait, elle qui a versé 1,26 million de francs à la fondation derrière la plateforme.
Mesvaccins.ch aurait donc dû être le précurseur du certificat Covid que nous connaissons tous aujourd’hui. Mais les choses ne se sont pas déroulées comme prévu. C’est désormais connu: Mesvaccins.ch était tout sauf bien protégé. Les recherches menées par des experts en informatique, rendues publiques par le média alémanique Republik en avril 2021, ont révélé de graves lacunes de sécurité informatique. Depuis, le projet de carnet de vaccination numérique est tombé dans les oubliettes de l’histoire et la fondation à son origine a cessé ses activités.
Un fiasco qu'une partie de nos autorités avait pourtant anticipé, comme nous vous l'expliquons de manière détaillée ci-dessous.
Et le public? Il se demande encore comment tout cela a pu arriver… Pour répondre à cette question, watson a demandé l'accès à l'intégralité des conversations entre l'OFSP et la fondation Mesvaccins.
Nous l'avons fait il y a déjà un certain temps, lorsque le scandale commençait à émerger. Après plusieurs mois d'attente, l'OFSP a rendu ces documents publics sous la forme d'une archive de plus de 450 pages. watson a publié ce trésor de données vendredi dernier.
Das @BAG_OFSP_UFSP hat @watson_news/@WatsonActu heute die gesamte Konversation mit «https://t.co/sqKIXlkI9L» freigegeben. Es sind 456 geschwärzte Seiten. Bei uns geht grad ein Team die Dokumente durch – wir freuen uns aber auch auf Crowd-Recherche.
— Petar Marjanović (@petarmarj) October 8, 2021
—» https://t.co/PaiM11S0IJ pic.twitter.com/ffrfKx6r9t
Plusieurs pages de ces documents ont été massivement noircies et anonymisées. Toutefois, certains passages apportent de nouveaux éclairages importants qui permettent de mieux saisir la genèse du scandale (et ceux qui l’ont vu venir).
L'un des plus importants courriels a été envoyé le 28 décembre 2020, à 18h48. Son expéditeur est un informaticien œuvrant comme «représentant cantonal» pour la mise en place du projet. Les destinataires: des cadres de l'OFSP.
Dans ce document, l'expert en informatique écrit:
Ce courriel a été envoyé six jours après la conclusion officielle du contrat entre l'OFSP et Mesvaccins.ch. D'une part, le représentant critique la procédure de passation des marchés, soit la manière dont la Confédération s'est prononcée en faveur du projet de la fondation derrière la plateforme. D’autre part, il évoque des problèmes de protection des données:
L’informaticien déplore que les cantons aient reçu un «contrat inadéquat». Il corrobore également ce qui a été la première critique publique à l’encontre de Mesvaccins: d’un point de vue technique, le site internet de la plateforme n’avait pas connu d’amélioration depuis une dizaine d’années…
Sur cette base, l'informaticien annonce que son canton s'opposera au projet tant que ses questions resteront sans réponse. En passant, il qualifie ironiquement le manque de transparence de «hautement remarquable». En raison de l’anonymisation des documents, on ne sait pas qui précisément a envoyé le courriel, qui contient par ailleurs d’autres critiques envers Mesvaccins.ch. Mais celles-ci ont été caviardées par l'OFSP.
Les avertissements ne venaient pas seulement des cantons. Le dimanche 10 janvier 2021 à 22h15, un cadre de l'OFSP a écrit à la fondation. En guise d’introduction, il s’excuse de s'être énervé.
Von: ████@bag.admin.ch
Gesendet: Sonntag, 10. Januar 2021 22:15
Betreff: WG: ████
Hoi ████,
sorry, wenn ich etwas nerve, aber ihr seht an der mail von ████, dass eure Plattform im medialen Interesse steht.
(…)
Puis demande à la fondation de bien vouloir réviser le site Mesvaccins.ch afin d'y ajouter des informations détaillées sur la protection des données, le financement des médicaments ou de la technologie. Le cadre de l'OFSP indique qu’il serait opportun de savoir «factuellement et en toute transparence» ce qui a été fait en matière de protection et sécurité des données.
(…)
Insbesondere wäre es gut zu wissen, was ihr bisher für das Thema Datenschutz und
Datensicherheit getan habt und was ihr in diesem Kontext konkret bis wann plant. Bitte einfach sachlich und
transparent mitteilen. ████████████
Ich habe erst am Fr sehr lange mit ████ gesprochen, einem echten Kritiker bzw. Skeptiker eurer Plattform,
weniger wegen der Sache an sich, sondern wegen dem Setting der Stiftung und der aktuellen technischen Umsetzung,
v.a. eben das Thema Datensicherheit.
LG S
Selon la version officielle, l'OFSP n'a attribué le contrat définitif de 450 000 francs à la fondation Mesvaccins que le 22 décembre 2020 pour la mise en place d'un système de certification numérique de vaccination. Avant cela, la fondation avait opéré à «ses risques et périls».
Der Zuschlag kam für den Auftrag am 22.12.2020, die Stiftung scheint aber bereits Ende September gewusst zu haben, dass man das Modul myCOVIDvac erstellen wird. Welche Absprachen gab es zwischen dem BAG und der Stiftung in der Zeit vor dem Zuschlag?
Der Zuschlag wurde am 22. Dezember auf SIMAP veröffentlicht. Für die finale Vergabe waren jedoch die Impfstrategie und Impfempfehlungen massgebend. Diese lagen erst Mitte Dezember vor. Tatsächlich haben die entsprechenden Firmen auf eigenes Risiko bereits viel früher mit der Implementierung der Tools begonnen.
Qu'est-ce que cela signifie? Que plusieurs semaines auparavant, l'OFSP avait déjà prévu de mener la campagne de vaccination avec Mesvaccins et un autre prestataire de services afin de planifier les dates de vaccination. La date exacte du début de la collaboration est encore inconnue à ce jour. Toutefois, les documents montrent que des travaux préliminaires entre l'OFSP, Mesvaccins.ch et «oneDoc» avaient déjà eu lieu avant décembre 2020, soit bien avant que le montant du contrat de 450 000 francs ne soit définitivement attribué fin 2020.
Les cantons étaient également au courant et, selon les documents, ils ont reçu les premières offres pour Mesvaccins et oneDoc à la mi-décembre.
Von: ████@bag.admin.ch
Gesendet: Freitag, 11. Dezember 2020 08:41
Betreff: AW: Offerte ████ für meineimpfungen.ch
Hallo zusammen,
könnt ihr bitte bei meineimpfungen.ch asap eine Offerte für die Kantone einholen bzgl. der Betriebskosten?
Analog zu ████ müssen die Kantone wissen, was da auf sie zukommt. Daseilt leider sehr, es wäre ja super, wenn
die
Kantone heute nicht nur erfahren würden was sie der Service von- kostet, sondern eben auch jener von ████
kostet, sondern eben auch jener von ████.
Merci.
LG S
Les cantons ont donc été très tôt dans le coup et certains d'entre eux ont été immédiatement sceptiques. Rétrospectivement, quelques-uns sont restés têtus et ont refusé de coopérer avec la fondation.
De plus, les documents indiquent que l’OFSP a fait preuve d'une attitude contradictoire sur la question de la collaboration avec la fondation. Ainsi, Virginie Masserey, célèbre responsable de la section «Contrôle de l’infection et programme de vaccination» de l’OFSP, a été membre du conseil de fondation de Mesvaccins depuis janvier 2021. Elle n’aurait eu qu’un rôle d’expert avant de sortir du comité en avril de la même année.
Par la suite, l'OFSP a pris de plus en plus de distance avec la fondation et agi comme si la Confédération ne devait pas se soucier de ce que faisait cette entité privée.
Cette attitude de va-et-vient s'est manifestée dans une dispute sur le logo officiel de l'OFSP, qui a duré plusieurs jours. En janvier 2021, de hauts cadres de l'administration fédérale ont donné leur feu vert pour que le logo apparaisse sur le site internet Mesvaccins.ch. Face à l’émergence de critiques dans l’espace public, le feu vert a viré rouge: après avoir consulté les avocats de l'OFSP, la Confédération a insisté pour que le logo officiel n'apparaisse plus nulle part.
Cela a manifestement déplu à un cadre de l’OFSP, car fin janvier, il a envoyé un courriel à la fondation: «(...) Nous pourrions bientôt ne plus être autorisés à utiliser le logo de l’OFSP. Tu vois de quoi je parle…».
Le ton est (très) amical, même après que les avocats de la Confédération s'en sont mêlés. Ce climat n'a pas changé pendant longtemps, pas même quand d'autres médias ont émis des critiques sur Mesvaccins.ch et que les premiers problèmes de protection des données ont été rendus publics.
Qu’importe: il semble que la fondation avait toute confiance en elle. Dans un courriel début mars, elle pense déjà à l'avenir: dès la révision de la loi sur les épidémies en 2024, la fondation veut remettre les carnets de vaccination électroniques à l'OFSP.
Von: ████
Gesendet: Freitag, 5. März 2021 23:00
Betreff: Re: AW: Vaccination Certificate ████
Bonsoir / Bonjour,
c'est très volontiers que je participerai a une séance ayant pour but de clairifier ces points … pour que nous
soyons tous contents et fiers d'avoir developpé ensemble ██ en un temps record et qu'il
contribue au développement du carnet de vaccination électronique que la Fondation mesvaccins prévoit de
"transmettre" au BAG dès la revision de la loi sur les épidémies (2024).
(…)
Une vision qui est, depuis, devenue obsolète.