Des informaticiens suisses qui acquièrent une notoriété au niveau national? C'est peu courant dans le pays. Pourtant, avec Sven Fassbender, ce constat pourrait devenir tout autre. Ce consultant en sécurité informatique suisse allemand a récemment fait parler de lui après avoir rendu publiques des failles informatiques significatives concernant la plateforme Swisstransplant, le registre suisse en ligne du don d'organes.
En 2021, ses analyses avaient déjà conduit à la fermeture de Mesvaccins.ch. Aujourd’hui, c'est Swisstransplant qui est touché. Les systèmes informatiques de ce registre étaient si mal conçus que n’importe qui était apte à décider de ce qui pouvait figurer sur la carte de donneur d'organes d'une tierce personne. Le contrôle d'identité pouvait être déjoué avec du papier et une webcam. Théoriquement, cela aurait pu amener une personne décédée à devenir donneuse d'organes sans son consentement.
Cette semaine, l'émission de radio «Echo der Zeit» de la SRF a rendu publique l’analyse de Sven Fassbender. L’émission «Kassensturz» a ensuite mis en scène la cause du problème en faisant une «auto-vérification». Swisstransplant a alors désactivé ses systèmes pendant une courte période avant de déclarer publiquement: «A aucun moment, des données personnelles n'ont pu être consultées ou traitées».
Si de telles phrases se veulent rassurantes en temps de crise, dans ce cas précisément, elles se révèlent dénudées de tout fondement technique: le registre des dons d’organes n’était pas protégé. Les données du serveur ont pu être lues librement sans aucune vérification. Dans le jargon informatique, on appelle ça un «drapeau rouge». Bref, une erreur de débutant. Les services de Google par exemple pouvaient lire pratiquement tout le site web, et ce également lorsque la déclaration de don d'organes était complétée. Ces failles n’étaient certes que des risques «théoriques», mais ils étaient hautement élevés. On peut les comparer à une porte d’entrée grande ouverte dont la véritable effraction ne devenait qu'une question de temps.
Comment cela a-t-il pu se produire? Et pourquoi des parallèles sont faits avec l'échec de la plateforme MesVaccins.ch? Le dénominateur commun des deux pannes technologiques n'est pas l'Office fédéral de la santé publique (OFSP), mais la manière dont la politique de santé est menée en Suisse.
Les plateformes de vaccination et de don d'organes ont toutes deux été gérées selon le credo «Private-public partnership»: l'Etat donne des directives qui sont mises en œuvre par des organisations privées. Ici, la question se pose donc de savoir si l’Etat ne devrait pas plutôt prendre les commandes du développement de ce type de plateformes pour augmenter leur sécurité. Parallèlement, cela pousserait à se demander ce que les autorités publiques ont le droit de savoir.
La politique suisse a opté pour la voie médiane et a confié la gestion numérique des registres de vaccination et de don d'organes à des fondations privées. Celles-ci doivent coordonner, gérer et exploiter les plateformes informatiques afin d'éviter toute connotation étatique dans le domaine de la vaccination ou du don d'organes. Si l'Etat gérait de tels systèmes, cela nécessiterait la participation d'innombrables commissions parlementaires, groupes de travail étatiques, hôpitaux, spécialistes médicaux et programmeurs collaborent – ce qui, selon les croyances, rendrait les innovations plus difficiles. Sans oublier le fédéralisme qui compliquerait davantage les choses car la politique de la santé reste l'affaire des cantons.
Au lieu de s'attaquer à ce projet colossal, la politique a laissé faire les privés. Des fondations telles que Mesvaccins.ch ou Swisstransplant ont développé les plateformes grâce à des subventions, sans qu'il soit nécessaire de créer des lois spéciales. Seules la loi sur la protection des données et la loi sur la transplantation ont servi de cadre. La Confédération et les cantons ont pu observer comment l'innovation numérique dans la gestion des vaccins et des dons d'organes a vu le jour.
La pandémie a montré que le fonctionnement «private-public partnership» n’était pas lié en premier lieu à l’Etat, mais à la volonté politique. L'OFSP, en collaboration avec l'Office fédéral de l'informatique et de la télécommunication (OFIT), a quant à elle développé à une vitesse record les certificats Covid ou l'application SwissCovid. Ces plateformes sont sûres et modernes en l’état actuel des connaissances et le code source peut être consulté publiquement. Pour des raisons politiques, la protection des données a été hautement prioritaire et vérifiée à maintes reprises par des instances de contrôle. Les erreurs ont (lentement) été éliminées. Les avis de la population ont été pris en compte.
Ces processus ont fait défaut pour Mesvaccins.ch et le registre numérique des dons d'organes. La programmation a été externalisée, la transparence a été négligée et les questions de protection des données ont été traitées par des cabinets d'avocats quelconques. Dans ces cas-là, lorsque des erreurs se produisent, cela peut conduire à la perte d’un contrat ou à la fermeture de la plateforme. Toutefois, ce sont des conséquences moins graves, comparées aux démissions ou à la création d'une commission d'enquête parlementaire (CEP) qu'entraînerait le même scandale si ces plateformes étaient sous la responsabilité de l’Etat.
