Adrian Lobsiger, préposé fédéral à la protection des données et à la transparence, a ouvert une enquête jeudi dernier contre Swisstransplant, le registre suisse de dons d'organes. Il a été alerté par l'émission Kassensturz de la télévision alémanique SRF sur de grosses failles dans le système informatique.
Selon l'émission, qui se base sur un rapport d’une société privée, il serait possible de faire d'une personne un donneur d'organes à son insu.
Swisstransplant, l'exploitant du registre national du don d'organes, écrit sur son site internet que des reproches concernant la sécurité et la validation des inscriptions au registre ont été formulés le 11 janvier. Ces critiques étant prises très au sérieux, le registre a été temporairement mis hors ligne.
Depuis mardi, le registre est à nouveau en ligne, après que la fondation et ses partenaires ont examiné les faits en détail, précise-t-elle. L'examen n'a révélé aucune faille dans le système. Il n'a à aucun moment été possible de consulter ou de traiter des données personnelles.
«Les inscriptions existantes dans le registre sont absolument sûres.» Swisstransplant rappelle que la sécurité des données est une priorité absolue pour lui. Les données concernées touchent à la sphère intime et doivent être considérées comme «sensibles», a précisé Adrian Lobsiger à Keystone-ATS.
Le préposé indique aussi que Swisstransplant a remis en ligne son registre sans les adaptations qu'il avait recommandées. Il avait suggéré d'exiger une copie de la pièce d'identité où la signature serait visible, puisque celle-ci pourrait être comparée avec la déclaration écrite qui doit également être transmise.
Dans le reportage diffusé mardi soir, le rapport d'une entreprise de sécurité de l'information montre que le registre présente des lacunes de sécurité significatives, «permettant de faire de n'importe quelle personne un donneur d'organes». De plus, il serait possible de lire et de télécharger toutes les données sur le serveur d'application.
Le préposé entend désormais examiner plusieurs aspects:
En établissant les faits, l'enquête doit contribuer à la mise en place de solutions conformes à la protection des données personnelles, malgré l'absence d'une identité électronique reconnue par l’Etat.
Adrian Lobsiger estime qu'il existe des alternatives pour améliorer les procédures d'identification en ligne. Il a souligné que l'appréciation des risques, que constitue le prélèvement d’organes non souhaité, ne relève pas de la compétence du Préposé à la protection des données, pas plus que les questions soulevées par le fait d’encourager ou de décourager les donneurs potentiels.
Le préposé a déjà signalé le problème à l’Office fédéral de la santé publique (OFSP). Il part du principe que les autorités ont pris les mesures nécessaires pour éviter que l'on procède à des prélèvements d’organes non souhaités dans les hôpitaux suisses.
Parmi les quelque 132 000 personnes actuellement enregistrées, celles qui ont des doutes sur le registre peuvent supprimer leur inscription, précise Swisstransplant. Il est également possible de consigner sa décision de faire don de ses organes sur une carte de donneur.
En tout cas, du point de vue d'Adrien Lobsiger, il est évident que la révélation des manquements dénoncés est de nature à entamer la confiance du public dans le système du don d'organes en Suisse. (mbr/ats)
