Inquiétudes pour la vie privée sur le portail de la loterie vaccinale

La Commission d’accès à l’information (CAI) se dit « préoccupée » par l’utilisation éventuelle des données personnelles des centaines de milliers de personnes ayant reçu leur vaccin contre la COVID-19.

En début de semaine, Le Devoir lui a relayé les inquiétudes de personnes ayant lu les « politiques de confidentialité » d’Akinox Solutions, dont le logo apparaît au bas du formulaire virtuel permettant à la fois d’obtenir une preuve de vaccination électronique et de s’inscrire au concours « Gagner à être vacciné » sur le site Web du ministère de la Santé et des Services sociaux (MSSS). Elles ont été surprises de lire que le prestataire de services pour le MSSS se garde la possibilité d’utiliser certains renseignements ayant défilé devant ses yeux « à des fins de marketing ou de publicité » ou de les partager avec des tiers, dont les géants Microsoft et Google.

La CAI « examine » la situation « afin d’y donner les suites appropriées », a-t-elle indiqué dans un échange avec Le Devoir mercredi.

Akinox Solutions dit utiliser les données personnelles des centaines de milliers de personnes vaccinées soumises à son attention — leurs prénom et nom, adresse électronique, numéro de téléphone, numéro d’assurance maladie, date de vaccination, sexe, région de résidence et date de naissance, en plus de la date de l’administration de leur première dose vaccinale, du lieu de leur vaccination, du type de vaccin reçu, ainsi que le prénom et le nom d’un parent — seulement « pour fournir une preuve vaccinale téléchargeable en format PDF », pour « répondre aux exigences de la loi », pour « améliorer la solution », pour offrir des « outils statistiques au gouvernement » et, enfin, « pour contrôler la qualité de service à la clientèle et prévenir les erreurs et les cas de fraudes ».

« Les données appartiennent au MSSS. Nous n’utilisons pas ces données à une quelconque autre fin », affirme le président d’Akinox, Alexander Dahl. « Il n’y a aucune communication marketing d’Akinox qui est faite aux utilisateurs de la solution de preuve vaccinale. Finalement, aucune information confidentielle n’est partagée telle quelle à de tierces parties qui ne sont pas essentielles pour fournir la solution de preuve vaccinale », ajoute-t-il.

Akinox se réserve toutefois le droit de prendre en note notamment le contenu consulté en plus de l’adresse de protocole Internet (IP) des personnes naviguant sur son site Web, pour par la suite leur « envoyer des communications promotionnelles », par exemple — mais pas de celles utilisant une de ses plateformes sur le portail du MSSS, souligne M. Dahl.

L’expert en sécurité informatique Patrick Mathieu trouve « floues » les explications d’Akinox. Il s’explique mal la possibilité que se garde l’entreprise de, « de manière occasionnelle, […] communiquer [des] renseignements personnels à certains fournisseurs ou agents afin de fournir la solution » demandée par le MSSS. « Cela devrait être limité seulement aux employés ayant les accès requis et dont le rôle requiert de voir les données », dit-il après avoir parcouru les politiques de confidentialité d’Akinox. « Il y a un gros travail de transparence à faire », plaide le cofondateur de la communauté de programmeurs Hackfest. « Il faut qu’il y ait une véritable politique. »

Confusion à dissiper, admet le MSSS

Le ministère de la Santé assure au Devoir que les renseignements personnels des 920 268 personnes vaccinées s’étant inscrites au concours « Gagner à être vacciné » entre dimanche et mercredi 8 h sont « utilisés uniquement aux fins de la loterie vaccinale ». « La politique de confidentialité d’Akinox est conforme à ce qui est attendu par le MSSS. Le fournisseur ne peut exploiter les données pour des fins promotionnelles ou toutes autres fins qui ne sont pas liées à la loterie vaccinale », confirme le porte-parole du MSSS, Robert Maranda.

Cela dit, le ministère s’affairera à dissiper la confusion sur l’utilisation des renseignements tombant entre les mains d’Akinox en apportant des précisions à son site Web. « Le MSSS est sensible aux préoccupations rapportées en matière de confidentialité. Donc, des améliorations seront apportées au site Web de la loterie vaccinale afin de mieux mettre en évidence que les renseignements personnels sont utilisés uniquement aux fins de la loterie vaccinale », ajoute M. Maranda.

Stockage et destruction des données

Questionné sur les pratiques de stockage et de destruction des renseignements personnels des personnes vaccinées, M. Dahl dit ne pouvoir répondre, de crainte de faire entorse au contrat liant le MSSS et Akinox. « La sécurité est une considération fort importante », s’est-il limité à dire.

En plus d’être derrière la fabrication des codes QR et l’inscription des personnes vaccinées qui le veulent à la loto-vaccin, Akinox Solutions a grandement contribué, durant la pandémie, au déploiement de l’outil d’autoévaluation des symptômes de la COVID-19 et à l’application de recherche de contacts des personnes atteintes de la COVID-19. « Nous sommes privilégiés d’appuyer l’effort de guerre, toutes ces femmes dans le réseau de la santé qui sont sur la ligne de front », affirme M. Dahl, à la tête de l’entreprise de Lévis comptant d’une cinquantaine d’employés.

À voir en vidéo