17.11.21
20:47

Faille de Bruvax: le statut vaccinal de tous les Belges est accessible

Cette faille de la plateforme bruxelloise permet de révéler des informations à caractère personnel. Et ce sont tous les Belges qui sont concernés, pas uniquement les Bruxellois.

Dans un courrier adressé à la Cocom, en charge du site Bruvax, et à la presse, l'ASBL Charta21 révèle une faille sur le site de réservation pour la vaccination à Bruxelles. 

On apprend ce mercredi qu'à cause de cette faille, le statut vaccinal de tous les Belges peut être accessible.

Il suffit en effet d’encoder, sur la page de réservation de Bruvax, le numéro de registre national d'une personne et un code postal (même un autre que celui de sa commune de résidence) pour accéder à l’information selon laquelle elle peut encore prétendre à une vaccination ou, au contraire, n’y est plus éligible car déjà vaccinée.

"Alors que le Premier Ministre a encore rappelé récemment que la prise de connaissance de notre statut vaccinal par l’employeur n’était pas à l’ordre du jour, et que cela nécessitait un changement de la législation sociale, et alors que l’Autorité de protection des données a rappelé que la prise de connaissance du statut vaccinal par l’employeur était en l’état illégale, le site Bruvax permet notamment à tous les employeurs de connaître le statut vaccinal de tous leurs travailleurs résidant en région bruxelloise.",

détaillait Charta21. en début de semaine.


Une violation du RGPD

L'association de défense des libertés et de la vie privée explique dans son courrier que le manque de protection autour de cette donnée médicale de tous les Belges constitue une violation du RGPD.

"Ce site permet également de façon totalement anonyme à toute personne, ayant accès au numéro de registre national d’un résident bruxellois, qu’elle travaille au sein d’une commune, d’un CPAS, d’une compagnie d’assurance, d’une banque, d’une fiduciaire, d’avoir accès à une donnée médicale, et ce, sans la moindre base légale, sans aucune légitimité, et sans que ces personnes n’aient été informées de cette divulgation injustifiée de leurs données. Il s’agit dès lors d’une importante violation de données à caractère personnel au sens de l’article 4.12 du RGPD."

De plus, l'association note qu'aucune notice d’information relative aux traitements de données à caractère personnel n’est accessible sur le site de Bruvax, ce qui constitue également une violation du RGPD.

Partager cet article

En lien avec l'article