La plateforme bruxelloise de réservation de vaccination Bruvax permet de déduire le statut vaccinal de n’importe quel Bruxellois grâce au numéro de registre national, rapportent Le Soir et De Tijd mardi. Il s’agit d’une violation de données à caractère personnel, selon l’association Charta 21.
En simulant une prise de rendez-vous pour se faire vacciner sur le site Bruvax, la plateforme demande d’introduire un numéro national et un code postal bruxellois. Ensuite, le site indique immédiatement si la personne peut encore prétendre à une vaccination, ou n’est plus admissible, car déjà vaccinée. La faille bruxelloise serait une erreur de conception.
Pour Charta 21, association regroupant essentiellement des juristes et qui a pour but de défendre les droits fondamentaux, singulièrement la vie privée, il s’agit en tout cas d’une « violation de données à caractère personnel au sens de l’article 4.12 du RGPD ».
« Dans le cadre de la vie professionnelle et privée, bon nombre d’organisations disposent de notre numéro de registre national: notre employeur, notre banquier, notre assureur et tant d’autres », relève Jacques Folon, expert en données personnelles, professeur à l’Ichec et membre de Charta 21.
« Alors que le Premier ministre a encore rappelé récemment que la prise de connaissance de notre statut vaccinal par l’employeur n’était pas à l’ordre du jour, et que cela nécessitait un changement de la législation sociale, et alors que l’Autorité de protection des données a rappelé que la prise de connaissance du statut vaccinal par l’employeur était en l’état illégale, le site Bruvax permet notamment à tous les employeurs de connaître le statut vaccinal de tous leurs travailleurs résidant en Région bruxelloise », déplore-t-il.
Contactée par Le Soir, la porte-parole de la Commission communautaire commune bruxelloise (Cocom), responsable de Bruvax, n’a pas pu recueillir de réaction officielle lundi.
