Il faut se pincer pour se persuader qu’on ne rêve pas : les services du médecin cantonal vaudois ont envoyé un email groupé à près de 300 personnes sans masquer l’adresse email des destinataires (https://www.20min.ch/fr/story/vaud-fait-fuiter-des-centaines-de-mails-999365614486). Tout le monde a ainsi pu prendre connaissance des adresses de tous, répondre à tous, etc.

Tous les systèmes de messagerie connaissent pourtant une fonction « copie cachée », souvent abrégée « BCC » pour « blind carbon copy », qui permet de masquer sur un message d’envoi groupé les adresses email des destinataires. Il ne s’agit pas exactement d’une nouveauté, et le « truc » est connu de tous les apprentis employés de commerce, des grand-mères du club de couture, etc.

Mieux encore, alors que lesdits services, confrontés aux questions des intéressés, a initié une procédure de rappel, la communication aurait à nouveau contenu une liste « ouverte » des destinataires, ce qui revenait à répéter l’offense en essayant de la laver.

Est-ce anecdotique, comme peut le laisser penser l’article dont le lien est mis en tête de cette note ?

Non, car les destinataires de cet email étaient tous non vaccinés contre le COVID, les services leur rappelant dans la communication litigieuse qu’ils devaient effectuer un test dans un certain délai après leur retour de voyage. Il s’agit donc d’une donnée sensible, i.e. le statut vaccinal des intéressés (cf. art. 3 al. 1 et 2 let. b, 4 al. 1 ch. 2 de la loi vaudoise du 11 septembre 2007 sur la protection des données personnelles (LPrD ; RS-VD 172.65). Par ailleurs il est assez simple de reconnaître l’identité d’un destinataire sur la base d’une adresse email. Beaucoup de personnes utilisent en effet leur nom et prénom dans l’adresse qu’ils utilisent, ou l’initiale de leur prénom et leur nom de famille. De la même manière, comme il s’agit de personnes revenant de l’étranger, il est aussi facile de déterminer qui se cache derrière une adresse comme headofsale@XYZSA. com par exemple. Dans les faits, l’email des services du médecin cantonal permet de dresser une liste de personnes non vaccinées.

Nous ne sommes donc pas dans un cas « bagatelle », eu égard aux tensions qui existent sur le lieu de travail et dans le cercle intime sur la question de la vaccination. Il faut aussi rappeler que le Conseil fédéral a permis, de manière très discutable (https://droitdutravailensuisse.com/2021/09/12/le-certificat-covid-au-travail-synthese/) l’utilisation du certificat COVID sur le lieu de travail, et que celui-ci n’est pas censé faire la différence entre vaccinés, guéris et testés. Il est donc parfaitement irresponsable de permettre de rapprocher des identités et un statut vaccinal ensuite d’une grossière erreur d’utilisation de messagerie électronique.

S’il apparaît difficile de déterminer aujourd’hui si un dommage concret résultera de cette divulgation (on peut penser à un licenciement par exemple), on peut quand même rappeler les dispositions sur le secret de fonction (art. 320 CP) et sur la violation du devoir de discrétion (art. 41 LPrD), et inciter les intéressés à s’en servir.

Par ailleurs la « décontraction » manifeste  des services du médecin cantonal dans cette histoire soulève le problème de la formation et des directives données aux personnes qui y travaillent en matière de protection des données. Il serait donc intéressant de se faire communiquer les directives, instructions, plans de formation et autres documents en rapport à l’aide de la loi cantonale du 24 septembre 2002 sur l’information (LInfo; BLV 170.21). Là aussi, les intéressés pourraient creuser cette question…

On conclura en soulignant que l’exécutif et l’administration sont se vus octroyer des pouvoirs très importants (pour ne pas dire plus…) depuis le début de la pandémie. Avec de grands pouvoirs viennent aussi de grandes responsabilités, au moins en principe….

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)