SocialPass: limitation des possibilités de recherche requise

Berne, 31.05.2021 - Le PFPDT recommande aux exploitants privés de l'application « SocialPass » de limiter de manière proportionnée les possibilités d'accès des autorités sanitaires cantonales aux données collectées et enregistrées sur une base de données centralisée dans le cadre du traçage de contacts.

Sur la base d’informations révélées par les médias ainsi que par des citoyens, le PFPDT a ouvert en décembre 2020 une procédure d’établissement des faits en application de l'art. 29 de la loi sur la protection des données (LPD) concernant l'application « SocialPass » exploitée par SwissHelios Sàrl à Oberlunkhofen et NewCom4U Sàrl à Sierre Le 28 mai 2021, le PFPDT a remis son rapport final comprenant les conclusions de la procédure d’établissement des faits et les recommandations aux parties.

L'application est utilisée par le secteur de la restauration dans toute la Suisse et sert à faciliter le traçage des contacts (contact tracing) rendu obligatoire afin de lutter contre la pandémie de COVID-19. L’application est formée de trois composants : « SocialPass », « SocialScan » et une base de données centralisée. Avec l'application « SocialPass » (disponible sur Android et iOS), les clients enregistrent leurs coordonnées sur leur smartphone. Lorsqu'ils vont au restaurant, ils scannent le QR code fourni par le restaurateur. Les coordonnées des clients ainsi que celles du restaurant sont ensuite automatiquement envoyées à une base de données centralisée et y sont stockées. L'application « SocialScan » permet quant à elle aux restaurateurs d’enregistrer les coordonnées de leur établissement. Il est alors possible, pour les restaurateurs, de directement scanner le QR code généré par l’application « SocialPass » sur les téléphones des clients et de transmettre ainsi leurs coordonnées à la base de données centralisée.

Outre l'identification de déficiences organisationnelles et techniques, l’établissement des faits a notamment révélé que les exploitants ont accordé aux autorités sanitaires cantonales de Vaud et du Valais un accès direct à la base de données centralisée et l'ont mise à disposition pour presque un nombre quelconque d’options de recherches ciblées. L'absence de limitations juridiques et techniques de ces vastes possibilités de recherches viole le principe de proportionnalité.

De plus, l’établissement des faits relatif à « SocialPass » a permis au PFPDT de se prononcer sur des questions de protection des données qui, en raison de leur importance fondamentale, peuvent également être en partie soulevées lors de l’analyse d'autres applications utilisées par des particuliers et des autorités publiques à des fins de traçage de contacts. Etant donné que ses conclusions sont d’intérêt général, le Préposé souhaite, en vue de la réouverture complète du secteur de la restauration, informer le public d'une partie des recommandations qu’il a adressées aux exploitants de « SocialPass » :

  1. La possibilité d'accès direct à la base de données centrale doit être limitée à ce qui est strictement nécessaire à la collecte légale des coordonnées, de sorte qu'elle soit proportionnée ; en particulier, la possibilité de rechercher des personnes doit être éliminée de cette manière.
  2. Les lacunes de sécurité identifiées dans divers rapports d'audit doivent être corrigées, dans la mesure où cela n'a pas encore été fait
  3. Afin de respecter la transparence exigée par la loi, les deux exploitants doivent uniformiser toutes les informations nécessaires aux clients (site Internet, App Stores et applications).

En avril 2021, les exploitants de l'application n’ont pas donné suite aux indicationsdu PFPDT relatives au droit d’accès direct sur la base de données centralisée et aux possibilités de recherches ciblées . Ils ont également affirmé de manière générale que   certaines déficiences mises en avant par le PFPDT avaient entre-temps été corrigées. Toutefois, ils n'ont pas précisé si et dans quelle mesure les corrections alléguées avaient été apportées jusqu'à la conclusion de l’établissement des faits.

Le 28 mai 2021le Préposé a fixé un délai de 30 jours aux exploitants pour prendre position sur son rapport et les recommandations qui en découlent et pour confirmer, en vue de sa publication, que le rapport final ne contient aucune donnée confidentielle. 

Le 27 mai 2021, les parties ont déposé une demande de récusation à l'encontre des collaborateurs du PFPDT chargés de mener la procédure d'établissement des faits, que le PFPDT a transmise aux Commissions de gestion de l'Assemblée fédérale en leur qualité d'autorité de haute surveillance parlementaire.


Adresse pour l'envoi de questions

Service d’information du Préposé fédéral à la protection des données et à la transparence (PFPDT), tél. 058 464 94 10, info@edoeb.admin.ch


Auteur

Préposé fédéral à la protection des données et à la transparence
http://www.edoeb.admin.ch/index.html?lang=fr

https://www.admin.ch/content/gov/fr/accueil/documentation/communiques.msg-id-83750.html