Traçage des contacts : les exploitants de l’application SocialPass acceptent les recommandations du PFPDT
Berne, 20.08.2021 - Au terme d’une procédure d’établissement des faits longue et difficile, le PFPDT a adressé aux exploitants privés de l’application SocialPass plusieurs recommandations visant notamment à améliorer la sécurité technique de l’application et à limiter de manière proportionnée l’accès des autorités sanitaires cantonales aux données enregistrées de manière centralisée. Comme il ressort du rapport final publié aujourd’hui, les exploitants ont finalement accepté de mettre en œuvre les principales recommanda-tions du PFPDT, après les avoir initialement contestées.
Le PFPDT a ouvert en décembre 2020 une procédure d’établissement des faits en application de l’art. 29 LPD concernant l’application SocialPass (voir encadré), utilisée dans toute la Suisse pour mieux lutter contre la pandémie. Le rapport final publié aujourd’hui met un terme à cette procédure particulièrement longue et difficile. Comme il ressort du rapport, le PFPDT a identifié de nombreuses lacunes, qui ont conduit à un total de dix recommandations, dont la majorité a été acceptée par les exploitants de l'application après plusieurs vidéoconférences auxquelles ont participé, entre autres, les autorités sanitaires des cantons de Vaud et du Valais.
Les principales recommandations du PFPDT
Outre l’identification de déficiences organisationnelles et techniques, l’établissement des faits a révélé que les exploitants privés avaient accordé aux autorités sanitaires des cantons de Vaud et du Valais un accès direct à la banque de données centrale, leur permettant ainsi d’effectuer des recherches ciblées à discrétion, ce qui contrevient au principe de proportionnalité. Les médias ont rapporté que, dans ce contexte, des données personnelles avaient été traitées de manière inappropriée en Valais. Suite aux recommandations du PFPDT, les exploitants ont reconnu ces défauts, alors qu’ils les avaient encore contestés en avril 2021. D’après leurs indications, ils les ont corrigés entretemps. Le PFPDT se réserve le droit de vérifier la mise en œuvre de ces recommandations reconnues lors de contrôles de suivi.
D’autres recommandations concernaient l’exhaustivité des informations fournies aux utilisateurs, l’exportation de numéros de téléphone vers les États-Unis en vue de leur vérification et la configuration de la plateforme Microsoft Azure sur laquelle se trouve la banque de données centralisée. Ces recommandations n’ont été que partiellement reconnues et que partiellement mises en œuvre. Le PFPDT se réserve la possibilité de revenir sur ces recommandations partiellement contestées dans le cadre de contrôles de suivi et, le cas échéant, de porter l’affaire devant le Tribunal administratif fédéral.
Une procédure particulièrement longue et difficile
SocialPass est une application utilisée dans toute la Suisse qui traite des données personnelles dans le but de lutter contre la pandémie. Dans ce contexte, le PFPDT a dû suivre de près l'évolution de la situation épidémiologique afin de faire aboutir la procédure d’établissement des faits en temps utile. Toutefois, la procédure s’est avérée particulièrement longue et compliquée. Lors de la fixation des délais de réponse et de l’évaluation des nombreuses demandes de prolongation de délais et, même, de récusation des collaborateurs en charge du dossier, le PFPDT a dû tenir compte du fait que la deuxième vague s’aplatissait vers le début de l’été 2021, que la réouverture des restaurants devenait prévisible et que la réutilisation de l'application SocialPass étaient donc imminente.
Pour les raisons susmentionnées, le PFPDT a donc dû veiller dans la présente procédure à informer la population en temps utile sur les possibilités techniques du SocialPass et des risques liés à son utilisation en termes de protection des données. C’est pourquoi le PFPDT a informé le public le 31 mai 2021 - jour de la réouverture des espaces intérieurs des restaurants – des aspects les plus importants de la procédure d’établissement des faits, y compris des principales recommandations (voir notre communiqué du 31 mai 2021).
Les exploitants ont eu par la suite l’occasion de se prononcer sur les recommandations du PFPDT, sur leur mise en œuvre et sur le rapport final, avant que celui-ci ne soit publié.
La procédure d’établissement des faits relative à SocialPass s’est avérée nécessaire et utile. Elle a donné au PFPDT l’occasion de se prononcer sur la délimitation entre les compétences de surveillance de la Confédération et celles des cantons, ainsi que sur d’autres questions de droit de la protection des données qui, en raison de leur importance fondamentale, peuvent également se poser en partie pour d’autres applications exploitées par des entreprises privées et des autorités pour le traçage des contacts.
Application de traçage de contacts SocialPass
L’application SocialPass est utilisée par le secteur de la restauration dans toute la Suisse. Elle sert à faciliter le traçage des contacts (contact tracing) rendu obligatoire dans le cadre de la lutte contre la pandémie de Covid-19. L’application est formée de trois composants: « Social-Pass », « SocialScan » et une base de données centralisée. Avec l’application « SocialPass » (disponible sur Android et iOS), les clients enregistrent leurs coordonnées sur leur smartphone. Lorsqu’ils vont au restaurant, ils scannent le code QR fourni par le restaurateur. Les coordonnées des clients ainsi que celles du restaurant sont ensuite automatiquement envoyées à une base de données centralisée et y sont stockées. Quant à l’application « Social-Scan », elle permet aux restaurateurs d’enregistrer les données de leur établissement. Il est alors possible, pour les restaurateurs, de directement scanner le code QR généré par l’application « SocialPass » sur les téléphones des clients et de transmettre ainsi leurs coor-données à la base de données centralisée.
Cette base de données centralisée se trouve sur un serveur de Microsoft Azure situé en Suisse. Lorsqu’un utilisateur s’inscrit pour la première fois, son numéro de téléphone mobile est vérifié par Twilio, un service basé aux États-Unis, au moyen d’un code envoyé par SMS. Des données sont donc transférées vers un pays tiers ne garantissant pas un niveau de pro-tection des données adéquat.
Les exploitants de l’application sont SwissHelios Sàrl à Oberlunkhofen et NewCom4U Sàrl à Sierre.
Information pour les médias :
Le préposé, Adrian Lobsiger, répond aux questions des médias de 11h à 15h.
Veuillez adresser vos demandes d’entrevue à l’adresse suivante : info@edoeb.admin.ch.
Adresse pour l'envoi de questions
Service d’information du Préposé fédéral à la protection des données et à la transparence (PFPDT), tél. 058 464 94 10, info@edoeb.admin.ch
Documents
Auteur
Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.html
