L’application Social Pass ne se conforme toujours pas totalement aux exigences de confidentialité (update)

Mise à jour du 23 août 2021: Après un refus initial, les développeurs de l'outil de contact tracing SocialPass, utilisé par de nombreux bars et restaurants en Suisse romande, ont accepté et mis en œuvre les principales recommandations du Préposé fédéral à la protection des données et à la transparence (PFPDT), informe ce dernier par voie de communiqué. La procédure s'est avérée «particulièrement longue et difficile», ajoute le PFPDT qui mentionne «plusieurs vidéoconférences auxquelles ont participé, entre autres, les autorités sanitaires des cantons de Vaud et du Valais».

Selon le PFPDT, SocialPass avait «accordé aux autorités sanitaires des cantons de Vaud et du Valais un accès direct à la banque de données centrale, leur permettant ainsi d’effectuer des recherches ciblées à discrétion, ce qui contrevient au principe de proportionnalité». Des manquements aux exigences de protection des données qui ont depuis été corrigés.

Le PFPDT reste toutefois insatisfait des mesures prises par les éditeurs de l’app SocialPass. D’autres recommandations n’ont été que partiellement reconnues et que partiellement mises en œuvre. Celles-ci concernent l’exhaustivité des informations fournies aux utilisateurs, l’exportation de numéros de téléphone vers les États-Unis en vue de leur vérification et la configuration de la plateforme Microsoft Azure sur laquelle se trouve la banque de données centralisée.

En conclusion, le Préposé «se réserve la possibilité de revenir sur ces recommandations partiellement contestées dans le cadre de contrôles de suivi et, le cas échéant, de porter l’affaire devant le Tribunal administratif fédéral».

News originale du 1er juin 2021: L’application SocialPass dans le viseur des autorités fédérales

Utilisée dans plusieurs cantons, dont Vaud et Valais, l’application SocialPass est dans le viseur du Préposé fédéral à la protection des données et à la transparence (PFPDT). Couplée à l’application SocialScan, SocialPass est employée par les bars et restaurants pour effectuer le traçage de contact de leurs clients, démarche obligatoire dans le cadre des mesures de lutte contre le coronavirus. Suite à une enquête menée depuis décembre dernier, le PFPDT explique dans un communiqué avoir identifié des déficiences organisationnelles et techniques. Un point en particulier pose problème et viole le principe de proportionnalité: les exploitants ont accordé aux autorités sanitaires cantonales de Vaud et du Valais un accès direct à la base de données centralisée et l'ont mise à disposition pour presque un nombre quelconque d’options de recherches ciblées. Comprendre: il est possible d’effectuer une recherche illimitée d’individus, alors que dans le contexte du contact tracing, un nombre limité de requêtes fait l’affaire.

Le PFPDT a fait parvenir son rapport aux exploitants de l’app SocialPass, les sociétés SwissHelios à Oberlunkhofen et NewCom4U à Sierre, leur recommandant notamment «de limiter de manière proportionnée les possibilités d'accès des autorités sanitaires cantonales aux données collectées et enregistrées sur une base de données centralisée». Les firmes pointées du doigt sont aussi tenues de corriger les lacunes de sécurité et d’uniformiser toutes les informations nécessaires aux clients. En date du 28 mai, le PFPDT leur a donné un délai de 30 jours, pour prendre position sur son rapport et les recommandations qui en découlent. Mais la veille, les exploitations ont déposé une demande de récusation à l'encontre des collaborateurs du PFPDT chargés de mener la procédure d'établissement des faits. «Du jamais vu», s'est exprimé sur Twitter Jean-Philippe Walter, ex-Préposé suppléant à la protection des données et aujourd’hui Commissaire à la protection des données du Conseil de l'Europe. Ajoutant qu’à ses yeux, les compétences entre les autorités de protection des données (APD) cantonales et le préposé fédéral devraient être clarifiées.