Contact Tracing : les exploitants de l'application Social Pass mettent en œuvre les recommandations d'Edoeb
Les exploitants de l'application de traçage de contacts "Social Pass" mettent en œuvre - après d'âpres négociations - les principales recommandations du Préposé fédéral à la protection des données et à la transparence (PFPDT).
L'application Social Pass est utilisée par des établissements d'accueil dans toute la Suisse et sert à effectuer le "contact tracing" obligatoire pour lutter contre le Covid-19. Elle se compose de trois éléments de système : "Social Pass", "Social Scan" et une base de données centrale : avec l'application mobile Social Pass (disponible pour Android et iOS), les clients saisissent leurs données de contact sur leur smartphone. Lors d'une visite au restaurant, ils scannent le code QR de l'établissement. Les données de contact enrichies par les indications de l'établissement sont ensuite automatiquement envoyées et enregistrées dans une base de données centrale.
Des négociations d'une longueur inhabituelle
En plus de la Constatation de lacunes organisationnelles et techniques un examen des faits effectué par le Préposé fédéral à la protection des données et à la transparence (PFPDT) a montré que les exploitants privés ont accordé aux autorités sanitaires des cantons de Vaud et du Valais un accès direct à la banque de données centrale et l'ont mise à disposition pour presque n'importe quelle consultation de données personnelles, malgré l'absence de motifs justificatifs, violant ainsi également le principe de proportionnalité. Selon les médias, les possibilités de consultation accordées dans le canton du Valais auraient conduit à des traitements de données personnelles contraires à la finalité. Sur recommandation d'Edoeb, les exploitants ont entre-temps reconnu ces lacunes, encore contestées en avril 2021, et y ont remédié selon leurs propres indications.
D'autres recommandations concernaient l'exhaustivité des informations fournies aux utilisateurs, l'exportation des numéros de téléphone vers les Etats-Unis dans le cadre de la vérification des numéros, ainsi que la configuration de la plateforme Microsoft Azure, sur laquelle se trouve la base de données centrale. Ces recommandations n'ont été que partiellement reconnues et seulement partiellement mises en œuvre. L'Edoeb se réserve le droit de procéder à des contrôles ultérieurs et, le cas échéant, de déposer une plainte auprès du Tribunal administratif fédéral.
Source : Edoeb
