{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n L’analyse technique de I'applicationSocialPass du PFPDT s’appuie sur les rapports d’audit des\nentreprisesIndusface du 4 novembre2020 et Navixia du 18 mars 2021 ainsi que sur les documents\nsupplëmentairessoumis au PFPDT par les reprësentants des sociëtës SwissHelios et NewCom4U.\nLesdits rapports d’audit ont ëtë rëdigës entre les moËs d'octobre 2020 et mars 2021,\n\nAucune inspectiondes lieux en compagnie des responsables de SocialPass n’a eu Ëieu.Ainsi, toutes\nles informations- tant de nature technique que juridique – qui ont ëtë jugëes dëterminantes pour\nl’ëtablissementdes faits ont ëtë exigëes des reprësentants lëgaux des sociëtës SwissHelios et\nNewCom4U par ëcrit. Les questions du PFPDT s’appuyaient sur le cadre lëgal tel que prëvu par la LPD\n\n12/62\n0\n\net les prescriptionssanitairesen matiërede tragage, la norme ISO 27002ainsi que sur 1’OpenWeb\nApplicationSecurity Project (OWASP)\n\n1.8. Bases lëgales\n\nLes bases lëgales suivantes sont pertinentesdans le cadre de la prësente procëdure :\nLoi fëdërale du 19juin 1992 sur la protection des donnëes (LPD), RS 235.1\n\n- Ordonnance du 14juin 1993 relativeä la lotfëdërale sur la protectiondes donnëes (OLPD),\nRS 235.11\n\nLoi fëdërale sur la luttecontre les maladies transmissibles de I'homme (Loi sur les ëpidëmies,\nLEp), RS 818.101\n\nOrdonnance sur les mesures destinëes ä luttercontre l’ëpidëmie de COVID-19 en situation\nparticuliëre du 19 juin 2020 (Ordonnance COVI D-19 situation particuliëre), RS 818.101.26\n\n1.9. Compëtence du PFPDT\n\nEn vertu de 1’art.2 al. ler LPD, la LPD rëgit le traitement de donnëes concernant des personnes\nphysiques et morales effectuë par des personnes privëes (physiques ou morales). La prësente\nprocëdure d’ëtablissement des faits se penche sur diffërents traitements de donnëes effectuës par des\nentitës privëes, notamment la collecte puis l’enregistrement des coordonnëes des visiteurs effectuës\npar les exploitants d'ëtablissements ouverts au public dans le cadre de la lutte contre la pandëmie du\n(_,OVID-19. Dës lors, la collecte des coordonnëes des visiteurs teIle que prëvue par l’Ordonnance\nCOVID-19 situation particuËiëreest une activitë privëe soumise ä la LPD et par consëquent ä la\nsurveillance du PFPDT. Au contraire, le traitement des donnëes (ultërieur) par les autoritës cantonales\n(mëdecin cantonal, directionde la santë publique, ëquipe de tragage) tombe sous la surveillance des\nprëposës cantonaux respectifs\n\n2. Faits ëtablis\n\n2.1. Röles et responsabilitës\n\nFort,e est de constater qu’au bas du site web www.socialpass.ch consacrë ä 1’informationdes\ncitoyennes et citoyens, les coordonnëes de Swisshelios Särl ainsi que celles de HotelPro4U (produit de\nmarketingdëveloppë par la sociëtë NewCom4U Särl) sont mentionnëes. Ainsi, sur Ie site web, les deux\nsociëtës apparaissent comme co-ëditricede 1’applicationSocialPass. Le fait qu’iI s’agit d’une coëdition\nsemble ëtre confirmëpar les conditionsgënërales SocialPass et SocialScan (cf.\nhttps://www.socialpass.ch/termes-et-conditions/,\nversiondu 17 avril2021,ch. 1). En vertu du ch. 3 de\n\n13/62\n0\n\nla dëclaration de confidentialitë– ëgalement disponible sur Ie site web1 – NewCom4U Särl est l’unique\nsociëtë responsable du traitementet maTtredu fichier.\n\nDe surcroTt,et dans l’AppStore et dans le PlayStore, SwissHelios GmbH est mentionnë comme unique\ndistributeurde SocialPass.\n\nEnfin, dans leur courrier du 26.04.2021, les reprësentants des exploitants de SocialPass font rëfërence\nä plusieurs documents selon lesquels les exploitants de SocialPass ont ëtë mandatë par le canton du\nValais et GastroVaud respectivement. Sur la base de la documentation ä notre disposition, GastroVaud\naurait mandatë SwissHelios Särl alors que le canton du Valais aurait mandatë NewCom4U Särl pour\nl’exploitation de SocialPass\n\n2.2. Composants et fonctions\n\n2.2.1. AperQU\nLe systëme SocialPass se base essentiellement sur une application pour les entreprises (SocialScan,\ncf. chapitre2.2.3), une applicationpour les utilisateurs(SocialPass, cf. chapitre2.2.4) et une base de\ndonnëes centrale (cf. chapitre 2.2.5). Un apergu du fonctionnementde SocialPass sous forme d’un\nschëma est ä disposition sous https://www.socialpass.ch/comment-cela-fonctionne/ (ëtat au\n08.05.2021).\n\nLes exploitantsde 1’application\nSocialPass ont mis ä dispositiondu PFPDT la figure 1. Cette figure a\nservi de base pour 1’analysetechnique. Par la suite, notammenten raison du dëveËoppementde\nI'application,I'illustrationa ëtë complëtëe.\n\nPour la collecte des coordonnëes des visiteurs, le systëme SocialPass prëvoit deux possibilitës :\n\nGräce ä 1’application\nSocialPass le visiteurscanne un code-QR imprimë.\nL'exploitantde I'ëtablissementaccessible au publicscanne le code-QR des visiteurs. Le\nschëma suivant illustrela deuxiëme possibilitë de collecter les coordonnëes des visiteurs.\n\n1 https://www.socialpass.ch/mentionslegales/\n\n"}