{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n Lors de I'enregistrementd'un ëtablissementdans SocialScan dans Ie but de crëer un compte, les\ndonnëes suivantes sont collectëes (les champs obligatoires ëtant marquës par un *) :\n«Organisation»*: restaurant, ëvënement, religion, prestations de service, restaurant Berne,\nsport, gënëral – simple, famiIIe, chantier de construction, centre de formation, EMS ou\norganisation partenaire\nNom*\nAdresse*\nCode postal*\nVille*\nE-Mail*\nTëlëphone*\nNom de la personne responsabËe*\nMot de passe*\n\nL’adresse mail et le mot de passe sont utilisës pour crëer un compte d’utilisateur\n\nLes donnëes des ëtablissements sont traitëes ä deux fins diffërentes. D'une part, lors d'une visite dans\nun ëtablissement accessible au public, les coordonnëes des visiteurs sont complëtëes avec les\ndonnëes portantsur l’ëtablissement, l’ëvënement, etc. puis transmises ä la base de donnëes centrale\naux fins de la collecte des coordonnëes des visiteurs/ä des fins de tra9age (contact tracing). D’autre\npart, les donnëes sont transfërëes dans le systëme de gestion de la relation client (Customer\nRelationship Management, CRM) de NewCom4U Särl. En fonction de I'abonnement conclu entre les\nëtablissementset les exploitantsde SocialPass, ce systëme gëre les processus de paiement pour\nI'utilisationde I'application.\n\n2.2.4_ SocialPass : enregistrement et utilisation\n\nSocialPass est le composant utilisë par les clients d'un ëtablissement. L'applicationest gratuite et peut\nëtre utilisëesur les appareils iOS et Android\n\nAprës avoir tëlëchargë le composant SocialPass sur son tëlëphone mobileet acceptë la dëclaration de\nconfidentialitë (un document intitulë < SocialPass – SocialScan et la protection des donnëes >\nconsultable sous https://www.socialpass.ch/mentionslegales/; ëtat au 10.05.2021), l’utilisateur doit\n\n17/62\n0\n\nindiquerson numëro de portablequi est ensuite vërifië. La vërificationse fait via le prestataire amëricain\n< Twilio > (cf. chiffre 2.5.2), toutefois I'utilisateur n’en est pas informë.\n\nL'utilisateur\nre9oitun code de vërification\npar SMS sur le numëroindiquëet procëdeensuiteä\n< 1’enregistrement\ndu client>. A cette fin, iIdoit indiquer les donnëes suivantes (les champs obligatoires\nëtant marquës par un *) :\n\nNom*\nPrënom*\nNumëro de tëlëphone mobile* (repris du pas prëcëdent)\nCode postal*\nDate de naissance\nAdresse\nE-Mail\n\nII convientde noter que la date de naissance constituaitun champ obligatoireau dëbut de la procëdure\nd’ëtablissement de faits, ce qui a ëtë adaptë au cours de la procëdure.\n\nÄ 1’exceptiondu numëro de tëlëphone (voir ci-dessus), les donnëes enregistrëes par l’utilisateur ne sont\npas vërifiëes. Elles peuvent en outre ëtre adaptëes ä tout moment. Lorsque l’utilisateurveut changer le\nnumëro de tëlëphone mobile indiquë lors de l’enregistrement, iI re9oit un nouveau code de vërification.\n\nLes coordonnëes collectëes sont sauvegardëes localement sur l’appareil mobile de l’utilisateur.\n\nUne fois l’inscription complëtëe, l’utilisateur dispose d’un code QR qui peut ëtre affichë sur son portable.\n11peut ensuite montrer ce code ä l’exploitantde l’ëtablissement lorsqu’iI accëde audit ëtablissement.\nL’expËoitantscanne alors Ie code QR gräce au composant SocialScan.\n\nLe client peut ëgalement scanner lui-mëme, ä I'aide de 1’applicationSocialPass, un code QR fourni par\nI'exploitantde l’ëtablissement accessible au public et I'utiliser pours’enregistrer. 11convient de noter que\ndans cette deuxiëme hypothëse, iI n’est pas possible de vërifier si Ie code QR mis ä disposition par\nl’exploitant\nde l’ëtablissement\nne renvoiepas ä un contenudangereux,\npuisqueI'application\nne\ndemande pas de reconfirmationavant de transmettre les donnëes aprës Ie scan du code QR\n\nQuand Ie code QR de l’utilisateurest lu par un appareil de I'exploitantou que l’utilisateurscanne Ie code\nQR mis ä disposition par I'ëtablissement, les coordonnëes des visiteurs enregistrëes, complëtëes par\nles donnëes relativesä la visite dans I'ëtablissement(« dëtails de prësence dans une organisation »)\nsont alors transfërëesdans une base de donnëes SQL (MicrosoftAzure, cf. chapitre2.5.3)\n\n18/62\n0\n\n2.2.5. Base de donnëes centralisëe\n\na. Gënëralitës\nLors d'une visite, les coordonnëesdu visiteur(nom, adresse, email, numëro de tëlëphone, etc.) sont\ncombinëes avec les donnëes de I'ëtablissement accessible au public (nom, emplacement, table, etc.)\net Ie momentde la visite (checkin/ checkout) pour former un ensemble de donnëes. Cet ensemble de\ndonnëes (coordonnëes du visiteur/ donnëes de l’ëtablissement/ heures de prësence) est ensuite\ntransmis de maniëre cryptëe et stockë dans ia base de donnëes centrale d'Azure (Suisse Nord / Zurich).\nLes interfaces de programmation API (Application Programming Interfaces) sont utiËisëes pour la\ntransmission des donnëes\n\n"}