{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n 11n'y a aucune indicationque tes numëros de tëlëphone sont supprimës aprës une certaine përiode de\ntemps. En outre, I'utilisateurn'est pas informë de ce stockage permanent lors de la procëdure\nd'enregistrement. II n'y a pas non plus d'indication sur la maniëre dont I'utilisateurpeut faire supprimer\nces donnëes.\n\nII est importantde noter que le traitementdu numëro de tëlëphone rëpond ä deux objectifs diffërents\nD'une part, le numëro de tëlëphone est traitë afin de procëder ä sa vërification de ce numëro par l’envoi\nd’un SMS et, d'autre part, pour rëpondre aux exigences lëgales qui fixent que la collecte du numëro de\ntëlëphone est obligatoire afin de permettre le tragage (contact tracing). Ce sous-chapitre se penche sur\nIe traitementdes donnëes tel que prëvu par Ie premier objectif dëcrit ci-dessus.\n\n2.5. Services de tiers\n2.5.1. Infomaniak\nLe site www.socialpass.ch sert principalementde portaild'information pour la plateforme SocialPass et\nest hëbergë par Infomaniak en Suisse. Infomaniak est un hëbergeur suisse dont les centres de donnëes\nsont situës exclusivementen Suisse. Ä I'origine, le site www.socialpass.chëtait hëbergë par un\nfournisseuren France. Aprës Ie premier audit de la sociëtë Navixia SA en novembre 2020,\nl’hëbergement a ëtë confië ä Infomaniak en Suisse.\n\nLe fonctionnementdu site web et le traitementdes donnëes associë ne sont pas examinës dans le\ncadre de cette enquëte. Sur la base des informationsä notre disposition, iI n’y a pas d'ëchange de\ndonnëes entre Ie site web et les applications SocialPass ou SocialScan ; au moment de la prësente\nenquëte, le site web est uniquement utilisë ä des fins d'Ënformation.\n\n2.5.2. Twilio\n\nTwilio est une entreprise amëricaine basëe ä San Francisco, aux Ëtats-Unis. EIle exploite une\nplateformede communicationen nuage en tant que « Platformas a Service >.\n\n26/62\n0\n\nAprës I'enregistrement\ninitialauprës de SocialPass, TwiliopermetI'envoidu SMS aux utilisateursde\nSocialPass. En recevant Ie SMS, la validitë du numëro du client est confirmëe. Ä la fin du processus de\nvërification,une clef unique est renvoyëe par ce service si le processus a pu ëtre achevë correctement,\nForce est de constaterque lors de l’utilisationdu service Twiliodes donnëes personnellesau sens de\nla LPD, notamment les numëros de tëlëphone des visËteurs, son transfërëes aux US. Toutefois, sur la\nbase de la documentationä notredisposition, nous constatons que les opërateurs de SocialPass n'ont\npas vërifië si des mesures autres que celles prëvues dans les clauses contractuelles ëtaient nëcessaires\net, le cas ëchëant, si elles avaient ëtë mises en place.\n\nLa finalitëde la collecteet du traitementdes numëros de tëlëphonene ressort pas clairementdes\ndocumentsoumisau PFPDT ; toutefois,sur la base des informations\ndont nous disposons,ces\ndonnëes ne semblentpas ëtre traitëesen tant que coordonnëes,mais sont traitëesafin de vërifier\nl’authenticitë du numëro de tëlëphone indiquë.\n\n2.5.3. MicrosoftAzure (base de donnëes SQL)\nUne base de donnëes Azure SQL de Microsoft, hëbergëeen Suisse, est utilisëepour stocker les\ndonnëes tel que dëcrit ci-dessus. Les rapports de test [B] et [Cl qui nous ont ëtë fournis ne concernent\nque le composantSocialScan pour Android et iOS. Ils ne contiennentaucune informationsur le\ncomposant SocialPass ou les services de fournisseurs tiers, tels que Twilioou MicrosoftAzure. Afin de\npermettre au PFPDT de mieux ëvaluer le traitement en termes de sëcuritë et de protection des donnëes,\ndes rëponses spëcifiques supplëmentairesont ëtë demandëes ä SwissHelios dans Ie document [K]\nDans ce contexte, la question a ëtë posëe de savoir si Azure ëtait configurë conformëment ä la Baseline,\npar exemple. Cette question est restëe sans rëponse jusqu’ä ce jour. Le document [1]a ëtë soumis ä\ntitred'information.Toutefois,iI ne contientaucune informationsur les mesures prises pour sëcuriser le\nsystëme ni sur la mise en @uvreeffectiveet le contrölede ces mesures. Dans la rëponse (4-c) du\ndocument [H], les exploitants de SocialPass expliquent que la fonction d’audit est activëe sur Azure, qui\nenregistreles accës ä la base de donnëes. EIle prëcise ensuite que I'infrastructureAZURE dispose de\ntoutes les fonctions de sëcuritë, de journalisation et de tragage. II n'est pas expliquë si et comment ceuxci sont utilisëset donc activës. Dans ce cadre se pose ëgalementla questionde savoir si des\nidentificateurset/oud'autres donnëes personnelles ont ëtë enregistrës dans Azure en plus des donnëes\ndes visiteurs/clients(=prësence) et si oui, lesquelles.\n\n2.6. Information et droits des personnes concernëes\n2.6.1. Informationdes utilisateurs\nAu cours de la procëdured'ëtablissementdes faits, la dëclarationde protectiondes donnëes et d'autres\ninformations publiquement accessibles, ä savoir les informations disponibles sur Ie site web\nwww.socialpass.ch, ont ëtë considërablement modifiëes. Actuellement (ëtat au 10.05.2021), tant les\n\n27/62\n0\n\n"}