{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n liens dans I'AppStore (Apple/iOS), dans le PlayStore (Google/Android) que dans les applications\nSocialPasset SociaËScan\nrenvoient\nä la dëclaration\nde protection\ndes donnëessur Ie site\nwww.socialpass.ch/mentionslegales/, ce qui ëtait encore incohërent au moment de I'ouverture de la\nprocëdure.\n\n2.6.2. Droits des personnesconcemëes\na. Exercice du droit d’accës\nLe document « SocialPass – SocËalScan et la protection des donnëes »3, accessibles via I'application,\nles AppStores et Ie site web sous le titre < Protection des donnëes », indique une adresse de contact\npour les utilisateurs (info@socialpass.ch; ëtat au 10.05.2021 )\n\nEn outre,la dëclaration\nde protection\ndes donnëescontientdes informations\nsur les droitsdes\npersonnes concernëes (cf. ch. 6).\n\nb. Exercice du droit ä l’effacement des donnëes\nL’effacementse fera de fa9on automatisëeaprës la durëe de conservation de 14 jours prëvue par\nI'Ordonnance Covid-19 situation particuliëre\n\nPar contre, lorsque la fonction < Saisie manuelle > (cf. chapitre 2.4.1) est utilisëe, les coordonnëes des\n< clientsrëguliers\n> restentenregistrëes\nsur l’appareil\nde l’ëtablissement.\nSur la base de la\ndocumentation soumise au PFPDT, aucune possibilitë d’effacer les donnëes des < clients rëguliers >\ndes appareilsdes ëtablissementsaccessibles au public ne sembleavoir ëtë prëvue par les exploitants\nde SocialPass.\n\nAucune informationn'est disponiblesur la question de savoir si une sollicitationä 1’adressedes\nutilisateursde supprimer I'application,et donc toutes les donnëes personnellesdëtenues sur les\nappareils, est prëvue lorsque les dispositions pertinentes fondëes surl’Ordonnance COVI D-19 Situation\nparticuliëre ne seront plus en vigueur,\n\n2.7. Aspects de sëcuritë des donnëes\n2.7.1. Organisation de la sëcuritë de 1’information\nLe PFPDT a demandë aux opërateurs de I'application,au moyen d'un questionnaire,comment les\nresponsabilitës en matiëre de sëcuritë de I'information et de protection des donnëes sont dëfinies,\ndocumentëes et attribuëes entre les deux exploitants de 1’application.Dans leur rëponse ä ce\n\n3 https://www.socialpass.ch/mentionslegales/\n\n28/62\n0\n\nquestionnaire technique, les exploitants de I'application ont indiquë que la rëpartition des responsabilitës\nen matiërede sëcuritëde I'informationet de protectiondes donnëes n’a pas pu ëtre fixëe (ni par oral ni\npar ëcrit), notamment en raison des modificationsconstantes de I'applicationau niveau cantonal ainsi\nqu’en raison des dëveloppements rapides, mais que peu prëvisibles de la pandëmie.\n\n2.7.2. Login avec double-authentification\nSur la base des informationssoumises au PFPDT, iI n'est pas clair si et, le cas ëchëant, quels\ncomposants du systëme de SocialPass sont sëcurisës au moyen d'une authentificationä deux\nfacteurs.\n\n2.7.3. Identifiantsde l’utilisateur\nSelon le chapitre [D] \"8.11 - Device - Structure des donnëes\", diffërents identifiants d'utilisateur sont\nutilisës. Outre le numëro de tëlëphone, iI convient de mentionner explicitement I'utilisation de I'IMEI\n(International Mobile Equipment EntËty, un numëro de sërie ä quinze chiffres unËque au monde de\nI'appareil)et d'un numërod'utilisateuruniqueUID (Unique ID) de Google Firebase. Aucune autre\ndonnëe pseudonymisëe servant ä identifierde maniëre unique les personnes concernëes n'a ëtë\nmentionnëe,mëme aprës des demandes explicitesdu PFPDT.\n\n2.7.4. Gëolocalisation\nSocialPass n’utilise pas la gëolocalisation\n\n2.8. Analyse de 1’auditde Navixia SA\nLes composants < SocialPass > et < SocialScan » ont fait I'objet d'un test de vulnërabilitë par NavixËa\nSA, pour le compte de GastroVaud, aux dates suivantes. Cela vaut pour les systëmes d'exploitation\niOS et Android.\n\nDate Processus\n18 mars 2021 Rapport, y compris Management Summary v.1.2\n12 au 18 mars 2021 Test du cryptage mis en oeuvre\n7 dëcembre 2020 Rapport, y compris Management Summary v.1.1\n4 dëcembre 2020 Vërifications 2 et 3\n\n16 au 18 novembre 2020 Kick-Off et test\n\nSelon le rapport « Analyse de sëcuritë (recheck) Applications SocialPass & SocialScan v. 1.2 > datë du\n18 mars 2021, tous les ëlëments des applications susceptibles d'ëtre pertinents pour la sëcuritë ont ëtë\n\n29/62\n0\n\nexaminës. Cela comprend le stockage des donnëes, la confidentiatitë, la cryptographie,\nI'authentification, la communication rëseau et les paramëtres de construction.\n\n"}