{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n II dëcoule de ce qui prëcëde que les sociëtës NewCom4U Särl et SwissHelios Särl ont la qualitë de\nmaitre de fichier au sens de 1’art.3 lit. i LPD. Dës lors, iI leurincombe de respecter les obligations lëgales\nprëvues par la LPD, la LEp et l’Ordonnance COVID-19 situation particuliëre. En vertu de I'art. 4 al. 4\nLPD la collecte de donnëes personnelles, et en particulier les finalitës du traitement desdites donnëes,\ndoiventëtre reconnaissablespour la personne concernëe (principe de transparence). Le respect du\nprincipe de transparence permet en effet aux personnes d’exercer leur droit d'accës. Etant donnë que\nles indicationsdans les diffërents documents sont contradictoires dans la mesure oü certains documents\nmentionnentles deux sociëtës tandisque d’autres ne mentionnentque l’unedes deux sociëtës en tant\nque maTtredu fichier, le PFPDT constate une violation du principe de transparence tel que consacrë ä\n1’art.4 al. 4 LPD. En effet, en l’ëtat actuel, les personnes concernëes ne sont pas en mesure de\ndëterminer avec certitude quelle personne morale traite leurs donnëes et ä qui, le cas ëchëant, elles\ndevraient adresser une demande d’accës\n\n40/62\n0\n\n(1) Recommandation concernant les röles et responsabilitës\nLes socËëtësNewCom4U Särl et SwissHelios Särl doivent uniformiser tous les\ndocuments (site web, appstores et app) afin de respecter leurs obligations\nlëgales en tant que maTtres du fichier au sens de 1’art. 3 lit. i LPD\n\n3.2. Banque de donnëes centralisëe\n3.2.1. Banque de donnëes centralisëe stricto sensu\n\nLa collecte des coordonnëes des visiteurs (nom, prënom, numëro de tëlëphone, NPA) trouve son\nfondement dans I'art. 5 de l’Ordonnance COViD-19 situation particuliëre, qui oblige les exploitants\nd'ëtablissementsaccessibles au public de collecter lesdites coordonnëes. Cette disposition prëvoit\nnotamment que les exploitants collectent les coordonnëes des visiteurs et les transmettent aux autoritës\ncantonalessur demande, notammentaux fins d’identificationet d’informationdes personnes qui se\ntrouvaientdans l’ëtablissement\nau mëme momentqu’une personneinfectëeet qui sont dës lors\nprësumëes infectëes au sens de 1’art.33 LEp. Les coordonnëes doivent impërativement ëtre dëtruites\naprës 14 jours.\n\nSelon Ie ch. 4.5. de l’annexe 1 de l’Ordonnance COVI D-19 situation partËculiëre,iI incombe ä l’exploitant\nde garantir la confidentialitë des coordonnëes qu’iI collecte ainsi que la sëcuritë des donnëes,\nnotammentdurant leur conservation. Ainsi, en vertu des diverses dispositions applicables, iI a ëtë prëvu\nque les coordonnëes collectëes restent chez les exploitants respectifs. Ce n'est qu'en cas d'infection\ndans un ëtablissement dëterminë que les autoritës cantonales doËventavoir accës aux coordonnëes\ndes visiteurs de l’ëtablissementconcernë. En d’autres termes, iI a ëtë prëvu que les exploitantsdes\nëtablissements gardent le contröle sur les coordonnëes qu’ils ont collectëes. La disposition fëdërale ne\nprëvoitpas d’accës direct ä toutes les coordonnëes collectëes dans tous les restaurants d’un mëme\ncanton\n\nSocialPass doit ëtre considërë en tantque systëme de gestion tel que prëvu au ch. 4.3. de I'annexe 1\nde l’Ordonnance COVI D-19 situationparticuliëre. En effet, cette disposition fixe que < les coordonnëes\npeuvent ëtre collectëes ä l’aide de systëmes de gestion des rëservations ou des membres, ou encore\nau moyen de formulaires de contact ».\n\nÄ la lumiërede la LPD, les deux sociëtës SwissHelios Särl et NewCom4U Särl doivent ëtre considërëes\ndes tiers au sens de 1’art.10a LPD. II dëcoule de cette constatationque le systëme SocialPass ne\ndevrait que permettre les traitements de donnëes que Ie mandant serait en droit d'effectuer lui-mëme,\nc’est-ä-dire que le systëme SocialPass, afin de tomber sous la dëfinitiondu ch. 4.3. de l’annexe 1 de\nl’Ordonnance COVID-19 situation particuliëre,ne devrait que permettre d'effectuer les traitements tels\nque prëvus dans l’OrdonnanceCOVID-19 situationparticuliëre\n\n41/62\n0\n\nCela ëtant, iIconvient de distinguer deux questions diffërentes qu'il convient d'analyser sëparëment par\nla suite.\n\nDans le cadre de ce premier sous-chapitre, iI convient de se pencher sur la question de savoir si le\ncadre lëgal pertinentpermetla mise en place d’une base de donnëes centralisëe.Si le cadre lëgal\nfëdëral permet en effet la mise en place d’une base de donnëes centralisëe, se pose alors la question\nde savoirsi dans Ie cas d’espëce, des mesures appropriëesont ëtë mises en place afin de rëpondre\naux exigencestenant ä la sëcuritë de donnëes sensibles (cf. art. 7 LPD) et aux exigences lëgales en\nmatiëre de protection des donnëes (notamment le principe de la proportionnalitë).\n\nLe ch. 4 de I'annexe 1 de I'Ordonnance Covid-19 situation particuliëre qui fixe les dëtails de la collecte\ndes coordonnëes n’apporte pas de prëcisions quant aux systëmes de gestion des rëservations qui\npeuvent ëtre utilisës pour la collecte (cf. ch. 4.3). Le Rapport explicatif concernant 1’ordonnance COVID-\n19 situation particuliëre(y inclus grandes manifestations) du 26 mai 2021 n’apporte pas plus de\nprëcisions quant ä cette question.\n\n"}