{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n (4) Recommandationconcernant Ie service de vërification des numëros\nSocialPass apporte des garanties manifestes (p.ex. au moyen d'un accord\navec Twilio) pour qu’un niveau de protection adëquat soit garanti dans le cadre\ndu transfert des numëros de tëlëphone des utiËËsateursau service < Twilio »\naux Etats-Unis ;\n\nAlternativement,SocialPass recourt ä un service alternatifqui n'impËiquepas\nun transfert vers un pays ëtranger dont Ie niveau de protection est inadëquat.\nLes utilisateurssont informës de maniëre transparente sur Ie transfeR des\ndonnëes au service de tiers (Twilioou autre), des modalitësd’enregistrement\net des possibilitës de demander l’effacement des propres donnëes\n\n3.5. Stockage centralisë et permanent du numëro de tëlëphone mobile dans le processus\nd'enregistrement\n\nLe PFPDT noteque, pour que le tra9agedes contacts fonctionne,iI est entre autres nëcessaire que le\nnumëro de tëlëphone mobile soit saisi dans SocialPass. Les numëros sont vërifËësau moyen du service\nOTP amëricain Twilio(cf. chapitre 2.5.2).\n\nLes numëros de tëlëphone sont ëgalement enregistrës de maniëre centralisëe dans Ia base de donnëe\nAzure. Rien n’a ëtë prëvu quant ä leur effacement. Les utilisateurs ne sont pas informës de maniëre\ntransparente ni de l’enregistrementni de I'utilisationque Twiliofait de leur numëro. De tels traitements\nde donnëesne rëpondentpas aux exigencesfixëesdans la LPD, notamment\nau principede\ntransparence tel que consacrë ä I'art. 4 al. 4 LPD. En outre, sur la base de I'art.4 al. 2 LPD, le stockage\ncentralisë du numëro de tëlëphone mobile lors du processus d’enregistrement est disproportionnë (du\npointde vue temporel)dans la mesure oLIce numëro est conservë pour une durëe illimitëe,c'est-ä-dire\nune durëe allant au-delä de ce qui est nëcessaire pour la lutte contre le COVID-19.\n\n(5) Recommandation concernant l’enregistrement centralisë et\npermanent du numëro de tëlëphone mobile dans le processus\nd'enregistrement\nSocialPass adapte le processus d'inscriptiondes utilisateursde sorte que\n- l’enregistrement centralisë du numëro de tëlëphone mobile soit limitëau strict\nnëcessaire pour le traitement visë, notamment en ce qui concerne la durëe de\nl’enregistrement(au plus tard lorsque Ia situation particuIËëreprend fin) ;\nles utilisateurs, avant d’installer l’application, soient informës de maniëre\ntransparente quant au traitement de leur numëro de tëlëphone mobile\n\n49/62\n0\n\nles utilisateurs soient informës de leurs droits et, en particulier, de la maniëre\ndont elles peuvent exercer leurs droits pour que les donnëes en lien avec\nI'enregistrement du numëro de tëlëphone mobile soient effacëes\n\n3.6. Microsoft Azure (base de donnëes SQL)\n\nDeux des trois composants (SocialPass et SocialScan) ont fait I'objetd’une ëvaluation externe de la\nsëcuritë. Le troisiëmecomposant(base de donnëes centralesur Azure) n'a pas ëtë auditë au motifque\nMicrosoft est responsable de la sëcuritë. Le PFPDT relëve toutefois qu’en raison de plusieurs risques\nliës ä la sëcuritë des donnëes, comme p.ex. la possibilitë d’un data breach, les responsables devraient\nëtre en mesure d’expliquer plus en dëtails pourquoi ils ont renoncë ä un audit adëquat.L’application\nSocialPass communique avec une infrastructure centrale (backend) hëbergëe chez Microsoft Azure.\nAvec Azure, beaucoup de rëglages sont prëdëfinis, mais d'autres doivent ëtre ajustës manuellement,\ncommeles alertes et les accës utilisateurs.Pour la sëcuritëde la base de donnëes Azure SQL, iI est\nrecommandë d’utiliserAzure Sentinel. Cela permet de recueillirdes donnëes sur I'ensemble des\nutilisateurs,\ndes appareils,des applications\net des infrastructures\net de dëtecteret d'analyserles\nrrienaces .\n\nAzure Sentinel ne permet toutefoispas de configurer, par exemple, des autorisations d’accës pour une\nbase de donnëesSQL. Or, conformëment\nä I'art.7 LPD, une teIleconfiguration\nest obligatoiredu point\nde vue de la sëcuritë des donnëes. SocialPass n'a pas encore confirmë au PFPDT que la configuration\ndans Azure est mise en auvre conformëmentau WhitePaper et ä la Baseline8applicables (voir cidessous). Le PFPDT constatedonc que les recommandationsfaites par Microsoft(Azure security\nbaseline) sur la protection de la base de donnëes SQL dans Azure sont insuffisamment mises en @uvre\npar SocialPass\n\n(6) Recommandation concernant la configuration et le renforcement de\nMicrosoft Azure\nSocialPass configure la plateformeMicrosoft Azure de sorte que\na) les mesures de sëcuritë de la Baseline et du WhitePaper [1]de Microsoft\nsoient mises en @uvre\nb) la vërification de I'efficacitë et la mise en @uvre de ces mesures puissent\nëtre prouvëes\n\n"}