{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n 3.7. Divers aspects de sëcuritë des donnëes\nLes responsabËes ont affirmë que des amëliorations concernant la sëcuritë des donnëes ont ëtë mises\nen place, sans toutefois les concrëtiser. Les recommandations suivantes dans Ie domaine de la sëcuritë\n\n8 https://docs.microsoft.com/en-us/security/benchmark/azure/baseIËnes/sql-database-security-baseline (ëtat au 21.4.2021 )\n\n50/62\n0\n\ndes donnëessont doncformulëesous rëserveque les vulnërabilitës\nmises en lumiëredans\nl’ëtablissement des faits du 20 mai 2021 n’ont pas ëtë corrigëes entre-temps.\n\n3.7.1. Gestion desvulnërabilitës\n\nLe PFPDT note que les audits externes ont dëcelë des vulnërabilitës. Celles-ci ont ëtë ëvaluëes du point\nde vue de la sëcuritë informatique, mais pas de la sëcuritë des donnëes au sens de I'art. 7 LPD en\nrelationavec I'art. 8 OLPD. Cet aspect a fait l’objet d’une premiëre ëvaluation, par le PFPDT, dans la\nsection 2.9.4 Afin de garantir la sëcuritë des donnëes conformëment ä 1’art.7 LPD, iI faudrait classer\ntoutes les vulnërabilitës(risques ëlevës comme faibles) de maniëre dëcroissante selon leur dangerositë\ndu point de vue du droit de la protectiondes donnëes.\n\n(7) Recommandation concernant la gestion des vulnërabilitës\nSocialPass adapte les applications SociaËPass et SocialScan de sorte que\na) les vulnërabilitësrelevëes dans les rapports d’audit [A] [B] et [C] soient\nëliminëes en fonction des risques qu'elles reprësentent\nb) les vulnërabilitës concernant Ia protection des donnëes, en particulier\nsoient ëltmËnëessans dëla\n\n3.7.2. Mise en place d’une authentificationforte\n\nLe PFPDT constateque, sur la base des informationsfournies, iI n'est pas possiblede savoir quels\ncomposants du systëme SocialPass sont sëcurisës par I'authentification ä deux facteurs et donG\nprotëgës contre tout accës, modification ou destruction non autorisës, si 1’onse rëfëre ä l’ëtat actuel de\nla technique et ä I'art. 7 LPD en relation avec I'art. 8 s. OLPD.\n\n(8) Recommandation concernant la mise en place d’une authentification\nforte\nSocialPass revoit Ë'accësä tous ses composants de sorte que ceux-ci, en\nfonctËon de l’ëtat actuel de la technique, permettent une authentification\nrobuste, voire y soient obligatoirement soumËs si la protection des donnëes\nl’exige\n\n3.7.3. Utilisation disproportionnëe d'identifiants\n\nLe PFPDT note que, outre le numërode tëlëphone, le traitementdes donnëes dans le cadre de\nSocialPass englobe I'IMEI (International Mobile Equipment Identity, un numëro de sërie unique ä quinze\nchiffres pour les appareils) et, dans Ie cas d'Android, ëgalement un UID (Unique ID) du numëro\nd'utilisateurprovenantde Google Firebase. La saisie des donnëes de contact en vue du tragage vise\ntoutefois les personnes et non les appareils. Les opërateurs n'ont pas expliquë, et les informations\ndisponibles n’indiquent pas clairement en quoi I'utilisationde ces identifiants est nëcessaire\n\n51/62\n0\n\nParconsëquent, iI est inutile,et par ce fait, disproportionnë du point de vue de I'art, 4 al. 2 LPD, d’utiliser\ndes identifiantspëcifiquesaux appareilset aux applicationsä cettefin. Les numëros de tëlëphone\npeuvent trës bien ëtre vërifiës sans que ces identifiants soient utilisës\n\n(9) Recommandation concernant Ie traitement des identifiants\nd’appareils\nSocialPass renonceau traitementdes identifiantsqui ne sont pas nëcessaires\nä la lumiëre de la finalitë poursuivie, notamment IMEI, Firebase-ID et Unique\nID provenant de Google Firebase\n\n3. 7.4. Organisation et docume.ntationrelatives ä la sëcuritë des donnëes\n\nLes responsables de SocialPass n’ayant pas soumis de documentationrelative ä la sëcuritë des\ndonnëes, dans le cadre de la prësenteprocëdure, portantsur les responsabilitësen la matiëre, le\nPFPDT part du principe qu’une teIle documentation fait dëfaut.\n\nLe PFPDT constateen outrequ'il n'existepas de rëglementde traitementau sens de I'art. 11 OLPD\nincluant une stratëgie de sëcuritë (notamment celle des donnëes) pour SocialPass et SocialScan. Un\ntel rëglementsert ä mettreen @uvre et ä documenter la stratëgie de sëcuritë et dëcrit les mesures\ntechniques et organisationnelles mises en muvre au sens de I'art. 7 LPD\n\nEn vertude 1’art.11a al. 5 lit.a LPD, les responsablesde la base de donnëes ne sont pas soumis ä\nl’obligationde dëcËarationd'un fichier, s’iI est assumë que les donnëes sont traitëes par une personne\nprivëeen vertu d’une obligationlëgale. Par contre, 1’art.11 OLPD prëvoitl’obligationd'ëlaborer un\nrëglementde traitementpour les fichiers automatisës, y compris pour les maTtres de fichiers dëliës de\nl’obligationde dëclarationä conditionque cette exception soit basëe sur la lettre a de 1’art. 11a al. 5\nLPD\n\n(10)Recommandationconcernant la documentation relativeä la sëcuritë\ndes donnëes\n\n"}