{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2021-08-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20210804-Rapport-fin_2021-08-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/ZNJEjAp8ku7C/20210804_Rapport%20final%20et%20recommandations_SocialPass.pdf", "Checksum": "4e8c90b6a041a82c4f6ece16995cf4c6"}, "Scrapedate": "2026-04-05", "Num": ["20210804_Rapport final et recommandations_SocialPass"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.08.2021"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.08.2021"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\""}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:31", "Checksum": "16fa52285ea87e75763ebde978102746", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.08.2021\nRegeste:\nRapport final et recommandations du 4 août 2021 concernant l'application \"SocialPass\"\n\n Le PFPDT prend note que les parties acceptent la recommandation (5) concernant l’enregistrement\ncentralisë et permanent du numëro de tëlëphone mobile dans le processus d'enregistrement.\n\nCependant, le PFPDT constate que la dëclaration de confidentialitëmentionnëe ne porte que sur\nI'utilisationdes donnëes collectëes pour le trag'agedes contacts. Or, la recommandation susmentionnëe\nfait rëfërence au stockage du numëro de tëlëphone au cours du processus d'enregistrement.\n\nEn raison de ce manque de clartë, le PFPDT estime que cette recommandation n’a pas ëtë suivie de\nmesures concrëtes et iI en dëduit que la recommandation n'a pas encore ëtë mise en place\ncomplëtement ä I'heure actuelle.\n\n4.3.6. Recommandation (6) concemant la configuration et le renforcement de Microsoft Azure\nLa recommandation(6) formulëe ci-dessus au chapitre 3.6 et reprise ci-dessous est la suivante\n\n(6) Recommandationconcernant la configuration et le renforcement de\nMicrosoft Azure\nSocialPass configure la plateforme Microsoft Azure de sorte que\na) les mesures de sëcuritë de la Baseline et du WhitePaper [1]de Microsoft\nsoient mises en @uvre\nb) la vërificationde I'efficacitëet la mise en @uvrede ces mesures puissent\nëtre prouvëe9\n\nLa rëponse des exploËtantsde SocialPass ä cette recommandation se lit comme suit:\n\n« En cours d’implëmentation.Disponible d’ici Ia fin du mois d’aoüt. D\n\nLe PFPDT prend note que les parties acceptent la recommandation (6) concernant la configuration et\nIe renforcement de Microsoft Azure et attend les preuves correspondantes dës que la mËse en cnuvre\nde cette recommandationaura eu lieu\n\n4.3.7. Recommandation (7) concernant la gestion desvulnërabilitës\nLa recommandation(7) formulëeci-dessus au chapitre 3.7.1 et reprise ci-dessous est la suivante :\n\n(7) Recommandation concernant la gestion des vulnërabilitës\nSocialPass adapte les applicationsSocialPass et SocialScan de sorte que\na) les vulnërabilitësrelevëes dans les rapports d'audËt [A] [B] et [C 1 soient\nëliminëes en fonction des risques qu’elles reprësentent,\nb) les vulnërabilitës concernant Ia protection des donnëes, en particulier\nsoient ëliminëes sans dëlai.\n\n58/62\n0\n\nLes exploitantsde SocialPass confirmentavoir donnë suite ä cette recommandation,toutefois sans\napporter de prëcisions (l’affirmation correspondante est limitëe ä < fait »). En tout ëtat de cause, le\nPFPDT prend note que les parties acceptent la recommandation (7) concernant la gestion des\nvulnërabilitës.\n\n4.3.8. Recommandation (8) concernant la mise en place d’une authentificationforte\nLa recommandation(8) formulëe ci-dessus au chapitre 3.7.2 et reprise ci-dessous est la suivante\n\n(8) Recommandation concernant la mise en place d’une authentification\nforte\nSocialPass revoit I'accës ä tous ses composants de sorte que ceux-ci, en\nfonction de l’ëtat actuel de la technique, permettent une authentification\nrobuste, voire y soient obËigatoirementsoumis si la protection des donnëes\nl’exige\n\nLes exploitantsde SocialPass confirmentavoir donnë suite ä cette recommandation,toutefois sans\napporter de prëcisions (I'affirmation correspondante est IËmitëe ä « fait »). En tout ëtat de cause, le\nPFPDT prend note que les parties acceptent la recommandation (8) concernant la mise en place d’une\nauthentificationforte\n\n4.3.9. Recommandation (9) concemant le traitement des identifiantsd’appareils\nLa recommandation(9) formulëe ci-dessus au chapitre 3.7.3 et reprise ci-dessous est la suivante\n\n(9) Recommandation concernant Ie traitement des identifiants\nd’appareils\nSocialPass renonceau traitementdes identifiantsqui ne sont pas nëcessaires\nä la lumiëre de la finalitë poursuivie, notamment IMEI, Firebase-ID et Unique\nID provenant de Google Firebase\n\nLa prise de position par rapportä cette recommandation se lit comme suit:\n\n< Nous utilisonsun identifiantqui ne correspond pas ä tMEI ou FIREBASE-ID mais qui est\nunique et gënërë par 1’applicationSocialPass >.\n\nLe PFPDT conclut de cette rëponse que les exploitants de SocialPass acceptent la recommandation\n(9) concernant le traitement des identifiants d'appareils.\n\n4.3.10. Recommandation (10) concemant la documentation relative ä la sëcuritë des donnëes\nLa recommandation(10) formulëe ci-dessus au chapitre 3.7.4 et reprise ci-dessous est la suivante\n\n59/62\n0\n\n(10) Recommandation concernant la documentation relative ä la sëcuritë\ndes donnëes\n\n"}