Nota bene (Livio di Tria) : Cette publi­ca­tion a été initia­le­ment publiée sur le blog person­nel du Prof. Sylvain Métille. Ce dernier nous a cepen­dant fait le plai­sir de nous auto­ri­ser à la repu­blier au sein de swiss​pri​vacy​.law. Désormais connue comme l’affaire SocialPass, nous avions déjà eu l’occasion en juin dernier de nous pencher dessus, sur la base d’un commu­ni­qué de presse du PFPDT (swiss​pri​vacy​.law/​78/). Pour sa part, la contri­bu­tion du Prof. Sylvain Métille dissèque la récente recom­man­da­tion du PFPDT. Merci à lui !

Le but n’est pas de s’acharner sur l’application SocialPass, mais pour une fois que PFPDT publie des recom­man­da­tions en matière de protec­tion des données, il est néces­saire de les exami­ner en détail. Elles devraient aussi permettre d’amener un peu de clarté dans un proces­sus qui est resté opaque depuis de nombreux mois, même s’il est imposé à de nombreux clients de restaurants.

Je me concen­tre­rai prin­ci­pa­le­ment sur les ques­tions juri­diques, même si le rapport mentionne un certain nombre de risques tech­niques, des lacunes d’organisation et des diffi­cul­tés impor­tantes pour le PFPDT à obte­nir des réponses à ses demandes.

En bref

Le PFPDT a iden­ti­fié de nombreuses lacunes et émis dix recom­man­da­tions (accep­tées en partie seule­ment par les socié­tés concer­nées). Le PFPDT peut main­te­nant porter l’affaire devant le Tribunal admi­nis­tra­tif fédé­ral pour rendre ses recom­man­da­tions contraignantes.

L’établissement des faits a d’abord révélé des défi­ciences orga­ni­sa­tion­nelles et tech­niques. Il a ensuite confirmé que les exploi­tants du SocialPass ont accordé aux auto­ri­tés sani­taires des cantons de Vaud et du Valais un accès direct à la banque de données centrale, leur permet­tant ainsi d’effectuer des recherches ciblées à discré­tion, ce qui contre­vient au prin­cipe de propor­tion­na­lité. D’autres recom­man­da­tions concernent l’exhaustivité des infor­ma­tions four­nies aux utili­sa­teurs, l’exportation de numé­ros de télé­phone vers les USA en vue de leur véri­fi­ca­tion et la confi­gu­ra­tion de la plate­forme Microsoft Azure sur laquelle se trouve la banque de données centralisée.

Pourquoi des recommandations ?

Dès juillet 2020, le PFPDT a reçu des demandes de citoyens et de médias. Il a pris contact avec les respon­sables de SocialPass (SwissHelios Sàrl et NewCom4U Sàrl) en novembre 2020 et ouvert formel­le­ment une procé­dure d’établissement des faits (art. 29 LPD) en décembre 2020. Au terme d’une procé­dure longue et diffi­cile, il a rendu le 4 août 2021 un rapport final et des recom­man­da­tions, rendues publiques le 20 août 2021.

Qui est l’autorité compétente ?

Le PFPDT a consi­déré qu’il était compé­tent s’agissant d’entreprises privées. Ce raison­ne­ment peut être suivi. Dans ce cas, on peut s’étonner de la parti­ci­pa­tion d’autorités canto­nales à deux vidéo­con­fé­rences mention­nées sans plus de détails dans le rapport, même si la colla­bo­ra­tion entre auto­ri­tés n’est pas rare.

En revanche, il y a un conflit d’intérêts évident lorsque la même personne inter­vient simul­ta­né­ment en qualité d’avocats des deux socié­tés visées par la procé­dure et de préposé canto­nal à la protec­tion des données. Le PFPDT n’a pour­tant pas fait de commen­taires parti­cu­liers à ce sujet.

Qui est le respon­sable du traitement ?

Les deux socié­tés sont des respon­sables du trai­te­ment conjoint, mais il n’a pas été possible de déter­mi­ner la répar­ti­tion de leurs respon­sa­bi­li­tés. Cette analyse est cohé­rente avec la base de données centra­li­sée sans sépa­ra­tion des établis­se­ments ou cantons. Elle l’est moins avec l’esprit de l’Ordonnance COVID-19 situa­tion parti­cu­lière.

Les indi­ca­tions dans les diffé­rents docu­ments sont contra­dic­toires dans la mesure où certains mentionnent l’un, l’autre ou les deux socié­tés en tant que respon­sables du trai­te­ment. Le PFPDT a retenu une viola­tion du prin­cipe de trans­pa­rence. En effet, les personnes concer­nées ne sont pas en mesure de déter­mi­ner avec certi­tude quelle personne morale traite leurs données et à qui, le cas échéant, elles devraient adres­ser une demande d’accès.

Une base de données centra­li­sée est-elle admissible ?

Le PFPDT consi­dère que sur le prin­cipe, une base de données centra­li­sée n’est pas exclue si des mesures de sécu­rité adéquates sont prises. Je peux aussi admettre que le trai­te­ment est confié à un (vrai) tiers, mais je ne pense en revanche pas que l’on puisse consi­dé­rer les deux socié­tés comme des sous-trai­tantes au sens de l’art. 10a LPD comme semble le mention­ner à un moment le PFPDT.

En revanche, le droit fédé­ral ne prévoit pas d’accès direct par les méde­cins canto­naux, ni de fonc­tion de recherche par nom par exemple (ce qui condui­rait à la créa­tion de profils de personnalités).

Le prin­cipe est au contraire que le méde­cin canto­nal peut seule­ment deman­der la liste des personnes présentes dans un établis­se­ment déter­miné à un moment donné. L’établissement peut ainsi jouer un rôle de contrôle et éviter les abus.

Le droit canto­nal peut-il prévoir une traça­bi­lité éten­due ou des accès directs ?

Non. À raison, le PFPDT retient que les docu­ments évoqués dans les cantons de Vaud et Valais ne consti­tuent pas des normes suffi­santes pour justi­fier un accès direct. La direc­tive vaudoise a d’ailleurs été abro­gée depuis​.De plus, un tel accès direct n’a pas été retenu dans la légis­la­tion fédé­rale et ne répond pas à un inté­rêt public.On notera au passage que la base de données centra­li­sée en mains du canton et l’accès direct sont la solu­tion qui a été rete­nue par le canton de Berne.

Les données pouvaient-elles être commu­ni­quées aux USA ?

Le PFPDT retient que les personnes concer­nées n’étaient pas infor­mées de la commu­ni­ca­tion des numé­ros de télé­phone à Twilio aux USA. Le rôle (et les condi­tions) du pres­ta­taire améri­cain ne sont pas claires et les respon­sables de SocialPass n’avaient aucune garan­tie suffi­sante de la part du pres­ta­taire établi dans un État dont le niveau de protec­tion des données n’est pas adéquat.

La sécu­rité des données est-elle assurée ?

Pas vrai­ment. Le PFPDT a émis plusieurs recom­man­da­tions, notam­ment pour éviter la conser­va­tion illi­mi­tée des numé­ros de télé­phones mobiles, amélio­rer la confi­gu­ra­tion de la plate­forme Microsoft Azure, élimi­ner les vulné­ra­bi­li­tés iden­ti­fiées, mettre en place une authen­ti­fi­ca­tion forte pour limi­ter les risques d’accès indus et renon­cer aux trai­te­ments d’identifiants inutiles comme le numéro IMEI ou l’UID prove­nant de Google Firebase. Finalement, le PFPDT a encore constaté l’absence de toute docu­men­ta­tion rela­tive à la sécu­rité des données.

Quelques ques­tions restantes

J’avais person­nel­le­ment exercé mon droit d’accès en juin et les deux socié­tés m’avaient indi­qué être des sous-trai­tants du méde­cin canto­nal vaudois (et pas des respon­sables du trai­te­ment, ce qui contre­dit fonda­men­ta­le­ment les consta­ta­tions du PFPDT).

Plus inquié­tant, le méde­cin canto­nal vaudois m’avait confirmé qu’il était bien le respon­sable du trai­te­ment. À ce moment, la direc­tive vaudoise qui prévoyait un accès direct (mais contes­tée par le PFPDT) avait de plus déjà été abrogée.

Les colla­bo­ra­teurs d’un canton n’avaient pas accès aux données des rési­dents d’un autre canton. Si cela semble a priori une bonne nouvelle, c’est assez trou­blant à y regar­der de plus près. Dans des situa­tions limi­tées, une auto­rité canto­nale peut deman­der les données des personnes présentes dans un établis­se­ment public de son canton. C’est le lieu de l’établissement qui est rele­vant et pas le canton d’origine des clients. La collecte des données dans un établis­se­ment devait permettre d’identifier les personnes présentes dans cet établis­se­ment, pas de recher­cher les établis­se­ments fréquen­tés (poten­tiel­le­ment aussi hors canton) par un citoyen du canton qui effec­tue la recherche.

Et avec la nouvelle LPD ?

Si la nouvelle LPD était déjà en vigueur, le PFPDT aurait pu rendre une déci­sion et impo­ser des modi­fi­ca­tions. Il aurait aussi pu assor­tir ses demandes de menace de sanc­tions pénales, ce qui lui aurait vrai­sem­bla­ble­ment permis d’avoir les infor­ma­tions qu’il n’a pas pu obte­nir aujourd’hui.

Finalement, il est probable que les diri­geants des deux socié­tés auraient été condam­nés péna­le­ment à une amende pouvant aller jusqu’à CHF 250’000.- pour viola­tion du devoir d’information, mesures de sécu­rité insuf­fi­santes et trans­fert de données à l’étranger sans garan­ties suffisantes.