I. Introduction

Le 24 février 2020, le premier cas de COVID-19 sur le terri­toire helvé­tique est détecté. Face à une explo­sion du nombre de cas détec­tés, le Conseil fédé­ral déclare moins d’un mois plus tard l’état d’urgence sani­taire dans tout le pays (art. 7 LEp) lui permet­tant de pronon­cer des mesures exceptionnelles.

Depuis les préludes de la pandé­mie, le Conseil fédé­ral a adopté toute une série de mesures afin d’endiguer la pandé­mie. Parmi les plus décriées (au sein de la popu­la­tion), on retrouve notam­ment l’exploitation d’un système de traçage de proxi­mité qui s’est traduit par le déve­lop­pe­ment de l’application SwissCovid. Le système de traçage repose sur plusieurs normes légales pres­crites aux art. 60a ss LEP et a fait l’objet d’une phase pilote, confor­mé­ment à l’art. 17a LPD. Le déve­lop­pe­ment de ce système de traçage a béné­fi­cié d’une grande trans­pa­rence, les docu­ments y rela­tifs ayant été volon­tai­re­ment publiés, sans parler des contours légaux ayant enca­dré son déve­lop­pe­ment et qui conti­nuent à déter­mi­ner son utilisation.

L’obligation faite aux exploi­tants d’installations ou d’établissements acces­sibles au public dans le cadre de leur plan de protec­tion (p. ex. les restau­ra­teurs) de collec­ter les coor­don­nées des personnes afin de préve­nir la propa­ga­tion du coro­na­vi­rus a quant à elle été plus décriée. Bien qu’instaurées par la première Ordonnance fédé­rale COVID-19 (art. 4 al. 2 let. b, 5 et ch. 4 de l’Annexe), les moda­li­tés liées à cette récolte ont été préci­sées et restent encore d’actualité à l’heure à laquelle nous rédi­geons ces lignes, confor­mé­ment à l’Ordonnance fédé­ral COVID-19 dans sa version du 31 mai 2021.

L’obligation exige des exploi­tants qu’ils récoltent le nom, le prénom, le domi­cile et le numéro de télé­phone du client, ainsi que, pour les établis­se­ments de restau­ra­tion, le numéro du siège ou de la table (Annexe 1, ch. 4.4 let. a et b). Un devoir d’informer les personnes concer­nées a été expres­sé­ment prévu (art. 5 al. 1). La durée de conser­va­tion a été fixée à 14 jours suivant la visite de l’établissement (art. 5 al. 3). Finalement, et afin d’identifier et d’informer les personnes présu­mées infec­tées, les services canto­naux compé­tents peuvent deman­der la trans­mis­sion de ces coor­don­nées (art. 5 al. 2), confor­mé­ment à l’art. 33 LEp.

II. SocialPass – En entrée, ce sera…

Cette obli­ga­tion a entraîné de nombreuses inter­ro­ga­tions parmi les obli­gés, notam­ment ceux issus du monde de l’hôtellerie-restauration. À son instau­ra­tion, GastroSuisse, la faîtière natio­nale du secteur, propo­sait des feuilles de saisie des coor­don­nées des clients. Ces feuilles auraient dû être distri­buées sépa­ré­ment pour chaque table (p. ex. le modèle papier vaudois « homo­lo­gué »). Or la plupart du temps, une seule feuille était utili­sée pour récol­ter les données et vire­vol­tait entre chaque table (Bonjour à toi, Nicolas de Moutier [JU]).

Le solu­tion­nisme tech­no­lo­gique a rapi­de­ment eu raison des modèles papier, des Tracing App ayant été déve­lop­pées paral­lè­le­ment. Parmi ces solu­tions tech­no­lo­giques, la fameuse appli­ca­tion SocialPass, dont il est ques­tion dans le commu­ni­qué de presse du Préposé fédé­ral. L’application SocialPass est parti­cu­liè­re­ment connue des Vaudoises et des Vaudois. À ce titre, ne sont pas en cause le papet vaudois et son excel­lente saucisse aux choux, pas plus que le chas­se­las, mais un embrouilla­mini  kafkaïen.

Peu après la première réou­ver­ture des établis­se­ments de restau­ra­tion le 11 mai 2020, GastroVaud, la faîtière vaudoise du secteur, recom­man­dait à ses membres le recours à SocialPass. Le 15 octobre 2020, face à une recru­des­cence canto­nale des cas de COVID-19 et un manque de fiabi­lité des feuilles de saisie, le Conseil d’État vaudois a exhorté le secteur à recou­rir à un usage systé­ma­tique d’un dispo­si­tif d’identification infor­ma­tique. Cette solu­tion infor­ma­tique devait être homo­lo­guée par GastroVaud, en concer­ta­tion avec le Médecin canto­nal. La mesure était pres­crite à l’art. 4 let. f de la Directive du Conseil d’État vaudois du 22 octobre 2020 COVID-19 /​ Coronavirus. C’est ainsi que SocialPass est devenu l’application « par défaut » du canton de Vaud.

Une inter­pel­la­tion a été dépo­sée par le député vaudois David Raedler, mais est restée lettre morte jusqu’à aujourd’hui. À ce sujet, nous rele­vons d’ailleurs que le Conseil d’État vaudois était revenu sur son choix d’imposer une solu­tion infor­ma­tique, lais­sant l’alternative à l’utilisation du papier comme possible pour les clients, mais seule­ment dans des cas excep­tion­nels. Les restau­ra­teurs devaient alors enre­gis­trer les clients direc­te­ment via l’application SocialScan.

Nous préci­sons que la solu­tion du Conseil d’État vaudois a été trans­po­sée dans un arrêté vaudois du 11 décembre 2020 (art. 3 al. 1 let. f de sa version du 12 décembre 2020). La dispo­si­tion a été discrè­te­ment abro­gée par la version du 18 janvier 2021 de l’arrêté vaudois, ce qui corres­pond de près à la nouvelle date de ferme­ture des établis­se­ments de restau­ra­tion. À notre connais­sance, aucune base légale – formelle ou maté­rielle – n’a été depuis adop­tée, et pour cause.

III. L’application SocialPass – késako ?

L’application SocialPass sert à faci­li­ter le traçage des contacts dans le domaine de la restau­ra­tion. Elle est exploi­tée par les socié­tés SwissHelios et NewCom4U. La solu­tion infor­ma­tique est compo­sée de trois composants.

1. SocialPass

SocialPass est l’application mobile télé­char­gée par les clients. Lors de son instal­la­tion, les clients sont redi­ri­gés sur la poli­tique de confi­den­tia­lité des données de l’application, qu’ils doivent accep­ter pour pouvoir l’utiliser. Après l’acceptation de la poli­tique de confi­den­tia­lité, une véri­fi­ca­tion du numéro de télé­phone est faite par l’envoi d’un SMS.

Suite à la véri­fi­ca­tion du numéro de télé­phone, le client doit s’enregistrer au moyen de données obli­ga­toires (nom, prénom, numéro de télé­phone, code postal). De manière facul­ta­tive, le client peut aussi trans­mettre sa date de nais­sance, son adresse complète ainsi que son adresse élec­tro­nique. Il semble­rait que ces données soient obli­ga­toires dans certains cantons (à notre connais­sance, tel n’est pas le cas du canton de Vaud).

Une fois le proces­sus d’enregistrement terminé, et lors de sa venue dans un restau­rant, le client peut scan­ner le QR code fourni par le restau­ra­teur. Ses coor­don­nées sont alors auto­ma­ti­que­ment envoyées à une base de données centra­li­sée et y sont stockées (pendant 14 jours) de manière chif­frée sur un serveur en Suisse.

2. SocialScan

SocialScan est l’application mobile télé­char­gée par l’exploitant d’un établis­se­ment de restau­ra­tion (elle peut égale­ment être utili­sée en dehors du secteur de la restau­ra­tion). L’exploitant commence par s’enregistrer au moyen du nom de son établis­se­ment, de l’adresse, du code postal, de la ville, de son adresse élec­tro­nique et de son télé­phone ainsi qu’éventuellement du nom de la personne respon­sable au sein de l’établissement.

Une fois son compte crée, l’exploitant peut créer les codes QR qui pour­ront être scan­nés par le client. Un contrôle visuel de l’occupation peut être fait et l’exploitant peut égale­ment saisir manuel­le­ment les données des clients qui n’auraient pas de télé­phones mobiles. Les données des visites suivent le même sort que dans le cadre de l’application SocialScan.

3. Base de données centralisée

La base de données centra­li­sée est consti­tuée des données de visite susmen­tion­nées. En cas de cas posi­tif au COVID-19, l’autorité canto­nale compé­tente peut soit deman­der l’accès à la liste des personnes présentes à l’exploitant de l’établissement de restau­ra­tion, soit s’être arran­gée pour avoir un accès direct à la base de données (c’est le cas du canton de Vaud et du Valais). Les moda­li­tés d’accès ressortent de la poli­tique de confi­den­tia­lité.

IV. L’affaire SocialPass sous la loupe du Préposé fédé­ral à la protec­tion des données

Le 31 mai 2021, le Préposé fédé­ral a informé la popu­la­tion, par le biais d’un commu­ni­qué de presse, avoir rendu une recom­man­da­tion à l’attention des socié­tés qui exploitent SocialPass. La procé­dure d’établissement des faits (art. 29 LPD) a été ouverte en décembre 2020 sur la base d’informations révé­lées tant par des médias que par des citoyens.

Avant de procé­der à une analyse des conclu­sions du Préposé fédé­ral, il y a lieu de souli­gner que les parties concer­nées par la recom­man­da­tion disposent d’un délai de 30 jours depuis le 28 mai 2021 pour soit la reje­ter soit s’y confor­mer (art. 29 al. 4 LPD). Le choix du Préposé fédé­ral de publier un commu­ni­qué de presse annon­çant avoir émis une recom­man­da­tion avant de lais­ser le temps aux parties de se pronon­cer sur celle-ci laisse pour le moins songeur.

Le Préposé fédé­ral a estimé que ses conclu­sions sont d’intérêt géné­ral, notam­ment en vue de la réou­ver­ture complète du secteur de la restau­ra­tion, et s’inscrivent dans un objec­tif de trans­pa­rence. Bien que les raisons évoquées nous semblent louables, le choix du Préposé fédé­ral amène une grande confu­sion pour le secteur de la restau­ra­tion et paraît critiquable.

Sur le fond, il ressort des conclu­sions du Préposé fédé­ral plusieurs points.

1. Possibilité d’accès direct à la base de données centra­li­sée par les auto­ri­tés vaudoises et valaisannes

La poli­tique de confi­den­tia­lité de SocialPass indique que dans le cas du canton de Vaud et du Valais, les services canto­naux compé­tents (en l’espèce, pour le canton de Vaud, l’office du Médecin canto­nal) se sont arran­gés pour obte­nir un accès direct à la base de données centra­li­sée. En outre, les parties semblent avoir mis à dispo­si­tion cette base de données pour un nombre quel­conque d’options de recherches cibles.

À cet égard, le Préposé fédé­ral consi­dère que l’absence de limi­ta­tions juri­diques et tech­niques de ces vastes possi­bi­li­tés de recherches viole le prin­cipe de propor­tion­na­lité. Il relève ainsi que l’accès à la base de données centrale par les auto­ri­tés sani­taires doit être limité à ce qui est nécessaire.

Cet accès direct, conju­gué au fait que l’application SocialPass fut la seule « homo­lo­guée » par la faîtière GastroVaud, en concer­ta­tion avec l’office du Médecin canto­nal, est un choix poli­tique dont le but était certai­ne­ment de faci­li­ter le travail du Médecin canto­nal dans le cadre du traçage des clients. Outre la ques­tion de la propor­tion­na­lité, il nous semble éton­nant que le Médecin canto­nal se soit octroyé cet accès direct, l’art. 5 al. 2 de l’Ordonnance fédé­rale COVID-19 préci­sant que le service canto­nal doit en faire la demande. Il appa­raît donc dispro­por­tionné que l’office du Médecin canto­nal puisse accé­der en tout temps à l’ensemble de la base de données centra­li­sée, le but étant de contac­ter les personnes ayant poten­tiel­le­ment eu contact avec un cas posi­tif de COVID-19 lors de leur visite d’un établis­se­ment de restauration.

Suite aux injonc­tions du Préposé fédé­ral, il nous semble impor­tant que le canton de Vaud prenne posi­tion sur la problé­ma­tique. L’imposition de facto de SocialPass comme outil de traçage unique n’apparaît pas, selon nous, comme une solu­tion idéale, même si celle-ci permet à l’office du Médecin canto­nal de faci­li­ter son travail.

D’un autre côté, et sauf erreur de notre part (en admet­tant qu’une compé­tence canto­nale existe), il serait léga­le­ment judi­cieux que le canton de Vaud se dote d’une base légale formelle s’agissant des moda­li­tés quant au traçage des clients d’un établis­se­ment de restau­ra­tion, en révi­sant par exemple l’art. 40 de la Loi vaudoise du 19 mai 1985 sur la santé publique ou en inscri­vant cette mesure dans la Loi vaudoise du 26 mars 2002 sur les auberges et les débits de bois­sons. Idéalement, la Préposée canto­nale devrait être impli­quée dans le proces­sus d’homologation des systèmes de traçage.

2. Lacunes de sécurité

L’enquête menée par le Préposé fédé­ral a conduit à la décou­verte de défi­ciences orga­ni­sa­tion­nelles et tech­niques, au sens du prin­cipe de sécu­rité (art. 7 LPD). Sur ce point, le commu­ni­qué de presse du Préposé fédé­ral n’apporte aucune autre précision.

3. Manque de transparence

Le Préposé fédé­ral relève en dernier lieu une viola­tion du prin­cipe de trans­pa­rence. À cet égard, les exploi­tants de SocialPass sont invi­tés à unifor­mi­ser toutes les infor­ma­tions néces­saires aux clients se trou­vant sur la page web ou dans les applications.

V. Un petit diges­tif pour conclure ?

Le commu­ni­qué de presse du Préposé fédé­ral n’apporte guère plus d’informations sur la procé­dure, mention­nant unique­ment les conclu­sions de la recom­man­da­tion. Il y a donc lieu d’attendre la publi­ca­tion de celle-ci pour déter­mi­ner plus préci­sé­ment les deux derniers points, en espé­rant que celle-ci apporte un éclai­rage bien­venu sur de nombreuses inter­ro­ga­tions comme la quali­fi­ca­tion qu’endossent les socié­tés exploi­tantes du SocialPass.

La ques­tion de savoir si ceux-ci agissent en qualité de respon­sable du trai­te­ment tiers ou en qualité du sous-trai­tant est diffi­cile à cerner. Ceci est d’autant plus vrai dans le cas du canton de Vaud, pour lequel l’un pour­rait argu­men­ter qu’une forme de délé­ga­tion de tâche légale a été faite à GastroVaud, qui a choisi SocialPass. À cet égard, deux ques­tions orales ont été posées par les dépu­tés vaudois David Raedler et  Philippe Vuillemin lors de la séance du Grand Conseil du 1^er juin 2021.

Nous ne cessons pas de le répé­ter, mais la crise du COVID-19 est révé­la­trice de notre envie de recou­rir toujours plus à des solu­tions infor­ma­tiques. Bien que criti­quable, cette envie est toute­fois à l’air du temps. Il est certain que de telles solu­tions seront toujours envi­sa­gées et privi­lé­giées et c’est pour­quoi il est impor­tant qu’une atten­tion parti­cu­lière soit portée à leur élabo­ra­tion, en parti­cu­lier lorsqu’elles répondent à des obli­ga­tions étatiques.

En fin de compte, et en parti­cu­lier avec le cas du SocialPass, nous regret­tons que les auto­ri­tés compé­tentes n’aient pas été direc­te­ment impli­quées dans le proces­sus lié au choix de l’application. Dans ce genre de cas, il est souvent plus facile de préve­nir que de guérir, mais selon notre expé­rience, les auto­ri­tés de protec­tion des données sont malheu­reu­se­ment souvent saisies en aval d’un projet seule­ment. Il y a lieu ici de procé­der à un renver­se­ment de para­digme et de mentalités.

En conclu­sion, nous compa­tis­sons avec les exploi­tants d’établissements de restau­ra­tion et les clients, qui doivent faire face à une certaine confu­sion. On leur répon­dra dans tous les cas, lorsqu’ils nous demandent comment est notre blan­quette, que celle-ci est bonne !