Ces recommandations font partie d'un rapport final remis vendredi, après l'ouverture en décembre 2020 d'une procédure d'établissement des faits, a fait savoir le Préposé fédéral à la protection des données et à la transparence (PFPDT) lundi dans un communiqué. Il avait ouvert cette procédure concernant l'application "SocialPass", exploitée par SwissHelios Sàrl à Oberlunkhofen (AG) et NewCom4U Sàrl à Sierre (VS).
L'application, utilisée par le secteur de la restauration dans toute la Suisse, sert à faciliter le traçage des contacts dans le cadre de la lutte contre le coronavirus. "SocialPass" permet aux clients d'enregistrer leurs coordonnées et "SocialScan" est destinée aux restaurateurs. Les données collectées des deux côtés sont envoyées et stockées dans une base de données centralisée.
Un accès direct à la base de données
L'établissement des faits a permis d'identifier des déficiences organisationnelles et techniques, notamment en termes de sécurité. Il a surtout révélé que les exploitants ont accordé aux autorités sanitaires vaudoises et valaisannes un accès direct à la base de données centralisée, pour presque un nombre quelconque d'options de recherches ciblées. Cette absence de limitations juridiques et techniques viole le principe de proportionnalité, note le PFPDT.
Outre la limitation des possibilités de recherche "de manière proportionnée", qui viserait à éliminer la possibilité de rechercher des personnes, le PFPDT demande que les lacunes de sécurité identifiées dans différents rapports d'audit soient corrigées. Les deux exploitants doivent aussi uniformiser toutes les informations nécessaires aux clients (site Internet, App Stores et applications), "afin de respecter la transparence exigée par la loi".
Les exploitants contre-attaquent
En avril, les exploitants de l'application n'ont pas donné suite aux indications du PFPDT relatives au droit d'accès direct à la base de données centralisée et aux possibilités de recherches ciblées. Ils ont aussi affirmé de manière générale que certaines des déficiences relevées par le Préposé à la protection des données avaient entre-temps été corrigées.
Jeudi dernier, ils ont demandé une demande de récusation à l'encontre des collaborateurs du PFPDT chargés de mener la procédure d'établissement des faits, transmise aux Commissions de gestion de l'Assemblée fédérale. Le Préposé à la protection des données a précisé n'avoir pas donné suite à cette demande.
Ce dernier a fixé vendredi un délai de 30 jours aux exploitants pour prendre position sur son rapport et les recommandations qui en découlent.
ats/ther