20_INT_34 - Interpellation David Raedler au nom Groupe des Vert·e·s - Le SocialPass : une passe de la prévention du coronavirus à la faille de sécurité ?.
Séance du Grand Conseil du mardi 27 octobre 2020, point 2.3 de l'ordre du jour
Texte déposé
Dans le contexte difficile lié à la lutte contre le coronavirus, un effort tout particulier a été mis dans l’identification de mesures visant à en empêcher la propagation tout en préservant au mieux les activités sociales, culturelles et économiques. Parmi celles-ci, le traçage des contacts apparaît comme un moyen de premier choix – spécialement lorsqu’il se rapporte à des contacts possibles dans des espaces clos ou impliquant une proximité physique entre personnes. Pour ce motif, la collecte de coordonnées est spécialement prévue aux art. 5 Ordonnance COVID-19 situation particulière ainsi qu’au ch. 4 de son annexe (droit fédéral) et 4 al. 2 let. f de la Directive COVID-19/Coronavirus (droit cantonal) dans sa version du 22 octobre 2020, notamment pour les bars et restaurants.
Alors que l’Ordonnance COVID-19 situation particulière est rédigée de façon technologiquement neutre pour le processus de récolte des coordonnées, l’art. 4 de la Directive cantonal prévoit l’utilisation d’une application numérique pour l'identification de la clientèle, homologué par la faîtière de la branche en concertation avec l'office du Médecin cantonal. Revenant sur la précédente version de la Directive (à l’art. 4 al. 2 let. e), qui imposait l’utilisation de l’application, son utilisation est indiquée comme alternative à l’utilisation du papier.
L’Association Gastro Vaud a recommandé en juillet dernier déjà les applications liées SocialPass (pour le/la client.e) et SocialScan (pour le/la restaurateur.rice), et a conservé ce choix exclusif en octobre 2020 en tant que dispositif homologué conformément à l’art. 4 de la Directive cantonale[1], en notant en particulier que la « Confidentialité des données [est] garantie » et qu’elle a été « développée et données hébergées en Suisse »[2]. Développées par les entreprises SwissHelios et Hotelpro4u, et facturée 20.- mensuellement aux exploitants pour SocialScan (un montant pris en charge par l’Association Gastro Vaud pour ses membres), ces deux applications entraînent le traitement de différentes données personnelles. Détaillés dans la notice de confidentialité disponible sur le site dédié (modifiée la dernière fois le 14 octobre dernier), ces traitements sont présentés comme strictement confidentiels et sécurisés, notamment par un hébergement local sur le téléphone portable ou sur des serveurs en Suisse, ainsi qu’un chiffrage par clé 256 bits. Cette notice conserve toutefois encore certains flous et imprécisions, en particulier sur (i) le caractère impératif ou volontaire de la récolte de certaines données personnelles (dont l’adresse ou la date de naissance) et (ii) le fait que leur utilisation est encore présentée comme « facultative », rendant le traitement de données personnelles fondé – de façon erronée – sur le consentement[3]. Pour le surplus, les détails techniques, relatifs notamment au logiciel et système utilisés (y compris le back-end et l’API), aux mesures de sécurité mises en place tant pour la communication des données personnelles que leur conservation, ainsi qu’aux sous-traitants impliqués, sont quasiment inexistants.
Par ailleurs, dans une prise de position du 15 octobre 2020 relative à l’art. 5 Ordonnance COVID-19 situation particulière, le Préposé fédéral à la protection des données personnelles a précisé que seule l’utilisation de sous-traitants pour la collecte et le traitement de données personnelles était possible, à l’exclusion de tiers[4]. Or, les applications SocialPass et SocialScan fonctionnent selon un modèle dans lequel les deux sociétés privées exploitantes apparaissent bien comme des tiers maîtres du fichier au sens de la Loi sur la protection des données (LPD).
Enfin, malgré la modification apportée à la Directive COVID-19/Coronavirus quant au caractère alternatif de l’usage de l’application et du papier, l’essentiel des restaurants et bars imposent l’usage de la première et refusent tout.e client.e qui n’aurait pas l’application homologuée ou, plus généralement, un smartphone.
A la suite de nombreuses interrogations, notamment de la part de la FRC, le Canton a annoncé au milieu du mois d’octobre qu’un audit externe serait effectué des deux applications SocialPass et SocialScan[5]. Plusieurs questions se posent toutefois dans ce contexte quant à la procédure choisie par le Conseil d’Etat dans l’art. 4 de la Directive cantonale, la possibilité de confier les traitement à un tiers maître du fichier et, surtout, quant aux garanties en termes de sécurité et de traitement des données personnelles assurées par les applications SocialPass et SocialScan – sans que l’utilité des mesures de traçage ne soit ici remise en cause.
***
Questions :
1. Le Conseil d’Etat prévoit-il de soumettre à audit externe les applications SocialPass et SocialScan (éléments techniques, mesures de sécurité, traitements de données effectués, etc.) et d’en prendre en charge les frais y relatifs ?
2. Le Conseil d’Etat a-t-il reçu un rapport détaillé de la part de l’Association Gastro Vaud quant au choix des applications SocialPass et SocialScan ou, à défaut, prévoit-il d’en demander un ? En particulier listant les autres applications examinées par l’Association Gastro Vaud, les contrôles ayant été menés et les critères considérés pour expliquer ce choix par rapport aux autres applications proposées.
3. Quelles garanties le Conseil d’Etat a-t-il reçu quant aux traitements de données personnelles effectués par les applications SocialScan et SocialPass, y compris en termes de sécurité ?
4. Comment le Conseil d’Etat apprécie-t-il l’utilisation des applications SocialScan et SocialPass à la lumière de la prise position du Préposé fédéral à la protection des données personnelles, selon qui seul un sous-traitant – et non un tiers maître du fichier – pourrait être impliqué dans les traitements de données y relatifs ?
5. Le Conseil d’Etat prévoit-il de modifier l’art. 4 de la Directive cantonale afin d’intégrer les services de la Préposée cantonale à la protection des données et du droit à l’information à l’examen des applications utilisées dans le traçage, ou alternativement de lui soumettre spontanément cela pour examen ?
6. Le Conseil d’Etat prévoit-il de modifier l’art. 4 de la Directive cantonale, ainsi que de procéder à une communication sur le sujet, de façon à ce que le choix entre l’application ou le papier doive dans tous les cas être donné aux clientes et clients des établissements concernés ?
[1]https://www.gastrovaud.ch/coordonnees-des-clients-precisions-importantes/.
[2]https://www.gastrovaud.ch/recolte-des-donnees-clients-misez-sur-le-numerique/.
[3]https://www.socialpass.ch/mentionslegales/, état au 24 octobre 2020.
[4]https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#-19688834.
[5]https://www.heidi.news/sante/l-application-de-tracage-privee-socialpass-critiquee-pour-son-manque-de-transparence.
Conclusion
Souhaite développer
Retour à l'ordre du jour