Les exploitants de l'application SocialPass, qui sert à faciliter le traçage des contacts dans les bistrots afin de lutter contre le Covid-19, se font remonter les bretelles par le Préposé fédéral à la protection des données (PFPDT). Pour mémoire, ce dernier avait ouvert en décembre 2020 une procédure d'établissement des faits en application de la loi sur la protection des données sur la base d'informations révélées par les médias ainsi que par des citoyens.
Ses conclusions publiées lundi pointent du doigt «des déficiences organisationnelles et techniques» et révèlent que «les exploitants ont accordé aux autorités sanitaires cantonales de Vaud et du Valais un accès direct à la base de données centralisée et l'ont mise à disposition pour un nombre quelconque d'options de recherches ciblées.»
Très concrètement, «l'absence de limitations juridiques et techniques de ces vastes possibilités de recherche violent le principe de proportionnalité», assène le Préposé fédéral à propos de l'application, dont nous révélions qu'un audit avait mis au jour des failles de sécurité.
Comme les conclusions du PFPDT sont d'intérêt général, il souhaite — en vue de la réouverture complète du secteur de la restauration — informer le public d'une partie des recommandations qu'il a adressées aux exploitants de SocialPass. «La possibilité d'accès direct à la base de données centrale doit être limitée à ce qui est strictement nécessaire à la collecte légale des coordonnées, de sorte qu'elle soit proportionnée; en particulier, la possibilité de rechercher des personnes doit être éliminée.» Ensuite, les lacunes de sécurité identifiées dans divers rapports d'audit doivent être corrigées, «dans la mesure où cela n'a pas encore été fait». Enfin, afin de respecter la transparence exigée par la loi, les deux exploitants doivent uniformiser toutes les informations nécessaires aux clients sur ses différentes plateformes.
Fait surprenant, en avril dernier, les exploitants de l'application n'ont pas donné suite aux indications du PFPDT relatives au droit d'accès direct sur la base de données centralisées et aux possibilités de recherche ciblée, assure-t-il. «Ils ont également affirmé de manière générale que certaines déficiences mises en avant avaient entre-temps été corrigées, poursuit le préposé. Toutefois, ils n'ont pas précisé si et dans quelle mesure les corrections alléguées avaient été apportées jusqu'à la conclusion de l'établissement des faits.»
Une demande de récusation déposée contre le préposé
Fin mai, les parties ont déposé une demande de récusation à l'encontre des collaborateurs du préposé chargés de mener la procédure d'établissement des faits. Le PFPDT l'a transmise aux Commissions de gestion de l'Assemblée fédérale, annonce-t-il encore. Il a fixé un délai de 30 jours aux exploitants pour qu'ils se déterminent sur son rapport et sur les recommandations qui en découlent pour confirmer, en vue de sa publication, «que le rapport final ne contienne aucune donnée confidentielle».