SocialPass – SocialScan et la protection des données

Privacy Policy – SocialPass et SocialScan

  1. But et champ d’application du présent document

Le présent document a pour but de vous informer quant à la collecte et au traitement de vos données à caractère personnel intervenant lors de l’utilisation de nos applications pour appareils mobiles SocialPass et SocialScan. SocialPass s’adresse aux clients ou visiteurs d’établissements publics et/ou de manifestations (clients), alors que SocialScan d’adresse aux exploitants d’établissements publics ainsi qu’aux organisateurs de manifestations (hôtes). Le présent document vise, enfin, à informer, le cas échéant, les collaborateurs des exploitants d’établissements publics ainsi que des organisateurs de manifestations dans l’hypothèse où la collecte des données des collaborateurs est également obligatoire (par exemple dans le canton de Vaud).

  1. Notion de données à caractère personnel / données personnelles

Les données à caractère personnel sont toutes les informations qui se rapportent à votre personne, telles que, par exemple, votre nom, votre adresse postale, votre adresse e-mail, votre numéro de téléphone, votre état de santé ou votre comportement en ligne.

  1. Responsable du traitement de données à caractère personnel / maître du fichier

Le maître du fichier est : SwissHelios Sàrl

Vous pouvez adresser vos requêtes en matière de protection des données à l’adresse suivante : rgpd@socialpass.ch

  1. Finalités

Nous collectons et traitons vos données personnelles pour les finalités suivantes :

  • Permettre aux exploitants d’établissements publics ainsi qu’aux organisateurs de manifestations de respecter les obligations de collecte et de vérification des coordonnées imposées par le droit fédéral ou cantonal (notamment par l’article 4 alinéa 2 de l’Ordonnance du 19 juin 2020 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière) ;
  • Permettre au service cantonal compétent d’identifier et de contacter les personnes présumées infectées au sens des articles 33 et suivants de la Loi fédérale du 28 septembre 2012 sur la lutte contre les maladies transmissibles de l’homme (Loi sur les épidémies).
  1. Données collectées
    • SocialPass

Lors de votre première utilisation de SocialPass, vous serez invité(e) à saisir la langue d’utilisation, le numéro de votre téléphone, vos nom, prénom, adresse de domicile et date de naissance. Il est obligatoire de renseigner les champs correspondants. Vous aurez également la possibilité de fournir votre adresse de courrier électronique (facultatif). Veuillez noter que votre numéro de téléphone sera vérifié automatiquement au moyen d’un SMS envoyé au numéro que vous aurez préalablement saisi. Ces données demeurent stockées dans votre téléphone et sont utilisées pour la génération d’un QR Code sécurisé (crypté).

A l’entrée d’un établissement public ou d’une manifestation, deux cas de figure peuvent se présenter, selon le canton dans lequel vous vous trouvez et selon l’établissement/la manifestation :

  • Vous scannez le QR Code de votre hôte au moyen de l’application SocialPass. Les données ainsi fournies par votre hôte sont alors associées aux données que vous avez fournies ainsi qu’aux données temporelles du moment du scannage (date, heure) et, le cas échéant, au numéro de table ; ces données sont alors stockées sur un ou plusieurs serveur(s) sécurisé(s), en Suisse.
  • Vous présentez votre QR Code généré par l’application SocialPass et votre hôte le scanne. Votre hôte collectera alors les données que vous avez fournies lors de votre première utilisation de SocialPass, les associera aux données de son établissement / de sa manifestation ainsi qu’aux données temporelles pertinentes (date, heure) et l’ensemble sera stocké sur un ou plusieurs serveurs sécurisé(s), en Suisse. Votre hôte n’aura aucun accès à vos données et celles-ci ne seront pas conservées auprès de lui.

Si vous utilisez SocialPass en tant que collaborateur/trice de l’exploitant d’un établissement public ou de l’organisateur d’une manifestation (uniquement dans les cantons qui exigent également la collecte des données du personnel, à l’image du canton de Vaud), vous scannez le QR Code de votre employeur réservé aux employés (« TEAM ») en arrivant et en quittant le travail. Les données fournies par votre employeur sont alors associées aux données que vous avez fournies ainsi qu’aux données temporelles au moment du scannage (date, heure) et sont stockées sur un ou plusieurs serveur(s) sécurisé(s), en Suisse.

SocialPass n’a aucun recours au système de positionnement par satellite de votre téléphone.

  • SocialScan

Lors de votre première utilisation de SocialScan, il vous sera demandé d’enregistrer votre « organisation » selon la catégorie à laquelle elle appartient (restaurant, événement, manifestation sportive, etc.), d’introduire les données d’identification nécessaires (nom de l’établissement ou de la manifestation, adresse postale, adresse de courrier électronique et nom de la personne responsable). Veuillez noter qu’un compte d’utilisateur sera créé.

A l’arrivée d’un client, deux cas de figure peuvent se présenter, selon la méthode que vous appliquerez :

  • Vous scannez le QR Code que votre client vous présente. Les données ainsi fournies par votre client sont alors associées aux données que vous avez fournies ainsi qu’aux données temporelles du moment du scannage (date, heure) et sont stockées sur un ou plusieurs serveur(s) sécurisé(s), en Suisse.
  • Vous présentez votre QR Code à votre client, soit que vous l’ayez affiché à l’entrée, soit que vous en ayez disposé un par table. Au moment du scannage du QR Code que vous aurez mis à disposition, l’application SocialPass de votre client va associer vos données (y compris, le cas échéant, le numéro de table) à celles que votre client aura fournies ainsi qu’aux données temporelles (date, heure) ; ces données seront stockées sur un ou plusieurs serveur(s) sécurisé(s), en Suisse.

Vous avez également la possibilité de permettre à vos collaborateurs d’enregistrer leurs données. Cela n’est nécessaire (et donc autorisé) que dans les cantons qui le demandent (par exemple Vaud). Vos collaborateurs sont informés quant à la collecte ainsi qu’au traitement de leurs données personnelles par le biais du présent document, qu’ils doivent également approuver avant la première utilisation de l’application SocialPass.

  1. Vos droits

Vous disposez des droits suivants quant aux données personnelles qui vous concernent :

  • Droit d’accès / droit à l’information sur le traitement de données
  • Droit à la rectification ou à la suppression des données
  • Droit d’opposition contre le traitement des données
  • Droit de révocation de votre consentement lorsque celui-ci est requis pour traiter vos données

Nous vous remercions de prendre note du fait que l’utilisation de SocialPass et de SocialScan est facultative, et donc soumise à votre consentement. La collecte ainsi que la mise à disposition de vos données au service cantonal compétent sont toutefois des obligations légales et vous ne pouvez pas vous opposer à ces opérations de traitement, qui ne sont pas soumises à votre consentement. Si vous ne souhaitez plus utiliser SocialPass et/ou SocialScan, il vous suffit de désinstaller l’application que vous souhaitez cesser d’utiliser (cf. ch. 7 ci-dessous). Il vous incombera alors de fournir les données manuellement afin de respecter les obligations de renseignement prévues par la loi.

  1. Conservation des données

Toutes vos données sont conservées de manière strictement confidentielle et sécurisée tout au long de leur traitement.

Les données que vous avez fournies lors de votre première utilisation de l’application sont conservées sur votre appareil mobile uniquement et ce pour toute la durée pendant laquelle l’application demeure installée. Elles seront définitivement effacées en cas de désinstallation de l’application. Vous avez à tout moment la possibilité de désinstaller SocialPass et/ou SocialScan.

Les données obtenues suite au scannage du QR Code (cf. ch. 5 ci-dessus) sont stockées sur un ou plusieurs serveur(s) sécurisé(s), en Suisse (ZH). Elles y sont conservées, sous forme cryptée (clé de 256 bits), pour une durée maximale de 14 jours, conformément à l’article 5 alinéa 3 de l’Ordonnance du 19 juin 2020 sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière. A l’issue de cette période légale de 14 jours, vos données sont effacées. L’exploitant de l’établissement public ou l’organisateur de la manifestation n’a pas accès à ces données.

  1. Transmission de vos données à des tiers

Sur demande du service cantonal compétent, un accès à celles de vos données stockées sur un ou plusieurs serveur(s) sécurisé(s) (données obtenues suite au scannage) est accordé audit service. Selon les cantons, cet accès peut intervenir soit par mise à disposition de ces données directement au service cantonal compétent, soit par la communication de ces données à l’exploitant de l’établissement public ou à l’organisateur de la manifestation, à qui il incombe ensuite de transférer vos données au service cantonal compétent et d’assurer la destruction de celles-ci après 14 jours. Dans cette dernière hypothèse, nous n’assumons aucune responsabilité quant au traitement de vos données à caractère personnel par l’exploitant de l’établissement public ou par l’organisateur de la manifestation.

Les données stockées sur votre téléphone ne sont jamais transmises à des tiers.

L’accès accordé au service cantonal compétent est entièrement sécurisé et contrôlé. Il nécessite une clé d’accès cryptée ainsi qu’une double autorisation.

Aucune donnée ne sera vendue ou utilisée à notre profit.

  1. Modification de la présente déclaration

Nous nous réservons le droit de modifier la présente déclaration en tout temps. Les modifications sont communiquées par affichage sur l’application. Elles entrent en vigueur dès leur approbation par l’utilisateur (client, hôte ou collaborateur).

Version du 14.10.2020