Les applications de traçage privées n’ont pas toutes les mêmes niveaux de protection des données. Leurs conditions générales peuvent fortement varier, selon un article publié dans La Côte.

Depuis la réouverture des bars, des restaurants, des clubs et des fitness, les applications, cartes numériques et autres plateformes de traçage pullulent en Suisse. Baptisées Swiss Night Pass, CoGa, Covtra ou encore Social Pass, elles sont utilisées par les établissements pour lister et avertir des clients qui auraient potentiellement côtoyé une personne infectée, comme le requiert l’ordonnance fédérale Covid-19.

Contrairement à SwissCovid, développée sous l’égide du gouvernement, ces applications privées, qui permettent un moment social récréatif, suscitent peu de résistances et de débats. Mais quelle est la protection des données personnelles offerte par ces outils, et sont-ils utilisés à d’autres fins que le traçage?

Les niveaux de protection garantis «sont inégaux. Cela dépend de l’interface et des développeurs qui sont derrière», relève Stéphane Koch, spécialiste de la sécurité des données et des réseaux sociaux. En effet, les conditions générales des applications et plateformes utilisées dans les principales villes suisses ne proposent pas toutes le même niveau de protection.

Conditions inégales

Avec CoGa, développée par la société 2GIK, en collaboration avec le canton de Genève, des garanties sont fournies. La situation est moins claire en ce qui concerne le Swiss Night Pass, élaboré par la start-up lausannoise Smeetz, avec le soutien du Label Nuit, auquel sont affiliés 70 bars et clubs dans les cantons de Vaud, Fribourg, Berne, Zurich, Schaffhouse et au Tessin. Une app déjà téléchargée plus de 85 000 fois.

Les conditions générales de Smeetz, société produisant des outils de billetterie en ligne et de marketing, indiquent que «les données de l’utilisateur peuvent être transmises ou communiquées à des tiers», dans certains cas. Ceci «dans le cadre de la fourniture des prestations de services au nom de Smeetz, lorsque l’utilisateur y a consenti et lors de promotions ou programmes communs avec des partenaires».

Cette société, comptant 20 employés, explique que le traitement des données fournies à des tiers «relève exclusivement de la politique de confidentialité desdits tiers», que «Smeetz ne peut être tenue responsable de leur utilisation». Enfin, l’entreprise se réserve le droit «d’anonymiser certaines données dans le but de les transmettre à des tiers, à des fins de recherche, de statistique ou de marketing».

Loris Savary, chargé de communication chez Smeetz, rappelle que la société «ne fait pas d’utilisation commerciale de ces données, à moins que l’utilisateur ne l’ait accepté explicitement». Au moment d’inscrire ses coordonnées en ligne (nom, prénom, numéro de téléphone, e-mail) pour obtenir un QR code, l’utilisateur doit cocher oui ou non à la case «Je veux recevoir des news des clubs que j’ai visités». L’approbation permettra aux établissements concernés de payer pour de la publicité ciblée.

Le fait que l’entreprise se réserve le droit d’analyser les données des utilisateurs et puisse les transmettre lui a valu un «refus catégorique» des clubs genevois membres de l’association Grand Conseil de la nuit, l’empêchant de recourir à sa plateforme. «Ces usages potentiels et le fait que Smeetz ait pour projet de perfectionner ses algorithmes de tarification dynamique, tout cela est en contradiction avec nos valeurs. C’est aussi en contradiction avec l’ordonnance fédérale», estime Elisabeth Jaquet, coprésidente de l’association, qui a opté pour CoGa.

Garanties très différentes

La plateforme CoGa compte près de 200 établissements inscrits à Genève (clubs, bars et restaurants). Le développeur 2GIK ne tient pas de statistique sur le nombre de chargements, la solution ayant été développée de sorte à ménager la sphère privée des utilisateurs, signale Xavier Cosandey, directeur de 2GIK. Comme pour le Swiss Night Pass, ceux-ci s’inscrivent sur un site en ligne, indiquant le nom, le prénom, le numéro de téléphone et l’année de naissance.

Les coordonnées sont enregistrées dans une base de données chiffrée de l’hébergeur de sites Infomaniak. Lorsque le médecin cantonal fait la demande d’accès à une liste, l’établissement, qui ne peut pas visualiser les données, doit valider la liste. Le service cantonal obtient alors les informations envoyées sur le logiciel REDCap, utilisé par les Hôpitaux universitaires genevois (HUG).Les informations sont effacées automatiquement dans les 14 jours.

«Les informations sont effacées automatiquement dans les 14 jours, et on tirera la prise dès que la pandémie sera derrière nous», explique le directeur de cette entreprise, employant dix personnes à Genève et dont l’outil a été audité par Jean-Luc Falcone, informaticien et collaborateur scientifique à l’Université de Genève.

Les garanties offertes pour Social Pass sont moins importantes. Cette application, téléchargée 19 000 fois, est utilisée par près de 600 restaurants dans les cantons de Vaud, du Valais, de Neuchâtel, dans le Jura et à Berne, où les listes manuelles ne sont plus acceptées. SwissHelios, développeur qui a collaboré avec Hotelpro4u, indique que le travail a été réalisé par les employés de sa société sœur en Inde, Helios Solutions, comptant 250 salariés.

Quelle confidentialité?

Sur les règles de confidentialité, Erwin Peter, codirecteur de la société basée en Argovie, renvoie aux conditions générales de Google Play et Apple Store. Quant au traitement local des données, hébergées sur le cloud par Microsoft Azure, lorsque les autorités demandent à y avoir accès, la requête est faite à l’établissement, qui envoie une liste au format PDF.

A Zurich, les développeurs de Covtra informent que sont «notamment» collectés les prénom, nom, numéro de téléphone, adresse e-mail, code postal, heure d’enregistrement, d’arrivée et de départ, ainsi que le secteur dans lequel le client se trouvait. «Notamment?» «Cela pose problème, car nous n’avons même pas une limite fixe des données collectées. Par ailleurs, trop d’informations sont demandées, et il y a lieu de penser que l’utilisation des cookies servira à proposer de la publicité ciblée», évalue François Charlet, juriste vaudois spécialisé en droit des technologies.

« Un mélange problématique »

Les conditions générales de CoGa, Swiss Night Pass, Social Pass ou Covtra contreviennent-elles à l’ordonnance fédérale Covid-19? Le préposé fédéral à la protection des données, Adrian Lobsiger, répond ne pas pouvoir prendre position sur des applications que le service n’a pas analysées en détail. Il rappelle la loi: «Seules les données nécessaires aux fins de la lutte contre le virus (réd: nom, prénom, domicile, numéro de téléphone, numéro du siège ou de la table dans les restaurants et cinémas, heures d’arrivée et de départ là où les clients consomment debout) peuvent être collectées ou traitées. Et cela après que les personnes concernées ont été informées, de manière transparente, que ces données ne peuvent être utilisées à d’autres fins et doivent être supprimées après 14 jours. Cela vaut pour l’opérateur de l’application.»

Adrian Lobsiger précise encore que «dès que le traitement des données de l’application va au-delà, par exemple parce que davantage de données sont collectées ou à d’autres fins, la collecte de ces données supplémentaires doit être volontaire».

Formulations «pas claires»

François Charlet, juriste spécialisé en droit des technologies, estime que des plateformes telles que Swiss Night Pass posent problème, car les conditions générales de l’application sont celles appliquées à tous leurs services. «On mélange le traçage des contacts avec des buts commerciaux. Les utilisateurs sont avertis, mais les formulations ne sont pas claires et la manière de faire pose problème.»

Dans le même sens, Sylvain Métille, avocat spécialisé en protection des données et professeur de droit pénal informatique à l’Université de Lausanne, juge qu’«il devrait y avoir une distinction claire entre les données obligatoires au sens de l’ordonnance, utilisables uniquement dans ce but, et d’autres données facultatives, qui peuvent être utilisées selon la politique de confidentialité. Malheureusement, ce n’est souvent pas clair». La plateforme Covtra est notamment concernée.Il appartiendra aux autorités de régulation, au préposé fédéral, d’entreprendre des contrôles idoines pour s’assurer que les règles en matière de protection des données soient strictement respectées.SÉBASTIEN FANTI, PRÉPOSÉ VALAISAN À LA PROTECTION DES DONNÉES

Pour Sébastien Fanti, préposé valaisan à la protection des données, «il est en effet à craindre que certaines personnes n’utilisent ces données, représentant un intérêt certain, à des fins étrangères au but initial, qui est louable. Il appartiendra aux autorités de régulation, au préposé fédéral, d’entreprendre des contrôles idoines pour s’assurer que les règles en matière de protection des données soient strictement respectées». Et le Valaisan d’ajouter que «ce qui est inquiétant, c’est que certaines applications évoquent d’ores et déjà la possibilité de communiquer les données à des tiers, ce qui est illégal».

«Il aurait fallu une concertation entre les cantons»

Pour l’expert Stéphane Koch, la multiplication de ces interfaces a pour effet que les gens en viennent à cumuler les applications et à semer leurs données aux quatre vents, sans réel contrôle: «Dans l’idéal, il aurait fallu une concertation sur le sujet entre les cantons, de sorte à éviter cette fragmentation peu désirable.»

Source: La Côte