Application SwissCovid: déclaration de confidentialité & condition d'utilisation

Dans la présente déclaration de confidentialité, l’Office fédéral de la santé publique (OFSP) explique dans quelle mesure il traite les données personnelles en lien avec l’utilisation de l’application SwissCovid (ci-après « l’application ») en suisse. Il ne s’agit pas d’un descriptif exhaustif ; certains éléments spécifiques peuvent être réglés dans des déclarations de confidentialité supplémentaires, des documents similaires, des conditions d’utilisation ou des programmes d’application.

La législation sur la protection des données règle le traitement de données personnelles. La législation fédérale sur la protection des données s’applique au traitement des données. La déclaration de confidentialité est en outre conforme à la loi du 28 septembre 2012 sur les épidémies (LEp ; RS 818.101) et l’ordonnance du 24 juin 2020 sur le système de traçage de proximité pour le coronavirus SARS-CoV-2 (OSTP ; RS 818.101.25).

On entend par données personnelles toutes les informations qui se rapportent à une personne identi-fiée ou identifiable. Par traitement, on entend toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données.

Le responsable du traitement des données décrit dans le présent document est l’

Office de la santé publique OFSP
3003 Berne
Suisse
Tél. +41 58 462 69 98
recht(at)bag.admin.ch

Tout le système de l’application est conçu de manière à ce que ses utilisateurs ne soient pas identifiables. Le traitement de données personnelles est réduit au minimum. Ainsi, aucune indication technique sur les personnes, les lieux ou les appareils n’est possible. Les géolocalisations ne sont pas enregistrées ; seules des données cryptées relatives aux contacts ayant eu lieu sont saisies. Ces données sont techniquement protégées de toute utilisation abusive. L’OFSP ne peut tirer aucune conclusion concernant les utilisateurs de l’application. Cette dernière protège les données des utilisateurs de telle sorte qu’aucun lien ne peut être établi avec une personne précise sur de longues distances. Un rattachement à un individu ne peut toutefois pas être totalement exclu. Il existe en effet une certaine probabilité qu’une personne alertée d’un possible risque d’infection puisse éventuellement tirer des conclusions sur l’identité de la personne infectée, en se remémorant les contacts sociaux qu’elle a eus au cours des derniers jours. Les personnes qui utilisent l’application sont donc potentiellement identifiables. La notification inclut les règles de conduite recommandées par l’OFSP, l’information selon laquelle la personne a pu être exposée au coronavirus, la mention des jours où cela s’est produit ainsi que l’indication que l’OFSP propose un guide (formulaire en ligne) et une infoline de conseil gratuit. Lorsque l’utilisateur quitte l’application pour remplir le guide, les jours d’infection potentielle indiqués dans l’application sont automatiquement transmis au guide.

Le système de l’application se divise en deux composantes :

• un système pour gérer les données relatives aux situations de rapprochement, comprenant un logiciel que les utilisateurs installent sur leur téléphone portable ainsi qu’un backend (backend GR) ;
• un système de gestion des codes d’autorisation des notifications, comprenant un frontend et un backend web.

Les deux backends, en tant que serveur central, sont placés directement sous le contrôle de l’OFSP et gérés sur le plan technique par l’Office fédéral de l’informatique (OFIT). Les frontends de gestion des codes fonctionnent sur les appareils des professionnels autorisés à créer des codes d’autorisation (codes COVID).

L’application enregistre les données suivantes sur le téléphone portable:

• les codes d’identification (ID aléatoires) reçus des autres téléphones portables où l’application est activée ;
• la puissance du signal ;
• la date et la durée estimée de la situation de rapprochement.

Si l’infection d’un utilisateur est confirmée, les données suivantes sont enregistrées dans le système de gestion des codes :

• le code d’autorisation (code COVID) ;
• la date à laquelle les symptômes sont apparus ou, si l’utilisateur infecté ne présente pas de symptômes, la date du test ;
• la date de la destruction de ces données.

Le backend GR est constitué de la liste de données suivantes :

• les clés privées de l’utilisateur infecté qui étaient actuelles durant la période où d’autres personnes ont pu être infectées ;
• la date de chaque clé.

En outre, le système de l’application peut être relié à d’autres systèmes étrangers correspondants si un niveau adéquat de protection de la personnalité est assuré dans l’État concerné (par la législation ou par des garanties suffisantes, notamment contractuelles). Les systèmes étrangers sont ainsi réputés « correspondants » s’ils sont configurés suivant les principes ci-après du système de l’application :

• Lors du traitement des données, toutes les mesures techniques et organisationnelles appropriées doivent être prises pour éviter que les participants ne puissent être identifiés ;
• Dans la mesure du possible, les données sont traitées sur des composants décentralisés que les participants installent sur leur téléphone portable ; en particulier, les données enregistrées sur le téléphone portable d’un participant concernant d’autres participants sont traitées et enregistrées exclusivement sur ce téléphone ;
• Ne sont récoltées ou traitées d’une manière ou d’une autre que les données nécessaires pour déterminer la distance et le moment des rapprochements et pour émettre les notifications, mais aucune donnée concernant la localisation ;
• Les données sont détruites dès qu’elles ne sont plus nécessaires pour la notification.

Il existe actuellement une liaison avec l’application Corona-Warn utilisée en Allemagne. Lors de la liaison, le backend GR et le système étranger sont raccordés à un système de liaison pour permettre la transmission réciproque des clés privées des participants infectés. Le système de l’application transmet ainsi les clés privées de l’application au système de liaison et enregistre sur le backend GR les clés privées des applications étrangères reliées.

Le système d’application exploité par l’OFSP ainsi que le système de liaison se fondent sur la LEp et l’OSTP. L’application et le traitement des données entrantes par ce moyen servent exclusivement à in-former les utilisateurs potentiellement exposés au coronavirus, tout en respectant la protection des données, et à établir des statistiques en lien avec le coronavirus à l’aide de données issues des deux backends.

Le système de liaison rend également possible la transmission d’une telle information entre deux applications nationales reliées. Les utilisateurs de l’application peuvent ainsi également être informés s’il y a eu une situation de rapprochement avec des utilisateurs infectés d’une application étrangère (p. ex. avec des frontaliers et des touristes en Suisse ou avec des contacts à l’étranger). De même, les utilisateurs d’une application étrangère reliée peuvent également être informés s’il y a eu une situation de rapprochement avec des utilisateurs infectés de l’application.

La liste des données du backend GR est mise à la disposition de l’application (ou frontend) dans la procédure d’appel. Si l’OFSP mandate des tiers, suisses ou de l’étranger, ces opérateurs s’engagent contractuellement à respecter les prescriptions de l’art. 60a LEp et de l’OSTP. En est exclue la régle-mentation concernant le code source en vertu de l’art. 60a, al. 5, let. e, LEp. L’OFSP contrôle le res-pect des prescriptions. Les tiers mandatés n’ont pas le droit d’utiliser à des fins personnelles les données secondaires générées durant l’exécution du contrat. Ces données sont analysées seulement par l’OFSP ou par l’OFIT (cf. ch. 8).

La liste contenant les clés privées des utilisateurs infectés du backend GR est en outre régulièrement transmise au système de liaison pour une information transfrontalière. Ensuite les systèmes étrangers reliés (actuellement l’application Corona-Warn utilisée en Allemagne) téléchargent ces clés privées et les tiennent à disposition de leurs applications pour extraction (cf. ch. 2).

L’OFSP met régulièrement à la disposition de l’Office fédéral de la statistique (OFS) le stock actuel de données existantes dans les deux backends sous forme anonymisée. Les données du système de liaison peuvent être communiquées sous forme anonymisée à l’OFS et au service étranger compétent à des fins de statistiques. L’OFIT gère le logiciel dans son ensemble sur mandat de l’OFSP et fournit le service de soutien technique requis. L’OFIT a uniquement accès à des données lorsque cela s’avère nécessaire pour les buts et les activités spécifiques des collaborateurs concernés. Ces derniers sont tenus à la confidentialité lorsqu’ils traitent les données.

L’application utilise une interface reliée au système d’exploitation du téléphone portable de l’utilisateur, qui nécessite le traitement des données par Apple ou Google. Les fonctionnalités des systèmes d’exploitation utilisées par l’interface doivent remplir les prescriptions de l’art. 60a LEp et de l’ordonnance COVID-19 sur l’essai pilote du traçage de proximité. En est exclue la réglementation concernant le code source en vertu de l’art. 60a, al. 5, let. e, LEp. L’OFSP veille à ce que cette prescription soit respectée, notamment en obtenant les assurances correspondantes.

Les données sont supprimées dès qu’elles ne sont plus nécessaires pour la notification des utilisateurs. Elles sont supprimées comme suit :

• données du système servant à gérer les données relatives aux rapprochements (aussi bien dans le téléphone portable que dans le backend GR) : 14 jours après leur saisie ;
• données du système des codes : 24 heures après leur saisie ;
• données du système de liaison : au maximum 14 jours après leur transmission au système de liaison.
  

Afin de protéger les données contre des accès non autorisés, des pertes ou des utilisations abusives, l’OFSP, en étroite collaboration avec ses fournisseurs d’hébergement internes et externes et avec d’autres prestataires informatiques, prend des mesures de sécurité adéquates, de nature technique (p. ex., cryptage, pseudonymisation, historique, contrôles d’accès, limitations d’accès, sécurité des données, solutions concernant la sécurité des technologies informatiques et des réseaux, etc.) et de nature organisationnelle ( p. ex., directives aux collaborateurs, contrats de confidentialité, contrôles, etc.) conformément aux prescriptions de l’administration fédérale et de la législation fédérale en matière de protection des données.

Vous avez le droit à l’information, à la rectification, à l’effacement, ou à la remise de vos données. Vous avez également le droit d’exiger la limitation du traitement des données et le droit de contester la manière dont vos données sont traitées. Par ailleurs, vous avez le droit de révoquer vos autorisations, sans que la licéité du traitement des données effectué jusque-là ne soit affectée. Ces droits s’appliquent pour autant qu’il existe des données personnelles. Le principe du « privacy by design », au cœur de l’application, est conçu, grâce à des méthodes cryptographiques innovantes et à un traitement décentralisé des données, pour éviter autant que possible de disposer d’informations sur des personnes identifiées ou identifiables (données personnelle). Pour cette raison, l’OFSP n’a pas la possibilité, par exemple, de fournir d’informations concernant les rapprochements enregistrés pour une personne ou de rectifier ces données. L’OFSP ne peut pas consulter ces données, étant donné qu’elles sont sauvegardées uniquement sur les téléphones portables.

L’exercice de ces droits implique que vous décliniez clairement votre identité (p. ex., au moyen d’une copie de votre pièce d’identité). Pour faire valoir vos droits, vous pouvez contacter l’OFSP à l’adresse indiquée au chiffre 1.

En cas d’infraction au droit de la protection des données, vous pouvez vous adresser à l’autorité de contrôle de la protection des données compétente ou saisir la justice en invoquant la législation sur la protection des données.

Des journaux des accès au backend GR et au système de contrôle du code source sont enregistrés pour les buts fixés aux art. 57l à 57o de la loi sur l’organisation du gouvernement et de l’administration (LOGA ; RS 172.010). Ils peuvent être analysés à des fins statistiques. Les art. 57i–57q LOGA et l’ordonnance du 22 février 2012 sur le traitement des données personnelles liées à l’utilisation de l’infrastructure électronique de la Confédération (RS 172.010.442) s’appliquent.

Les données relatives à l’historique sont détruites comme suit :

• par des tiers mandatés par l’OFSP : sept jours après leur saisie ;
• en outre, la destruction de ces données est conforme à l’art. 4, al. 1, let. b de l’ordonnance du 22 février 2012 sur le traitement des données personnelles liées à l’utilisation de l’infrastructure électronique de la Confédération (RS 172.010.442).
  

L’OFSP peut adapter la présente déclaration de confidentialité à tout moment, sans préavis. La version actuelle publiée et la version valable pour la période concernée s’appliquent. La présente déclaration de confidentialité a été rédigée en plusieurs langues. La version allemande fait foi en cas de divergences. En cas d’actualisation, les utilisateurs de l’application sont informés des changements de manière adéquate.

1.1 Les présentes conditions d’utilisation régissent le chargement et l’utilisation de l’application SwissCovid (ci-après « l’application ») par les utilisateurs et sont considérées comme en faisant partie intégrante.

1.2 Cette application de l’Office fédéral de la santé publique (OFSP) se fonde sur la loi du 28 septembre 2012 sur les épidémies (LEp ; RS 818.101) et sur l’ordonnance du 24 juin 2020 sur le système de traçage de proximité pour le coronavirus SARS-CoV-2 (RS 818.101.25).

1.3 L’application vise à informer les utilisateurs qui pourraient avoir été exposés au virus et à établir des statistiques en rapport avec le coronavirus

2.1 L’installation de l’application sur le téléphone portable et son utilisation sont volontaires.

2.2 L’utilisation de l’application n’est pas limitée à une zone géographique. Toutefois, des alertes sont possibles uniquement si l’application étrangère est interopérable avec l’application SwissCovid. Actuellement, seule l’application Corona-Warn utilisée en Allemagne remplit cette condition.

2.3 En accédant à l’application, l’utilisateur déclare avoir compris et accepté les conditions suivantes et les informations juridiques en rapport avec l’application (et les éléments contenus). Si l’utilisateur n’est pas d’accord avec ces conditions, il doit renoncer à utiliser l’application.

3.1 L’application informe les utilisateurs lorsqu’ils ont été en contact avec au moins un utilisateur de l’application SwissCovid ou d’une autre application interopérable dont l’infection a été confirmée.

3.2 Le Bluetooth doit être activé pour que l’application fonctionne.

3.3 L’application remplit les fonctions suivantes en utilisant une interface liée au système d’exploitation du téléphone portable de l’utilisateur :

Le système d’exploitation génère chaque jour une nouvelle clé privée qui ne permet pas de remonter jusqu’à l’application, le téléphone portable ou à l’utilisateur. Dans le rayon de portée du Bluetooth, le système d’exploitation échange avec toutes les applications compatibles et actives un code d’identification (ID aléatoire) qui change au moins toutes les demi-heures, qui est généré à partir de la clé privée actuelle mais qui ne permet ni d’identifier la clé, ni de remonter jusqu’à l’application, au téléphone portable ou à l’utilisateur.

Le système d’exploitation enregistre les codes d’identification reçus, la puissance du signal, la date et la durée approximative du rapprochement.

À intervalles réguliers, l’application extrait la liste des clés privées des utilisateurs infectés de l’application SwissCovid ou d’autres applications interopérables, et le système d’exploitation contrôle si au moins un code d’identification enregistré localement a été généré avec une clé privée. Si tel est le cas et qu’un rapprochement d’un mètre et demi ou moins a été établi avec au moins un téléphone mobile d’au moins un utilisateur infecté de l’application SwissCovid ou d’autres applications interopérables et que la durée totale de ces rapprochements atteint ou dépasse les quinze minutes au cours de la même journée, l’application envoie une information. La distance est évaluée en fonction de l’intensité du signal reçu.

3.4 Si une infection est attestée chez un utilisateur, les professionnels disposant des droits d’accès (p. ex. les médecins traitants ou les pharmaciens) génèrent un code d’autorisation unique et temporaire (code COVID) et le communiquent à l’utilisateur infecté. Ce dernier peut saisir de manière volontaire le code d’autorisation dans son application. La notification et la saisie du code d’autorisation ne se font qu’avec le consentement explicite de la personne infectée.

L’application informe les autres utilisateurs de l’application SwissCovid ou d'autres applications interopérables qui se sont trouvés en rapprochement selon le ch. 3.3 avec l’utilisateur infecté durant la période potentiellement infectieuse.

Les utilisateurs informés apprennent qu’un rapprochement a eu lieu ou qu’ils ont potentiellement été exposés au coronavirus ainsi que les jours où cela s’est produit. Ils n’apprennent pas quel utilisateur est infecté et a déclenché la notification. Celle-ci comprend les règles de conduite recommandées par l’OFSP, l'indication que l'OFSP propose un guide (formulaire en ligne) ainsi qu'une infoline de conseil gratuit. Lorsqu'on quitte l’application pour remplir le guide, les jours d’infection potentielle indiqués dans l’application sont automatiquement transmis au guide.

3.5 Lors de la saisie des codes d’autorisation, les utilisateurs sont informés des pays avec lesquels l’application est interopérable (cf. ch. 2.2). Il leur est précisé que s’ils appuient sur le champ « D’accord » et qu’ils saisissent le code d’autorisation dans l’application, les clés privées ne sont pas seulement partagées dans l’application SwissCovid mais également avec toutes les autres applications interopérables (actuellement l’application allemande Corona-Warn). Suivant le principe One World, les clés privées sont soit partagées avec toutes les applications interopérables, soit pas du tout.

3.6 Un utilisateur qui a été informé par son application qu’il a été potentiellement exposé au coronavirus peut effectuer un test gratuit d’infection au SARS-CoV-2 ou un test d’anticorps sur présentation de la notification.

3.7 L’application n’utilise pas de géolocalisation.

3.8 L’application ne peut pas procéder à une évaluation médicale, ne peut pas ordonner de mesures (p. ex. une quarantaine) et ne donne pas d’instructions.

4.1 L’accès technique à l’application relève de la responsabilité de l’utilisateur.

4.2 Les utilisateurs sont tenus de prendre les mesures de sécurité nécessaires pour leur propre appareil et de le protéger contre l’accès non autorisé de tiers et contre les logiciels malveillants.

L’utilisateur est informé par la présente des risques de sécurité liés à l’utilisation d’Internet et des technologies de l’Internet.

4.3 Les utilisateurs sont tenus de tenir l’application à jour et d’effectuer des mises à jour (updates). Ils ne peuvent faire valoir aucun droit à une version spécifique du logiciel.

4.4 Les utilisateurs sont tenus de vérifier si les données qu’ils saisissent sont complètes et exactes.

4.5 Il incombe aux utilisateurs de s’assurer que les dispositions légales applicables et les conditions d’utilisation sont respectées lors de l’utilisation de l’application.

5.1 Malgré la grande attention que l’OFSP porte à l’exactitude des informations, des contenus et des messages diffusés via l’application, aucune garantie ne peut être donnée quant à l’exactitude, la précision, l’actualité, la fiabilité et l’exhaustivité des contenus.

L’OFSP se réserve expressément le droit de modifier, de supprimer ou de ne pas publier temporairement les informations et le contenu, en tout ou en partie, à tout moment et sans préavis.

5.2 Tout recours en responsabilité contre l’OFSP pour des dommages, y compris les dommages consécutifs de nature matérielle ou immatérielle, qui ont été causés, par exemple, par l’accès à l’application et l’utilisation ou non de l’application et de ses informations, de ses contenus et de ses messages, par une utilisation abusive de la connexion, par des pannes techniques ou par une violation du devoir de diligence par les utilisateurs, est exclu dans la mesure prévue par la législation.
Toute action ou tout comportement adopté sur la base des informations, du contenu et des messages de l’application, tel que le placement en isolement ou en quarantaine, se fait sous la responsabilité et au risque de l’utilisateur. L’OFSP n’assume en aucun cas la responsabilité des dommages qui en découlent.

5.3 La responsabilité des auxiliaires et des tiers est exclue, dans la mesure prévue par la législation.

5.4 L’OFSP n’assume aucune responsabilité et ne garantit pas que les fonctions et l’utilisation de l’application sont disponibles de manière continue et ininterrompue, qu’elles sont exemptes d’erreurs et de pannes ou que les erreurs sont corrigées, ou que les serveurs sont exempts de virus ou d’autres éléments nuisibles.

L’OFSP est en droit de suspendre ou de mettre fin à l’utilisation de l’application à tout moment.

5.5 Les références et les liens vers des sites web tiers ne relèvent pas de la responsabilité de l’OFSP. L’OFSP n’assume aucune responsabilité pour l’existence, le contenu ou l’exactitude de ces informations. L’accès et l’utilisation de ces sites web se font aux propres risques de l’utilisateur. L’OFSP déclare expressément n’avoir aucune influence sur la conception, le contenu et les offres des sites liés. Les informations et les services des sites web liés sont entièrement sous la responsabilité du tiers concerné.

Aucune responsabilité n’est acceptée pour ces sites web.

6.1 En vertu de l’art. 13 de la Constitution fédérale suisse et des dispositions légales de la Confédération en matière de protection des données, toute personne a droit à la protection de sa vie privée et d’être protégée contre l’emploi abusif des données qui la concernent. L’OFSP se conforme à ces dispositions. Les données personnelles sont traitées de manière strictement confidentielle.

6.2 En étroite collaboration avec ses fournisseurs de services et les exploitants étrangers d’applications interopérables, l’OFSP s’efforce de protéger au mieux les données contre des accès non autorisés, des pertes, des abus ou des falsifications.

6.3 La déclaration de confidentialité portant sur l’application s’applique au traitement des données personnelles par l’OFSP.

7.1 L’utilisateur peut mettre fin à l’utilisation de l’application à tout moment en la supprimant ou en la désinstallant de son téléphone mobile.

7.2 Dès que l’application de lutte contre l’épidémie causé par le coronavirus n’est plus nécessaire ou ne s’avère pas satisfaisante, le Conseil fédéral peut la stopper ou la désactiver.

7.3 Au plus tard au moment du retrait de l’ordonnance mentionnée au ch. 1.2, l’OFSP désactive l’application et prie les utilisateurs de la désinstaller de leur téléphone portable.

8.1 Droits d’auteur, Office fédéral de la santé publique (OFSP)

8.2 Les informations et les contenus sont mis à la disposition du public. Le contenu publié par l’OFSP dans l’application ne peut être utilisé qu’à des fins personnelles. Toute reproduction et tout transfert du contenu à des tiers au-delà de cette restriction sont interdits. Le téléchargement ou la copie de contenus, d’images, de photographies ou d’autres données ne donnent aucun droit sur leur utilisation.

Les droits d’auteur ainsi que tous les autres droits concernant les contenus, les images, les photographies ou d’autres données de cette application appartiennent exclusivement à l’OFSP ou aux autres ayants droit spécifiquement mentionnés. Pour la reproduction de tout élément, le consentement écrit des détenteurs des droits d’auteur doit être obtenu au préalable.

9.1 Les présentes dispositions ont été rédigées en plusieurs langues. La version allemande fait foi en cas de divergences.

9.2 L’utilisation de l’application est gratuite pour les utilisateurs. Tous les frais d’accès au réseau pour utiliser l’application sont à la charge de l’utilisateur.

9.3 L’OFSP se réserve le droit d’apporter à tout moment des modifications et des ajouts aux conditions d’utilisation. Les nouvelles conditions sont communiquées aux utilisateurs à l’avance et de manière appropriée et sont considérées comme ayant été acceptées s’ils continuent d’utiliser l’application.

9.4 Si une disposition des conditions d’utilisation est nulle ou non avenue, les conditions d’utilisation dans leur ensemble ne sont pas affectées.

9.5 Le droit suisse s’applique, sous réserve de dispositions impératives divergentes. Le for exclusif pour tous les litiges est le tribunal suisse compétent.