Déclaration de protection des données de l'application swiyu

1. Introduction

Dans la présente déclaration de protection des données, l’Office fédéral de l’informatique et de la télécommunication (OFIT) explique dans quelle mesure, à quelles fins et à quelles conditions il traite des données personnelles dans le cadre de l’utilisation de l’application pour le stockage et la présentation des moyens de preuve électroniques de l’infrastructure de la Confédération (ci-après « swiyu »). Outre la présente déclaration, il convient d’observer les conditions d’utilisation et les déclarations de protection des données des émetteurs de moyens de preuve électroniques, car les données personnelles liées aux moyens de preuve enregistrés dans l’application swiyu sont traitées par les émetteurs et les vérificateurs.

La législation suisse sur la protection des données règle le traitement de données personnelles par l’administration fédérale. Elle s’applique au traitement de données en lien avec l’application swiyu et à l’exploitation des systèmes informatiques correspondants en vue de l’établissement et de la vérification des moyens de preuve électroniques de l’infrastructure de confiance de la Confédération. Le traitement des données par l’OFIT dans ce cadre repose sur le projet de loi fédérale sur l’e-ID (LeID).

2. Responsable

Le responsable du traitement des données décrit dans le présent document est l’

Office fédéral de l’informatique et de la télécommunication (OFIT)
3003 Berne
Suisse
T +41 58 463 25 11
info@bit.admin.ch

3. Traitement des données

L’application swiyu sert à la transmission et à l’enregistrement sécurisés des moyens de preuve électroniques de l’infrastructure de confiance conformément à l’art. 7 LeID dans le but de pouvoir les présenter au besoin. L’installation et l’utilisation de cette application sont volontaires.

Dans le cadre de votre utilisation de l’application swiyu, nous traitons les données personnelles suivantes :

• Adresse IP

3.1 L’application swiyu prévoit les opérations de traitement suivantes :

3.1.1. Obtention d’un moyen de preuve électronique

Les personnes ayant demandé et obtenu un moyen de preuve électronique peuvent l’enregistrer sur leur téléphone mobile dans l’application swiyu. La fonction de scan de code QR (ou un lien qui ouvre l’application swiyu) permet de recevoir de nouveaux moyens de preuve de l’infrastructure de confiance de la Confédération. Les données système suivantes sont transmises lorsqu’une connexion est établie avec les serveurs correspondants : adresse IP, version du système d’exploitation, version de l’application.

3.1.2. Vérification d’un moyen de preuve électronique par l’application swiyu

Eu égard au principe de minimisation des données, le procédé suivant est appliqué : l’application swiyu vérifie localement la validité des moyens de preuve électroniques enregistrés dans l’application en les comparant avec des données de référence du système backend correspondant via une connexion chiffrée.

3.1.3. Présentation d’un moyen de preuve (vérification)

Étant donné que les moyens de preuve électroniques de l’infrastructure de confiance peuvent contenir des données personnelles sensibles, le logiciel de l’application swiyu a été programmé de manière à ce que les contenus ne puissent être transmis au vérificateur qu’avec l’accord explicite de l’utilisateur. Lorsque, face à une demande de renseignements, l’utilisateur décide de communiquer des données personnelles liées aux moyens de preuve détenus (enregistrés) dans l’application, ces données sont transmises au vérificateur.

3.1.4. Contrôle de version

L’utilisation de l’application sur l’appareil local peut être associée à une obligation d’utiliser et de télécharger la version la plus récente. À cet effet, à chaque démarrage de l’application, une requête est envoyée aux serveurs de l’OFIT afin de vérifier la version actuelle de l’application.

3.1.5. Journaux de plantage

Pour que l’OFIT puisse vérifier le fonctionnement de l’application swiyu et éliminer les défaillances, il a besoin d’accéder aux journaux de plantage. Ceux-ci contiennent des données sur la version du système d’exploitation utilisé, la version de l’application et le type d’appareil, ainsi que l’adresse IP anonymisée. La transmission directe des journaux de plantage aux systèmes de l’OFIT n’a lieu qu’avec l’accord de l’utilisateur.

3.2. Mesures de protection

Les moyens de preuve électroniques sont protégés contre les accès par des tiers non autorisés grâce à des mesures adéquates. Pour cette raison, l’utilisation de l’application swiyu, qui inclut le simple fait d’afficher des informations liées aux moyens de preuve électroniques, présuppose une authentification. Tous les moyens d’authentification disponibles sur le téléphone portable peuvent être utilisés à cet effet (p. ex. code PIN, motif, mot de passe, authentification biométrique, etc.).

4. Buts

L’application swiyu et le traitement de données correspondant ont pour but exclusif de permettre aux utilisateurs :

• de recevoir et d’enregistrer sous forme numérique des moyens de preuve vérifiables ;
• de présenter des moyens de preuve électroniques vérifiables en cas de demande de renseignements ;
• de vérifier la validité des moyens de preuve.

5. Transmission des données

La mise à disposition de notifications des systèmes informatiques et leur lecture par l’application swiyu ont lieu par le biais des serveurs de l’administration fédérale.

Pour des raisons légales, il peut être nécessaire de transmettre les données personnelles traitées par l’OFIT (adresse IP) aux autorités et aux tribunaux.

6. Lieu du traitement des données

Nous enregistrons et traitons vos données personnelles en Suisse.

7. Durée de conservation

L’OFIT enregistre les données personnelles uniquement pendant la durée nécessaire

• pour atteindre les buts précités ;
• pour se conformer à ses obligations légales.

8. Sécurité des données

Afin de protéger les données contre des accès non autorisés, des pertes ou des utilisations abusives, l’OFIT prend des mesures de sécurité adéquates, de nature technique (p. ex. chiffrage, historique, contrôles d’accès, limitations d’accès, sécurité des données, solutions concernant la sécurité des technologies informatiques et des réseaux, etc.) et de nature organisationnelle (p. ex. directives aux collaborateurs, contrats de confidentialité, contrôles, etc.).

9. Vos droits concernant vos données personnelles

Vous avez les droits suivants concernant les données personnelles vous concernant :

• le droit de savoir quelles données personnelles nous enregistrons et comment nous les traitons ;
• le droit de vous faire remettre ou transmettre une copie de vos données personnelles dans un format courant ;
• le droit de faire rectifier vos données personnelles ;
• le droit de faire effacer vos données personnelles ;
• le droit de vous opposer au traitement de vos données personnelles.

Veuillez noter que ces droits sont soumis à des conditions et des exceptions légales. Dans la mesure où la loi le permet, nous pouvons être en droit de refuser vos demandes visant à l’exercice de ces droits. Vous avez également le droit d’adresser un recours à l’autorité de surveillance compétente en matière de protection des données.

10. Modifications

L’OFIT peut adapter la présente déclaration de confidentialité à tout moment, sans préavis. La version actuelle publiée et la version valable pour la période concernée s’appliquent.