La politique de confidentialité explique quelles données sont collectées et pourquoi, et comment les informations sont utilisées. Les conditions d'utilisation vous informent sur les règles que vous acceptez lorsque vous utilisez l'application «COVID Certificate Check».
État: juin 2022
Déclaration de confidentialité concernant les systèmes d'information et les applications exploités par l'OFIT en lien avec les certificats COVID-19
Dans la présente déclaration de confidentialité, l'Office fédéral de l'informatique et de la télécommunication (OFIT) explique dans quelle mesure et dans quelles conditions il traite les données personnelles en lien avec l'utilisation des applications «Application de stockage» et «Application de vérification» (ci-après «les applications») et en lien avec l'exploitation des systèmes d'information qui permettent d'établir et de révoquer les certificats COVID-19 en Suisse. En plus de cette déclaration de confidentialité, les conditions d'utilisation des différentes applications doivent également être respectées.
La législation suisse sur la protection des données règle le traitement de données personnelles par l'administration fédérale. Elle s'applique au traitement des données en lien avec les applications et l'exploitation des systèmes d'information qui permettent d'établir et de révoquer les certificats COVID-19. Les traitements de données reposent sur la loi COVID-19 du 25 septembre 2020 (RS 818.102), l'ordonnance COVID-19 certificats du 4 juin 2021 (RS 818.102.2) et la loi du 28 septembre 2012 sur les épidémies (LEp; RS 818.101).
On entend par «données personnelles» toutes les informations qui se rapportent à une personne identifiée ou identifiable. En l'espèce, les données traitées sont surtout des données relatives à la santé, lesquelles constituent des données personnelles sensibles. Par «traitement», on entend toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données.
Le responsable du traitement des données décrit dans le présent document est l'
Office fédéral de l'informatique et de la télécommunication OFIT
3003 Berne
Suisse
Tél. +41 58 463 25 11
info@bit.admin.ch
3.1 Système d'information pour la gestion des certificats de signature
L'OFIT exploite un système d'information qui sert à gérer les certificats de signature (clés cryptographiques) permettant de vérifier l'authenticité, l'intégrité et la validité des signatures électroniques des certificats COVID-19, en l'occurrence:
- d'échanger ces certificats de signature avec les systèmes étrangers correspondants, notamment dans le cadre du projet de certificat COVID numérique de l'Union européenne (UE);
- de mettre ces certificats de signature à disposition au moyen d'applications qui servent à vérifier et à stocker les certificats.
Cela permet de vérifier les certificats interopérables étrangers dans les pays participants. Les applications pour le stockage des certificats COVID-19 ont besoin de la liste des certificats de signature pour pouvoir vérifier la validité des certificats stockés dans l'application. Les applications pour la vérification des certificats COVID-19 ont besoin de la liste des certificats de signature pour pouvoir vérifier la validité des certificats qu'elles ont numérisés. Le système d'information ne traite que les certificats de signature et donc aucune donnée personnelle.
3.2 Système d'information pour l'établissement de certificats COVID-19
L'OFIT exploite un système d'information que les professionnels de la santé désignés par les cantons et le médecin en chef de l'armée (appelés «émetteurs») peuvent utiliser pour établir et révoquer des certificats COVID-19. Aux fins de l'administration et de la gestion des émetteurs autorisés, les données personnelles suivantes sont traitées dans le système d'information:
- prénom, nom, adresse, adresse électronique et numéro de téléphone de l'émetteur;
- indications concernant le fournisseur d'identification utilisé et l'identifiant par lequel il identifie la personne concernée;
- indication des certificats que l'émetteur est habilité à établir (certificats de vaccination, de guérison, de test et/ou de dérogation);
- date de début et de fin de la validité de la désignation de l'émetteur par le canton ou le médecin en chef de l'armée.
Les émetteurs transmettent au système d'information les données nécessaires à l'établissement des certificats COVID-19, soit:
- nom, prénom et date de naissance du titulaire du certificat COVID-19;
- indications concernant le pays dans lequel le vaccin a été administré ou dans lequel le test a été effectué ou, si cette information n’est pas disponible et que la vaccination ou le test a été effectué par une organisation internationale, le code reconnu à l’échelle internationale de cette organisation;
- indications concernant l’autorité émettrice («Office fédéral de la santé publique»);
- indications concernant la vaccination, le vaccin administré et le caractère complet de la vaccination (dans le cas d'un certificat de vaccination COVID-19);
- indications concernant la maladie dont la personne a guéri et la date du résultat de test positif (dans le cas d'un certificat de guérison COVID-19);
- indications concernant le test effectué (dans le cas d'un certificat de test COVID-19).
- indications confirmant que le titulaire ne peut être ni vacciné ni testé pour des raisons médicales (dans le cas d'un certificat de dérogation COVID-19) et indications concernant l'émetteur.
Les émetteurs se fondent sur les documents dont ils disposent pour établir les certificats.
Pour l'établissement de certificats de guérison COVID-19 pour des infections survenues en Suisse ainsi que de certificats COVID-19 pour des vaccinations administrées à l'étranger ou des infections survenues à l'étranger, les cantons peuvent en outre utiliser un système d'information qui:
- sert à déposer des demandes d'établissement de certificats de vaccination ou de guérison COVID-19 et qui peut être utilisé par les émetteurs pour traiter et liquider ces demandes;
- pour les cas d'infection survenus en Suisse, de comparer les indications du demandeur aux données du système d'information visé à l'art. 60 LEp et de les compléter avec les résultats de test.
Ce système d'information fait l'objet d'une déclaration de confidentialité et de conditions générales d'utilisation distinctes. Elles sont disponibles à l'adresse www.covidcertificate-form.admin.ch.
Le système d'information de l'OFIT génère, à partir des indications transmises, un certificat COVID-19 qui contient à la fois un identifiant unique du certificat et un code-barres ISO, et qui est muni d'un cachet électronique réglementé de l'OFSP (certificat de signature), lequel permet de vérifier l'authenticité, l'intégrité et la validité du certificat COVID-19. Cet identifiant unique du certificat est obtenu à partir des informations contenues dans le certificat COVID-19 au moyen d'une fonction de hachage cryptographique (algorithme SHA-384). Par fonction de hachage, on entend une fonction à sens unique, ou non inversable. Par conséquent, l'identifiant unique du certificat ne permet pas à lui seul de tirer des conclusions sur le contenu d'un certificat COVID-19.
L'OFIT ne traite les données personnelles des titulaires de certificats COVID-19 que dans la mesure absolument nécessaire pour l'établissement, la signature et la transmission des certificats COVID-19 et pour leur révocation, puis les détruit entièrement. En outre, l'OFIT prend toutes les mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Entre autres mesures, les données sont stockées exclusivement sur des serveurs protégés de la Confédération et des connexions cryptées sont utilisées pour la transmission directe entre le système d'information pour l'établissement des certificats COVID-19 et les émetteurs ou les titulaires des certificats.
Dans le but de détecter et d'éviter toute utilisation abusive du système, à la suite d'une compromission du système d'information ou des moyens d'authentification des émetteurs par exemple, et dans le but de permettre la révocation des certificats, les accès au système d'information, y compris l'heure et les identifiants uniques des certificats générés, sont consignés et enregistrés. Cette journalisation sert uniquement à voir quel émetteur s'est authentifié à quel moment auprès du système d'information et quels certificats (identifiant unique du certificat) il a commandés à quel moment dans le système. Par ailleurs, aucune autre donnée personnelle – en particulier aucune donnée relative au contenu des certificats – n'est stockée. La journalisation dans le cadre de la procédure d'authentification repose sur les bases légales des art. 25 et 26 de l'ordonnance du 19 octobre 2016 sur les systèmes de gestion des données d'identification et les services d'annuaires de la Confédération (OIAM). La journalisation dans le cadre de l'utilisation du système d'information (établissement des certificats) s'appuie sur les bases légales des art. 57l à 57o de la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration (LOGA).
3.3 Système d'information pour la recherche des certificats révoqués
L'OFIT exploite un système d'information qui permet de rechercher les certificats révoqués et contient à cette fin l'identifiant unique des certificats révoqués. La liste des identifiants des certificats révoqués est mise à la disposition d'applications qui servent à vérifier et à stocker des certificats COVID-19. Les applications pour le stockage des certificats COVID-19 ont besoin de la liste des certificats de signature pour pouvoir vérifier la validité des certificats stockés dans l'application et le statut de révocation. Les applications pour la vérification des certificats COVID-19 ont besoin de la liste pour pouvoir vérifier la validité des certificats qu'elles ont numérisés et le statut de révocation. L'identifiant du certificat ne permettant pas de tirer des conclusions sur les personnes, aucune donnée personnelle n'est traitée dans ce système.
3.4 Application de stockage
3.4.1 Généralités
L'application de stockage permet de transmettre et d'enregistrer de manière sécurisée des certificats COVID-19 sous forme électronique pour pouvoir les présenter au besoin en Suisse et à l'étranger. Les personnes qui ont demandé et reçu un certificat peuvent l'enregistrer sur leur téléphone portable ou un appareil similaire (par ex., une tablette). Il est possible de stocker les certificats de personnes supplémentaires, de sorte que, par exemple, les parents puissent gérer les certificats de leurs enfants mineurs. L'application indique en outre au titulaire à quelles catégories d'accès au sens de l'annexe 6 de l'ordonnance COVID-19 certificats son certificat est conforme (3G, 2G, etc., ci-après «catégories d'accès») et si le certificat est valable pour l'entrée dans certains pays de destination.
L'installation et l'utilisation de cette application sont volontaires. Étant donné que les certificats COVID-19 contiennent des données relatives à la santé, qui sont des données personnelles sensibles, le logiciel de l'application de stockage a été programmé de manière à ce que les contenus ne puissent être transmis qu'avec l'accord explicite des utilisateurs. Aucune information personnelle provenant des certificats COVID-19 n'est transmise par l'application de stockage aux systèmes d'information de l'OFIT visés aux ch. 3.1 à 3.3, à l'exception des cas où l'utilisateur demande l'obtention d'un certificat ne contenant que les données strictement nécessaires, ou la conversion ou le remplacement d'un certificat (voir ch. 3.4.2, 3.4.3 et suivants).
L'accès en vue de leur actualisation à la liste des certificats de signature à partir du système d'information visé au ch. 3.1 et à la liste des certificats révoqués (ou aux identifiants des certificats) à partir du système d'information visé au ch. 3.3 peut être consigné sur les systèmes de serveurs de l'OFIT à des fins de maintien de la sécurité de l'information et des services. Lors de chaque accès, des données techniques sur l'appareil de l'utilisateur, telles que la version du système d'exploitation, la version de l'application, l'adresse IP, etc., sont transmises et enregistrées. Les contrôles de validité effectués dans l'application ne déclenchent aucune demande au serveur, mais sont réalisés en utilisant les listes sauvegardées localement sans transmettre aucune donnée personnelle.
Les certificats COVID-19 peuvent également être protégés par des mesures appropriées contre tout accès non autorisé par des tiers. L'utilisation de l'application, y compris le simple affichage de données concernant des certificats COVID-19, peut par conséquent être subordonnée à une authentification. Tous les moyens d'authentification disponibles sur le téléphone portable peuvent être utilisés à cet effet (code PIN, motif, mot de passe, authentification biométrique, etc.).
3.4.2 Obtention de certificats ne contenant que les données strictement nécessaires («certificat light»)
L'application de stockage permet aux titulaires de certificats COVID-19 valables d'obtenir, s'ils en font la demande, un certificat ne comprenant que les données strictement nécessaires duquel sont exclues les données relatives à la santé («certificat light»), destiné à un usage national . À cette fin, le titulaire peut envoyer un certificat COVID-19 valable au système d'information pour l'établissement des certificats COVID-19 visé au chiffre 3.2 au moyen d'une fonction intégrée dans l'application. Le système vérifie la signature et la validité du certificat COVID-19 (original). Si le résultat de la vérification est positif, il génère et signe un certificat ne contenant que les données strictement nécessaires (code QR), puis le renvoie à l'application de stockage. La transmission s'effectue directement sur les serveurs de l'OFIT au moyen d'une connexion de type HTTPS dotée de la technologie de cryptage TLS.
Le certificat contenant uniquement les données strictement nécessaires ne comprend que le nom, le prénom et la date de naissance de la personne concernée, l'indication qu'il s'agit d'un certificat COVID-19 suisse ne contenant que les données strictement nécessaires («certificat light») et la date de fin de validité du certificat. La durée de validité du certificat ne contenant que les données strictement nécessaires se fonde sur la durée de validité définie la plus courte des certificats COVID-19. Après l'expiration, un nouveau certificat peut être généré, à condition que le certificat COVID-19 original soit toujours valable. L'objectif de ce certificat est d'empêcher le traitement par des tiers non autorisés des données relatives à la santé dans le cadre de la vérification de certificats («privacy by design»).
L'OFIT ne traite les données personnelles des titulaires de certificats COVID-19 que dans la mesure absolument nécessaire pour l'établissement, la signature et la transmission des certificats ne contenant que les données strictement nécessaires, puis les détruit entièrement. Les demandes de certificats ne contenant que les données strictement nécessaires à partir du système d'information visé au ch. 3.2 peuvent être consignées sur les systèmes de serveurs de l'OFIT à des fins de maintien de la sécurité de l'information et des services. Lors de chaque demande, des données techniques sur l'appareil de l'utilisateur, telles que la version du système d'exploitation, la version de l'application, l'adresse IP, etc., sont transmises et enregistrées.
3.4.3 Conversion ou remplacement de certificats COVID-19
L'application de stockage permet aux utilisateurs de convertir les certificats COVID-19 enregistrés dans l'application en certains autres formats électroniques (par exemple en PDF) ou, dans les cas prévus par l'ordonnance COVID-19 certificats, de les remplacer par de nouveaux certificats. Pour cela, les utilisateurs peuvent envoyer le certificat COVID-19 et les informations qu'il contient au système d'information pour l'établissement de certificats COVID-19 visé au chiffre 3.2 au moyen d'une fonction intégrée dans l'application. Le système vérifie la signature et la validité du certificat (original), le convertit ou le remplace, puis envoie le certificat converti ou le nouveau certificat à l'application de stockage. La transmission s'effectue directement sur les serveurs de l'OFIT au moyen d'une connexion de type HTTPS dotée de la technologie de cryptage TLS.
L'OFIT ne traite les données personnelles des titulaires de certificats COVID-19 que dans la mesure absolument nécessaire pour la conversion ou le remplacement des certificats, ainsi que pour leur transmission, il détruit ensuite entièrement ces données. La conversion ou le remplacement de certificats COVID-19 dans le système d'information visé au ch. 3.2 peut être consignée sur les systèmes de serveurs de l'OFIT à des fins de maintien de la sécurité de l'information et des services. Lors de chaque demande de conversion ou de remplacement, des données techniques sur l'appareil de l'utilisateur, telles que la version du système d'exploitation, la version de l'application, l'adresse IP, etc., sont transmises et enregistrées.
3.5 Application de vérification
L'OFIT fournit une application de vérification qui peut être installée sur les téléphones portables ou des appareils similaires (par ex. des tablettes) et qui permet la vérification électronique de l'authenticité, de l'intégrité et de la validité des certificats COVID-19 suisses, y compris des certificats ne contenant que les données strictement nécessaires, ainsi que des certificats étrangers reconnus. Cette application permet également de déterminer à quelles catégories d'accès ces certificats sont conformes. Aucune donnée personnelle n'est transmise ou stockée de manière durable pendant la vérification.
L'application de vérification est par ailleurs conçue suivant le principe de l'utilisation minimale de données. D'après ce principe, le vérificateur ne prend connaissance que des informations des certificats COVID-19 qui sont nécessaires dans le cadre de ses obligations de contrôle, à savoir:
- le résultat de la vérification (surligné en vert si le résultat est positif, en rouge dans le cas contraire, en orange si la vérification se révèle impossible) et, le cas échéant, les raisons de l'échec de la vérification;
- le nom, le prénom et la date de naissance du titulaire du certificat;
- les catégories d'accès auxquelles le certificat est conforme.
En outre, ces informations ne sont présentées au vérificateur que jusqu'à ce que celui-ci quitte l'affichage correspondant dans l'application (p. ex., lorsqu'un nouveau certificat COVID-19 est numérisé). Ensuite, les informations sont supprimées.
Aucune information personnelle provenant des certificats COVID-19 n'est transmise par l'application de vérification aux systèmes d'information de l'OFIT visés aux ch. 3.1 à 3.3. De même, aucune journalisation locale des certificats vérifiés n'est effectuée. L'accès en vue de leur actualisation à la liste des certificats de signature à partir du système d'information visé au ch. 3.1 et à la liste des certificats révoqués (ou aux identifiants des certificats) à partir du système d'information visé au ch. 3.3 peut être consigné sur les systèmes de serveurs de l'OFIT à des fins de maintien de la sécurité de l'information et des services. Lors de chaque accès, des données techniques sur l'appareil de l'utilisateur (telles que la version du système d'exploitation, la version de l'application, l'adresse IP, etc.) sont transmises et enregistrées. Les différents contrôles de validité effectués au moyen de l'application ne déclenchent aucune demande au serveur, mais sont réalisés en utilisant les listes sauvegardées localement sans transmettre aucune donnée personnelle.
Les vérificateurs qui reçoivent un certificat pour contrôle ne peuvent conserver ce certificat et les informations qu'il contient ou les utiliser à une fin autre que la vérification. Fait exception l'enregistrement de la durée de validité du certificat dans les établissements auxquels seules ont accès des personnes jouissant de droits personnalisés à des accès répétés. Le titulaire du certificat doit préalablement être informé de manière adéquate du type et de l’ampleur du traitement des données et les accepter expressément.
Les applications et les systèmes d'information exploités par l'OFIT se fondent sur la loi COVID-19, l'ordonnance COVID-19 certificats et la loi sur les épidémies. Les systèmes d'information servent à générer, transmettre et révoquer les certificats COVID-19. Les applications et les traitements de données correspondants ont pour seul objectif de permettre aux titulaires de certificats COVID-19:
- de les stocker et de les transmettre de manière sécurisée (application de stockage),
- d'obtenir un certificat ne contenant que les données strictement nécessaires (application de stockage),
- de convertir des certificats COVID-19 en d'autres formats électroniques et, le cas échéant, de les remplacer par de nouveaux certificats (application de stockage) et
- de permettre aux vérificateurs de certificats COVID-19 d'en vérifier l'authenticité, l'intégrité et la validité, ainsi que de déterminer les catégories d'accès auxquelles les certificats sont conformes (application de vérification).
Si l'OFIT mandate des tiers, suisses ou de l'étranger, pour le traitement de données personnelles, ces opérateurs s'engagent contractuellement à respecter les prescriptions de la loi COVID-19, de l'ordonnance COVID-19 certificats et la législation suisse sur la protection des données. L'OFIT contrôle le respect des prescriptions.
La mise à disposition des listes à partir des systèmes d'information visés aux ch. 3.1 et 3.3 (certificats de signature, liste de révocation) ou l'extraction de celles-ci par les applications s'effectuent par l'intermédiaire d'un réseau de diffusion de contenu d'Amazon Web Services (AWS).
L'OFIT met régulièrement à la disposition de l'Office fédéral de la statistique (OFS) le stock actuel de données existantes dans les systèmes d'information visés aux ch. 3.1 à 3.3 sous forme anonymisée. Les données de ces systèmes d'information peuvent être communiquées sous forme anonymisée également à l'Office fédéral de la santé publique (OFSP) et au service étranger compétent à des fins de statistiques.
Les applications utilisent des interfaces reliées au système d'exploitation du téléphone portable de l'utilisateur. Les fonctionnalités des systèmes d'exploitation utilisées par les interfaces doivent remplir les prescriptions de l'ordonnance COVID-19 certificats. En est exclue la réglementation concernant le code source en vertu des art. 28, al. 2, let. c, et 29, al. 2, let. e.
L'OFIT ne peut pas conserver les données personnelles des titulaires de certificats COVID-19 transmises aux systèmes d'information dans le cadre de l'établissement de certificats plus longtemps que nécessaire pour l'établissement, la signature et la transmission du certificat ainsi que pour sa révocation.
Les données personnelles des émetteurs, que l'OFIT traite à des fins d'administration et de gestion des autorisations, sont conservées aussi longtemps que cela est absolument nécessaire pour l'établissement et la révocation éventuelle des certificats.
Les données journalisées relatives à l'authentification dans le système d'information et à l'établissement des certificats visé au ch. 3.2, ainsi que les journaux relatifs à l'accès aux listes actualisées des certificats de signature et des certificats COVID-19 révoqués, à l'obtention de certificats ne contenant que les données strictement nécessaires et à la conversion ou au remplacement des certificats selon les ch. 3.4 et 3.5, sont conservés pendant deux ans au maximum, conformément aux exigences de l'ordonnance du 19 octobre 2016 sur les systèmes de gestion des données d'identification et les services d'annuaires de la Confédération (OIAM) et de l'ordonnance du 22 février 2012 sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération.
Afin de protéger les données contre des accès non autorisés, des pertes ou des utilisations abusives, l'OFIT prend des mesures de sécurité adéquates, de nature technique (p. ex., cryptage, historique, contrôles d'accès, limitations d'accès, sécurité des données, solutions concernant la sécurité des technologies informatiques et des réseaux, etc.) et de nature organisationnelle (p. ex., directives aux collaborateurs, contrats de confidentialité, contrôles, etc.) conformément aux prescriptions de l'administration fédérale et de la législation fédérale en matière de protection des données.
Les personnes dont les données sont traitées à l'aide des applications et des systèmes d'information mentionnés ont un droit à l'information, à la rectification, à l'effacement, ou à la remise de leurs données. Elles ont également le droit d'exiger la limitation du traitement des données et le droit de contester la manière dont leurs données sont traitées. Par ailleurs, elles ont le droit de révoquer leurs autorisations, sans que la licéité du traitement des données effectué jusque-là ne soit affectée. Ces droits s'appliquent uniquement pour autant que des données personnelles soient concernées. Le principe du «privacy by design», au cœur des applications, est conçu, grâce à des signatures numériques et à un stockage décentralisé des données, pour éviter autant que possible de disposer d'informations sur des personnes identifiées ou identifiables (données personnelles). Pour cette raison, l'OFIT n'a pas la possibilité, par exemple, de fournir d'informations concernant les données personnelles des certificats que contiennent les applications ou de rectifier ces données. L'OFIT ne peut pas consulter ces données, étant donné qu'elles sont sauvegardées uniquement – et seulement dans le cas de l'application de stockage – sur les téléphones portables.
L'exercice de ces droits implique que les personnes concernées déclinent clairement leur identité (p. ex., au moyen d'une copie de la pièce d'identité). Pour faire valoir vos droits, elles peuvent contacter l'OFIT à l'adresse indiquée au ch. 1.
En cas d'infraction au droit de la protection des données, les personnes concernées peuvent s'adresser à l'autorité de contrôle de la protection des données compétente ou saisir la justice en invoquant la législation sur la protection des données.
L'OFIT publie le code source et les spécifications techniques du logiciel qu'il fournit.
L'OFIT peut adapter la présente déclaration de confidentialité à tout moment, sans préavis. La version actuelle publiée et la version valable pour la période concernée s'appliquent. La présente déclaration de confidentialité a été rédigée en plusieurs langues. La version allemande fait foi en cas de divergences. En cas d'actualisation, les émetteurs des certificats et les utilisateurs de l'application sont informés des changements de manière adéquate.
CONDITIONS D'UTILISATION de l'application de vérification des certificats COVID-19 (application «COVID Certificate Check»)
1.1 Les présentes conditions d'utilisation régissent le chargement et l'utilisation de l'application de vérification (ci-après «l'application») par les utilisateurs et sont considérées comme en faisant partie intégrante.
1.2 L'application de l'Office fédéral de l'informatique et de la télécommunication (OFIT) se fonde sur la loi COVID-19 du 25 septembre 2020 (RS 818.102) et sur l'ordonnance COVID-19 certificats du 4 juin 2021 (RS 818.102.2).
1.3 L'application vise à permettre aux utilisateurs de vérifier l'authenticité, l'intégrité et la validité des certificats COVID-19 suisses, y compris des certificats ne contenant que les données strictement nécessaires («certificat light»), ainsi que des certificats étrangers reconnus (regroupés ci-après sous le terme générique «certificats COVID-19»). Elle a également pour objectif d'indiquer à quelles catégories d'accès au sens de l'annexe 6 de l'ordonnance COVID-19 certificats (3G, 2G, etc., ci-après «catégories d'accès») ces certificats sont conformes.
2.1 L'installation de l'application sur le téléphone portable et son utilisation sont volontaires.
2.2 L'utilisation de l'application n'est pas limitée à une zone géographique. En revanche, l'objet de la vérification, à savoir la validité des certificats COVID-19, ne prend en considération que les règles applicables en Suisse.
2.3 En accédant à l'application, l'utilisateur déclare avoir compris et accepté les conditions suivantes et les informations juridiques en rapport avec l'application (et les éléments contenus). Si l'utilisateur n'est pas d'accord avec ces conditions, il doit renoncer à utiliser l'application.
3.1 L'application permet aux utilisateurs de contrôler l'authenticité, l'intégrité et la validité en Suisse d'un certificat COVID-19. Elle permet aussi de vérifier à quelles catégories d'accès le certificat est conforme et si celui-ci a été révoqué.
3.2 La caméra doit être activée pour scanner les certificats COVID-19 affichés sur des dispositifs mobiles ou sur papier.
3.3 L'application remplit les fonctions suivantes en utilisant une interface liée au système d'exploitation du téléphone portable de l'utilisateur:
- Elle permet de vérifier, en numérisant le code QR des certificats COVID-19 à l'aide de l'appareil photo, si ceux-ci répondent aux règles suisses en matière d'authenticité, d'intégrité et de validité; simultanément, elle permet de déterminer à quelles catégories d'accès les certificats sont conformes et s'ils ont été révoqués. À cet effet, il est nécessaire de synchroniser les listes des certificats de signature et des certificats révoqués et de consulter les règles suisses régissant la vérification à partir des systèmes de l'OFIT, en passant par une connexion Internet.
- Une fois lesdites listes synchronisées, l'application peut être utilisée 48 heures durant à des fins de vérification sans qu'une connexion Internet soit requise.
- La vérification par numérisation des certificats COVID-19 permet aux utilisateurs de consulter les données suivantes: nom, prénom et date de naissance du titulaire du certificat, ainsi que le résultat de la vérification (valide / invalide / vérification impossible) et les indications relatives aux catégories d'accès auxquelles le certificat est conforme. Le cas échéant, l'application indique les raisons de la révocation du certificat ou de l'impossibilité de procéder à sa vérification.
3.4 L'application n'utilise pas de géolocalisation.
3.5 L'application ne peut pas procéder à une évaluation médicale, ne peut pas ordonner de mesures (p. ex. une quarantaine) et ne donne pas d'instructions.
4.1 L'accès technique à l'application relève de la responsabilité de l'utilisateur.
4.2 Les utilisateurs sont tenus de prendre les mesures de sécurité nécessaires pour leur propre appareil afin de protéger les certificats COVID-19 stockés contre l'accès non autorisé de tiers et contre les logiciels malveillants.
L'utilisateur est informé par la présente des risques de sécurité liés à l'utilisation d'Internet et des technologies de l'Internet.
4.3 Les utilisateurs sont tenus de tenir l’application à jour et d’effectuer des mises à jour (updates). Ils ne peuvent faire valoir aucun droit à une version spécifique du logiciel.
4.4 Il incombe aux utilisateurs de s'assurer que les dispositions légales applicables et les conditions d'utilisation sont respectées lors de l'utilisation de l'application. En particulier, tout utilisateur qui reçoit un certificat COVID-19 pour vérification ne peut conserver ce certificat et les informations qu'il contient ou les utiliser à une fin autre que la vérification. Fait exception l'enregistrement de la durée de validité du certificat dans les établissements auxquels seules ont accès des personnes jouissant de droits personnalisés à des accès répétés. Le titulaire du certificat doit préalablement être informé de manière adéquate du type et de l’ampleur du traitement des données et les accepter expressément.
5.1 Malgré la grande attention que l'OFIT porte à l'exactitude des informations, des contenus et des messages diffusés via l'application, aucune garantie ne peut être donnée quant à l'exactitude, la précision, l'actualité, la fiabilité et l'exhaustivité des contenus.
L'OFIT se réserve expressément le droit de modifier, de supprimer ou de ne pas publier temporairement les informations et le contenu, en tout ou en partie, à tout moment et sans préavis.
5.2 Tout recours en responsabilité contre l'OFIT pour des dommages, y compris les dommages consécutifs de nature matérielle ou immatérielle, qui ont été causés, par exemple, par l'accès à l'application et l'utilisation ou non de l'application et de ses informations, de ses contenus et de ses messages, par une utilisation abusive de la connexion, par des pannes techniques ou par une violation du devoir de diligence par les utilisateurs, est exclu dans la mesure prévue par la législation.
Toute action ou tout comportement adopté sur la base des informations, du contenu et des messages de l’application, se fait sous la responsabilité et au risque de l’utilisateur. L’OFIT n’assume en aucun cas la responsabilité des dommages qui en découlent.
5.3 La responsabilité des auxiliaires et des tiers est exclue, dans la mesure prévue par la législation.
5.4 L'OFIT n'assume aucune responsabilité et ne garantit pas que les fonctions et l'utilisation de l'application sont disponibles de manière continue et ininterrompue, qu'elles sont exemptes d'erreurs et de pannes ou que les erreurs sont corrigées, ou que les serveurs sont exempts de virus ou d'autres éléments nuisibles.
L'OFIT est en droit de suspendre ou de mettre fin à l'utilisation de l'application à tout moment.
5.5 Les références et les liens vers des sites Internet tiers ne relèvent pas de la responsabilité de l'OFIT. L'OFIT n'assume aucune responsabilité pour l'existence, le contenu ou l'exactitude de ces informations. L'accès et l'utilisation de ces sites web se font aux propres risques de l'utilisateur. L'OFIT déclare expressément n'avoir aucune influence sur la conception, le contenu et les offres des sites liés. Les informations et les services des sites Internet liés sont entièrement sous la responsabilité du tiers concerné.
Aucune responsabilité n'est acceptée pour ces sites Internet.
6.1 En vertu de l'art. 13 de la Constitution fédérale suisse et des dispositions légales de la Confédération en matière de protection des données, toute personne a droit à la protection de sa vie privée et d'être protégée contre l'emploi abusif des données qui la concernent. L'OFIT se conforme à ces dispositions. Les données personnelles sont traitées de manière strictement confidentielle.
6.2 En étroite collaboration avec ses fournisseurs de services, l'OFIT s'efforce de protéger au mieux les données contre des accès non autorisés, des pertes, des abus ou des falsifications.
6.3 La déclaration de confidentialité portant sur l'application s'applique au traitement des données personnelles par l'OFIT.
7.1 L'utilisateur peut mettre fin à l'utilisation de l'application à tout moment en la supprimant ou en la désinstallant de son téléphone portable.
7.2 Au plus tard au moment du retrait de l'ordonnance mentionnée au ch. 1.2, l'OFIT désactive l'application et invite les utilisateurs à la désinstaller de leur téléphone portable.
8.1 Les droits d'auteur sont détenus par la Confédération suisse, représentée par l'OFIT.
8.2 Le contenu publié par l'OFIT dans l'application ne peut être utilisé qu'à des fins personnelles. Toute reproduction et tout transfert du contenu à des tiers au-delà de cette restriction sont interdits. Le téléchargement ou la copie de contenus, d'images, de photographies ou d'autres données ne donnent aucun droit sur leur utilisation.
Les droits d'auteur ainsi que tous les autres droits concernant les contenus, les images, les photographies ou d'autres données de cette application appartiennent exclusivement à l'OFIT ou aux autres ayants droit spécifiquement mentionnés. Toute reproduction est subordonnée à l'autorisation écrite préalable des détenteurs des droits.
9.1 Les présentes dispositions ont été rédigées en plusieurs langues. La version allemande fait foi en cas de divergences.
9.2 L'utilisation de l'application est gratuite pour les utilisateurs. Tous les frais d'accès au réseau pour utiliser l'application sont à la charge de l'utilisateur.
9.3 L'OFIT se réserve le droit d'apporter à tout moment des modifications et des ajouts aux conditions d'utilisation. Les nouvelles conditions sont communiquées aux utilisateurs à l'avance et de manière appropriée et sont considérées comme ayant été acceptées si les utilisateurs continuent d'utiliser l'application.
9.4 Si une disposition des conditions d'utilisation est nulle ou non avenue, les conditions d'utilisation dans leur ensemble ne sont pas affectées.
9.5 Le droit suisse s'applique, sous réserve de dispositions impératives divergentes. Le for exclusif pour tous les litiges est le tribunal suisse compétent.