Déclaration de protection des données

1.1 Introduction

La présente déclaration de protection des données vaut pour les établissements, associations et organisations utilisant la solution ok-resto et/ou ok-visit et son sous-traitant Astara SA via son système d’enregistrement des clients.

Le « nous » ci-après représente dans le document les établissements, les associations et les organisations ainsi que ASTARA SA.

La protection des données est une affaire de confiance et celle-ci compte pour nous. Nous respectons votre personnalité et votre sphère privée. De même, nous cherchons à garantir la protection de vos données personnelles et leur traitement conforme à la législation.

Nous tenons fermement à recevoir votre consentement quant au traitement de vos données personnelles. Au travers de la présente déclaration de protection des données, nous vous informons de manière complète sur les méthodes que nous appliquons en la matière

Les données personnelles sont recueillies dans le seul but de répondre aux mesures sanitaires actuelles et d’aider l’OFSP et le service du médecin cantonal dans la lutte contre la COVID-19. Tout autre usage est totalement exclu.

1.2 Qui est ASTARA SA ?

ASTARA SA est une start-up composée de jeunes informaticiens de Suisse romande et d'entrepreneurs à vocation technologique du canton de Fribourg. La société exerce des activités en relation avec le développement et la commercialisation d'applications horizontales et verticales basées sur des technologies digitales avancées (incluant notamment la technologie de stockage et de transmission d'informations et l'intégrité des données et la provenance), en particulier dans les domaines du contrôle d'accès, l'identification de sécurité, de traçabilité et de solutions et services.

1.3 Pourquoi ok-resto et ok-visit ?

L’activité de ASTARA SA est amenée à travailler avec de nombreux établissements dans la restauration et l’événementiel. La société fourni des prestations tel que des sites internet et des outils de gestion informatisés pour les aider dans les tâches quotidiennes. Dès l’annonce du Conseil Fédéral sur la réouverture des établissements (cafés et restaurants) et l’autorisation des manifestations, ASTARA SA a souhaité mettre à disposition ses compétences et son expérience pour développer une solution qui aide les professionnelles de cette branche dans la collecte des données. La société souhaite également fournir aux citoyens une solution pour s’enregistrer (selon une base volontaire ou obligatoire) et aider ainsi les autorités dans la lutte contre la crise sanitaire actuelle.

2.1 Caméra

L’application ok-visit requiert votre consentement à l’utilisation de l'appareil photo de votre téléphone mobile, dès lors que vous souhaitez scanner un QR code ok-visit (QR code affichés dans les établissements utilisant la solution ok-visit). Ce consentement se matérialisera lorsque vous souhaiterez utiliser pour la première fois cette fonctionnalité de lecture de QR code au sein de l’application ok-visit en affichant une boîte de dialogue vous demandant l’autorisation de "prendre des photos et de filmer des vidéos". Aucune donnée à caractère personnel (photo, vidéo ou fichier) n’est stockée ou transmise par ok-visit, seul le contenu du QR code est utilisé dans le cadre de l’application. L’application n'accède pas aux photos, vidéos et fichiers stockés sur le téléphone.

2.2 Localisation (position)

L'application nécessite votre autorisation à l'accès de la localisation (position) de l'appareil mobile dès lors que vous souhaitez scanner un QR code au sein de l’application ok-visit. Ce consentement se matérialisera lorsque vous souhaiterez utiliser pour la première fois cette fonctionnalité de lecture de QR codes au sein de l’application ok-visit en affichant une boîte de dialogue vous demandant l’autorisation de "vous localiser". La position est utilisée afin de pouvoir avertir l'utilisateur d'un éventuel oubli de sortie d'un établissement. Lorsque l’utilisateur scanne un QR code, la position du téléphone est enregistrée sur l’appareil mobile de l’utilisateur (aucun enregistrement sur le serveur n'est effectué). Si celui-ci quitte l’établissement sans annoncer sa sortie, une notification lui sera envoyée dès qu’il sort d’un rayon de 200 mètres par rapport à sa position lors du scan d'entrée.

2.3 Notification

L'application ok-visit nécessite l’utilisation des notifications push sur le téléphone mobile dès sa première utilisation. Les utilisateurs peuvent recevoir des notifications durant toute la session d'utilisation de l'application. Les notifications push sont envoyées uniquement pour rappeler à l’utilisateur d’annoncer sa sortie lorsqu’il quitte l’établissement. Une notification push est envoyée lorsque l’utilisateur n'a pas annoncé son départ et sort du périmètre de 200 mètres dans lequel le scan d’entrée a été effectué, ou après un délai de deux heures à partir du scan d’entrée.

2.4 Sensor

L'application ok-visit nécessite l’utilisation du capteur de mouvement (Physical Activity from BODY_SENSORS) afin de détecter un éventuel déplacement de l'appareil. En cas de déplacement, nous pouvons envoyer une notification à l'utilisateur afin de savoir s'il se trouve toujours dans l'établissement. Cela dans le but d'éviter que le visiteur oublie d'annoncer son départ en quittant l'établissement. Les données liées au capteur de mouvement ne sont pas enregistrées.

3.1 Quelles sont les données que nous récoltons ?

Nous récoltons les données suivantes lors de chaque enregistrement : Nom de l’établissement, numéro de table ou emplacement, nom, prénom, numéro de téléphone, domicile, heure et date (entrée et sortie).

3.2 Comment protégeons-nous vos données personnelles ?

Toutes les communications entre le client et le serveur sont cryptées par une connexion sécurisée (https). Les données ne peuvent pas être lues ni altérées lors de communication avec le serveur. Seule une personne de ASTARA SA (CTO) possède l’accès à l’hébergement où sont stockées les données. Cette personne ne peut avoir l’accès aux données personnelles (voir point 5).

3.3 Comment récupérons-nous vos données personnelles ?

Lorsque vous vous rendez dans un établissement ou une manifestation partenaire qui utilise la solution ok-resto ou ok-visit, vous serez invité à scanner un code QR à l’aide de votre téléphone mobile. Ce QR code vous dirigera vers une page web vous permettant de débuter le processus d’enregistrement. C’est uniquement après validation complet du processus (validation de l’enregistrement) que vos données seront stockées de manière chiffrée sur notre serveur web.

3.4 Comment et où sont stockées vos données ?

Vos données sont stockées chez Infomaniak Network SA (infomaniak.com) en Suisse.

3.4 Comment les données sont-elles chiffrées ?

Toutes les données sont chiffrées au moyen d’une méthode de cryptage asymétrique complexe et hautement sécurisée. Cette méthode est basée sur une paire de clés liées mathématiquement (clé publique et clé privée). Une clé crypte, l’autre décrypte le message. Le serveur dispose de la clé publique afin de chiffrer les données personnelles. Seul le service du médecin cantonal (pour les établissements et manifestations sur le canton de Fribourg) dispose de la clé privée secrète qui permettra de les décrypter. Pour les établissements et manifestations en dehors du canton de fribourg, l’établissement ou le responsable de la manifestation est en possession de la clé privée secrète.

3.6 Pendant combien de temps conservons-nous les données chiffrées ?

Les données personnelles chiffrées sont conservées durant 14 jours au maximum. Les données sont effacées automatiquement dès l’échéance de 14 jours passée. Il est impossible, passé le délai de 14 jours, de récupérer ces données chiffrées.

3.7 Pendant combien de temps conservons-nous les données déchiffrées ?

Les données déchiffrées ne sont pas conservées sur les serveurs.

3.8 Qui peux déchiffrer les données ?

Pour les établissements et manifestations sous l’autorité cantonale fribourgeoise, seul le service du médecin cantonal est en mesure d’activer une procédure de déchiffrement. Pour tout autre établissement ou manifestation qui n’est pas sous l’autorité cantonale fribourgeoise, l’établissement ou le responsable de la manifestation sont en mesure d’activer une procédure de déchiffrement et extraire la donnée des utilisateurs s’étant inscrits dans son établissement ou durant sa manifestation lors des 14 derniers jours suivant la demande formulée par email à Astara SA.

3.9 Comment se déroule la procédure de déchiffrement ?

Le restaurateur, l’organisateur ou l’autorité cantonale ou fédérale envoie une demande par email à ASTARA SA. Il/elle peut ensuite, à l’aide de sa clé de déchiffrement privée, récupérer les données enregistrées durant les 14 derniers jours suivant la date de la demande initiale. Le service du médecin cantonal fribourgeois peut, de manière autonome, récupérer les données enregistrées sans avoir besoin d’en faire la demande à ASTARA SA.

Tout le processus est journalisé dans un fichier chez ASTARA SA. Ce fichier ne contient aucune donnée personnelle.

3.10 Quels cookies utilisons-nous ?

Seul des cookies de session sont utilisés, nécessaires pour le bon déroulement du processus d’inscription. Ces cookies sont effacés automatiquement du serveur après 1 heure d’inactivité. Aucun autre cookie n’est enregistré. Aucune donnée personnelle n’est enregistrée dans les cookies utilisés. Ceux-ci ne peuvent être utilisés à des fins de traçage ou autre publicité ciblée. Lors de la création d’un cookie, un nouveau numéro d’identification unique lui est attribué.

4.1 Comment prendre contact avec nous ?

Au cas où vous souhaiteriez exercer vos droits se rapportant à vos données personnelles ou si vous avez des questions ou des réticences quant à la manière dont elles sont traitées, vous pouvez prendre contact avec nous à l’adresse suivante : info@astara.ch. Nous nous efforcerons de répondre sans délai à vos questions ou préoccupations.

Bulle, le 23 février 2021