COVID-19 : la CNIL fournit un modèles de « Cahiers de Rappel » pour les restaurants en zone d’alerte maximale

Qu’est ce que les « cahiers de rappel » ?

Ce « cahier » est destiné à collecter les coordonnées des clients présents dans le restaurant afin de les tenir à disposition des autorités sanitaires en cas de contamination de l’un des clients.

Ce cahier peut prendre plusieurs formes (registre papier, formulaire en ligne, QR code).

Comment mettre son « cahier de rappel » en conformité avec le RGPD ?

1. Limiter la collecte des données à ce qui est strictement nécessaire

• nom/prénom
• un moyen de contact (numéro de téléphone)
• noter la date et l’heure d’arrivée du client
• le restaurant doit renseigner la date et l’heure d’arrivée du client afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la conservation des fiches (14 jours)
• Les données  ne doivent servir qu’à la transmission aux autorités sanitaires

2. Utiliser les données qu’au fin de transmission aux autorités sanitaires

Les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les  autorités sanitaires en font la demande : agents des CPAM, de la CNAM, de l’ARS.

Selon la CNIL toute autre utilisation est interdite (ex : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.).

Cette stricte interdiction semble toutefois un peu excessive dans la mesure où si le client consent à d’autres finalités de traitement, le restaurateur a une base légale pour utiliser ces données à ces fins.

3. Informer les clients

Les clients doivent être informés au moment de la collecte des opérations de traitement directement. Cette information doit être facilement accessible et peut être placée sur le formulaire, sur la porte d’entrée du restaurant etc. (l’information doit être facilement accessible). 

Cette mention d’information doit indiquer :

• l’identité et les coordonnées de l’établissement ;

• la finalité : faciliter le traçage des « cas contacts par les autorités sanitaires ;

• la durée de conservation des données (14 jours) ;

• les droits dont dispose la personne concernée (notamment le droit d’accès et de rectification) ;

• les destinataires : les autorités sanitaires au cas où une infection à la COVID-19 serait détectée (CNAM, CPAM, ARS).

La CNIL a mis à la disposition des restaurateurs un exemple de modèle de document, avec les mentions d’information nécessaires.

4. Combien de temps conserver les données ?

Les données collectées dans le « cahier de rappel » devront être détruites 14 jours après leur collecte.

En pratique, s’il s’agit d’un cahier papier, il est nécessaire d’arracher les pages datant de plus de 14 jours.

5. Sécurité des données

Les données collectées sont confidentielles. Il est donc nécessaire de s’assurer que les autres clients n’ont pas accès aux données des clients précédents. Ces données ne peuvent pas non plus être partagés avec des tiers ou être accessible par tout le personnel du restaurant, seule des personnes identifiées et habilitées doivent pouvoir y accéder (ex : gérant du restaurant et/ou personnel en charge de remplir le cahier).

• Pour un « cahier de rappel » au format papier : le restaurateur inscrit les données lui même dans le cahier ou met à disposition un formulaire individuel ou par tablée. Le cahier doit être conservé dans un lieu sécurisé (ex : armoire fermée à clé) ;

• Pour les autres types de « cahier de rappel » (ex : QR code, formulaire en ligne, etc.), il est notamment nécessaire de  :
  • mettre en place mot de passe « robuste » pour accéder au system d’information/fichier ;
  • ne pas stocker le fichier contenant les données sur des matériels non sécurisés (ex : clé USB).

La CNIL propose également un formulaire pour les établissements qui ne sont pas soumis au protocole sanitaire renforcé.