Dans les villes situées en zones d’alerte maximale en raison de l’épidémie de COVID-19, les restaurants, cafétérias et établissements de restauration rapide (« restaurant ») sont tenus de respecter un protocole sanitaire renforcé qui implique de tenir un « cahier de rappel ».
Ce « cahier » est destiné à collecter les coordonnées des clients présents dans le restaurant afin de les tenir à disposition des autorités sanitaires en cas de contamination de l’un des clients.
La CNIL fournit un modèle et rappelle les règles à adopter dans ce cadre afin d’assurer le respect de la vie privée de ses clients.
En effet, au Royaume-Uni où des règles similaires sont en place, des dérives ont eu lieu (vente de fichiers à des sociétés de crédits etc.) bien que ces registres soient de par leur nature, des traitements de données personnelles soumis au RGPD.
Qu’est ce que les « cahiers de rappel » ?
Ce « cahier » est destiné à collecter les coordonnées des clients présents dans le restaurant afin de les tenir à disposition des autorités sanitaires en cas de contamination de l’un des clients.
Ce cahier peut prendre plusieurs formes (registre papier, formulaire en ligne, QR code).
Quelle que soit la forme du cahier de rappel, sa tenue constitue un traitement de données personnelles soumis au RGPD.
Comment mettre son « cahier de rappel » en conformité avec le RGPD ?
1. Limiter la collecte des données à ce qui est strictement nécessaire
- nom/prénom
- un moyen de contact (numéro de téléphone)
- noter la date et l’heure d’arrivée du client
- le restaurant doit renseigner la date et l’heure d’arrivée du client afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la conservation des fiches (14 jours)
- Les données ne doivent servir qu’à la transmission aux autorités sanitaires
2. Utiliser les données qu’au fin de transmission aux autorités sanitaires
Les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les autorités sanitaires en font la demande : agents des CPAM, de la CNAM, de l’ARS.
Selon la CNIL toute autre utilisation est interdite (ex : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.).
Cette stricte interdiction semble toutefois un peu excessive dans la mesure où si le client consent à d’autres finalités de traitement, le restaurateur a une base légale pour utiliser ces données à ces fins.
3. Informer les clients
Les clients doivent être informés au moment de la collecte des opérations de traitement directement. Cette information doit être facilement accessible et peut être placée sur le formulaire, sur la porte d’entrée du restaurant etc. (l’information doit être facilement accessible).
Cette mention d’information doit indiquer :
- l’identité et les coordonnées de l’établissement ;
- la finalité : faciliter le traçage des « cas contacts par les autorités sanitaires ;
- la durée de conservation des données (14 jours) ;
- les droits dont dispose la personne concernée (notamment le droit d’accès et de rectification) ;
- les destinataires : les autorités sanitaires au cas où une infection à la COVID-19 serait détectée (CNAM, CPAM, ARS).
La CNIL a mis à la disposition des restaurateurs un exemple de modèle de document, avec les mentions d’information nécessaires.
4. Combien de temps conserver les données ?
Les données collectées dans le « cahier de rappel » devront être détruites 14 jours après leur collecte.
En pratique, s’il s’agit d’un cahier papier, il est nécessaire d’arracher les pages datant de plus de 14 jours.
5. Sécurité des données
Les données collectées sont confidentielles. Il est donc nécessaire de s’assurer que les autres clients n’ont pas accès aux données des clients précédents. Ces données ne peuvent pas non plus être partagés avec des tiers ou être accessible par tout le personnel du restaurant, seule des personnes identifiées et habilitées doivent pouvoir y accéder (ex : gérant du restaurant et/ou personnel en charge de remplir le cahier).
- Pour un « cahier de rappel » au format papier : le restaurateur inscrit les données lui même dans le cahier ou met à disposition un formulaire individuel ou par tablée. Le cahier doit être conservé dans un lieu sécurisé (ex : armoire fermée à clé) ;
- Pour les autres types de « cahier de rappel » (ex : QR code, formulaire en ligne, etc.), il est notamment nécessaire de :
- mettre en place mot de passe « robuste » pour accéder au system d’information/fichier ;
- ne pas stocker le fichier contenant les données sur des matériels non sécurisés (ex : clé USB).
Si le restaurant n’est pas situé en zone d’alerte maximale, la tenue du cahier de rappel n’est pas obligatoire. Il est alors nécessaire d’obtenir le consentement des clients et être en mesure de justifier la nécessité du dispositif.
La CNIL propose également un formulaire pour les établissements qui ne sont pas soumis au protocole sanitaire renforcé.