Covid-19, restaurants et applis "cahiers de rappel" : quel traitement pour vos données ?

12 octobre 2020 à 14h51
10
© Pixabay

La tenue d'un cahier de rappel fait partie des obligations liées au respect d'un protocole sanitaire durci. Comme pour les applications mobiles du même genre, la question du traitement des informations récoltées se pose.

Pour permettre la réouverture des restaurants (ou des lieux qui attestent d'un service à table) dans les zones d'alerte maximale, le ministère des Solidarités et de la Santé a publié, le 5 octobre, le nouveau protocole sanitaire de sécurité renforcée valable pour les restaurants, qui ne peuvent maintenir leur activité dans les zones plus critiques que dans le cas où le respect des recommandations sanitaires est assuré. Un cahier de rappel est notamment obligatoire. Il doit être mis en place à l'entrée de tous les restaurants et impose aux clients de laisser leurs coordonnées (nom, prénom et numéro de téléphone), s'ils souhaitent passer à table.

Les données conservées, puis détruites au bout de 14 jours

Beaucoup s'interrogent sur le devenir de certaines de nos informations personnelles, que ce soit au sein des restaurants ou via les applications qui émergent pour permettre la digitalisation des carnets de rappel. Alors qu'au Royaume-Uni les données personnelles laissées par les clients dans les restaurants sont revendues, la Commission nationale de l'informatique et des libertés (CNIL) entend veiller au grain, et rappelle que l'établissement d'un registre ou d'un cahier constitue un traitement de données personnelles, qu'il soit papier ou non, le soumettant de facto au RGPD.

En France, l'État impose le principe selon lequel le restaurateur doit mettre son cahier de rappel à disposition de l'assurance maladie ou de l'Agence régionale de santé (ARS), dans le cas où il est nécessaire de retracer les cas contacts. En théorie, les données récoltées doivent être détruites dans un délai de 14 jours. Ce sont les seules possibilités qui s'offrent aux restaurateurs, directement concernés par les carnets de rappel.

La réutilisation des données autre que le seul but sanitaire est interdite

Les données sont limitées aux prénom, nom et numéro de téléphone du client, et celles-ci ne doivent pas aller au-delà de la recherche des cas contacts. La CNIL est très claire à ce sujet et précise que toute autre utilisation est strictement interdite. Cela comprend par exemple l'invitation à un événement spécial dans le lieu où les données ont été récupérées, une promotion sur la carte ou le programme du lieu, et bien entendu la revente des données.

Faire remplir le cahier au client et l'informer de vive voix du but de la demande ne suffisent pas. L'établissement doit faire figurer, sous un format écrit ou électronique facilement accessible, son identité et ses coordonnées, l'objectif de la collecte des données, la durée de conservation de ces dernières, les droits du client au sujet de ses données (droit d'accès et de rectification) et les autorités sanitaires ou services pouvant avoir accès aux données. Il doit également recueillir le consentement de la personne qui lui remet ses données, en demandant par exemple de signer le formulaire ou de cocher une case faisant office d'approbation.

Le dôme intelligent, sous forme de QR code, est déjà en train de s'imposer dans les restaurants, notamment pour « distribuer » les menus aux clients (© Vazee)

Veiller à la sécurité des données, même (et surtout) avec un cahier de rappel papier

Se pose ensuite la question de la sécurisation des données, question sans doute la plus importante aux yeux des consommateurs. Concernant le formulaire papier, la CNIL recommande au restaurateur de récolter lui-même les informations, ou alors de le faire par tablée. Le cahier doit ensuite être conservé dans un lieu sécurisé, et non pas à l'entrée du restaurant. Aucun autre client ne doit pouvoir y avoir accès.

Les professionnels qui privilégient le cahier de rappel numérique (formulaire en ligne, QR code, etc.) doit prendre le soin de sécuriser l'accès au système d'information, en bétonnant celui-ci à l'aide d'un mot de passe robuste. Il lui est aussi conseillé de ne pas stocker les informations recueillies sur un matériel qui ne serait pas sécurisé, comme une clé USB.

La société strasbourgeoise Arkaé, qui a récemment lancé l'application bienvenue.app pour aider (contre abonnement mensuel payant) les lieux accueillants du public à remplir leurs carnets de rappel à l'aide d'un QR code, explique laisser les données personnelles à disposition du restaurateur uniquement (et de l'ARS si un infecté déclare avoir déjeuné à l'endroit concerné), pendant 14 jours. Une fois le délai écoulé, l'entreprise procède à la suppression des données.

Qu'en pense-t-on chez Clubic ?

En théorie, si le client refuse de communiquer ses données personnelles, le restaurant ou le lieu concerné ne peut pas en principe lui en refuser l'accès. Bon, ça, c'est pour la théorie… En pratique, on voit mal un client « forcer » l'entrée d'une porte qui lui resterait close pour ne pas avoir joué le jeu. Si donner son nom, son prénom et son numéro de téléphone peut évidemment être contraignant pour certains, il faut penser que la mesure n'est faite que dans un processus de responsabilité collective. Le restaurateur du coin se passerait bien de devoir perdre du temps en paperasse. Cela peut en tout cas se révéler être une excellente alternative à la défaillance de l'application StopCovid (dont on attend une nouvelle version), qui est censée être très utile dans les lieux de restauration, si elle était adoptée par une majorité de Français.

Source : CNIL / Gouvernement

Modifié le 13/10/2020 à 01h29
10
8
Partager l'article :
Voir tous les messages sur le forum

Actualités récentes

Comment un antivirus détecte-t-il un virus ?
The Americans : l'espionnage en pleine guerre froide n'a jamais été aussi passionnant (et accessible)
Raspberry Pi : notre top 10 des projets les plus insolites
C'est officiel, le film Willow (de 1988) aura droit à une suite, sur Disney+
Road trip électrique : tout ce que vous devez savoir pour voyager sereinement
eToro (Avis 2020) : notre test de cette plateforme crypto alléchante mais risquée pour les débutants
Retour dans la matrice avec Matrix Reloaded, au delà des apparences
Après Lewis Hamilton, Nico Rosberg rejoint l'Extreme E
Xbox Series X : nos impressions après trois semaines de test
Forfait 4G : Sosh revient à la charge avec son forfait 80 Go à 14,99€
scroll top