Covid-19, restaurants et applis "cahiers de rappel" : quel traitement pour vos données ?

12 octobre 2020 à 14h51
10
Restaurant © Pixabay
© Pixabay

La tenue d'un cahier de rappel fait partie des obligations liées au respect d'un protocole sanitaire durci. Comme pour les applications mobiles du même genre, la question du traitement des informations récoltées se pose.

Pour permettre la réouverture des restaurants (ou des lieux qui attestent d'un service à table) dans les zones d'alerte maximale, le ministère des Solidarités et de la Santé a publié, le 5 octobre, le nouveau protocole sanitaire de sécurité renforcée valable pour les restaurants, qui ne peuvent maintenir leur activité dans les zones plus critiques que dans le cas où le respect des recommandations sanitaires est assuré. Un cahier de rappel est notamment obligatoire. Il doit être mis en place à l'entrée de tous les restaurants et impose aux clients de laisser leurs coordonnées (nom, prénom et numéro de téléphone), s'ils souhaitent passer à table.

Les données conservées, puis détruites au bout de 14 jours

Beaucoup s'interrogent sur le devenir de certaines de nos informations personnelles, que ce soit au sein des restaurants ou via les applications qui émergent pour permettre la digitalisation des carnets de rappel. Alors qu'au Royaume-Uni les données personnelles laissées par les clients dans les restaurants sont revendues , la Commission nationale de l'informatique et des libertés (CNIL) entend veiller au grain, et rappelle que l'établissement d'un registre ou d'un cahier constitue un traitement de données personnelles, qu'il soit papier ou non, le soumettant de facto au RGPD.

En France, l'État impose le principe selon lequel le restaurateur doit mettre son cahier de rappel à disposition de l'assurance maladie ou de l'Agence régionale de santé (ARS), dans le cas où il est nécessaire de retracer les cas contacts. En théorie, les données récoltées doivent être détruites dans un délai de 14 jours. Ce sont les seules possibilités qui s'offrent aux restaurateurs, directement concernés par les carnets de rappel.

La réutilisation des données autre que le seul but sanitaire est interdite

Les données sont limitées aux prénom, nom et numéro de téléphone du client, et celles-ci ne doivent pas aller au-delà de la recherche des cas contacts. La CNIL est très claire à ce sujet et précise que toute autre utilisation est strictement interdite. Cela comprend par exemple l'invitation à un événement spécial dans le lieu où les données ont été récupérées, une promotion sur la carte ou le programme du lieu, et bien entendu la revente des données.

Faire remplir le cahier au client et l'informer de vive voix du but de la demande ne suffisent pas. L'établissement doit faire figurer, sous un format écrit ou électronique facilement accessible, son identité et ses coordonnées, l'objectif de la collecte des données, la durée de conservation de ces dernières, les droits du client au sujet de ses données (droit d'accès et de rectification) et les autorités sanitaires ou services pouvant avoir accès aux données. Il doit également recueillir le consentement de la personne qui lui remet ses données, en demandant par exemple de signer le formulaire ou de cocher une case faisant office d'approbation.

Vazee © Vazee
Le dôme intelligent, sous forme de QR code, est déjà en train de s'imposer dans les restaurants, notamment pour « distribuer » les menus aux clients (© Vazee)

Veiller à la sécurité des données, même (et surtout) avec un cahier de rappel papier

Se pose ensuite la question de la sécurisation des données, question sans doute la plus importante aux yeux des consommateurs. Concernant le formulaire papier, la CNIL recommande au restaurateur de récolter lui-même les informations, ou alors de le faire par tablée. Le cahier doit ensuite être conservé dans un lieu sécurisé, et non pas à l'entrée du restaurant. Aucun autre client ne doit pouvoir y avoir accès.

Les professionnels qui privilégient le cahier de rappel numérique (formulaire en ligne, QR code, etc.) doit prendre le soin de sécuriser l'accès au système d'information, en bétonnant celui-ci à l'aide d'un mot de passe robuste. Il lui est aussi conseillé de ne pas stocker les informations recueillies sur un matériel qui ne serait pas sécurisé, comme une clé USB .

La société strasbourgeoise Arkaé, qui a récemment lancé l'application bienvenue.app pour aider (contre abonnement mensuel payant) les lieux accueillants du public à remplir leurs carnets de rappel à l'aide d'un QR code, explique laisser les données personnelles à disposition du restaurateur uniquement (et de l'ARS si un infecté déclare avoir déjeuné à l'endroit concerné), pendant 14 jours. Une fois le délai écoulé, l'entreprise procède à la suppression des données.

Qu'en pense-t-on chez Clubic ?

En théorie, si le client refuse de communiquer ses données personnelles, le restaurant ou le lieu concerné ne peut pas en principe lui en refuser l'accès. Bon, ça, c'est pour la théorie… En pratique, on voit mal un client « forcer » l'entrée d'une porte qui lui resterait close pour ne pas avoir joué le jeu. Si donner son nom, son prénom et son numéro de téléphone peut évidemment être contraignant pour certains, il faut penser que la mesure n'est faite que dans un processus de responsabilité collective. Le restaurateur du coin se passerait bien de devoir perdre du temps en paperasse. Cela peut en tout cas se révéler être une excellente alternative à la défaillance de l'application StopCovid (dont on attend une nouvelle version ), qui est censée être très utile dans les lieux de restauration, si elle était adoptée par une majorité de Français.

Source : CNIL / Gouvernement

Modifié le 13/10/2020 à 01h29
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
8
jvachez
A mon avis beaucoup de pages ne seront pas détruites après 14 jours.
mrassol
beaucoup ne seront pas exploitées pour autant, le petit restaurant, il voit ce cahier comme une galere de plus …
cirdan
Merci à Urbs <br /> Image00001871×768 426 KB
AlexLex14
mrassol:<br /> beaucoup ne seront pas exploitées pour autant, le petit restaurant, il voit ce cahier comme une galere de plus …<br /> Je me dis effectivement que ce sera ça pour une majorité.<br /> Mais bien sur, par rapport à ce dit @jvachez, on sait qu’il y aura sans doute des exceptions, peut-être au niveau des chaînes… à voir les remontées du terrain.
LeToi
Ils auraient pu prévoir un modèle national, ou quelque chose d’officiel, mais avec la défiance vis-à-vis de l’état…
wannted
il faut présenter une pièce d’identité au restaurateur ?
AlexLex14
Non
wannted
Ok, je marquerai Jean Castex alors ^^<br /> Ou Benjamin Griveaux mdrrr
Babaorum_00
Attendez, mais les gens mettent leurs vrais nom / numéros de téléphone sur ces cahiers ?
Domoticloud
En Belgique, les petits papiers récoltés avec les noms du jour sont mis par le commerçant dans une enveloppe datée. Ensuite, le commerçant détruit l’enveloppe 14 jours plus tard. Et cela, depuis des mois…
Voir tous les messages sur le forum

Actualités du moment

Le nouveau Razer Blade Stealth 13 s'offre un Intel Core 11e génération et un écran OLED (en option)
Huawei : les Mate 40 dévoilés le 22 octobre prochain seront les derniers équipés de SoC Kirin
60 ans de SEGA : Sonic The Hedgehog 2 est gratuit sur Steam jusqu'au 19 octobre
Lille a voté un moratoire sur la 5G en attendant le rapport de l'Anses sur le sujet
Spotify ne veut pas que vous puissiez migrer facilement votre bibliothèque vers un autre service
Strasbourg commande 49 bus électriques pour sa métropole
Mozilla a licencié tous les développeurs responsables du moteur expérimental de Firefox
Hyundai rappelle 25 000 Kona électriques pour risque d'incendie
Première victoire en justice d'Apple contre Epic Games
YouTube veut vendre les produits présents dans les vidéos... un futur bien sombre pour la plateforme
Haut de page