Par Gérard HAAS et Lucie BRECHETEAU
Compte tenu de l’évolution de la situation épidémique, le Gouvernement a renforcé le protocole sanitaire dans les restaurants des zones d’alerte maximale dans le cadre d’un Communiqué de presse du 5 octobre 2020[1].
Dans ce contexte, le secteur de la restauration est inévitablement bouleversé, puisque les restaurateurs ont l’obligation de mettre en place un « cahier de rappel » à l’entrée de leur établissement.
A ce titre, les clients ont l’obligation de laisser leurs coordonnées dans ce dossier, que le restaurateur transmettra à l’Agence Régionale de Santé ou à l’assurance maladie en cas de déclenchement d’un « contact-tracing ».
Les restaurateurs néerlandais sont liés à cette même obligation depuis août 2020. Toutefois, l’autorité néerlandaise de protection des données semble avoir reçu un certain nombre de plaintes relatant de l’utilisation des données collectées à d’autres fins que celles qui ont justifié leur traitement : finalités romantiques, commerciales etc[2].
De nombreux exemples semblent démontrer qu’aux Pays-Bas, les restaurateurs ne respectent pas tous de manière égalitaire la vie privée de leurs clients.
En France, la CNIL devra veiller à ce que les restaurateurs français ne tombent pas dans cet écueil.
En effet, un tel protocole impliquant le traitement de données à caractère personnel, telles que le nom et le prénom du client, son adresse mail personnelle, ou encore son numéro de téléphone, l’application des exigences et obligations issues du RGPD et de la loi Informatique et Libertés est rendue indispensable.
Les données personnelles doivent être collectées pour des « finalités déterminées, explicites et légitimes »[3].
Dans le cas présent, la collecte de données personnelles dans le cadre de la constitution d’un « cahier de rappel » permet d’identifier et de contacter les personnes potentiellement contaminées en cas de déclenchement d’un contact-tracing. Une fois informées de la potentielle contamination, ces personnes seront invitées à s’isoler afin de limiter la propagation du virus.
Toute autre utilisation des données (ex : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.) est strictement interdite.
Plus spécifiquement, la mise en place d’un « cahier de rappel » au sein des restaurants vise à minimiser la propagation du virus pour ainsi préserver la santé de la population, dès lors que les personnes potentiellement contaminées pourront être contactées afin qu’elles puissent s’isoler.
Ainsi, le traitement des données personnelles semble être justifié par la sauvegarde d’intérêts vitaux.
Le Communiqué de presse ne fait pas mention des données personnelles collectées dans le cadre de la constitution des « cahiers de rappel ».
Toutefois, les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[4], conformément au principe de minimisation des données.
Afin de respecter ce principe de minimisation, la collecte des données dans le cadre de la constitution de ces « cahiers de rappel » devrait se limiter:
Au nom et prénom du client,
Son numéro de téléphone ou son adresse mail. Notons qu’il n’est pas nécessaire de collecter ces deux informations.
Les clients doivent impérativement être informés de l’objet de la collecte et des droits dont ils disposent concernant leurs données.
Cette information doit être délivrée au moment de la collecte des données, et sous un format facilement accessible (ex : une mention d’information intégrée sur le « cahier de rappel », un panneau d’affichage visible à l’entrée de l’établissement, etc.).
Cette mention d’information doit être claire, précise et simple. Elle doit intégrer :
L’identité et les coordonnées de l’établissement,
La finalité de la collecte des données,
La durée de conservation des données,
Les droits dont dispose la personne concernée,
Les destinataires des données.
Les destinataires des données personnelles collectées dans le cadre d’un traitement de données personnelles doivent être limités. En effet, seules les personnes habilitées doivent bénéficier d’un accès aux données personnelles traitées.
En l’espèce, les agents des CPAM, CNAM, de l’ARS seront destinataires des données traitées, afin de faciliter la recherche des « cas contacts ». Ces organismes sont habilités, du fait de leurs fonctions, à se voir communiquer les données personnelles collectées dans le cadre de la constitution des « cahiers de rappel ».
Au regard du Communiqué de presse du 5 octobre 2020, les « données seront détruites après un délai de 14 jours ».
Visiblement, cette durée de conservation ne semble pas être excessive. En effet, les autorités publiques avaient considéré qu’après un délai de 14 jours, les personnes infectées ou potentiellement infectées n’étaient plus contagieuses. Ainsi, la conservation des données au-delà de ce délai ne semble pas justifiée.
Notons toutefois que les données à caractère personnel faisant l’objet d’un traitement doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »[5].
Ainsi, le délai de 14 jours pourrait être remis en question, puisque récemment, les autorités publiques ont considéré qu’un isolement de 7 jours paraissait suffisant pour éviter toute propagation du virus. Il serait donc possible d’imaginer que les données personnelles traitées dans le cadre de la constitution des « cahiers de rappel » puissent être supprimées après un délai de 7 jours.
La mise en place de « cahiers de rappel » dans les restaurants, instaurés dans une logique de lutte contre la propagation du virus, implique de déployer des moyens de sécurisation des données traitées.
En effet, le RGPD et la loi Informatique et Libertés invitent à la mise en place de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »[6].
Notons que dans le cadre de la constitution des « cahiers de rappel », les données peuvent être collectées sur un support papier, potentiellement « laissé à la vue » de tout nouveau client entrant, donc le risque semble être particulièrement élevé.
Voici quelques recommandations visant à garantir au mieux la sécurité des données :
Ne pas laisser le « cahier de rappel » à la disposition des clients entrants. Le cahier doit être présenté par le restaurateur dès lors qu’un nouveau client souhaite s’installer.
A la fin de la journée, les cahiers de rappel devraient être placés dans un coffre, ou à tout le moins dans une salle sécurisée de l’établissement.
Les données personnelles doivent être supprimées à l’issue d’un délai de 14 jours maximum, ce qui veut dire que même si le « cahier de rappel » n’est pas achevé à l’issue de ce délai, il doit être détruit afin de respecter la durée de conservation des données.
Dans le cadre de la gestion de la crise sanitaire, ce nouveau rebondissement n’est pas sans effet pour le droit à la protection des données personnelles, qui mérite une attention particulière.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans la protection des données personnelles et se tient à vos côtés pour vous accompagner dans la conformité de vos traitements de données. Pour en savoir plus, contactez-nous ici.
[1] Communiqué de presse, 5 octobre 2020 https://minefi.hosting.augure.com/Augure_Minefi/r/ContenuEnLigne/Download?id=6EDC2BBC-CF71-49ED-8ADD-AE4F5484E4D6&filename=244%20-%20renforcement%20du%20protocole%20sanitaire%20dans%20les%20restaurants.pdf
[2] En ce sens : https://nltimes.nl/2020/08/26/cafes-violating-customer-privacy-covid-contact-data
[3] Article 5, b) du RGPD et article 4, 2° de la loi Informatique et Libertés.
[4] Article 5, c) du RGPD et article 4, 3° de la loi Informatique et Libertés.
[5] Article 5, e) du RGPD et article 4, 5° de la loi Informatique et Libertés.
[6] Articles 24 et 32 du RGPD et article 57 de la loi Informatique et Libertés.