Par Stéphane Astier et Anne Charlotte Andrieux
Depuis le 5 octobre le ministère de la santé a renforcé le protocole sanitaire dans les restaurants situés dans les zones d’alerte maximale. Au-delà de la fermeture des débits de boisson, de nouvelles mesures prises sur recommandation du HCSP s’appliquent aux restaurants dits traditionnels (code NAF 56.10 A), aux cafétérias et établissements libre-service (code NAF : 56.10 B) ainsi qu’à la restauration rapide (code NAF 56 .10 C).
Parmi ces nouvelles mesures figure notamment l’obligation pour tous les restaurateurs de tenir un cahier de rappel mis en place à l’entrée des restaurants et qui conditionne l’accès à l’établissement. Les clients doivent laisser leurs coordonnées et le restaurateur est tenu de les tenir à la disposition de l’Agence Régionale de Santé ou de l’assurance maladie en cas de déclenchement d’un contact-tracing.
Le ministère de la santé précise que dans tous les cas, ces données devront être détruites après un délai de 14 jours.
La CNIL s’est emparée du sujet et précise que ce cahier de rappel, qu’il prenne la forme d’un cahier « papier », d’un formulaire en ligne ou encore d’un QR code constitue un traitement de données à caractère personnel soumis à la réglementation[1] et formule des consignes pratiques à l’attention des restaurateurs.
1. Minimiser la collecte des données
Les données collectées doivent se limiter à :
- l’identité du client (nom et prénom)
- au numéro de téléphone du client
- à la date et à l’heure d’arrivée du client
2. Limiter l’utilisation des données aux seules finalités imposées par la réglementation sanitaire
Les restaurateurs ne devront utiliser les données collectées que pour la seule finalité de transmission aux autorités sanitaires et lorsque ces autorités en font la demande (CPAM, CNAM, ARS). Les données ne devront donc pas être utilisées pour la communication personnelle de l’établissement ni pour enrichir le répertoire client.
3. Informer les clients
Les clients devront être informés de l’objet de la collecte et des droits dont ils disposent lors de la collecte des données. A cet égard, la CNIL recommande l’insertion d’une mention d’information sur le formulaire de collecte ou un panneau d’affichage visible à l’entrée de l’établissement.
La Commission propose l’utilisation de la mention suivante pour les établissements situés en zone d’alerte maximale :
COVID-19 : vos coordonnées pour faciliter la recherche des « cas contacts » Notre établissement est soumis au respect d’un protocole sanitaire spécifique, qui prévoit le recueil d’informations vous concernant, dans le cadre de la lutte contre l’épidémie de COVID-19. Date et heure d’arrivée : [à compléter par l’établissement] Chaque client doit compléter les informations suivantes. Nom : …………………………………………………………………………………………………………………………………………….. Prénom : ……………………………………………………………………………………………………………………………………….. Numéro de téléphone : …………………………………………………………………………………………………………………… *** Les informations recueillies sur ce formulaire sont enregistrées et utilisées uniquement par notre établissement : [identité et coordonnées de votre établissement] Conformément aux obligations prévues dans le protocole sanitaire défini par arrêté préfectoral, vos données seront uniquement utilisées pour faciliter la recherche des « cas contacts » par les autorités sanitaires, et ne seront pas réutilisées à d’autres fins. En cas de contamination de l’un des clients au moment de votre présence, ces informations pourront être communiquées aux autorités sanitaires compétentes (agents des CPAM, de l’assurance maladie et/ou de l’agence régionale de santé), afin de vous contacter et de vous indiquer le protocole sanitaire à suivre. Vos données seront conservées pendant 14 jours à compter de leur collecte, et seront supprimées à l’issue de ce délai. Vous pouvez accéder aux données vous concernant, les rectifier ou exercer votre droit à la limitation du traitement de vos données. Pour exercer ces droits ou pour toute question sur le traitement de vos données, vous pouvez contacter [coordonnées téléphonique, postales ou électroniques pour contacter la personne de votre établissement qui sera chargée de répondre à la demande] Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.
|
Le recueil du consentement du client peut s’effectuer par divers moyens : case à cocher sur un formulaire en ligne au moment de sa réservation, signature du formulaire papier, etc.
4. Sécuriser les données
Afin que les autres clients ou les membres du personnel ne puissent pas accéder aux coordonnées présentes dans le cahier de rappel la Commission propose les procédés de collecte suivant :
-
Pour un cahier papier : il est recommandé de mettre à disposition un formulaire individuel ou par tablée, ou que le restaurateur collecte les informations directement auprès des clients. En tout état de cause, ce cahier devra être conservé dans un lieu sécurisé fermé à clé et ne pas être accessible à tous les clients.
-
Pour les cahiers de rappel numérique : une attention particulière devra être apportée à la sécurisation du système d’information utilisé (accès par un mot de passe robuste, utilisation d’un matériel sécurisé, habilitation spécifique du gérant d’établissement).
5. Garantir un consentement libre
De manière générale, pour que le recueil du consentement de la personne concernée par un traitement de données soit valable, cette personne doit disposer d’un choix réel sans avoir à subir de conséquences négatives en cas de refus.
Cela signifie que le restaurateur ne peut pas refuser l’accès à son établissement aux personnes refusant de communiquer ses données.
6. Possibilité de mise en œuvre par les établissements hors zone d’alerte maximale
Les établissements hors zones d’alerte maximale ne sont pas contraints au respect de ce protocole sanitaire renforcé.
Néanmoins ils pourront choisir de mettre en place un cahier de rappel sous réserve de justifier de la nécessité du dispositif et de recueillir le consentement de chaque client à la collecte de ses données, et à leur éventuelle communication aux autorités sanitaires.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1] Règlement nᵒ 2016/679 (RGPD) et loi Loi n° 78-17 du 6 janvier 1978 dite Informatique et Libertés