Coronavirus (COVID-19) et cahiers de rappel : les recommandations de la Cnil
Les restaurants situés dans les zones d’alerte maximale doivent respecter un protocole sanitaire renforcé qui impose, entre autres, la tenue d’un cahier de rappel de leurs clients. La Cnil vient d’émettre quelques recommandations à ce sujet…
Coronavirus (COVID-19) : les bonnes pratiques à mettre en œuvre pour le cahier de rappel
Pour rappel, l’ouverture des restaurants situés dans les zones d’alerte maximale est désormais conditionnée au respect d’un protocole sanitaire renforcé.
Celui-ci comprend notamment la tenue d’un « cahier de rappel », destiné à collecter les coordonnées des clients présents dans le restaurant, afin de les tenir à disposition des autorités sanitaires en cas de contamination de l’un d’eux.
Ce « cahier de rappel » constitue un traitement de données personnelles soumis au RGPD.
A ce titre, la Cnil vient d’émettre les recommandations suivantes.
- Les établissements de restauration mettant en place ces « cahiers de rappel » doivent collecter uniquement les données nécessaires
Les données collectées doivent se limiter à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone) : il est interdit de collecter davantage de données.
Lors de la collecte de ces données, le restaurateur ne peut pas procéder à un contrôle d’identité de la personne, par exemple en lui demandant de produire une pièce justificative.
L’établissement doit renseigner la date et l’heure d’arrivée du client afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la durée de conservation des fiches (limitée à 14 jours).
- Limiter l’utilisation des données à la seule transmission aux autorités sanitaires
Les collectées dans les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les autorités sanitaires en font la demande (agents des CPAM, de la CNAM et de l’ARS).
Toute autre utilisation (par exemple : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction, etc.) est strictement interdite.
- Informer les clients
Les clients doivent être informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données.
Cette information doit être délivrée au moment de la collecte des données, et sous un format facilement accessible (par exemple : une mention d’information intégrée sur le formulaire papier ou électronique à compléter par le client, un panneau d’affichage visible à l’entrée de l’établissement, etc.).
Cette mention d’information doit être claire, précise et simple. Elle doit comprendre :
- l’identité et les coordonnées de l’établissement ;
- l’objectif de la collecte des données (faciliter le traçage des « cas contacts » par les autorités sanitaires) ;
- la durée de conservation des données (14 jours) ;
- les droits dont dispose la personne concernée (notamment le droit d’accès et de rectification) ;
- les éventuels destinataires, et en particulier les autorités sanitaires auxquelles pourront être transmises ces données au cas où une infection à la covid-19 serait détectée.
Pour aider les restaurateurs, la CNIL a mis à leur disposition un exemple de modèle de document, avec les mentions d’information nécessaires. Il est consultable à l’adresse suivante : https://www.cnil.fr/fr/cahier-de-rappel-exemples-de-formulaire-de-recueil-de-donnees-et-mentions-dinformation-rgpd.
- Une durée de conservation limitée
Les données collectées dans le « cahier de rappel » doivent être détruites au bout de 14 jours, conformément aux préconisations du Ministère de la Santé, quelle que soit leur modalité de collecte (formulaire papier, formulaire en ligne, QR code, etc.).
- Sécuriser les donnée
Le restaurateur doit assurer la confidentialité des données collectées sur ses clients.
Pour un « cahier de rappel » au format papier, la Cnil recommande de mettre à disposition un formulaire individuel ou par tablée, ou de procéder à une collecte des informations directement par le restaurateur lui-même. Le « cahier de rappel » doit être conservé dans un lieu sécurisé (par exemple : armoire ou pièce fermée à clef etc.) et ne pas être laissé à la vue de tous les clients.
Pour les autres types de « cahier de rappel » (ex : QR code, formulaire en ligne, etc.), une attention particulière devra être apportée aux points suivants :
- sécuriser l’accès au système d’information utilisé avec un mot de passe « robuste » ;
- ne pas stocker les données collectées sur des matériels non sécurisés (par exemple, une clé USB).
Quel que soit le format du « cahier de rappel », les informations renseignées par les clients ne doivent pas être accessibles et consultées par l’ensemble du personnel de l’établissement, mais uniquement par des personnes spécifiquement identifiées (par exemple : le gérant de l’établissement).
Source : Actualité de la Cnil du 7 octobre 2020
Coronavirus (COVID-19) et cahiers de rappel : les recommandations de la Cnil © Copyright WebLex – 2020