© Pixabay
© Pixabay

La tenue d'un cahier de rappel fait partie des obligations liées au respect d'un protocole sanitaire durci. Comme pour les applications mobiles du même genre, la question du traitement des informations récoltées se pose.

Pour permettre la réouverture des restaurants (ou des lieux qui attestent d'un service à table) dans les zones d'alerte maximale, le ministère des Solidarités et de la Santé a publié, le 5 octobre, le nouveau protocole sanitaire de sécurité renforcée valable pour les restaurants, qui ne peuvent maintenir leur activité dans les zones plus critiques que dans le cas où le respect des recommandations sanitaires est assuré. Un cahier de rappel est notamment obligatoire. Il doit être mis en place à l'entrée de tous les restaurants et impose aux clients de laisser leurs coordonnées (nom, prénom et numéro de téléphone), s'ils souhaitent passer à table.

Lire aussi :
Les États européens interdits de collecter massivement les données Internet et téléphoniques

Les données conservées, puis détruites au bout de 14 jours

Beaucoup s'interrogent sur le devenir de certaines de nos informations personnelles, que ce soit au sein des restaurants ou via les applications qui émergent pour permettre la digitalisation des carnets de rappel. Alors qu'au Royaume-Uni les données personnelles laissées par les clients dans les restaurants sont revendues, la Commission nationale de l'informatique et des libertés (CNIL) entend veiller au grain, et rappelle que l'établissement d'un registre ou d'un cahier constitue un traitement de données personnelles, qu'il soit papier ou non, le soumettant de facto au RGPD.

En France, l'État impose le principe selon lequel le restaurateur doit mettre son cahier de rappel à disposition de l'assurance maladie ou de l'Agence régionale de santé (ARS), dans le cas où il est nécessaire de retracer les cas contacts. En théorie, les données récoltées doivent être détruites dans un délai de 14 jours. Ce sont les seules possibilités qui s'offrent aux restaurateurs, directement concernés par les carnets de rappel.

Lire aussi :
La CNIL juge contraires au RGPD les badgeuses photo de plusieurs employeurs

La réutilisation des données autre que le seul but sanitaire est interdite

Les données sont limitées aux prénom, nom et numéro de téléphone du client, et celles-ci ne doivent pas aller au-delà de la recherche des cas contacts. La CNIL est très claire à ce sujet et précise que toute autre utilisation est strictement interdite. Cela comprend par exemple l'invitation à un événement spécial dans le lieu où les données ont été récupérées, une promotion sur la carte ou le programme du lieu, et bien entendu la revente des données.

Faire remplir le cahier au client et l'informer de vive voix du but de la demande ne suffisent pas. L'établissement doit faire figurer, sous un format écrit ou électronique facilement accessible, son identité et ses coordonnées, l'objectif de la collecte des données, la durée de conservation de ces dernières, les droits du client au sujet de ses données (droit d'accès et de rectification) et les autorités sanitaires ou services pouvant avoir accès aux données. Il doit également recueillir le consentement de la personne qui lui remet ses données, en demandant par exemple de signer le formulaire ou de cocher une case faisant office d'approbation.

Lire aussi :
Bars et restaurants : finies les cartes, grâce au dôme intelligent et QR code de cette start-up française
Le dôme intelligent, sous forme de QR code, est déjà en train de s'imposer dans les restaurants, notamment pour « distribuer » les menus aux clients (© Vazee)
Le dôme intelligent, sous forme de QR code, est déjà en train de s'imposer dans les restaurants, notamment pour « distribuer » les menus aux clients (© Vazee)

Veiller à la sécurité des données, même (et surtout) avec un cahier de rappel papier

Se pose ensuite la question de la sécurisation des données, question sans doute la plus importante aux yeux des consommateurs. Concernant le formulaire papier, la CNIL recommande au restaurateur de récolter lui-même les informations, ou alors de le faire par tablée. Le cahier doit ensuite être conservé dans un lieu sécurisé, et non pas à l'entrée du restaurant. Aucun autre client ne doit pouvoir y avoir accès.

Les professionnels qui privilégient le cahier de rappel numérique (formulaire en ligne, QR code, etc.) doit prendre le soin de sécuriser l'accès au système d'information, en bétonnant celui-ci à l'aide d'un mot de passe robuste. Il lui est aussi conseillé de ne pas stocker les informations recueillies sur un matériel qui ne serait pas sécurisé, comme une clé USB.

La société strasbourgeoise Arkaé, qui a récemment lancé l'application bienvenue.app pour aider (contre abonnement mensuel payant) les lieux accueillants du public à remplir leurs carnets de rappel à l'aide d'un QR code, explique laisser les données personnelles à disposition du restaurateur uniquement (et de l'ARS si un infecté déclare avoir déjeuné à l'endroit concerné), pendant 14 jours. Une fois le délai écoulé, l'entreprise procède à la suppression des données.

Qu'en pense-t-on chez Clubic ?

En théorie, si le client refuse de communiquer ses données personnelles, le restaurant ou le lieu concerné ne peut pas en principe lui en refuser l'accès. Bon, ça, c'est pour la théorie… En pratique, on voit mal un client « forcer » l'entrée d'une porte qui lui resterait close pour ne pas avoir joué le jeu. Si donner son nom, son prénom et son numéro de téléphone peut évidemment être contraignant pour certains, il faut penser que la mesure n'est faite que dans un processus de responsabilité collective. Le restaurateur du coin se passerait bien de devoir perdre du temps en paperasse. Cela peut en tout cas se révéler être une excellente alternative à la défaillance de l'application StopCovid (dont on attend une nouvelle version), qui est censée être très utile dans les lieux de restauration, si elle était adoptée par une majorité de Français.

Source : CNIL / Gouvernement