Les conséquences du RGPD sur les restaurateurs

RGPD - Cahier de rappel pour les restaurants

Ecrit par Maxence MARSIN

Avocate en droit des affaires - Cabinet EXPAND AVOCATS
16 Oct, 2020

Le cahier de rappel dans les restaurants et la nécessité de respecter le RGPD

Depuis le 6 octobre 2020, dans le cadre du nouveau protocole sanitaire applicable dans les zones d’alerte maximale, les restaurants doivent tenir un « cahier de rappel » (ou « cahier de contacts ») qui rassemble les cordonnées de leurs clients.

Le cahier de rappel doit être mis en place à l’entrée des restaurants et conditionne l’accès à l’établissement.

L’objectif de ce cahier de rappel est de permettre aux restaurateurs d’informer leurs clients lorsqu’une personne ayant fréquentée leur établissement est testée positive au Covid-19.

Afin d’éviter d’être sanctionnés par la CNIL, les restaurateurs doivent procéder à cette collecte de données personnelles, dont la licéité ne pose pas question, dans le respect des règles du Règlement Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés.

 

Pour rappel, en cas de non-respect des règles du RGPD, l’amende encourue peut aller jusqu’à 4% du chiffre d’affaires annuel mondial.

 

Dans le cadre de la mise en place du cahier de rappel, les restaurateurs conservent une certaines latitude et sont donc libres d’appliquer des modalités spécifiques au fonctionnement de leur établissement.

Néanmoins, les restaurateurs doivent, dans tous les cas, respecter les principes fondamentaux du RGPD dans la mise en œuvre du cahier de rappel.

Les principaux principes à respecter sont exposés ci-après.

 

Quelle est la finalité du traitement des données collectées ?

S’agissant d’une collecte exceptionnelle de données personnelles dans le cadre de la crise sanitaire actuelle, les données collectées ne peuvent servir qu’à des fins sanitaires.

Le nouveau protocole sanitaire mentionne d’ailleurs clairement que « le restaurateur mettra ce cahier à la disposition de l’Agence Régionale de Santé ou de l’assurance maladie en cas de déclenchement d’un contact-tracing ».

L’usage commercial des données collectées est strictement interdit.

 

Quelles sont les données qui doivent être collectées ?

Seules les données strictement nécessaires doivent être collectées.

Selon les recommandations de la CNIL, les données à collecter doivent se limiter à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone).

Il n’est donc pas utile de collecter l’adresse email en complément.

En outre, la collecte des coordonnées d’une seule personne par table pourra s’avérer suffisante selon les cas.

Toute collecte d’information supplémentaire ou demande de présentation d’une pièce d’identité est interdite.

RGPD pour les restaurants

Les restaurants dans la tourmente du COVID

 

Pendant combien de temps les données sont elles conservées ?

Les coordonnées devront être détruites dans un délai de 14 jours.

Le formulaire de collecte doit donc impérativement contenir la date et l’heure d’arrivée afin de calculer la durée de conservation.

La destruction des données doit être définitive. Si le cahier de rappel est constitué sous format papier, il ne doit pas être possible d’en reconstituer les informations après destruction (usage d’un broyeur ou autre).

 

Quelles sont les obligations de confidentialité et de sécurité auxquelles doivent se soumettre les restaurateurs ?

Le restaurateur doit assurer la confidentialité des données ainsi collectées. De même, le cahier de rappel doit donc être conservé dans un lieu sécurisé.

A cet effet, les informations collectées ne doivent être accessibles qu’à certains membres du personnel identifiés et qui ont vocation à en connaître.

Lorsque le cahier de rappel est tenu sous format papier, les données personnelles ne doivent pas être accessibles aux tiers et encore moins à la vue de tous les autres clients, comme c’est encore le cas dans de trop nombreux restaurants.

La CNIL recommande d’ailleurs, pour les cahiers sous format papier, un formulaire individuel ou par tablée. Les formulaires pourront ainsi être regroupés avec les autres par les membres du personnel habilités.

Pour information, vous pouvez trouver un exemple de formulaire de recueil de données à utiliser pour les établissements sur le site de la CNIL.

Pour les cahiers sous format numérique (appli, etc.), le fichier devra être sécurisé par un mot de passe et être conservé sur un support sécurisé.

Il convient d’éviter la conservation du cahier de rappel sur une clef USB qui peut facilement être égarée et privilégier une conservation sur ordinateur.

Les garanties concernant la confidentialité et la sécurité du cahier de rappel sont primordiales, d’autant plus que, dans l’hypothèse où une personne ayant fréquentée un établissement serait testée positive au Covid-19, les données ainsi collectées deviendraient des données sensibles (données concernant la santé) lesquelles requièrent un niveau plus élevé de protection.

 

Comment informer les clients et obtenir leur consentement ?

Les clients doivent obtenir une information complète sur le traitement qui doit être effectué de leurs données personnelles préalablement à la collecte.

Il convient donc d’afficher à l’entrée de l’établissement une note d’information à destination de la clientèle mentionnant notamment :

  • l’identité et les coordonnées de l’établissement ;
  • les finalités du traitement (traçage des cas contacts) et sa base juridique ;
  • les destinataires des données (l’Agence Régionale de Santé ou de l’assurance maladie en cas de déclenchement d’un contact-tracing);
  • la durée de conservation des données (14 jours) ;
  • les droits des personnes concernées (accès, rectification, etc.) ;
  • le droit d’introduire une réclamation auprès de la CNIL ;
  • le fait que les données sont obligatoires pour accéder à l’établissement et les conséquences de l’absence de communication de ces informations.

Dans ses recommandations, la CNIL précise que, conformément à la législation sur la protection des données personnelles, « la personne doit disposer d’un choix réel sans avoir à subir de conséquences négatives en cas de refus. En pratique, cela signifie que le responsable de traitement ne peut pas refuser l’accès à son établissement, si la personne refuse de communiquer ses données. »

Les restaurateurs devront donc composer avec les règles du nouveau protocole sanitaire qui indique expressément que le cahier de rappel, placé à l’entrée des restaurants, « conditionne l’accès à l’établissement ».

Il conviendra donc de prévoir des conditions d’accès spécifiques à l’établissement pour les clients qui refuseraient la collecte de leurs données personnelles.

 

Les clients peuvent-ils vérifier les données qui ont été récupérées ?

Les clients disposent notamment d’un droit d’accès à leurs données, ils pourront ainsi interroger l’établissement pour obtenir une copie de ces informations et d’un droit de rectification (possibilité donnée à chaque personne concernée d’obtenir la modification ders données la concernant).

Afin d’éviter les sanctions, nous recommandons aux restaurateurs d’être rigoureux lors de la mise en place du cahier de rappel.

 

Si vous avez des questions, ou que vous souhaitez être accompagné afin de vous assurer de la conformité aux dispositions légales de la mise en place du cahier de rappel dans votre établissement, n’hésitez pas à contacter notre expert sur le RGPD.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

quatre × 5 =