On sait que le dispositif de lutte contre la propagation de l’épidémie de coronavirus repose en partie sur le traçage et l’isolement des « cas contact », c’est-à-dire des personnes ayant été en contact avec une personne testée positive au virus.
Face à l’échec relatif de l’application « stop Covid », il était jusqu’à présent difficile de remonter la chaîne des contaminations dans les restaurants, où les clients ne portent pas de masques et sont conduits à passer un temps prolongé à proximité d’autres personnes.
Pour résoudre cette difficulté, les restaurateurs des zones les plus touchées viennent de se voir imposer la tenue de « cahiers de rappel » (https://solidarites-sante.gouv.fr/actualites/presse/communiques-de-presse/article/renforcement-protocole-sanitaire-restaurants-zones-d-alerte-maximale). Ces mesures sont rendues applicables dans les territoires concernés (notamment, pour l'instant, la métropole d'Aix Marseille, Paris et sa petite couronne, la Guadeloupe) par arrêté préfectoral (voir par exemple, pour Paris, l'arrêté 2020-00812 du 6-10-2020 imposant dans les restaurants parisiens des mesures de sécurité sanitaire renforcées en vue de ralentir la propagation du virus Covid-19). Elles sont pour l'instant prévues pour durer 15 jours.
Comment fonctionne le dispositif ?
Concrètement, tous les restaurants situés dans une zone d'alerte maximale doivent tenir à jour un registre répertoriant les informations personnelles de leurs clients (nom, prénom, mail, numéro de téléphone, date et heure d’arrivée). Ce registre est mis à disposition des autorités sanitaires afin que celles-ci puissent contacter rapidement les autres clients si une personne infectée vient à être détectée dans l’établissement.
Le « cahier de rappel » peut être un cahier « papier » ou un registre numérique : système de registre digital par QR code, système de recueil des informations au moment d’une réservation en ligne.
La question de savoir si un restaurateur doit refuser l'entrée de son établissement à une personne refusant de communiquer ses coordonnées n'est pas clairement tranchée par les textes disponibles : d'après le communiqué de presse du ministère de la solidarité et de la santé, toutefois, la mise en place du cahier de rappel conditionne l'accès à l'établissement.
Quel est le cadre réglementaire des cahiers de rappel ?
Le dispositif mis en place constitue un traitement de données personnelles. Afin de rappeler les règles, issues du Règlement UE 2016/679 du 27-4-2016 (RGPD) et de la loi 78-17 du 6 janvier 1987 (loi informatique et liberté), auxquelles ce traitement est soumis, la Cnil vient de publier des recommandations. Elle met également à la disposition des restaurateurs deux modèles de cahier de rappel.
Données collectées et durée de conservation
La Cnil rappelle d’abord que seules peuvent être collectés l’identité de la personne (non / prénom) et un moyen de contact. Les restaurateurs ne peuvent donc pas demander d'autres informations, comme, par exemple, l’âge de leurs clients ou leur adresse postale.
La date et l’heure d’arrivée du client doivent cependant être indiquées par l’établissement afin de permettre d’identifier ceux concernés par une enquête sanitaire.
Les restaurateurs ne peuvent pas contrôler l’identité de la personne, par exemple en leur demandant de produire une pièce justificative.
Utilisation des données
Les informations collectées ne doivent être utilisées que pour permettre le traçage des cas contact, lorsque les autorités sanitaires le demandent.
Elles ne peuvent donc pas être réutilisées par le restaurateurs à d'autres fins, notamment promotionnelles, par exemple pour adresser une offre publicitaire ou une enquête de satisfaction à un client ayant confié son numéro ou son adresse mail sur le cahier de rappel.
Information des clients
La Cnil rappelle que les clients doivent être informés de l’objet de la collecte et des droits dont ils disposent en ce qui concerne leurs données, au moment de la collecte et sous un format facilement accessible : par exemple, un panneau d’affichage à l’entrée de l’établissement ou une mention d’information intégrée sur le formulaire papier ou électronique remis au client.
Cette information doit mentionner la personne que le client peut contacter, au sein de l'établissement, pour faire valoir ses droits ou poser des questions.
Pour faciliter la tâche des restaurateurs, un texte reprenant l’information à fournir est intégré au modèle de formulaire de renseignement que la Cnil met à leur disposition.
Conservation des données
Dans la mesure où le but du dispositif est exclusivement de permettre le traçage des cas contact, les données collectées par les restaurateurs ne peuvent pas être conservées plus de 15 jours.
Sécurité du traitement
Le restaurateur doit assurer la confidentialité du « cahier de rappel ». Cela implique :
- Pour un cahier papier, qu’il ne puisse pas être consulté à l’entrée du restaurant par tous les clients ou par le personnel. La Cnil recommande ainsi aux restaurateurs de distribuer à chaque table des formulaires individuels ou de collecter lui-même les informations. Le « cahier de rappel » doit en tout état de cause être conservé dans un lieu sécurisé.
- Pour un cahier « numérique » (QR code, formulaire en ligne etc.), que l’accès au système soit sécurisé avec un mot de passe robuste et que les données collectées ne soient pas stockées sur des matériels non sécurisés.
Sanctions en cas de non respect de la réglementation
Un restaurateur qui collecterait des données inutiles, détournerait ces données en les utilisant à des fins non prévues par le traitement (par exemple promotionnelles) ou les conserverait au-delà du délai de 14 jours, encourt notamment des sanctions pénales allant jusqu’à 5 ans de prison et 300 000 € d’amendes (C. pén. art. 226-18, 226-20 et 226-21).
Maya VANDEVELDE
Suivez les dernières actualités juridiques et assurez la reprise de l’activité pour vos clients ou votre entreprise avec Navis :
Vous êtes abonné ? Accédez à votre Navis à distance.
Pas encore abonné ? Nous vous offrons un accès au fonds documentaire NAVIS toutes matières pendant 10 jours.