Recevez chaque jour toute l'actualité du numérique

x

Covid-19 : La Cnil livre ses recommandations sur le "cahier de rappel" pour les restaurants

Consciente des enjeux en matière de vie privée, la Cnil a émis une série de recommandations à destination des restaurants pour la mise en place d'un "cahier de rappel". Ce registre de coordonnées doit servir à contacter les clients en cas de contamination par le SARS-CoV-2, dans un objectif de lutte contre la propagation de la pandémie.
Twitter Facebook Linkedin Flipboard Email
×

Covid-19 : La Cnil livre ses recommandations sur le cahier de rappel pour les restaurants
Covid-19 : La Cnil livre ses recommandations sur le "cahier de rappel" pour les restaurants © Dapiki moto/Unsplash

Après quelques jours d'incertitude, la Commission nationale de l'informatique et des libertés (Cnil) vient de rendre ses recommandations sur le "cahier de rappel", registre devenu obligatoire pour les restaurants placés en zone d'alerte maximale. Les clients doivent y inscrire leurs coordonnées pour être prévenus en cas de contamination par le SARS-CoV-2 au sein de l'établissement.

C'est un traitement de données personnelles
La Cnil rappelle que ce cahier, qu'il s'agisse d'un registre papier ou numérique, constitue un traitement de données personnelles et est donc soumis à la législation en vigueur. Premièrement, les restaurants ne doivent collecter que les données strictement nécessaires : nom, prénom et un seul moyen de contact. "Il est interdit de collecter davantage de données", tranche l'autorité protectrice de la vie privée.

Dans le détail, le restaurant ne peut pas procéder à un contrôle d'identité de la personne. De plus, il doit renseigner l'heure et la date d'arrivée du client afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la conservation du registre, 14 jours en l'espèce.

De plus, ces données personnelles doivent être uniquement utilisées pour faciliter la recherche des "cas contacts" lorsque les autorités sanitaires en font la demande. Seuls les agents de la Caisse primaire d'Assurance Maladie, de la Caisse nationale de l'Assurance maladie et de l'Agence régionale de santé sont autorités à y avoir accès.

Une information claire et simple transmise aux clients
Les clients doivent être clairement informés de la collecte et de son objet. Cette mention d'information "claire, précise et simple" doit comprendre : l'identité et les coordonnées de l'établissement, l'objectif de la collecte, la durée de conservation des données, les droits dont dispose le client et les éventuels destinataires. La Cnil propose un modèle de document incluant ces mentions obligatoires.

Les données ne peuvent pas être conservées indéfiniment. Elles doivent être détruites au bout de 14 jours, conformément aux préconisations du ministère de la Santé, et quelle que soit leur modalité de collecte.

Enfin, le restaurant doit assurer la confidentialité des données. "Il ne s’agit pas que chacun ait accès aux coordonnées de l’ensemble des clients présents au même moment que lui !", déclare la Cnil faisant référence à certaines pratiques décriées par les clients ces derniers jours.

Le stockage doit être sécurisé
Pour un format papier, la Commission recommande de fournir un formulaire individuel par tablée ou que le restaurateur collecte lui-même les coordonnées. Ces fiches doivent être stockées dans un lieu sécurisé et ne pas être laissées à la vue de tous. Pour les autres formats de cahier, l'établissement doit sécuriser l'accès au système d'information par un mot de passe "robuste" et ne doit pas stocker les données sur du matériel non sécurisé.

La Cnil précise que les restaurants placés hors zones d'alerte maximale peuvent également mettre en place un "cahier de rappel". A condition de justifier de la nécessité du dispositif et de recueillir auprès de chaque client son consentement à la collecte de ses données, et à leur éventuelle transmission aux autorités sanitaires. Dans ce cas, un établissement ne peut pas interdire l'accès à un client refusant de communiquer ses données.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media