Covid-19 : Les restaurants ont-ils le droit de collecter et stocker les données de leurs clients ?

Contrairement aux bars, les restaurants situés en zone d'alerte maximale peuvent rester ouverts à condition de respecter un protocole sanitaire strict. Les clients doivent notamment laisser leurs coordonnées dans un "cahier de rappel" situé à l'entrée des établissements. Ces informations doivent servir à contacter les cas contacts lorsqu'une personne est testée positive au Covid-19.

En complément de ce registre, le gouvernement recommande "le téléchargement et l'activation de StopCovid" pour les clients des restaurants.

Les restaurants doivent appliquer le RGPD
Mais ce "cahier de rappel" n'est pas sans soulever de nombreuses questions relatives à l'application du Règlement général sur la protection des données (RGPD). Car ce registre compile de nombreuses données personnelles.

"Les obligations du RGPD s'appliquent à ce cahier de rappel. Ce texte concerne les données numériques mais également celles écrites sur un papier ", déclare Jules Hervé Yimeumi, Data protection officer et spécialiste de la protection des données personnelles, auprès de L'Usine Digitale.

En vertu du principe de minimisation, seules les données strictement nécessaires doivent être collectées. "Les restaurants devront choisir entre le numéro de téléphone ou l'adresse email. Mais la collecte des deux n'est pas justifiée", explique le juriste. Par ailleurs, les coordonnées d'une seule personne par table suffisent. A sa charge ensuite de contacter ses proches en cas de contamination.

Le cahier doit être rangé dans une armoire fermée à clé
Concernant le support, Jules Hervé Yimeumi précise que les données peuvent être inscrites sur un papier mais à condition qu'il soit nominatif. "Les formulaires doivent être rangés dans une armoire fermée à clé à laquelle une personne dédiée a accès", poursuit-il. Ces obligations ne sont pas encore respectées dans tous les restaurants, d'après quelques tweets montrant des cahiers remplis de coordonnées et exposés à la vue de tous.
 

La récolte et le stockage des cordonnées ne doivent servir qu'à des fins sanitaires. "Les restaurants n'ont pas le droit d'utiliser ces informations pour faire du ciblage publicitaire ou du démarchage commercial", souligne le DPO. Une pratique qui a été constatée en Allemagne où des données personnelles récoltées par les restaurants ont été détournées à des fins d'enquêtes policières, ou récupérées par des entreprises pour envoyer des newsletters, selon le magazine allemand Der Spiegel.

En France, "ces données pourraient être transmises à des autorités qui disposent de pouvoirs d’investigation incluant la production obligatoire de documents et renseignements, dans le cadre d’enquêtes criminelles suite à des faits survenus dans les établissements par exemple", précise Jules Hervé Yimeumi.

Les données seront détruites dans un délai de 14 jours
Concernant les durées de conservation, les coordonnées devront être détruites dans un délai de 14 jours "dans un broyeur à papier", détaille le juriste. Enfin, en vertu du principe de transparence, les données ne peuvent être traitées qu'après communication aux personnes concernées d'une information complète sur le traitement.

Si les restaurants ne se conforment pas aux obligations du RGPD, ils risquent une amende allant jusqu’à 4 % de leur chiffre d’affaires annuel mondial. "Je pense que la Commission nationale de l'informatique et des libertés va bientôt publier des conseils destinés aux restaurants", indique Jules Hervé Yimeumi. C'est en tout cas ce qu'a fait l'autorité de protection des données belge en juin dernier. Elle appelait le gouvernement à adopter un texte de loi pour établir un cadre clair autour de cette récolte exceptionnelle de données en temps de crise sanitaire.