Book to remember : tips and recommendations of the CNIL
Pour accompagner certains établissements – notamment les restaurants, the bars and salles de sport – dans leur réouverture, la CNIL a imposé aux professionnels du CHR de tenir un cahier de rappel afin de respecter le protocole sanitaire.
Du fait que ce cahier comporte les données personnelles des clients, la CNIL rappelle les règles et recommandations à suivre.
Pourquoi un cahier de rappel ?
Afin d’allier obligations sanitaires et protection des données personnelles, établir un cahier de rappel est essentiel.
Ce document papier ou dispositif numérique permet aux restaurants, bars et salles de sport d’enregistrer quelques données des clients au moment de leur entrée. Les informations collectées interviennent dans le suivi des consommateurs et leur alerte (ainsi que les autorités sanitaires) en cas de contamination.
5 recommandations CNIL à suivre
Selon la CNIL, le cahier de rappel « constitue un traitement de données personnelles soumis à la réglementation », dont le RGPD. Les professionnels du CHR doivent par conséquent respecter les principes suivants.
1- Minimiser la collecte de données
La CNIL a bien précisé que les données à collecter se limitent à :
- L’identité du client (nom et prénom)
- Seulement un moyen de contact (numéro de téléphone),
- La date et l’heure d’arrivée (pour identifier les personnes concernées par une enquête sanitaire et définir la date de départ de conservation des fiches).
L’autorité de protection indique qu’il est strictement interdit aux restaurants, bars and salles de sports de collecter davantage d’informations ou de demander une pièce justificative pour réaliser un contrôle d’identité.
2- Limiter l’utilisation du cahier de rappel aux finalités exigées par les autorités sanitaires
Le respect de la finalité est un autre principe très important. En effet, les données collectées grâce aux cahiers de rappel sont exclusivement utilisées pour identifier les cas contacts et ceci lorsque les autorités sanitaires en font la demande.
Cela signifie que :
- Toute autre utilisation de ces informations (par exemple prospection, communication sur les offres et les promotions de l’établissement, invitation à des événements, transmission des données à des partenaires…) est strictement interdite
- Les autorités sanitaires (CPAM, CNAM, ARS) ont exclusivement le droit de demander la communication de ce cahier. L’établissement ne doit transmettre aucune information collectée à un tiers.
3- Informer les clients sur l’objectif du cahier de rappel et garantir le consentement
Les clients doivent être clairement informés de l’objectif de la collecte de leurs données personnelles ainsi que les droits dont ils disposent concernant celles-ci. Les établissements concernés (bars, restaurants et salles de sport) peuvent par exemple intégrer une mention d’information dans le formulaire à compléter, un panneau d’affichage à l’entrée…
A cet égard, les informations à délivrer au client au moment de la collecte de ses informations sont :
- L’identité et les coordonnées de l’établissement
- L’objectif et la finalité de la collecte des données
- La durée de conservation des données
- Les droits dont il dispose
- Les éventuels destinataires notamment les autorités sanitaires.
En ce qui concerne le consentement du client, il n’est valable que s’il dispose d’un choix réel sans qu’il subisse des conséquences négatives dans le cas ou il refuse la collecte de ses informations. La CNIL explique que les professionnels du CHR concernés par les cahiers de rappel ne peuvent pas refuser l’accès à leurs établissements aux personnes qui refusent de communiquer leurs données.
Ainsi, la CNIL met à la disposition des professionnels du CHR un exemple de modèle de cahier de rappel à suivre comportant les mentions d’informations citées.
4- Respecter la durée de conservation des informations collectées
Conformément aux préconisations du ministère de la Santé, la CNIL souligne que les données du cahier de rappel papier devront être détruites après un délai de 15 jours, correspondant à la durée moyenne d’incubation du virus.
5- Assurer la confidentialité des données personnelles des clients
Les restaurants, bars et salles de sport doivent assurer la sécurité des données collectées dans les cahiers de rappel. La CNIL recommande d’utiliser des fiches individuelles ou par tablée et que celles-ci sont rangées dans un lieu sécurisé (armoire fermée à clé par exemple) et hors vue des autres clients.
Dans le cas des cahiers de rappel numérique, il faudra assurer la sécurisation du système d’information utilisé (protection par mot de passe robuste, utilisation d’un matériel sécurisé…).
Finalement, la consultation du cahier de rappel doit être restreinte à des personnes spécifiquement identifiées comment le gérant de l’établissement.
Pas question de permettre à l’ensemble du personnel de consulter les données personnelles des clients.
