Réf. : CNIL, communiqué de presse , 7 octobre 2020
Lecture: 5 min
N4886BYM
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 14 Octobre 2020
► En raison de l’aggravation de la situation sanitaire, certains établissements situés dans les zones d’alerte maximale sont soumis au respect d’un protocole sanitaire renforcé qui leur impose de tenir un « cahier de rappel » de leurs clients ; ce « cahier de rappel », quel que soit son support, constitue un traitement de données personnelles soumis au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) ; les établissements mettant en place ces « cahiers » doivent respecter plusieurs principes rappelés par la CNIL dans son communiqué de presse en date du 7 octobre 2020.
Objectif. Les « cahiers de rappel » sont destinés à collecter les coordonnées des clients présents dans les restaurants, les cafétérias ou les établissements de restauration rapide, afin de les tenir à disposition des autorités de sanitaires en cas de contamination de l’un des clients.
Selon la CNIL, les « cahiers de rappel » doivent respecter les cinq principes suivants découlant du « RGPD ».
Collecter uniquement les données nécessaires. Les données à collecter doivent se limiter à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone). Il est interdit de collecter davantage de données.
Lors de la collecte des données, le restaurateur ne peut pas procéder à un contrôle d’identité de la personne, par exemple en demandant de produire une pièce justificative.
L’établissement doit renseigner la date et l’heure d’arrivée du client afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la conservation des fiches (14 jours).
Limiter l’utilisation des données à la seule transmission aux autorités sanitaires. Les informations collectées dans les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les autorités sanitaires (agents des CPAM, de la CNAM, de l’ARS) en font la demande. Toute autre utilisation est strictement interdite.
Informer les clients. Les clients doivent être informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données.
Cette information doit être délivrée au moment de la collecte de ses données, et sous un format facilement accessible. Il peut s’agir par exemple d’une mention d’information intégrée sur le formulaire papier ou électronique à compléter par le client, d'un panneau d’affichage visible à l’entrée de l’établissement, etc.
Cette mention d’information doit être claire, précise et simple. Elle devra comprendre :
La CNIL a publié un exemple de formulaire à utiliser pour les établissements situés en zone d’alerte maximale, sur lequel figurent les mentions d’information nécessaires.
Une durée de conservation limitée. Les données collectées dans le « cahier de rappel » devront être détruites au bout de 14 jours, conformément aux préconisations du ministère des Solidarités et de la Santé, quelle que soit leur modalité de collecte.
Sécuriser les données. Le restaurateur devra assurer la confidentialité des données collectées sur ses clients.
- Pour un « cahier de rappel » au format papier, il est recommandé de mettre à disposition un formulaire individuel ou par tablée, ou de collecter, par le restaurateur lui-même, les informations. Le « cahier de rappel » doit être conservé dans un lieu sécurisé, comme par exemple, dans une armoire ou une pièce fermée à clef. Il ne doit pas être laissé à la vue de tous les clients.
- Pour les autres types de « cahier de rappel » (ex : QR code, formulaire en ligne, etc.), une attention particulière devra être apportée aux points suivants :
Qu’il s’agisse d’un « cahier de rappel » papier ou non, les informations renseignées par les clients ne doivent pas être accessibles et consultées par l’ensemble du personnel de l’établissement, mais uniquement par des personnes spécifiquement identifiées, comme par exemple, le gérant de l’établissement.
Les établissements hors zones d’alerte maximale. Ils ne sont pas soumis au respect de ce protocole sanitaire renforcé. Pour ces établissements, et au-delà des préconisations rappelées ci-dessus, les « cahiers de rappel » peuvent être mis en place sous réserve de respecter les conditions suivantes :
Pour que le consentement recueilli soit valable, la personne doit disposer d’un choix réel sans avoir à subir de conséquences négatives en cas de refus. En pratique, cela signifie que le responsable de traitement ne peut pas refuser l’accès à son établissement, si la personne refuse de communiquer ses données. Le recueil de l’accord de la personne peut s’effectuer, par exemple, au moyen d’une case à cocher sur un formulaire en ligne au moment de sa réservation en ligne, de la signature d’un formulaire papier remis lors de son arrivée dans l’établissement, etc.
La CNIL propose également un formulaire pour les établissements qui ne sont pas soumis au protocole sanitaire renforcé.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:474886
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.