Obligation du cahier de rappel dans les restaurants : quid du RGPD ?
Obligation du cahier de rappel dans les restaurants : quid du RGPD ?
Compte tenu de l’évolution de la situation épidémique, le Gouvernement a renforcé le protocole sanitaire dans les restaurants des zones d’alerte maximale dans le cadre d’un Communiqué de presse du 5 octobre 2020.
Dans ce contexte, les restaurateurs ont l’obligation de mettre en place un « cahier de rappel » à l’entrée de leur établissement et les clients ont l’obligation de laisser leurs coordonnées dans ce dossier, que le restaurateur transmettra à l’Agence Régionale de Santé ou à l’assurance maladie en cas de déclenchement d’un « contact-tracing ».
Ce que vous devez faire
Mise en place du cahier de rappel
La mise en place d’un « cahier de rappel » au sein des restaurants vise à minimiser la propagation du virus pour ainsi préserver la santé de la population, dès lors que les personnes potentiellement contaminées pourront être contactées afin qu’elles puissent s’isoler. Ainsi, le traitement des données personnelles est justifié par la sauvegarde des intérêts vitaux.
Afin de respecter le principe de minimisation, la collecte des données dans le cadre de la constitution de ces « cahiers de rappel » devrait se limiter :
- Au nom et prénom du client,
- A son numéro de téléphone ou son adresse mail.
Information des clients
Les clients doivent impérativement être informés de l’objet de la collecte et des droits dont ils disposent concernant leurs données. Cette information doit être délivrée au moment de la collecte des données, et sous un format facilement accessible (ex : une mention d’information intégrée sur le « cahier de rappel », un panneau d’affichage visible à l’entrée de l’établissement, etc.).
Cette mention d’information doit être claire, précise et simple. Elle doit intégrer :
- L’identité et les coordonnées de l’établissement,
- La finalité de la collecte des données,
- La durée de conservation des données,
- Les droits dont dispose la personne concernée,
- Les destinataires des données.
Destinataires des données
En l’espèce, les agents des CPAM, CNAM, de l’ARS seront destinataires des données traitées, afin de faciliter la recherche des « cas contacts ». Ces organismes sont habilités, du fait de leurs fonctions, à se voir communiquer les données personnelles collectées dans le cadre de la constitution des « cahiers de rappel ».
Conservation des données
Au regard du Communiqué de presse du 5 octobre 2020, les « données seront détruites après un délai de 14 jours ».
Les conseils de l'expert
Le restaurateur a l’obligation de sécuriser les données.
Notons que dans le cadre de la constitution des « cahiers de rappel », les données peuvent être collectées sur un support papier, potentiellement « laissé à la vue » de tout nouveau client entrant, donc le risque semble être particulièrement élevé.
A titre d’exemple, voici quelques recommandations visant à garantir au mieux la sécurité des données :
- Ne pas laisser le « cahier de rappel » à la disposition des clients entrants. Le cahier doit être présenté par le restaurateur dès lors qu’un nouveau client souhaite s’installer.
- A la fin de la journée, les cahiers de rappel devraient être placés dans un coffre, ou à tout le moins dans une salle sécurisée de l’établissement.
- Les données personnelles doivent être supprimées à l’issue d’un délai de 14 jours maximum, ce qui veut dire que même si le « cahier de rappel » n’est pas achevé à l’issue de ce délai, il doit être détruit afin de respecter la durée de conservation des données.
Vous souhaitez être accompagné sur le volet RGPD ? Contactez votre interlocuteur BDO habituel ou notre expert en RGPD bruno.saucourt@bdo.fr.