COVID-19 : les recommandations de la CNIL pour les cahiers de rappel papier
À compter du 9 juin 2021, les bars, restaurants et salles de sport seront soumis au respect d’un protocole sanitaire spécifique. Il prévoit notamment la mise en place d’un dispositif d’enregistrement des visites de leurs clients avec la fonctionnalité TousAntiCovid Signal et les cahiers de rappel papier. La CNIL rappelle les règles à respecter pour ces cahiers de rappel et fournit un modèle.
Qu’est-ce qu’un cahier de rappel ?
À compter du 9 juin, certains établissements (bars, restaurants et salles de sport) sont soumis au respect d’un protocole sanitaire renforcé.
Ce protocole prévoit que l’accès aux bars, restaurants et salles de sport sera conditionné à l’enregistrement, par le client, de sa visite soit au moyen d’un cahier de rappel papier, soit en utilisant l’application TousAntiCovid (code QR à scanner avec l’application) et la fonctionnalité TousAntiCovid Signal. Le cahier de rappel papier est donc l’une des deux alternatives qui sera proposée aux clients.
Ce cahier de rappel est destiné à collecter les coordonnées des clients présents dans le bar, restaurant, ou la salle de sport, afin de les tenir à disposition des autorités de sanitaires en cas de contamination de l’un des clients.
La CNIL rappelle que ce cahier de rappel papier constitue un traitement de données personnelles soumis à la réglementation (RGPD et loi Informatique et Libertés).
En pratique, comment protéger les données personnelles des clients ?
Les établissements tenus de mettre en place ces cahiers de rappel papier doivent respecter les principes suivants :
-
Collecter uniquement les données nécessaires
Pour les « cahiers de rappel » papiers, les données à collecter doivent se limiter à l’identité de la personne (nom, prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone) : il est interdit de collecter davantage de données.
À noter :
- Lors de la collecte des données, le restaurateur ne peut pas procéder à un contrôle d’identité de la personne, par exemple en demandant de produire une pièce justificative.
- L’établissement doit renseigner la date et l’heure d’arrivée du client afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la conservation des fiches (15 jours).
-
Limiter l’utilisation des données à la seule transmission aux autorités sanitaires
Les informations collectées dans les cahiers de rappel doivent uniquement être utilisées pour faciliter la recherche des cas contacts, lorsque les autorités sanitaires en font la demande (Assurance maladie, agences régionales de santé).
Cela signifie que :
- toute autre utilisation (ex. : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.) est strictement interdite ;
- l’établissement ne doit pas transmettre les informations collectées via le cahier de rappel à un tiers (ex. : partenaire commercial, autre salle de sport du groupe, etc.).
-
Informer les clients
Les clients doivent être informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données.
Cette information doit être délivrée au moment de la collecte de ses données, et sous un format facilement accessible (ex. : une mention d’information intégrée sur le formulaire papier à compléter par le client, un panneau d’affichage visible à l’entrée de l’établissement, etc.).
Cette mention d’information doit être claire, précise et simple. Elle devra comprendre :
- l’identité et les coordonnées de l’établissement ;
- l’objectif de la collecte des données (faciliter le traçage des « cas contacts » par les autorités sanitaires) ;
- la durée de conservation des données (15 jours) ;
- les droits dont dispose la personne concernée (notamment le droit d’accès et de rectification) ;
- les éventuels destinataires, et en particulier à quelles autorités sanitaires pourraient être transmises ces données au cas où une infection à la COVID-19 serait détectée.
Pour vous aider, la CNIL met à votre disposition un exemple de modèle de document, avec les mentions d’information nécessaires.
-
Respecter une durée de conservation limitée
Les données collectées dans le cahier de rappel papier devront être détruites au bout de 15 jours, conformément aux préconisations du ministère des Solidarités et de la Santé.
-
Sécuriser les données
L’établissement doit assurer la confidentialité des données collectées sur ses clients : il ne s’agit pas que chacun ait accès aux coordonnées de l’ensemble des clients présents au même moment que lui !
- Il est recommandé de mettre à disposition un formulaire individuel ou par tablée. Si cela n’est pas possible, le cahier de rappel devra être complété par un membre du personnel de l’établissement.
- Le cahier de rappel papier doit être conservé dans un lieu sécurisé (ex. : armoire ou pièce fermée à clef, etc.) et ne pas être laissé à la vue de tous les clients.
- Les informations renseignées par les clients ne doivent pas être accessibles et consultées par l’ensemble du personnel de l’établissement, mais uniquement à des personnes spécifiquement identifiées (ex. : le gérant de l’établissement).
Quelles sont les recommandations pour les autres établissements accueillant du public ?
Seuls les bars, restaurants et salles de sport ont l’obligation de tenir un cahier de rappel, en particulier en raison des risques particuliers de contamination de ces lieux (le respect des gestes barrières est impossible ou il existe un risque de rupture).
Les autres établissements accueillant du public (ex : piscine) ne sont pas soumis au respect de ce protocole sanitaire renforcé : la tenue d’un cahier de rappel n’est donc pas une mesure obligatoire pour ces lieux.
