RGPD en Europe
Le “cahier de rappel” des restaurateurs
Dans le cadre du nouveau protocole sanitaire, tous les restaurants ont l’obligation de tenir un “cahier de rappel”. Il répertorie les cordonnées des clients. Il contient des données personnelles : nom, prénom, téléphone, adresse email. Le RGPD s’applique donc ! À défaut, et en cas de contrôle la CNIL sanctionnera !
Rappel des principes RGPD à respecter pour protéger les données personnelles des clients
BASE LÉGALE DU TRAITEMENT: Respect d’une obligation légale.
1. MINIMISATION : On ne recueille que les données strictement nécessaires
L’identité de la personne : nom et prénom
Un seul moyen de contact ; téléphone ou adresse mail
Points d’alerte:
Le contrôle de l’identité de la personne est interdit.
On indique la date et l’heure d’arrivée du client. C’est le point de départ de la durée des conservation des fiches (14 jours).
2. LIMITATION DE LA FINALITÉ : On n’utilise ces données qu’en cas de demande des autorités sanitaires.
Les informations collectées dans les « cahiers de rappel » ne sont utilisées que pour l’identification des « cas contacts », suite à une demande des autorités sanitaires (CPAM, CNAM, ARS).
Point d’alerte:
Toute autre utilisation, en particulier commerciale (ex. prospection), est strictement interdite.
3. INFORMATION ET DROITS DES PERSONNES : On informe ses clients.
On indique l’objet de cette collecte et des personnes concernées concernant leurs données personnelles.
On fournit l’information au moment de la collecte, sous un format facilement accessible.
ex : une mention d’information intégrée sur le formulaire papier ou électronique à compléter par le client, un panneau d’affichage visible à l’entrée de l’établissement, etc.
L’information est claire, précise et simple.
Elle comporte :
L’identité et les coordonnées de l’établissement
L’objectif de la collecte des données : “faciliter le traçage des cas contacts par les autorités sanitaires”
La durée de conservation des données : 14 jours
Les droits de la personne concernée : droit d’accès et de rectification
Les éventuels destinataires, en particulier à quelles autorités sanitaires elles sont transmises au cas où une infection à la COVID-19 est détectée.
4. DURÉE DE CONSERVATION : On limite la durée de conservation.
Les données collectées dans le « cahier de rappel » sont détruites au bout de 14 jours, quelque soit le support utilisé : papier, internet, QR code, etc
5. SÉCURITÉ : On sécurise ces données.
Le restaurateur assure la confidentialité des données collectées sur ses clients.
Le « cahier de rappel » est conservé dans un lieu sécurisé (ex. armoire fermée à clef). Seule une personne identifiée (le gérant) y a accès et peut le consulter.
Pour un « cahier de rappel » au format papier, on met à disposition un formulaire individuel ou par tablée. Le restaurateur peut aussi effectuer lui-même la collecte des informations.
Pour les autres types de « cahier de rappel » (ex : QR code, formulaire en ligne, etc.)
l’accès au système d’information utilisé est sécurisée (ex. mot de passe « robuste »)
On ne conserva pas les données collectées sur des matériels non sécurisés (ex : clé USB).
(source: CNIL)
Exemples de formulaires fournis par la CNIL
(cliquez sur la phrase ci-dessus)