[Covid-19] Le cahier de rappel suppose une mise en œuvre rigoureuse

Image

Information des clients, durée de conservation des données limitée, respect de la finalité sanitaire sont autant de conditions à respecter lorsque l’on instaure un cahier de rappel. Sous peine d’être en infraction avec le RGPD, comme le rappelle Sabine Marcellin, avocate associée chez DLGA.

A l’heure du renforcement de la sécurité dans le cadre de la prévention contre le Covid-19, tant pour les collaborateurs que pour les clients des restaurants, la suggestion du cahier de rappel fait son apparition. Cette solution, qui existe déjà dans certains pays, permet aux restaurateurs de noter les coordonnées des clients afin qu’en cas de suspicion de contagion, ces dernières puissent être transmises aux autorités sanitaires pour qu’elles-mêmes puissent les recontacter. « Si la finalité est tout à fait louable, puisqu’il s’agit de santé collective, il faudra être prudent sur sa mise en œuvre », prévient Sabine Marcellin, avocate associée chez DLGA. Collecte et conservation des informations supposent une conformité avec le règlement général sur la protection des données (RGPD). En cas contraire, ces dispositifs ne seront pas sans risques juridiques, et ce, que le cahier de rappel soit une application numérique ou un simple cahier à spirales.

Si ce cahier de rappel est recommandé aux restaurateurs, notamment par leurs syndicats professionnels, il n’en demeure pas moins que la déclaration de données par les clients reste facultative. « Il s’agit en effet de données sensibles, car la possible contagion est une donnée de santé. Nous sommes donc ici dans le plus haut niveau de protection », fait remarquer Sabine Marcellin.

De fait, plusieurs conditions s’imposent dans la mise en œuvre de ce cahier de rappel. A commencer par l’information des clients concernant la finalité de la collecte de données. Ces dernières ne doivent être demandées que pour des raisons sanitaires et ne doivent évidemment pas constituer une base pour solliciter ensuite commercialement les clients. Cette information des clients pourra se faire via une affichette, un panonceau, une mention sur le site, etc. ; bref de quoi les rassurer mais aussi prouver à la Commission nationale de l'informatique et des libertés (Cnil) qu’ils ont été clairement avertis de la finalité de la démarche. Ensuite, le stockage de ces données doit être sécurisé et ne pas durer trop longtemps. « 30 jours devraient être le maximum », souligne Sabine Marcellin. Enfin, les données devront être ensuite détruites, ne pas être conservées, ni cédées à des tiers. Les sanctions encourues en cas de non-respect du RGPD sont très importantes : jusqu’à 4 % du chiffre d’affaires du groupe et 1,5 M€ d’amende. « C’est un texte européen et ces sanctions sont maximales. Reste que la Cnil va ensuite s’adapter à la taille de l’établissement », précise Sabine Marcellin.

Si le système du cahier de rappel apparaît intéressant dans un souci de prévention, encore faut-il qu’il soit correctement mis en œuvre. « Il faut trouver l’équilibre entre l’intention et la manière de faire. Autant bien faire les choses dès le début ! », invite Sabine Marcellin.