La CNIL fournit ses recommandations en matière de tenue d’un « cahier de rappel » par les établissements de restauration, conséquence directe du renforcement des mesures sanitaires dans les zones d’alerte maximale.
1. Données collectées
La collecte doit être limitée aux seules données nécessaires, sans qu’aucune pièce justificative ne puisse être exigée, à savoir :
- l’identité de la personne (nom/prénom)
- un moyen de contact (numéro de téléphone)
- la date et l’heure d’arrivée de la personne
2. Finalité du traitement
Le traitement mis en œuvre doit avoir pour seule finalité la transmission des informations aux autorités sanitaires (CPAM, ARS…) pour faciliter la recherche des cas contacts le cas échéant et ne peut servir à des fins commerciales.
3. Durée de conservation des données
La durée de conservation des données est fixée à 14 jours conformément aux préconisations du ministère des Solidarités et de la Santé.
4. Sécurité des données
La sécurité des données passe notamment par leur confidentialité : seules les personnes devant en avoir connaissance doivent pouvoir y accéder (ex : le gérant qui transmet les données aux autorités sanitaires, le serveur qui recueille les données).
La CNIL distingue deux cas de figure :
- le formulaire papier, qui doit être individuel ou par tablée s’il est mis à disposition du client ou bien doit faire l’objet d’une collecte par le restaurateur lui-même, afin qu’aucun client ne puisse avoir accès aux données des autres. Ce « cahier de rappel » papier doit ensuite être conservé dans un lieu sécurisé.
- le formulaire électronique, dont le stockage doit être protégé par un mot de passe fort (comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux) et sur un matériel entreposé dans un lieu sécurisé.
5. Information des personnes concernées
Comme pour tout traitement de données personnes, les personnes concernées doivent bénéficier d’une information exhaustive et transparente sur le traitement au moment de la collecte de ses données en intégrant une mention d’information :
- soit sur le formulaire papier ou électronique
- soit sur un panneau d’affichage dans l’établissement
Cette mention d’information doit notamment comprendre :
- l’identité et les coordonnées de l’établissement ;
- la finalité de la collecte des données (transmission des informations aux autorités sanitaires pour faciliter le traçage des cas contacts) ;
- la durée de conservation des données (14 jours) ;
- les droits dont dispose la personne concernée (accès ou rectification des données, effacement sous conditions…) ;
- les destinataires des données, notamment les autorités sanitaires.
Pour aider les établissements soumis à cette obligation, un modèle de mention d’information est mis à disposition par la CNIL sur son site.
La CNIL prend également en compte les entreprises non soumises au protocole sanitaire qui voudraient néanmoins mettre en place un « cahier de rappel » en fournissant un modèle distinct de mention d’information et en fixant des conditions spécifiques :
- qu’il soit nécessaire c’est-à-dire qu’il réponde à un besoin identifié ;
- qu’il soit soumis au consentement de chaque personne.
Pour rappel, pour être valide, le consentement doit être libre, ce qui signifie, rappelle la CNIL que le responsable de traitement ne peut pas refuser l’accès à son établissement si la personne refuse de communiquer ses données.