Depuis lundi, à Paris, Marseille et dans toutes les autres villes des six départements en alerte maximale, les restaurateurs ont pour obligation d'installer un "cahier de rappel". Cet outil, qui peut prendre plusieurs formes (carnet, formulaire, logiciel) permet aux clients de renseigner leur nom et leur numéro de téléphone afin d'être rappelés en cas de détection d’un cas de Covid. Nécessaire pour lutter contre la propagation du coronavirus, ce "cahier de rappel" pose toutefois un souci de gestion des données personnelles. La Cnil, garante de l'application du Règlement général sur la protection des données, a instauré des garde-fous.
Privilégier un formulaire individuel plutôt qu'un cahier
Dans une note, la Commission nationale de l'informatique et des libertés dresse une liste de consignes à respecter pour les restaurateurs afin de garantir la sécurité des données fournies par les clients. En premier lieu, ceux-ci doivent être "informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données". L'obligation n'étant valable qu'en zone d'alerte maximale, tous les établissements ne sont pas concernés, d'où la nécessité d'un rappel à l'arrivée des clients, soit à l'oral par le gérant ou le serveur, soit via une affichette.
Concernant le cahier en lui-même, la Cnil demande d'éviter le carnet en libre-accès, où chacun inscrit soi-même son nom et son numéro de téléphone… et peut au passage voir ceux des clients précédents. À la place, elle préconise un formulaire individuel à remplir à sa table, ou bien que le restaurateur complète lui-même à l'arrivée (un modèle est disponible sur le site de la Cnil). Formulaire qui doit ensuite "être conservé dans un lieu sécurisé et ne pas être laissé à la vue de tous les clients". Pour les établissements qui ont opté pour un système numérique (logiciel, QR Code), les données doivent être protégées avec un mot de passe "robuste" et surtout pas stockées sur une clé USB.
Des données à but strictement sanitaire
Le recensement des clients est également encadré par la Cnil sur le fond. "Les données à collecter doivent se limiter à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone) : il est interdit de collecter davantage de données", écrit-elle sur son site. Le restaurateur doit noter l'heure d'arrivée et celle de départ. En revanche, il n'est pas en droit de réclamer une pièce d'identité, c'est au client de faire preuve d'honnêteté. Par ailleurs, les informations de contact ne doivent être conservées que 14 jours. Au-delà, elles doivent être supprimées ou détruites.
Enfin, les données fournies par les clients ne peuvent être utilisées que dans un cadre sanitaire, quand elles sont réclamées par les autorités sanitaires dans un but de recherche des cas contacts. Les restaurateurs ont interdiction de s’en servir pour formuler des offres promotionnelles ou à des fins personnelles. En cas d’abus, les clients sont invités à saisir la Cnil.