Comment faire du traçage de contact tout en maintenant les restaurants ouverts dans les zones en alerte maximale ? Le gouvernement a eu l'idée des cahiers de rappel. Mais la CNIL rappelle qu'il y a des règles à respecter scrupuleusement, car des données personnelles sont en jeu.

Avec une application StopCovid boudée par la population et des brigades sanitaires ayant de plus en plus de difficulté à remonter les chaînes de contamination pour savoir qui a été en relation avec qui au cours des derniers jours, du fait d’une maladie galopante, le traçage des contacts devient de plus en plus difficile à mener en France. Et cela donne lieu à des mesures nouvelles, comme les « cahiers de rappel ».

Dévoilés par le ministère de la Santé le 5 octobre lors de l’annonce du renforcement du protocole sanitaire pour les restaurateurs, ces carnets concernent les propriétaires souhaitant maintenir leur établissement ouvert dans les zones en alerte maximale (comme Paris et la petite couronne depuis le 5 octobre, mais aussi la Guadeloupe et la région de Marseille depuis le 23 septembre).

Pour maintenir les restaurants ouverts dans les zones en alerte sanitaire maximale, le gouvernement a eu l’idée des cahiers de rappel. Mais ceux-ci ne peuvent pas être gérés n’importe comment.  // Source : Maxime Johnson pour Numerama

Installés à l’entrée, ces cahiers de rappel doivent être remplis pour accéder à la salle. Chaque personne doit y inscrire ses coordonnées (un prénom, un nom et un numéro de téléphone) de façon à pouvoir être avertie si un cas a été découvert parmi les autres clients qui ont fréquenté l’établissement le même jour. Ce n’est pas le restaurateur qui est chargé de faire ce suivi, mais les autorités sanitaires.

Problème : ces carnets sont un peu trop en libre accès.

C’est ce qu’illustrait par exemple un journaliste du Monde le 6 octobre sur Twitter, en montrant qu’il est par exemple possible de photographier une ou plusieurs pages pour récupérer les données personnelles — car l’identité d’une personne et son numéro de portable sont bien des informations à caractère personnel — d’autres individus ayant déjeuné ou dîné au même endroit

Il s’avère que le règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018 dans l’Union européenne, encadre le traitement de ces informations. Et le RGPD ne se limite pas aux traitements informatisés : tout ce qui est couché sur papier est aussi soumis à cette réglementation. Par conséquent, les données en cause doivent être protégées dans les mêmes conditions.

Quelles sont les règles pour les cahiers de rappel ?

Compte tenu de la mise en place aléatoire de ces carnets de rappel par les restaurants, la Commission nationale de l’informatique et des libertés (CNIL) a publié ce 7 octobre un guide destiné à les aider à respecter le  protocole sanitaire renforcé — et donc de ne pas baisser le rideau — tout en restant dans les clous de la loi. Car si le principe de ces carnets est valide, encore faut-il bien s’en servir.

general-mills-repas-plat-dessert-gouter
Les restaurateurs ont tout intérêt à bien respecter les consignes de la CNIL pour ne pas avoir de souci plus tard. // Source : General Mills

Le guide comporte cinq grands points, à commencer par la nécessité de minimiser les données personnelles collectées : si les finalités d’un tel cahier sont légitimes compte tenu de la lutte contre l’épidémie de coronavirus, cela ne justifie pas de demander tout et n’importe quoi.

Le détail peut être consulté sur le site de la CNIL, mais voici ce qu’il y a à savoir de manière synthétique :

  • Il faut s’en tenir à l’identité et au numéro de téléphone. Toute autre donnée est à exclure. Les restaurateurs ne peuvent pas effectuer de contrôle d’identité. Ils doivent par contre noter le jour et l’heure du passage de chaque client.
  • Les cahiers de rappel ne servent qu’au traçage des contacts. Ils ne peuvent pas servir par exemple à des fins commerciales. Ils doivent être remis aux autorités sanitaires quand elles en font la demande.
  • La clientèle doit être informée de cette collecte, de ses finalités, de ses droits, et de l’identité et des coordonnées du restaurant. Les éventuels destinataires doivent être mentionnés. La durée de conservation des données (14 jours) aussi. Elle correspond à la durée moyenne d’incubation du virus.
  • Qu’elles servent ou non, ces données doivent être détruites au bout de 14 jours.
  • Les restaurateurs doivent assurer la sécurité et la confidentialité de ces carnets de rappel. Dans le cas où c’est le format papier qui est utilisé, il est conseillé de passer par des fiches individuelles, distribuées par le personnel ou placées sur les tables, et de les ranger dans une armoire fermée à clé.

Partager sur les réseaux sociaux