Données personnelles des cahiers de rappel : les conseils de la Cnil

Unilever transforme son activité restauration par la Data

La crise sanitaire impose aux restaurants de tenir à jour un cahier de rappel des clients. Ces cahiers archivent un certain nombre de données personnelles. La Cnil rappelle aux restaurateurs les règles à suivre et leur fournit un modèle.

Les messages sur les réseaux sociaux soulignent combien il peut être difficile de concilier obligations sanitaires et protection des données personnelles. Depuis une semaine, différents établissements de restauration sont ainsi tenus de tenir un cahier de rappel.

Ce document est obligatoire à l’entrée des restaurants et permet d’enregistrer des données sur les clients. A la disposition des autorités sanitaires, il intervient dans le suivi des contacts et afin de rappeler les consommateurs en cas de contamination.

Pas de cahier à l’entrée accessible à tous les clients

Mais comme le souligne la Cnil, ce « cahier de rappel », qu’il soit papier ou numérique, « constitue un traitement de données personnelles soumis à la réglementation », dont le RGPD. Les restaurants doivent par conséquent respecter différents principes.

Ainsi, les données collectées doivent se limiter à l’identité du client et à un unique moyen de contact. En clair, rappelle l’autorité de protection, « il est interdit de collecter davantage de données ». Pas question donc de demander une pièce d’identité, dont on conserverait les données.

En outre, à l’arrivée de chaque client, doit être renseignée la date et l’heure. Cette information est importante pour déterminer la durée de conservation des données personnelles. Celle-ci ne peut excéder 14 jours.

Autre principe : le respect de la finalité. La collecte par le biais du cahier de rappel ne peut servir à un autre usage que la transmission aux autorités de santé. Interdiction donc d’utiliser ces informations à des fins marketing, par exemple. Elles ne peuvent pas non plus être partagées avec d’autres tiers.

Des données conservées 14 jours et pas plus

L’information préalable des clients constitue un troisième grand principe auquel doit se conformer le cahier de rappel. « Cette information doit être délivrée au moment de la collecte de ses données, et sous un format facilement accessible » précise la Cnil.

Mais l’obligation des restaurateurs ne se limite pas à cela. Ils sont en outre responsables de la sécurité des données qu’ils collectent par le biais de ce support. Et c’est là que l’affaire se corse. Nombre de restaurant proposent en effet un cahier unique à l’entrée.

Stop, répond la Cnil. Il « ne s’agit pas que chacun ait accès aux coordonnées de l’ensemble des clients présents au même moment que lui » prévient-elle. Lorsqu’il est au format papier, l’autorité recommande donc un formulaire individuel ou par tablée. A défaut, c’est le restaurateur lui-même qui doit inscrire les informations dans le cahier.

Un client peut refuser la collecte de ses données

Le cahier de rappel doit de plus « être conservé dans un lieu sécurisé (ex : armoire ou pièce fermée à clef etc.) et ne pas être laissé à la vue de tous les clients ». Si les restaurants optent pour une version électronique, d’autres obligations s’imposent. L’accès aux données sera par exemple protégé par un mot de passe robuste.

Pas question non plus de permettre à tout le personnel d’avoir accès aux données. La consultation doit se restreindre « uniquement à des personnes spécifiquement identifiées ». Il s’agira par exemple du gérant.

Enfin que faire si un client refuse la collecte de ses données ? La Cnil rappelle qu’un consentement valide suppose un « choix réel ». Cela exclut toute conséquence négative en cas de refus. « En pratique, cela signifie que le responsable de traitement ne peut pas refuser l’accès à son établissement, si la personne refuse de communiquer ses données ».

A lire également sur MyData

Les données personnelles des bacheliers ne sont pas pour les députés

La Cnil révise ses lignes directrices sur les cookies

Les nouvelles lignes directrices de la Cnil sur les cookies et traceurs publicitaires sont disponibles. Elles tiennent compte de la décision du Conseil d’Etat sur le cookie wall. Les entreprises disposent au maximum de six mois pour se mettre en conformité.

A propos de Christophe Auffray 349 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.