Les recommandations de la CNIL sur le « cahier de rappel » : la réalité d’un échec

Publié par le dans , | Consulté 135 Fois

La crise sanitaire a conduit les restaurateurs à adopter un nouveau dispositif de protection : le cahier de rappel.
Cependant, à situation nouvelle, danger nouveau.

Depuis le 6 octobre, le gouvernement a rendu une ordonnance régissant les règles sanitaires à suivre pour tous les établissements de restauration situés dans les zones d’alerte maximale.
Ce nouveau protocole sanitaire impose la tenue d’un registre compilant les coordonnées des clients (nom, adresse-mail, téléphone) dont l’objectif est de les prévenir lors de cas contact.

Pour rappel, le traitement de données à caractère personnel est réglementé par la CNIL dans le RGPD (règlement général sur la protection des données) et est inscrit dans la loi « informatique et libertés » du 6 janvier 1978.
Ainsi, le 7 octobre 2020, consciente des enjeux en matière de vie privée, la CNIL a émis une série de recommandations à destination des restaurants pour la mise en place d’un “cahier de rappel”.
Cette ordonnance nous invite donc à étudier les règles à suivre pour faire respecter le RGPD dans les cahiers de rappel (1) et nous questionne sur les dangers de ce dispositif dans sa mise en œuvre (2).

  1. La corrélation entre les principes relatifs au traitement des données à caractère personnel et les cahiers de rappel

La CNIL en son chapitre II, article 5 pose les principes relatifs aux données à caractère personnel :

  • Licéité, loyauté et transparence.
  • Principe de finalité : la collecte des données personnelles doit être précise, légale et légitime.
  • Minimisation des données : principe de proportionnalité et de pertinence, les informations doivent être strictement nécessaires au regard de la finalité de la collecte.
  • Exactitude : permet le respect du droit des personnes, droit à l’oubli ou droit à la rectification.
  • Limitation de conservation.
  • Intégrité et confidentialité

Dans son rapport du 7 octobre 2020 la CNIL rappelle aux restaurateurs les règles à respecter, informe qu’il faut que le cahier de rappel respecte les 6 grands principes du RGPD et propose deux exemplaires de formulaires de recueil de données en version papier ou sous forme électronique.
En effet, ce cahier de rappel est justifié pour prévenir les clients, donc il est dans l’intérêt général de savoir si on a été en contact ou non avec un cas contact.
Encore, toute utilisation des données collectées par des personnes autres que les autorités sanitaires est interdite. Il doit donc être conservé dans un lieu sécurisé et ne pas être à la vue des clients.
Concernant le principe de conservation limitée, elle est de 14 jours.
Aussi, le restaurateur ne peut pas collecter le numéro de téléphone et l’adresse mail en même temps, et il ne peut pas procéder à un contrôle d’identité.
Enfin, le restaurateur doit justifier du besoin de recourir à ce « cahier de rappel » et doit recueillir le consentement de chaque client qui peut se faire par une signature ou une case à cocher.

En cas de non-respect de ces obligations, la CNIL pourra sanctionner les restaurateurs d’une amende allant jusqu’à 4% de leur chiffre d’affaire annuel.

À l’heure du rebond de la pandémie, les restaurateurs ont fermé leurs établissements malgré les dispositifs de protection qui leur étaient imposés. Nul doute que le cahier de rappel refera son apparition après le confinement. C’est pourquoi, de nombreuses questions se posent quant à son efficacité. 

2.   La mise en place de ce dispositif : entre questionnements et atteintes au RGPD

  • En cas de non-consentement du client, le restaurateur peut-il lui refuser l’accès ?

Le consentement doit être libre et cette liberté s’exprime de façon claire et positive où une personne doit pouvoir refuser ou accepter de donner son consentement. Il existe ici une véritable corrélation avec la politique des « cookies wall ». Pour rappel, le Conseil européen de la protection des données (EDPB) a adopté des lignes directrices en mai 2020 qui stipulent que les « cookies walls » ne sont pas un moyen valide d’obtenir le consentement. Le consentement valide doit être donné librement, selon le RGPD, et les « cookies wall » ne donnent pas aux utilisateurs un véritable choix.
Ainsi, comme en matière de politique des cookies, refuser l’accès d’un restaurant pour défaut de consentement est interdit.

  • Quels sont les échecs dans la pratique ? Et pourquoi avoir préféré les “carnets de rappel” dans les restaurants pour permettre le contact-tracing, alors qu’une application qui existe déjà aurait pu jouer ce rôle ?

Dans les cahiers de rappel, rien ne vous oblige à indiquer votre vrai nom et vos vraies coordonnées.
Exemple : dans le cas d’un cluster en Allemagne, plusieurs personnes n’ont pas pu être identifiées à cause des fausses identités laissées dans le cahier.
Encore, les cahiers de rappel sont un peu la porte ouverte à tous les excès. Le cahier qui traîne dans le restaurant, accessible librement au personnel du restaurant ou aux convives des autres tables déroge au principe de confidentialité imposé par la CNIL. Exemple : le journaliste SZADKOWSKI, du journal Le Monde, avait posté sur Twitter le cahier de rappel où il y figurait les clients du restaurant, dénonçant ainsi la facilité d’accès à ces informations, pouvant engendrer l’utilisation frauduleuses des données répertoriées.
Enfin, les droits des personnes paraissent également en danger dans la mesure où aucune information n’est donnée sur les droits accessibles, comme le droit à l’oubli ou le droit à rectification.

À l’inverse, TousAntiCovid, a l’avantage de ne pas saisir votre nom/prénom/e-mail.
À la différence du système décentralisé du cahier de rappel, les données anonymisées de l’application y sont centralisées sur un serveur. Enfin, si les clients ont l’application, pas besoin d’avoir à gérer une traçabilité du cahier de rappel puisque les données se suppriment d’elles-mêmes.
Malgré tout, il faut garder à l’esprit la fracture numérique où tout le monde n’a pas de smartphone donc l’application aura du mal à s’intégrer dans ce cas d’espèce.

La gestion de la crise sanitaire imposant un cahier de rappel aux restaurants présente donc de nombreux dangers. En effet, dans la pratique, la mise en place des recommandations par la CNIL conduit à des situations dénuées du sens qu’en donne la Commission, où le RGPD est bafoué malgré la bonne volonté des restaurateurs.

  • Quelles solutions ?

La désignation d’un DPO référent semble une solution à retenir, il pourra ainsi veiller à la conformité en matière de protection des données au sein des restaurants.
La mise en place d’un cahier de rappel numérique peut aussi être envisagée, avec le risque de retomber dans la problématique de la fracture numérique.

Mais d’ici la fin du confinement et la réouverture des restaurants, le gouvernement aura sûrement trouvé d’autres alternatives pour renforcer ce dispositif, il ne restera plus qu’à en étudier la conformité ou non avec le RGPD.

 

SOURCES: