Les collectivités territoriales sont amenées à traiter un très grand nombre de données personnelles, qu’il s’agisse de la gestion des services publics ou de la gestion interne à chaque collectivité.

Elles sont d’ailleurs malheureusement la cible privilégiée des hackers malintentionnés et sont donc souvent victimes de cyberattaques.

De plus, la désignation d’un délégué à la protection des données (plus communément appelé DPO - Data Protection Officer) est obligatoire pour tout organisme public, conformément au RGPD.

Notre infographie juste ici est là pour vous guider pas à pas sur l’intérêt de la mise en conformité et sur vos obligations en la matière :

Source : https://www.cnil.fr/sites/default/files/atoms/files/cnil-guide-collectivite-territoriale.pdf

Depuis le lundi 5 octobre 2020, le Gouvernement impose aux restaurateurs situés en zone d’alerte maximale, de mettre en place à l’entrée de leurs restaurants un cahier de rappel qui conditionne l’accès des clients à leur établissement.

Les clients devront y renseigner leurs coordonnées afin que vous puissiez le mettre à la disposition des autorités sanitaires, dans le cadre du suivi des cas de contaminations à la COVID-19.

En effet, si un de vos clients s’avère positif à la COVID-19, les autorités sanitaires pourront alors contacter les autres clients présents dans votre établissement au même moment.

Quelles données collecter ?

Les coordonnées collectées devront se limiter au minimum strictement nécessaire au rappel des clients dans l’hypothèse d’un cas contact au restaurant (contact-tracing) :

- nom, prénom

- e-mail ou numéro de téléphone (vous n’avez pas besoin des 2)

- la date et l’heure d’arrivée du client

Ces données ne pourront être utilisées QUE dans le cadre du suivi des contacts dans la lutte contre la COVID-19. En aucun cas vous ne pourrez les utiliser à des fins de promotion ou de marketing par exemple.

Quelle durée de conservation ?

Le Gouvernement a indiqué que ces données devaient être détruites après un délai de 14 jours à compter de leur collecte, donc à compter du jour où le client est venu dans votre établissement.

Quelles informations communiquer aux clients ?

Vous devrez prévoir une mention d’information claire, simple et facilement accessible, tel qu’un panneau d’affichage ou une mention d’information sur le formulaire papier/numérique à remplir.

Cette mention doit contenir les informations suivantes :

• l’identité et les coordonnées de votre établissement 

• pourquoi vous devez collecter leurs données : pour faciliter le traçage des « cas contacts » par les autorités sanitaires

• pour combien de temps vous conserverez leurs données : 14 jours

• les droits dont votre client dispose : le droit d’accès, de rectification et de limitation du traitement

• à quelles autorités compétentes les données peuvent être communiquées : Assurance maladie, Agence régionale de santé

Retrouvez le formulaire type de la CNIL juste ici.

En pratique, comment faire ?

Cette collecte de données peut être réalisée de manière numérique ou papier. Ce cahier de rappel ne peut pas être en accès libre ou être accessible aux autres clients.

En cas de collecte papier, nous vous conseillons de mettre en place un formulaire par table qui pourrait être récupéré par le serveur. A défaut, nous vous recommandons de nommer une personne par service pour qu’elle remplisse le listing durant le temps du service. Ces formulaires devront ensuite être rangé dans un endroit sécurisé tel qu’une armoire fermée à clé, accessible au seul gérant de l’établissement.

En cas de collecte numérique, nous vous suggérons d’utiliser un outil de formulaire en ligne sécurisé et accessible, par les personnes habilitées, via un mot de passe robuste.

Retrouvez notre infographie schématisant la gestion du cahier de rappel :

Mise à jour du 21 janvier 2021 : dans son avis du 21 janvier 2021, la CNIL a constaté que certains établissements avaient utilisés ces cahiers de rappel à des fins de prospections commerciales, en violation du RGPD. La CNIL a donc issu un rappel à l’ordre à ces établissements.

Sources :

https://solidarites-sante.gouv.fr/actualites/presse/communiques-de-presse/article/renforcement-protocole-sanitaire-restaurants-zones-d-alerte-maximale

https://www.prefecturedepolice.interieur.gouv.fr/Nous-connaitre/Documentation/Arretes/Liste-des-arretes

https://www.cnil.fr/sites/default/files/atoms/files/exemple_formulaire_etablissements_zone_alerte_maximale.pdf

https://www.cnil.fr/fr/la-cnil-publie-son-deuxieme-avis-adresse-au-parlement-sur-les-conditions-de-mise-en-oeuvre-de-si-dep