1) Attention danger
Comme l’application de traçage Stopcovid « sans être un échec, ça n’a pas marché » pour citer Emmanuel Macron, le gouvernement a trouvé d’autres moyens pour briser les chaînes de contamination : demander aux restaurateurs de noter les contacts de leurs clients. « Mais que ce soit sur un formulaire papier, un carnet, ou via un formulaire en ligne, tout document qui permet de contacter une personne et de dater sa présence en un endroit relève de la loi informatique et liberté et du RGPD, indique Etienne Drouard, avocat pour le cabinet Hogan Lovells. Cela signifie que s’y rapporte un océan d’obligations et des sanctions précises. » Un domaine pour lequel les 10 000 restaurateurs français sont très peu aguerris.
2) Quels sont les risques ?
Ne pas mettre en place de cahiers de rappels, c’est ne pas respecter le protocole sanitaire imposé. « Dans ce cas, vous risquez la fermeture administrative », prévient le spécialiste. Pourtant, dans sa fiche descriptive, la Cnil indique qu'un restaurateur ne peut refuser l’accès à un client si ce dernier s’oppose à fournir un moyen de contact. Mais cette interprétation du gendarme de la donnée est discutable juridiquement, car elle interdit au restaurateur de respecter le protocole sanitaire. « Il en est de même avec le masque. Un restaurateur peut refuser l’accès à son établissement à un client qui refuserait d’en porter », estime maître Drouard. Pour éviter tout conflit, un contact par table peut sûrement suffire. Outre cela, si le restaurateur fait une entorse au RGPD, il peut risquer jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires.
3) Bien comprendre la finalité
Quand on recueille des données, le plus important c’est de garder à l’esprit pourquoi elles sont collectées et de ne jamais s’en détourner. Ici, il s'agit de respecter la procédure sanitaire, c’est-à-dire prévenir les personnes qui auraient pu être en contact avec une personne malade. Rien d’autre. Cela signifie qu’un contact (téléphone ou mail), et un moyen d'identification (nom - prénom) suffisent. Toute autre information n’a pas lieu d’être. De même, les données ne doivent viser que cette finalité. « Toute autre utilisation des données, à des fins marketing par exemple, constituerait un détournement de finalité. Cela relève du code pénal, avec des peines très lourdes pour la personne morale (1,5 million d’euros d’amende et cinq ans d’emprisonnement) et 300 000 euros d’amende pour la personne physique. »
4) S'en tenir au strict minimum
S’il sera très complexe pour un restaurateur de respecter à la lettre le RGPD (identifier les accès aux données, conservation sécurisée etc.), il peut néanmoins porter attention à des gestes simples. Ne conserver les données que de 14 à 21 jours, sensibiliser son personnel. Et surtout s’interdire tout détournement de finalité. « La Cnil a mis à disposition un formulaire prêt à l’emploi sur son site. Il pourrait par exemple être accessible via un QR Code », estime maître Drouard. Dans tous les cas, investir dans un contrat de sous-traitance, avec purge automatisée des données et rédaction d’un contrat, demande un budget proche de 10 000 euros, pour un intérêt limité.
