Face à l’état d’urgence sanitaire liée au coronavirus (Covid-19) et aux mesures prises pour lutter contre sa propagation, la CNIL a tenu à rappeler ce qu’il est possible de faire ou de ne pas faire, notamment en ce qui concerne le traitement des données de santé par les employeurs et l’application TousAntiCovid…
Coronavirus (COVID-19) et Fonds de solidarité : utilisation des données personnelles
Certains organismes tel que l’Institut national de la statistique et des études économiques (INSEE) peuvent accéder aux données renseignées dans le cadre des demandes faites par les entreprises pour bénéficier du fonds de solidarité.
L’objectif est de permettre les échanges de données :
- en vue de la recherche scientifique ou statistique, effectuée par des tiers ;
- avec les agents des services de l’Etat chargés de la réalisation d’études économiques ;
- avec les chambres de commerce et de l’industrie chargées d’une aide pour les commerces multi-activités en zone rurale ;
- entre l’administration fiscale et les agents des services de l’Etat chargés de la réalisation d’études économiques et de l’INSEE en vue de l’établissement statistiques permettant le suivi du dispositif du fonds de solidarité.
Toutefois, ces organismes n’ont pas accès aux données permettant l’identification directe ou indirecte de personnes physiques, à l’exception des données relatives aux entreprises et des numéros d’identification.
Coronavirus (COVID-19) et RGPD : quid des dispositifs numériques de lutte contre l’épidémie
Tenant une place importante dans la lutte contre la propagation du coronavirus (COVID-19), les dispositifs numériques sont particulièrement surveillés par la Commission nationale de l’informatique et des libertés (CNIL), notamment en ce qui concerne la protection des données personnelles des utilisateurs. Parmi ces dispositifs se trouvent notamment : le cahier de rappel et le Pass sanitaire.
- Concernant le cahier de rappel
Ce dispositif permet d’alerter les personnes ayant fréquenté un lieu dans lequel elles ont pu être en contact avec une personne atteinte de la COVID-19, afin qu’elles puissent s’isoler et se faire tester rapidement.
Il doit être mis en place dans les bars, restaurants et salle de sport, mais n’est pas obligatoire pour les autres établissements recevant du public.
De plus, un format papier et un format numérique (TousAntiCovid Signal) doivent être mis en place pour laisser le choix au client lors de son arrivée dans l’établissement concerné.
Destiné à recueillir des données personnelles, la CNIL rappelle les garanties devant être mises en place par les établissements concernés :
- les données collectées dans la version papier doivent se limiter aux noms et prénoms, numéros de téléphone, la date et l’heure d’arrivée dans l’établissement. Aucune autre information ne peut être collectée ;
- le cahier de rappel ne peut pas être utilisé pour un autre usage, comme par exemple pour de la prospection commerciale ;
- seules les autorités sanitaires peuvent demander la communication du cahier de rappel ;
- les clients doivent être informés de l’objectif du cahier de rappel et des droits dont ils disposent concernant leurs données ;
- le cahier de rappel ne doit pas être laissé à la vue des clients ;
- l’application TousAntiCovid Signal ne doit pas recourir à une technologie de géolocalisation.
- Concernant le Pass sanitaire (TousAntiCovid Carnet)
Pour mémoire le Pass sanitaire est destiné à conserver les justificatifs tel que les résultats négatifs à un test de dépistage, l’attestation de vaccination et/ou l’attestation de rétablissement à la COVID-19, pour permettre aux utilisateurs de les présenter facilement lorsqu’ils sont demandés.
2 fonctions sont mises en place via l’application TousAntiCovid Carnet :
- le Pass sanitaire «activités » : permettant la reprise de certaines activités (salles de spectacles, établissements de plein air, etc.) ;
- le Pass sanitaire « frontières » : permettant le contrôle sanitaire aux frontières pour sécuriser les déplacements.
Là encore l’utilisation de ce dispositif n’est pas une obligation et la présentation des justificatifs peut se faire sous format papier.
La CNIL a également effectué un rappel concernant les garanties qui doivent être mises en œuvre pour les utilisateurs de cette application :
- le dispositif doit être temporaire et prendre fin dès que possible et au plus tard le 30 septembre 2021 ;
- l’usage du dispositif doit être limité aux évènements les plus à risques (rassemblements importants de personnes, etc.). En outre, il ne peut pas être utilisé pour les activités quotidiennes (restaurants, lieux de travail, etc.) ;
- les données rendues accessibles lors de la vérification des justificatifs doivent être limitées ;
- les données ne peuvent pas être utilisées pour d’autres objectifs ;
- le contrôle du Pass sanitaire doit se faire par des personnes habilitées à contrôler les justificatifs, au moyen de l’application mobile TousAntiCovid Verif ;
- le Pass sanitaire « activités » s’applique aussi aux mineurs âgés d’au moins 11 ans.
Enfin, notez que pour les deux dispositifs (le cahier de rappel et le Pass sanitaire) les informations recueillies doivent être effacées 15 jours après leur collecte.
Coronavirus (COVID-19) : sortie de crise et données personnelles de santé
Pour lutter contre la propagation du coronavirus (COVID-19), il est prévu que les données à caractère personnel concernant la santé des personnes atteintes du coronavirus (COVID-19) et de celles ayant été en contact avec elles, peuvent être traitées et partagées sans leur consentement par le biais d’un système d’information officiel faisant l’objet d’un encadrement strict.
En outre, il est prévu que ces données ne peuvent être conservées plus de 3 mois après leur collecte.
Toutefois, les nouvelles dispositions prises dans le cadre de la sortie de crise sanitaire, permettent désormais une conservation plus longue de ces données, lorsqu’elles relèvent du champ du système national des données de santé (SNDS).
Pour rappel, le SNDS permet le regroupement de certaines données telles que :
- les données de l’Assurance Maladie ;
- les données des hôpitaux ;
- les causes médicales de décès ;
- les données relatives au handicap ;
- un échantillon de données en provenance des organismes d’Assurance Maladie complémentaire.
Ainsi, il est désormais possible de les conserver pour une durée maximale de 20 ans après leur transfert. De plus, le responsable de leur traitement peut y accéder ou, selon certaines conditions, autoriser l’accès à d’autres personnes dont, notamment, les responsables de laboratoires.
Notez que ces dispositions ont fait l’objet d’un contrôle et d’une validation par le juge à la suite d’une demande invoquant le non-respect de la vie privée des personnes.
Ce dernier a jugé que les mesures ne portent pas atteinte au respect de la vie privée car :
- leur objectif est d’améliorer les connaissances sur le virus et en particulier sur ses effets à long terme. De plus elles permettent de renforcer les moyens de lutte contre celle-ci ;
- la mise à disposition de ces données n’est possible que pour la poursuite d’objectifs définis et limités : information sur la santé et l’offre de soins, la surveillance, la veille et la sécurité sanitaires, la définition, la mise en œuvre et l’évaluation des politiques de santé, etc. ;
- le traitement de ces données est strictement interdit pour la promotion de médicaments ou de produits de santé, ainsi qu’à des fins d’exclusion de garanties de contrats d’assurance ou de modification de cotisations ou de primes d’assurance ;
- le SNDS ne permet pas l’identification des personnes concernées et effectue une retranscription des données sous forme de statistiques principalement ;
- l’accès aux données est soumis à une procédure de déclaration ou d’autorisation préalable auprès de la Commission nationale de l’informatique et des libertés (CNIL) ;
- les personnes autorisées à accéder à ces données sont soumises au secret professionnel ;
- enfin, les personnes concernées sont informées du traitement de ces données et des conséquences juridiques.
Coronavirus (COVID-19) : l’état d’urgence sanitaire est prolongé
Du nouveau. L’état d’urgence sanitaire, arrivé à terme le 16 février 2021, est finalement prorogé jusqu’au 1er juin 2021 inclus.
Concernant les dispositions relatives à l’état d’urgence sanitaire. Les dispositions relatives à l’état d’urgence sanitaire (notamment les mesures ayant pour objet la mise en quarantaine, les mesures de placement et de maintien en isolement des personnes infectées par le virus), initialement applicables jusqu’au 1er avril 2021, le sont désormais jusqu’au 31 décembre 2021.
Concernant l’Outre-mer. En toute logique, les dispositions relatives à la lutte contre les épidémies applicables dans les îles Wallis et Futuna, en Nouvelle-Calédonie et en Polynésie française sont applicables jusqu’au 31 décembre 2021 (contre le 1er avril 2021 précédemment).
Coronavirus (COVID-19) : certificat vert numérique et protection des données personnelles
Pour permettre de nouveau une libre circulation des personnes au sein de l’Union européenne, une réflexion est en cours concernant la création d’un certificat vert numérique. Celui-ci aura pour objectif de prouver qu’une personne souhaitant se déplacer au sein de l’Union européenne :
- est vaccinée contre la COVID-19 ;
- ou a reçu un résultat négatif à un test de dépistage ;
- ou est rétablie après avoir contracté le virus de la COVID-19.
Toutefois, si ce dispositif s’inscrit dans une volonté de faciliter l’exercice d’une libre circulation, cela pose quelques questions en matière de protection de données personnelles.
Pour cette raison, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données se sont exprimés pour donner leur avis à propos de ce certificat et attirer l’attention sur quelques points de vigilance.
Une protection des données personnelles élevée
La protection des données personnelles doit être particulièrement élevée. Ainsi, le certificat doit contenir un minimum d’informations et la récolte de données plus précises doit faire l’objet d’une justification sur la nécessité d’une telle démarche.
En outre, le CEPD et le contrôleur européen, précisent qu’il est important de limiter le certificat vert numérique à la pandémie de coronavirus (COVID-19). A l’issue de la crise sanitaire, il devra être suspendu et les données supprimées.
Une maitrise du risque de discrimination
Pour éviter toute discrimination basée sur l’état de santé des personnes, il est nécessaire que chaque pays de l’Union européenne accepte les 3 types de certificats (vaccination, test de dépistage négatif et contraction du virus). L’objectif est d’empêcher que les personnes qui ne sont pas encore vaccinées ou qui ne souhaitent pas l’être soient lésées.
De plus, une version papier, en plus de la version numérique, peut également être mise en place pour assurer une égalité entre tous les citoyens européens.
Concernant la réutilisation du certificat
Si le certificat vert numérique est prévu pour permettre une libre circulation des personnes au sein de l’Union européenne, les différents pays peuvent être tentés de l’utiliser pour autoriser, ou non, l’accès à certains lieux (restaurants, lieux culturels, salles de sports, etc.).
Toutefois, ce type d’utilisation peut porter atteinte aux droits et libertés fondamentaux des personnes, une base légale claire et précise devra donc être mise en place pour éviter les risques :
- de discrimination ;
- d’atteinte au droit au respect à la vie privée ;
- d’atteinte à la protection des données personnelles.
Enfin, le CEPD et le contrôleur européen suggèrent qu’un mécanisme de contrôle soit instauré par les états membres pour s’assurer de la bonne utilisation de ce certificat vert numérique.
Coronavirus (COVID-19) et vaccination : des prises de rendez-vous sous contrôle ?
Le contexte. Pour mémoire, le Ministère de la Santé a conclu un partenariat avec différents prestataires, dont la société Doctolib, en vue d’organiser, de manière optimale, la prise de rendez-vous pour les vaccins visant à lutter contre le coronavirus.
L’action engagée. Diverses associations et syndicats professionnels ont saisi le juge en urgence pour suspendre cet accord : ils rappellent en effet que pour héberger les données qu’elle collecte, la société Doctolib fait appel à une filiale d’une société américaine ce qui, selon eux, comporte des risques au regard des demandes d’accès à ces données pouvant être formulées par les autorités américaines !
La décision du juge. « Faux », rétorque le juge, qui rappelle que :
- les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent (justement) pas d’indications sur les motifs médicaux d’éligibilité à la vaccination, mais portent seulement sur l’identification des personnes et la prise de rendez-vous ;
- les données collectées sont supprimées au plus tard dans un délai de 3 mois à compter de la date de rendez-vous, et peuvent également être supprimées directement en ligne par les personnes concernées ;
- le contrat conclu entre Doctolib et la filiale américaine prévoit une procédure particulière en cas de demande d’accès par une autorité étrangère, qui prévoit la contestation de toute demande contrevenant à la règlementation européenne applicable ;
- Doctolib a par ailleurs mis en place un dispositif de sécurisation des données hébergées, et ce afin d’en empêcher la lecture par des tiers.
Donc… Autant d’arguments qui, selon le juge, prouve que le niveau de protection des données collectées est suffisant : la demande des associations et syndicats est donc rejetée…
Coronavirus (COVID-19) : les règles pour le traitement des données par les collectivités territoriales
Dans le cadre de la stratégie vaccinale pilotée par l’Etat contre l’épidémie de coronavirus, les collectivités territoriales peuvent être amenées à récupérer les données personnelles des personnes vaccinées.
Par principe, elles devront utiliser les informations récoltées au niveau national, mais pourront dans certaines situations être amenées à récupérer des données au niveau local.
La CNIL leur rappelle donc les différents critères à respecter :
- les données récupérées doivent être en cohérence avec la finalité poursuivie ;
- le traitement des données doit être nécessaire : il ne pourra être justifié si un traitement identique a déjà été fait au niveau national ;
- la réalisation d’une analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre du traitement. L’AIPD permet de construire des traitements de données respectueux de la vie privée et conformes au règlement général sur la protection des données (RGPD).
Ce ciblage est principalement géré par la caisse nationale d’assurance maladie, mais les collectivités territoriales peuvent diffuser des informations générales ou effectuer des actions complémentaires d’accompagnement. Dans ce cas, elles devront utiliser les fichiers dont elles disposent notamment ceux dédiés aux personnes vulnérables.
Les rendez-vous pour une vaccination contre le COVID-19 doivent être pris sur les plateformes en ligne agréées : Doctolib, Keldoc et Maiia, ou sur la plateforme téléphonique mise en place. Les collectivités territoriales ont une mission de relais d’information, elles n’ont donc pas besoin de récupérer des données personnelles.
Le suivi de l’administration des vaccins est exclusivement effectué au niveau national, par le biais du système d’information « Vaccin Covid ».
Les collectivités territoriales peuvent récolter des informations anonymes utiles au bon fonctionnement des centres de vaccination (nombre d’injections effectuées, nombre de personnes s’étant présentées, etc).
Une précision au 25 mars 2021. Pour rappel, la Caisse national d’assurance maladie et le groupement dénommé « Plateforme des données de santé » sont autorisés, dans le cadre des besoins relatifs à la gestion de l’urgence sanitaire, à recevoir diverses catégories de données à caractère personnel (par exemple les données de pharmacies et les données relatives aux appels recueillis au niveau des services d’aide médicale urgente et des services concourant à l’aide médicale urgente).
Et maintenant ? Ils peuvent désormais recevoir les données issues du traitement dénommé « Vaccin Covid », dont l’objectif est de favoriser la vaccination au niveau national, via le recueil de diverses données visant, par exemple, à suivre l’approvisionnement des lieux de vaccinations en vaccins.
Coronavirus (Covid-19) : la protection des données personnelles
Données personnelles. Lorsque nous utilisons des services en ligne, notre activité est associée à des identifiants en ligne (adresses IP, cookies, etc.). Ces données peuvent servir à créer des profils et à identifier les personnes, notamment pour leur proposer des biens et des services.
RGPD. Le traitement des données personnelles nécessite de respecter la Réglementation Générale sur la Protection des Données (RGPD) applicable depuis le 25 mai 2018. C’est la Cnil qui est chargée de contrôler le respect du RGPD.
Coronavirus (Covid-19) et données personnelles : ce qui est interdit
Les employeurs doivent prendre des mesures… Durant le temps de l’état d’urgence sanitaire, il est demandé aux employeurs de prendre des mesures adaptées pour limiter les déplacements et réunions des salariés ou pour respecter des mesures d’hygiène.
… proportionnées ! La Cnil tient à rappeler que les mesures prises par les employeurs ne doivent pas porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.
Exemple. Ainsi, à titre d’exemple, les employeurs ont l’interdiction de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé et ses proches. Il n’est donc pas possible de mettre en œuvre :
- des relevés obligatoires et/ou automatiques des températures corporelles de chaque employé à adresser quotidiennement à sa hiérarchie ;
- ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés.
A noter. Ces mesures ne peuvent pas être prises non plus à l’égard des clients et fournisseurs.
Données médicales. Concernant les tests sérologiques et questionnaires sur l’état de santé, ils conduisent à la collecte de données médicales, soumises donc au secret médical et relevant de la seule compétence des personnels de santé.
Coronavirus (Covid-19) et données personnelles : ce qui est autorisé
Les devoirs de l’employeur. L’employeur est responsable de la santé et de la sécurité des salariés de son entreprise. Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.
Comment protéger ses salariés ? L’employeur peut notamment :
- sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
- faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
- favoriser le télétravail et encourager le recours à la médecine du travail.
En cas de Covid-19. Si un salarié est suspecté d’être atteint du Covid-19, l’employeur peut :
- consigner la date et l’identité du salarié suspecté d’être malade ;
- consigner les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).
Pourquoi ? La consignation de ces mesures est importante car, ainsi, l’employeur peut communiquer aux autorités sanitaires les éléments liés à la nature de l’exposition.
Quoi ? L’employeur peut traiter uniquement les données liées à :
- la date,
- l’identité de la personne et au fait qu’elle ait indiqué être contaminée ou qu’elle soit suspectée de l’être,
- les mesures organisationnelles prises.
Plan de continuité de l’activité. La Cnil rappelle également que les employeurs peuvent mettre en place un « plan de continuité de l’activité » qui a pour objectif de maintenir l’activité essentielle de l’organisation. Dans ce cadre, l’employeur peut collecter les données personnelles nécessaires pour prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.
Les devoirs des salariés. Chaque salarié doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même : il doit donc informer son employeur en cas de suspicion de contact avec le Covid-19. Un salarié en télétravail ou qui n’a aucun contact avec des collègues ou du public n’a, en revanche, pas à fournir cette information.
A noter. La Cnil alerte sur le fait que l’employeur ne doit jamais communiquer l’identité de la personne susceptible d’être infectée aux autres salariés.
DPO. En cas de doute sur la collecte d’une donnée personnelle, employeurs et salariés peuvent prendre contact avec le délégué à la protection des données personnelles (en anglais « Data Protection Officier », soit DPO), ou avec leur conseil habituel (avocat, expert-comptable, etc.).
Coronavirus (COVID-19) : le point sur l’application TousAntiCovid
StopCovid change de nom ! Le 22 octobre 2020, l’application StopCovid a changé de nom. Elle s’appelle désormais TousAntiCovid. Ces fonctionnalités restent les mêmes.
- Quel est l’objectif de StopCovid ?
Une application mobile. L’application Stop Covid sera téléchargeable gratuitement, et sur la base du volontariat, à compter du 2 juin 2020.
A quoi sert-elle ? Cette application permet :
- d’informer les personnes utilisatrices de l’application qu’il existe un risque qu’elles aient été contaminées par le virus du covid-19 en raison de leur proximité à un autre utilisateur de cette application ayant été diagnostiqué positif à cette pathologie, à savoir :
- o soit un contact à une distance inférieure ou égale à 1 mètre pendant 5 minutes ;
- o soit un contact à une distance supérieure à 1 mètre et inférieure à 2 mètres pendant 15 minutes ;
- de sensibiliser les personnes utilisatrices de l’application, notamment celles identifiées comme contacts à risque de contamination, sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation
- de recommander aux contacts à risque de contamination de s’orienter vers les professionnels de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage ;
- d’adapter, le cas échéant, les paramètres de l’application permettant d’identifier les contacts à risque de contamination grâce à l’utilisation de données statistiques anonymes.
A noter. En cas de diagnostic clinique positif au virus du covid-19 ou de résultat positif à un examen de dépistage à ce virus, les utilisateurs de l’application sont libres de notifier ou non ce résultat dans l’application et de transmettre au serveur l’historique de proximité.
- La conservation des données collectées
StopCovid : une durée de vie limitée à l’état d’urgence. Le traitement de données mis en œuvre dans le cadre de l’application mobile ne peut l’être que pour une durée ne pouvant pas excéder 6 mois après la fin de l’état d’urgence sanitaire.
Données de proximité : limitée à 15 jours. Notez que :
- les données de l’historique de proximité enregistrées par l’application sont conservées 15 jours à compter de leur enregistrement
- lorsqu’elles ont été partagées sur le serveur central, les données de l’historique de proximité des contacts à risque de contamination sont conservées sur ce serveur 15 jours à compter de leur enregistrement par l’application.
- Les droits des personnes dont les données sont collectées
Une protection des données personnelles… Les personnes dont les données personnelles sont collectées ont des droits prévus par le Règlement Général sur la Protection des Données (RGPD).
… exceptionnellement inapplicables. Pour autant, sachez que les habituels droits d’accès, de rectification ainsi que le droit à la limitation prévus ne peuvent pas être mis en œuvre dans le cadre de l’application StopCovid.
Des utilisateurs informés de leurs droits. Les utilisateurs de l’application sont néanmoins dûment informés des principales caractéristiques de leurs droits au moment de l’installation de l’application StopCovid.
Partage de l’historique de proximité. Les utilisateurs sont informés qu’en cas de partage de leur historique de proximité sur le serveur central de StopCovid :
- les personnes identifiées comme leurs contacts à risque de contamination seront informées qu’elles auront été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des 15 derniers jours
- de la possibilité limitée d’identification indirecte, susceptible d’en résulter lorsque ces personnes ont eu un très faible nombre de contacts pendant cette période
=> Pour en savoir plus, consultez le dossier de presse du Gouvernement sur l’application Stop Covid
=> Pour en savoir plus, consultez des visuels de l’application Stop Covid
Coronavirus (COVID-19) : la sortie de l’état d’urgence sanitaire au 11 juillet 2020
Fin de l’état d’urgence sanitaire. En métropole et pour la majorité des territoires d’Outre-mer (à l’exception de la Guyane et de Mayotte), l’état d’urgence sanitaire prend fin ce 10 juillet 2020.
Pour mémoire. Pour rappel, aux fins de lutte contre la propagation du virus, le traitement et le partage de données personnelles relatives à la santé des personnes atteintes par le virus et celles ayant été en contact avec elles sont autorisés pour une durée maximum de 6 mois à compter de la fin d’urgence sanitaire. Ce traitement s’effectue dans le cadre d’un système d’information dédié, et peut être réalisé sans le consentement des personnes intéressées.
Durée de conservation de principe. En principe, les données personnelles traitées ne sont conservées que 3 mois maximum à compter de leur collecte.
Du nouveau. Désormais, il est possible que la durée de conservation de certaines données personnelles soit prolongée afin de surveiller la propagation de l’épidémie au niveau local et national, et de poursuivre la recherche sur le virus.
Avis de la CNIL. Cette prolongation doit être prise après avis de la Commission nationale de l’informatique et des libertés (CNIL) et du Comité de contrôle et de liaison covid-19 mis en place en mai 2020.
A suivre… Un décret, à paraître prochainement, précisera les modalités selon lesquelles cette prolongation devra être portée à la connaissance des personnes dont les données ont été collectées avant son entrée en vigueur.
A noter. Cette durée de conservation ne peut excéder 6 mois maximum à compter de la fin de l’état d’urgence sanitaire.
Coronavirus (COVID-19) : les bonnes pratiques à mettre en œuvre pour le cahier de rappels
Pour rappel, l’ouverture des restaurants situés dans les zones d’alerte maximale est désormais conditionnée au respect d’un protocole sanitaire renforcé. Celui-ci comprend notamment la tenue d’un « cahier de rappel » , destiné à collecter les coordonnées des clients présents dans le restaurant, afin de les tenir à disposition des autorités sanitaires en cas de contamination de l’un de ses clients.
Cahier de rappel = RGPD ! Ce « cahier de rappel » constitue un traitement de données personnelles soumis au RGPD.
Recommandations de la Cnil. A ce titre, la Cnil vient d’émettre les recommandations suivantes.
Les établissements de restauration mettant en place ces « cahiers de rappel » doivent collecter uniquement les données nécessaires. Les données collectées doivent se limiter à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone) : il est interdit de collecter davantage de données. Lors de la collecte de ces données, le restaurateur ne peut pas procéder à un contrôle d’identité de la personne, par exemple en lui demandant de produire une pièce justificative. L’établissement doit renseigner la date et l’heure d’arrivée du client afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la durée de conservation des fiches (limitée à 14 jours).
Limiter l’utilisation des données à la seule transmission aux autorités sanitaires. Les informations collectées dans les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les autorités sanitaires en font la demande (agents des CPAM, de la CNAM et de l’ARS). Toute autre utilisation (par exemple : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.) est strictement interdite.
Informer les clients. Les clients doivent être informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données. Cette information doit être délivrée au moment de la collecte des données, et sous un format facilement accessible (par exemple : une mention d’information intégrée sur le formulaire papier ou électronique à compléter par le client, un panneau d’affichage visible à l’entrée de l’établissement, etc.). Cette mention d’information doit être claire, précise et simple. Elle doit comprendre :
- l’identité et les coordonnées de l’établissement ;
- l’objectif de la collecte des données (faciliter le traçage des « cas contacts par les autorités sanitaires) ;
- la durée de conservation des données (14 jours) ;
- les droits dont dispose la personne concernée (notamment le droit d’accès et de rectification) ;
- les éventuels destinataires, et en particulier les autorités sanitaires auxquelles pourront être transmises ces données au cas où une infection à la covid-19 serait détectée.
Pour aider les restaurateurs, la CNIL a mis à leur disposition un exemple de modèle de document, avec les mentions d’information nécessaires. Il est consultable à l’adresse suivante : https://www.cnil.fr/fr/cahier-de-rappel-exemples-de-formulaire-de-recueil-de-donnees-et-mentions-dinformation-rgpd.
Une durée de conservation limitée. Les données collectées dans le « cahier de rappel » doivent être détruites au bout de 14 jours, conformément aux préconisations du Ministère de la Santé, quelle que soit leur modalité de collecte (formulaire papier, formulaire en ligne, QR code, etc.).
Sécuriser les données. Le restaurateur doit assurer la confidentialité des données collectées sur ses clients.
Pour un « cahier de rappel » au format papier, la Cnil recommande de mettre à disposition un formulaire individuel ou par tablée, ou de de procéder à une collecte des informations directement par le restaurateur lui-même. Le « cahier de rappel » doit être conservé dans un lieu sécurisé (par exemple : armoire ou pièce fermée à clef etc.) et ne pas être laissé à la vue de tous les clients.
Pour les autres types de « cahier de rappel » (ex : QR code, formulaire en ligne, etc.), une attention particulière devra être apportée aux points suivants :
- sécuriser l’accès au système d’information utilisé avec un mot de passe « robuste » ;
- ne pas stocker les données collectées sur des matériels non sécurisés (par exemple, une clé USB).
Quel que soit le format du « cahier de rappel », les informations renseignées par les clients ne doivent pas être accessibles et consultées par l’ensemble du personnel de l’établissement, mais uniquement par des personnes spécifiquement identifiées (par exemple : le gérant de l’établissement).
A retenir
De nombreux dispositifs sont mis en place pour venir en aide aux entreprises confrontées à la crise du coronavirus. N’hésitez pas à solliciter l’aide de vos conseils et de vos interlocuteurs bancaires et administratifs habituels.
Sources
- https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles
- Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »
- Arrêté du 30 mai 2020 définissant les critères de distance et de durée du contact au regard du risque de contamination par le virus du covid-19 pour le fonctionnement du traitement de données dénommé « StopCovid »
- Loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’état d’urgence sanitaire
- cnil.fr, Actualité du 23 septembre 2020 : Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs
- Actualité de la Cnil du 7 octobre 2020 (recommandations cahier des charges)
- Arrêté du 27 novembre 2020 modifiant l’arrêté du 30 mai 2020 définissant les critères de distance et de durée du contact au regard du risque de contamination par le virus du covid-19 pour le fonctionnement du traitement de données dénommé « StopCovid »
- Loi n° 2021-160 du 15 février 2021 prorogeant l’état d’urgence sanitaire
- Actualité du site du Conseil d’Etat
- Ordonnance du Juge des Référés du Conseil d’Etat du 12 mars 2021, n° 450163 (NP)
- Arrêté du 23 mars 2021 modifiant l’arrêté du 10 juillet 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire
- Actualité de la CNIL du 7 avril 2021 (sur le certificat vert numérique)
- Loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire (article 7) (conservation des données personnelles de santé)
- Communiqué de presse de la CNIL du 8 juin 2021 (avis sur les conditions de mise en œuvre du pass sanitaire)
- Communiqué de presse de la CNIL du 8 juin 2021 (dispositif numérique de luttte contre le coronavirus, quelles garanties pour la protection des données ?)
- Décret n° 2021-959 du 20 juillet 2021 relatif à l’accès à des fins d’établissement de statistiques ou de recherche scientifique aux données relatives au fonds de solidarité à destination des entreprises des secteurs particulièrement touchés par les conséquences économiques de la crise sanitaire liée au coronavirus Covid-19