ActualitéDVPRGPD

Mesures sanitaires – Quelle collecte de données par les restaurants ?

juillet 12, 2021 0 Comments by admin

La réouverture des restaurants s’accompagne de mesures sanitaires impliquant de manipuler des données personnelles. Il faudra notamment tenir un cahier de rappel et pour cela respecter toutes les composantes de la conformité RGPD. Bien sûr, pas question de détourner ces fichiers de leur but initial. N’espérez pas alimenter vos bases marketing de cette manière. On vous en parle sur ce blog.

Pourquoi et comment les restaurants collectent des données personnelles ?

La réouverture des restaurants va de pair avec l’adoption d’un protocole sanitaire strict. Ce protocole comprend diverses mesures dont l’enregistrement des visites des clients.

Pourquoi ? L’objectif est de pouvoir retracer la composition d’une salle en cas de détection d’un cas de Covid. En pareille situation, les clients enregistrés seront informés, incités à se faire tester et à s’isoler.

De quelle manière les restaurants enregistreront-ils leurs clients ? Deux méthodes sont possibles :

  • Grâce à un cahier de rappel papier géré par le restaurateur. En pratique, les clients renseignent leurs coordonnées dans ce cahier qui sera tenu à disposition des autorités sanitaires.
  • grâce à l’application Tousanticovid, via un QR Code et l’utilisation de la fonctionnalité Signal. La personne testée positive se signale dans l’application. Les personnes susceptibles d’avoir été en contact avec une personne infectée reçoivent alors une notification. La CNIL a naturellement rendu un avis sur les évolutions de cette application.

Minimisation, information… Comment les restaurants protègent-ils les données personnelles ?

La CNIL a régulièrement accompagné l’application de protocoles sanitaires par les professionnels. Le régulateur s’assure en particulier du bon encadrement des traitements de données personnelles susceptibles d’en découler.

Il faut dire qu’en tant que restaurateur, vous assumez la responsabilité de ces traitements de données personnelles, quand bien même ils découlent d’une obligation légale. A ce titre, vous devrez veiller à la conformité RGPD de vos pratiques et bien encadrer le recours éventuel à des cahiers de rappel papier.

La CNIL a donc publié des recommandations détaillant les mesures que les restaurateurs doivent respecter :

  • Limiter la collecte de données au strict nécessaire. Identité, date et heure d’arrivée du client dans le restaurant, un moyen de contact sont les seules données que le professionnel pourra collecter.
  • Pas de contrôle d’identité du client par le professionnel. Le restaurateur n’a pas à demander de justificatif.
  • Les personnes doivent être informées du traitement des données ainsi opérées. En pratique, cela se fera par une mention au bas du formulaire et par un panneau d’information à disposition dans le restaurant.
  • Les cahiers de rappel contiennent sans surprise des données personnelles qui ne devront pas être conservées indéfiniment. Selon la CNIL, les cahiers de rappel devront être détruits au bout de 15 jours.
  • Les données d’un client ne doivent pas être disponibles des autres clients. Hors de question de pouvoir jeter un œil sur toute une page pendant que l’on s’inscrit soi-même sur le document. Par conséquent : soit un formulaire distinct est fourni à chaque tablée, soit un membre du personnel devra alimenter le cahier lui-même.
  • La sécurité des données est fondamentale. Cela concerne vos applications informatiques, votre site web, votre application mobile mais aussi vos dossiers papiers. Les cahiers de rappel devront être stockés dans un espace sécurisé avec un accès restreint. Laisser un cahier toute la journée à un bureau d’accueil non surveillé ne serait pas quelque chose d’acceptable.
  • L’accès aux cahiers de rappel ne doit pas être ouvert à tout le personnel du restaurant mais uniquement à des personnes spécialement habilitées à cet effet.

Mesures sanitaires – un objectif de protection, pas de sollicitation

Certes, on a l’habitude de dire que le RGPD est en pratique moins contraignant pour les TPE PME à l’égard desquelles on attend moins. Mais les cahiers de rappel présentent un certain niveau de sensibilité qui justifiera une vigilance particulièrement importante de la part de votre restaurant.

Les cahiers de rappel n’auront pour seul but que d’être transmis aux autorités sanitaires sur demande. Les traitements de données personnelles mis en œuvre poursuivent donc exclusivement des objectifs de santé publique.

Et pourtant, comment oublier que le contexte des confinements a eu des conséquences catastrophiques pour bien des restaurateurs ? La tentation est par conséquent forte de détourner cette mesure sanitaire :

  • en présentant comme un cahier de rappel ce qui serait en réalité une liste de prospection ;
  • en récupérant les coordonnées inscrites dans le cahier de rappel pour les injecter dans votre outil de marketing automation ;
  • en revendant le contenu des cahiers à vos partenaires commerciaux ou à vos autres établissements ;
  • ..

Naturellement, rien de tout cela n’est possible. Ce serait un détournement de la finalité initiale du traitement et un manquement à vos obligations de conformité RGPD.

Un restaurant se livrant à ce type de pratique sous-estimerait certainement le risque réel de voir les réclamations et les plaintes se multiplier.

L’efficacité des cahiers de rappel papier dépend par ailleurs de la bonne collaboration des clients. Encore faut-il qu’ils aient suffisamment confiance pour confier au restaurateur leurs vraies coordonnées. Une confiance qui se perdra facilement si l’on a le sentiment que les données pourraient en réalité servir à des objectifs marketing.

Conclusion : Restaurants, êtes-vous prêt à gérer un cahier de rappel ?

La réouverture des restaurants a été rendue possible en impliquant cette profession dans la lutte contre l’épidémie. Les restaurateurs jouent naturellement le jeu en respectant un protocole strict.

Si l’objectif de protection de la santé publique est parfaitement louable, pas question pour autant de faire n’importe quoi avec les données. Les restaurateurs assument la responsabilité du traitement des données et doivent ainsi veiller à leur conformité RGPD.

Au final, le cahier de rappel papier ne doit pas être vécu sous l’angle d’une opportunité marketing. Ou pour le dire autrement, il ne servira pas à alimenter des bases de sollicitation.

Détourner ce cahier et vous en servir pour prospecter vos clients pourrait au final vous coûter cher, qu’il s’agisse de votre réputation comme de l’état de votre conformité. Au contraire, jouer le jeu sera un bon moyen de montrer votre professionnalisme et le soin que vous apportez à la protection des données de vos clients.

 

Article rédigé par Maxime Jaillet

Quel bilan retenir après 3 ans de RGPD ?Quel bilan retenir après 3 ans de RGPD ?juin 22, 2021
Pixels invisibles – Bouygues Telecom poursuivi devant la CNILseptembre 20, 2021Pixels invisibles – Bouygues Telecom poursuivi devant la CNIL

Laisser un commentaire