Par Patrick Roulette, Avocat.
 
Guide de lecture.
 

Restaurants, carnets de rappel et RGPD : attention danger !

A l’heure du rebond de la pandémie les restaurateurs tentent de maintenir leurs établissements ouverts en multipliant les dispositifs de protection.Le plus médiatique est sans doute l’instauration d’un carnet de rappel. Ce dispositif appelle cependant - dans sa mise en place actuelle - de nombreuses critiques et peut même être structurellement non-conforme au RGPD. D’autre solutions existent et nous vous en détaillons une en collaboration avec la Commission Entreprises de l’Ordre des Avocats de Seine Saint Denis.

Restaurants et carnets de rappel, une infraction collective au RGPD.

La pandémie en cours met à mal l’économie et frappe plus particulièrement certains secteurs.

Les restaurants, bars et discothèques ont été très vite identifiés comme des commerces à risques et les fermetures perdurent pour certains et reprennent pour d’autres.

Pour obtenir le maintien de leur activité en zone écarlate, les restaurateurs ont présenté de nouveaux dispositifs de protection, le plus médiatique d’entre eux étant la tenue d’un « carnet de rappel ».

En pratique lorsque vous arrivez au restaurant on vous demande de noter sur un cahier vos noms et numéros de téléphone ainsi que le jour de votre venue.

Ce dispositif me paraît inacceptable et en tout état de cause en contravention avec les obligations du RGPD.

Attention le but du présent article n’est pas de critiquer le dispositif de rappel auquel je suis à titre personnel très favorable, mais de souligner les incohérences et les dangers du système actuellement retenu.

En premier lieu, le fait de remplir ce cahier vous permet de savoir qui est présent également ce jour-là dans l’établissement, tout comme les clients suivant auront connaissance de votre présence.

Il s’agit là d’une atteinte grave à la vie privée qui ne se justifie en rien car elle pourrait être évitée avec un minimum d’organisation.

Mais par ailleurs ce dispositif, pourtant mis en avant par les pouvoirs publics, est contraire à quelques-uns des cinq grands principes du RGPD tels qu’ils sont rappelés par la CNIL à savoir :
- Le principe de finalité : le responsable d’un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime ;
- Le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier ;
- Le principe d’une durée de conservation limitée : il n’est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier ;
- Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu’il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations ;
- Les droits des personnes.

La question du principe de finalité est immédiatement traitée puisque ce dispositif doit servir à prévenir des clients qui auraient été en présence d’un cas contact et se trouve à mon sens justifié.

Mais en revanche nous pouvons critiquer le respect des quatre autres principes.

Le principe de proportionnalité et de pertinence, n’est à mon sens pas respecté lorsque le restaurant demande le numéro de téléphone ET l’adresse mail et ce pour tous les clients, même si certains font partie d’une tablée pour laquelle une personne s’est déjà enregistrée.

Le principe d’une durée de conservation limitée est difficile à mettre en place dans la mesure où les informations sont réunies sur un cahier (souvent volumineux) sans que l’on sache s’il est utilisé pour le jour, la semaine, le mois ou voire plus.

Le principe de sécurité et de confidentialité est battu en brèche dès la mise à disposition du carnet à tous les clients entrant dans l’établissement et le fait de le placer à l’entrée du restaurant sans véritable dispositif de sécurité, expose ce carnet à des actes malveillants qui permettraient ainsi à des personnes malintentionnées de disposer d’éléments personnels facilement exploitables.

Les droits des personnes me paraissent également en danger dans la mesure où comme je l’indiquais ci-dessus, le simple fait de s’inscrire permet d’identifier immédiatement tous les autres clients présents ce jour-là dans le même établissement. De plus aucune information n’est donnée sur les droits accessibles, comme le droit à l’oubli ou le droit à rectification.

Bien évidemment beaucoup d’entre nous ont conscience de ces risques et la stratégie alors mise en place réside dans la fourniture d’informations erronées, ce qui prive le dispositif de toute efficacité.

Alors dans la mesure où ce dispositif me paraît utile, je propose- en lien avec la Commission Entreprises du Barreau de Seine Saint Denis - de mettre en place un dispositif légèrement différent mais qui serait mieux à même d’être en conformité avec le RGPD.

Ce dispositif se doit d’intégrer deux autres éléments à savoir la matérialisation d’un accord éclairé de la part du client qui remet des données et la garantie des droits relatif au traitement de ces données et plus particulièrement le droit à l’oubli.

Ce dispositif pourrait s’articuler sur les éléments suivants :
- Remise à table d’un formulaire type rappelant les principes du RGPD et l’exercice des droits qui y sont rattachés avec la demande par table d’un numéro de téléphone ou d’une adresse mail avec la signature du client ;
- Collecte journalière des fiches et classement en fin de journée dans une enveloppe scellée, comportant uniquement la date de la collecte et placée dans un endroit sécurisé ;
- Destruction de l’enveloppe dans un délai préfixe (par exemple 15 jours) et en cas de demande de l’ARS envoie de l’enveloppe aux autorités sans ouverture préalable ;
- Affichage et explication du dispositif et mention des conditions d’exercice des droits ;
- Réalisation d’un dossier de mise en conformité RGPD
- Désignation d’un DPO.

Un tel dispositif nécessite un travail collectif qui me paraît relever avant tout des organisations professionnelles de ces commerçants, ne serait que pour la réalisation du dossier de mise en conformité RGPD et la désignation d’un DPO référent.

Mais sous cette forme il me paraît répondre aux observations reprises ci-dessus.

Afin d’aider au quotidien ces commerçants déjà gravement impactés par la crise, la Commission Entreprises de l’Ordre des Avocats de Bobigny met gracieusement à disposition des restaurateurs un dossier de mise en conformité réalisé sur la base du dispositif que nous préconisons.
Il est adressé sur simple demande à l’adresse mail avocats.sosentreprises chez gmail.com
Nous nous tenons à la disposition des collectivités locales ou des organismes professionnels pour adapter ce modèle aux cas spécifiques.

Patrick Roulette,
Avocat au Barreau de la Seine-Saint-Denis.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

3 votes
Commenter cet article

Vos commentaires

  • Dernière réponse : 13 octobre à 18:36
    par VM , Le 13 octobre à 16:52

    N’y a-t-il pas, tout de même, un improbable et immense comble à inviter d’éventuels prospects à livrer leur expérience au détour d’une adresse mail "Google", au cœur de cet article labélisé "RGPD", au demeurant fort intéressant et pertinent ?

    • par Patrick ROULETTE , Le 13 octobre à 18:36

      Cela peut effectivement être paradoxal d’utiliser un compte Gmail tout en invoquant le respect du RGPD. Vous avez raison de rappeler - même de façon incidente - que GOOGLE est tout sauf un champion du respect des droits et j’encourage tous les utilisateurs du net à intéresser aux conséquences du "CLOUD ACT" voté en douce par Mr TRUMP. Mais dans la mesure où il s’agit d’une simple demande de renseignement pas de risque en l’état et le document envoyé par nos soins ne comporte aucune donnée personnelle. Mais la question mérite débat et.. un budget de fonctionnement. Bien cordialement Patrick ROULETTE

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs