Covid-19 : est-ce risqué de laisser ses coordonnées au restaurant ?

·4 min de lecture
Les cahiers de rappel sont obligatoires dans les restaurants situés en zone d'alerte maximale.

En zone d’alerte maximale en France, les clients des restaurants doivent laisser leurs coordonnées sur un cahier de rappel, un registre papier ou numérique, pour faciliter le traçage des cas contacts en cas de cas positif.

Laisser son numéro de téléphone ou son adresse mail en entrant au restaurant. Un geste en passe de devenir une habitude dans plusieurs villes. Après Marseille et Paris, Lille, Grenoble, Saint-Etienne Montpellier et Toulouse sont passées en zone d’alerte maximale.

Pour rester ouverts, les restaurants situés dans ces zones doivent tenir des “cahiers de rappel”, des registres numériques ou papier où les clients laissent leurs coordonnées pour être prévenus en cas de cas positif au Covid-19.

Des dérives en Allemagne et au Royaume-Uni

Une idée venue tout droit d’Allemagne, où un tel dispositif est en place depuis plusieurs mois. Revers de la médaille, selon le magazine allemand Der Spiegel, des données personnelles récoltées ont été détournées à des fins d'enquêtes policières, ou récupérées par des entreprises pour envoyer des newsletters aux clients qui avaient consciencieusement laissé leur coordonnées.

Un problème également rencontré outre-Manche, raconte The Times. Depuis plusieurs jours, la réglementation oblige les restaurants à afficher un QR code à l’entrée. Une fois scanné par le client, ce QR code collecte ses données et permet le traçage des cas de Covid-19, comme un cahier de rappel.

Des données revendues à des sociétés de crédit

Sauf que selon The Times, des entreprises qui développent ces QR code collectent noms, adresses, numéros de téléphone et e-mails des clients avant de les revendre à des sociétés de crédit, des courtiers d'assurance ou encore des spécialistes du marketing. Des pratiques qui inquiètent outre-Manche, au point que le Royaume-Uni est au seuil d’une “crise de la vie privée”, affirment certains experts juridiques.

De quoi inquiéter en France, alors que les cahiers de rappel se multiplient au fur et à mesure que des villes basculent en alerte maximale face à la progression du Covid. La CNIL (Commission nationale de l'informatique et des libertés) publie sur son site un exemple de cahier de rappel à tenir à destination des professionnels, et fixe les règles.

Des données détruites au bout de 14 jours

Tout d’abord, la CNIL rappelle qu’aucun établissement ne peut rendre obligatoire le téléchargement de Stop Covid. La commission rappelle également que les données récoltées auprès des clients “doivent se limiter à l'identité de la personne (nom/prénom) ainsi qu'à un seul moyen de contact (numéro de téléphone) : il est interdit de collecter davantage de données”. Mais les restaurateurs ne peuvent pas contrôler l’identité du client qui indique ses coordonnées. En Allemagne, une amende de 50 euros est prévue en cas de fausse déclaration.

Les données contenues dans ces cahiers de rappel doivent être “uniquement être utilisées pour faciliter la recherche des “cas contacts”, lorsque les autorités sanitaires en font la demande : agents des CPAM, de la CNAM, de l’ARS”, précise la CNIL qui rappelle qu’il est interdit d’utiliser ces données pour inviter les clients à une soirée à thème ou encore faire des promotions sur les menus proposés. Les données récoltées doivent être détruites au bout de 14 jours, comme le recommande le ministère de la Santé.

En cas de dérive, des sanctions pour les restaurateurs

Un cahier de rappel au format papier doit “être stocké dans un lieu sécurisé et ne pas être laissé à la vue de tous”, rappelle la CNIL dans son guide des bonnes pratiques. Interrogée par Le Monde, Céline Avignon, avocate spécialiste du droit du numérique estime qu’en cas de vol du cahier, “ce serait un non-respect du RGPD, et à l’extrême les restaurateurs peuvent être poursuivis en justice”, détaille l’avocate au cabinet Lexing Alain Bensoussan Avocats.

Si le restaurateur opte pour un format numérique, type QR Code, la Commission recommande de sécuriser l’accès avec un “mot de passe robuste” et de ne pas stocker ces données “sur des matériels non sécurisés, comme une clé USB”.

Si vous recevez par exemple un SMS publicitaire après être allé au restaurant et avoir laissé vos coordonnées dans le cahier de rappel, vous pouvez faire un signalement à la CNIL. Un restaurateur qui utilise ces données personnelles à des fins non prévues s’expose à des sanctions pénales allant jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende, rappelle la Commission nationale informatique et Libertés.

Cette vidéo peut également vous intéresser :