CNIL et données personnelles

L’utilisation de ce site  engage sur différents points :
Ce service proposé par la Sàrl Effica CD sur abonnement aux établissements partenaires, a pour objectif de simplifier le fonctionnement des établissements de restauration devant proposer, en plus des règles de distanciation sociales, la désinfection des mains et des petits objets du quotidien ainsi que celle des espaces de restauration et la mise en place d’un cahier de rappel anonymisé et sécurisé, mis à disposition des autorités sanitaires si nécessaire.

Le descriptif du système de désinfection est disponible en suivant ce lien : Manoa la solution de désinfection choisie par restoz.fr

Concernant le schéma de collecte et de conservation des des données :

  1. Collecter uniquement les données nécessaires

Pour les « cahiers de rappel », les données à collecter se limitent à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (adresse email)  puisqu’il est interdit de collecter davantage de données.

A noter :

  • Lors de la collecte des données, le restaurateur ne peut pas procéder à un contrôle d’identité de la personne, par exemple en demandant de produire une pièce justificative.
  • Lors de l’enregistrement par le client présent dans l’établissement la date et l’heure d’arrivée du client sont renseignés automatiquement afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la conservation des données  (14 jours)
  1. Limiter l’utilisation des données à la seule transmission aux autorités sanitaires

Les informations collectées dans les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les  autorités sanitaires en font la demande : agents des CPAM, de la CNAM, de l’ARS. Toute autre utilisation (ex : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.) est strictement interdite.  

  1. Informer les clients

Les clients doivent être informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données.

Cette information doit être délivrée au moment de la collecte de ses données, et sous un format facilement accessible (mention d’information intégrée sur le formulaire électronique à compléter par le client). 

Cette mention d’information doit être claire, précise et simple. Elle devra comprendre :

  • l’identité et les coordonnées de l’établissement ;
  • l’objectif de la collecte des données (faciliter le traçage des « cas contacts par les autorités sanitaires) ;
  • la durée de conservation des données (14 jours) ;
  • les droits dont dispose la personne concernée (notamment le droit d’accès et de rectification) ;
  • les éventuels destinataires, et en particulier à quelles autorités sanitaires pourraient être transmises ces données au cas où une infection à la COVID-19 serait détectée.
  1. Une durée de conservation limitée

Les données collectées dans le « cahier de rappel » seront être détruites au bout de 14 jours, conformément aux préconisations du ministère des Solidarités et de la Santé. 

  1. Sécuriser les données

Le restaurateur devra assurer la confidentialité des données collectées sur ses clients : il ne s’agit pas que chacun ait accès aux coordonnées de l’ensemble des clients présents au même moment que lui ! Ici les données sont transmises et enregistrées cryptées.

Pour le « cahier de rappel » une attention particulière devra être apportée aux points suivants :

    • sécuriser l’accès au système d’information utilisé avec un mot de passe « robuste » ;
    • ne pas stocker les données collectées sur des matériels non sécurisés (ex : clé USB).

Les informations renseignées par les clients ne doivent pas être accessibles et consultées par l’ensemble du personnel de l’établissement, mais uniquement à des personnes spécifiquement identifiées (ex : le gérant de l’établissement).

Dans tous les cas, la mise en service pour un établissement d’un cahier de rappel doit se faire en :

  • justifiant de la nécessité du dispositif : ce « cahier de rappel » doit répondre à un besoin que le restaurateur a identifié ;
  • recueillant auprès de chaque client son consentement à la collecte de ses données, et à leur éventuelle transmission aux autorités sanitaires.

Pour que le consentement recueilli soit valable, la personne doit disposer d’un choix réel sans avoir à subir de conséquences négatives en cas de refus. En pratique, cela signifie que le responsable de traitement ne peut pas refuser l’accès à son établissement, si la personne refuse de communiquer ses données.

Le recueil de l’accord de la personne s’effectue au moyen d’une case à cocher sur un formulaire en ligne au moment de son enregsitrement lors de son arrivée dans l’établissement.