Carnets de rappel: ce que les restaurateurs peuvent faire (ou non) de vos données

De passage au restaurant ce midi, les clients franciliens ont pu se trouver décontenancés, une fois mis nez à nez avec une simple feuille de papier. En vertu du nouveau protocole sanitaire en vigueur à Paris et dans sa petite couronne, les établissements de restauration se doivent de faciliter le suivi épidémiologique du Covid-19 en réclamant quelques informations personnelles de la part de leurs visiteurs. Parmi elles, figurent essentiellement leurs noms, numéros de téléphones et heures d'arrivée sur place.

À la main ou en ligne

L'initiative vient remplir la même fonction que celle dévolue à l'application StopCovid: permettre d'identifier rapidement les cas contacts de personnes testées positives, pour les inviter à se faire dépister à leur tour, voire à s'isoler. L'application, qui plafonne à 2,2 millions d'utilisateurs actifs, connaît pour l'heure un succès plus que mitigé en France.

Qu'à cela ne tienne: les restaurateurs franciliens ont dès ce mardi participé à l'effort de traçage du Covid-19, par deux méthodes: au papier et au crayon, ou via un enregistrement numérique sur un carnet dédié. La société française Bonjour Menu, qui se cantonnait jusqu'à présent à faciliter l'accès à des menus sans contact, a été l'une des premières à dégainer des carnets de rappel numériques, bénévolement. Sa solution, développée en 24h, est déjà disponible en ligne.

Peu importe la méthode choisie: en s'adonnant à cet exercice, les restaurateurs réalisent de la collecte de données personnelles. Et doivent, dans ce cadre précis, se soumettre au règlement en vigueur, le RGPD, entré en application depuis mai 2018. Ce dernier comporte, noir sur blanc, l'obligation pour les responsables de fichier d'en "garantir la sécurité et la confidentialité des informations qu’il détient", en veillant particulièrement à ce que "seules les personnes autorisées aient accès à ces informations".

La Belgique, qui a imposé ces mêmes carnets de rappel dans ses restaurants ces derniers jours, a sa propre interprétation du RGPD. L'autorité de protection des données nationale, équivalent de notre CNIL, a explicitement demandé à ses restaurateurs de "ne pas laisser le formulaire papier à la vue de tous", de "ranger les formulaires dans une armoire fermée à clé à laquelle une personne dédiée a accès", et de remplir eux-mêmes ces mêmes fiches papier, dans la mesure du possible.

Aucune utilisation commerciale

Les carnets de rappel numériques ont a priori l'avantage de rendre les informations qu'ils contiennent moins accessibles au tout-venant que leurs équivalents papier, et de limiter encore davantage les risques de contamination. Dans les deux cas, les noms et numéros de téléphone des clients ne pourront être utilisés à des fins marketing.

"Les données enregistrées sur les carnets de rappel que nous avons conçus ne seront utilisées qu'à des fins exceptionnelles dues à ces mesures sanitaires, et non à des fins commerciales", explique Sarah-Diane Eck, à l'origine de cette solution proposée par Bonjour Menu, qui envisage à terme de faire directement le lien avec les brigades sanitaires, sur demande de plusieurs restaurateurs.

Faire disparaître les numéros

"Dès lors qu'un restaurateur est sollicité par l'ARS (agence régionale de santé), à des fins de traçage, il peut exporter les données récoltées sur un jour et reçoit un avertissement lui rappelant que ces mêmes informations ne peuvent être utilisées à des fins marketing, sous peine de très lourdes sanctions de la CNIL. Il lui sera ainsi impossible de promouvoir son propre restaurant ou un autre service grâce à elles, complète Sarah-Diane Eck, en indiquant que toutes les données récoltées sont supprimées au bout de trente jours.

De manière générale, le gouvernement impose toutefois aux restaurateurs de détruire l'ensemble des données au bout de 14 jours, soit une période équivalente à la durée d'incubation maximale du Covid-19.

L'un des risques principaux des carnets de rappel tient enfin au détournement des données qu'ils contiennent. Le quotidien allemand Der Spiegel rapporte d'ores et déjà plusieurs cas d'utilisations frauduleuses de données, dans les restaurants allemands ayant pris de l'avance sur les franciliens.

Une soixantaine de plaintes ont ainsi été déposées en Rhénanie du Nord-Westphalie, et une cinquantaine en Bavière. Des entrepreneurs ont notamment pu avoir accès à des listes insuffisamment protégées, pour constituer de larges bases de données clients et donner plus d'écho à leurs newsletters.

Déployés à marche forcée, ces carnets de rappel seront-ils efficaces ? Encore faut-il que les clients jouent le jeu, et ne renseignent pas de fausses informations à leur sujet pour brouiller les pistes. En la matière, aucun d'entre eux n'est soumis à aucune obligation.