Mise en place des cahiers de rappel par les restaurateurs : la CNIL émet ses recommandations  

Ce samedi matin, plusieurs villes, dont la métropole de Lyon, vont être placées en « zone d’alerte maximale » avec un protocole sanitaire renforcé. 

Dans ce contexte, les restaurateurs sont contraints de mettre en place un « cahier de rappel » et collecter des données personnelles de leurs clients (l’objectif étant ainsi de permettre aux autorités sanitaires de pouvoir contacter les clients en cas de contamination avérée d’un client du restaurant).

La CNIL a émis ce 7 octobre 2020 ses recommandations au regard de la collecte et de la conservation de ces données personnelles : 

- collecter uniquement les données nécessaires : (nom/prénom) ainsi qu’un seul moyen de contact (numéro de téléphone ou adresse email),

- renseigner la date et l’heure de l’arrivée du client;

- limiter l’utilisation de ces données aux fins de contacts par les autorités sanitaires, en cas de nécessité ; toute autre utilisation (notamment prospection commerciale) est interdite ; 

- informer clairement les clients au moment de la collecte « de l’objet de cette collecte et des droits dont ils disposent concernant leurs données » ; la CNIL met à disposition un modèle de formulaire à cette fin : https://www.cnil.fr/fr/cahier-de-rappel-exemples-de-formulaire-de-recueil-de-donnees-et-mentions-dinformation-rgpd

- détruire les données 14 jours après leur collecte ;

- conserver ces données de manière sécurisée : la CNIL préconise ainsi la mise à « disposition d’un formulaire individuel ou par tablée » et la conservation de manière sécurisée de ces informations (armoire fermée à clé par exemple) ; la CNIL rappelle que les données collectées par des formulaires en ligne ou QR code doivent également être conservées de manière sécurisée (exemple mot de passe robuste). En outre, il faudra veiller à restreindre l’accès à ces informations au seul personnel autorisé (ex : gérant).

Pour le texte complet des recommandations de la CNIL (et celles émises pour les établissements hors zones maximales qui souhaitent mettre en œuvre de telles mesures) : https://www.cnil.fr/fr/covid-19-et-les-cahiers-de-rappel-les-recommandations-de-la-cnil

Vos données sont transférées vers le Royaume-Uni ? Comment se préparer au Brexit?

Alors que l’hypothèse d’un report de la date du Brexit est évoquée, les entreprises doivent d’ores et déjà se préparer aux conséquences de ce divorce au regard de la gestion de leurs données personnelles. 

Pour mémoire, le Brexit devrait en principe être mise en œuvre le 29 mars prochain (à minuit). A compter de cette date, le Royaume-Uni ne fera plus partie de l’Union Européenne. En l’absence d’accord spécifique en matière d’échanges de données personnelles, EDPB (European Data Protection Board) a émis des recommandations le 12 février dernier. [i]

Ces recommandations sont reprises dans les grandes lignes par la CNIL dans un communiqué du 20 février 2019. 

La CNIL confirme ainsi qu’en l’absence d’accord « pour un retrait dit « ordonné », les flux de données personnelles seront considérés comme un transfert de données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE). » [ii] 

Chaque entreprise doit donc s’interroger sur les éventuels transferts de données pratiqués à ce jour vers le Royaume-Uni et doit envisager d’encadrer ces transferts de données par la mise en place d’outils spécifiques tels que des clauses contractuelles types, des clauses contractuelles spécifiques dites « ad-hoc », des règles contraignantes d’entreprises (ou binding corporate rules – BCR) ou des codes de conduites et les mécanismes de certifications.

Il importe également de se préparer à une mise à jour de :

- la documentation interne pour y transcrire ces transferts de données hors Union Européenne,

- des mentions d’informations aux personnes concernées,

- des contrats avec les sous-traitants. 

[i] https://edpb.europa.eu/

[ii] (Communiqué de la CNIL du 20 février 2019) https://www.cnil.fr/fr/se-preparer-un-brexit-sans-accord-quelles-questions-quels-conseils-de-la-cnil