Collecte des données de contact dans l’horeca dans le cadre de la lutte contre le COVID-19
Depuis le samedi 25 juillet, les gérants d’établissements horeca ont l’obligation de collecter les données de contact de leurs clients dans le cadre de la lutte contre la propagation du Covid-19. Par la suite, cette obligation s’est étendue à d’autres établissements ou événements, comme les cours collectifs de sport, les casinos, etc. Cette obligation est imposée par les arrêtés ministériels du 30 juin 2020 et du 28 juillet 2020 (ci-après « les arrêtés »).
L’APD voit apparaître diverses initiatives dans le cadre de la mise en œuvre de ces arrêtés, qui, ne fournissant pas d’indications précises, notamment quant aux rôles spécifiques des différents acteurs impliqués dans la collecte des données, ou encore quant aux moyens à mettre en œuvre pour effectuer cette collecte, laissent différentes questions ouvertes.
Dans ce contexte, l’APD souhaite clarifier pour les gérants d’établissements les éléments essentiels à prendre en compte dans la mise en place de systèmes, qu’ils soient manuels ou électroniques, permettant la collecte des données visées par ces arrêtés.
En pratique : appliquer les principes du RGPD
Les principes de base du Règlement général sur la protection des données (ou RGPD) sont toujours d’application, et doivent donc aussi être respectés dans le cadre de la collecte obligatoire de données de contact des clients d’établissements visés par les arrêtés. En voici les principaux:
Les données personnelles collectées par les gérants d’établissements visés par les arrêtés doivent être limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Les arrêtés prévoient que les données collectées « peuvent se limiter à » un numéro de téléphone ou une adresse email. En français, la formulation diffère de celle utilisée dans le texte en néerlandais, qui est bien plus précis et limite quant à lui clairement les données qui peuvent être collectées.
Les gérants des établissements doivent donc ne pas collecter plus que les données nécessaires aux fins d’accomplir leur obligation légale, à savoir :
- l’adresse e-mail ou le numéro de téléphone (le tenancier ne pouvant exiger l’indication de ces deux données cumulatives) ;
- d'une seule personne par table/réservation.
A côté de ces données à caractère personnel, il nous semble que la date (et éventuellement, l’heure) de la visite/arrivée du client doi(ven)t être conservée(s) par l’établissement, celle(s)-ci étant nécessaire(s) à la fois eu égard à la finalité du traitement et en vue de calculer le point de départ de la durée de conservation des données.
Bien qu’il n’en soit pas fait mention dans les arrêtés, le nom et prénom de la personne nous semblent pouvoir être collectés à titre facultatif (ils sont d’ailleurs repris sur le formulaire proposé sur le site du SPF Economie). Celui-ci prévoit également la fourniture facultative du numéro de table et de la durée du séjour quand elle se justifie.
Il est indispensable que le caractère facultatif de la fourniture de ces données apparaisse clairement sur le support de collecte soumis aux clients.
Si des systèmes automatisés sont utilisés, comme par exemple un formulaire en ligne ou une application, il faut particulièrement que ces systèmes soient paramétrés pour ne collecter que les données précitées et non davantage de données.
Le traitement de données à caractère personnel doit toujours être adéquat, pertinent et non excessif au regard de la finalité qui est visée.
Les arrêtés ne prévoyant pas quel(s) système(s) (manuels ou électroniques) peuvent ou doivent être utilisés pour collecter les données de contact des clients, les tenanciers de l’horeca disposent d’une certaine liberté à cet égard. Il est cependant intéressant de noter que le SPF Economie a proposé sur son site un formulaire papier à conserver dans une enveloppe.
Des données personnelles ne peuvent en principe être traitées que pour la finalité pour laquelle elles ont été collectées. En l’occurrence, les arrêtés prévoient que les données de contact ne peuvent être traitées qu’à des fins de « lutte contre le Covid-19 », à l’exclusion de toute autre finalité.
Les gérants d'établissement tenus à l’obligation de collecter les données de contact de leurs clients ne peuvent donc pas utiliser les données obtenues pour se conformer à cette obligation légale à une autre fin. Par exemple, ils ne pourraient pas envoyer un message à l’adresse email que le client aura fourni pour lui demander si son repas lui a plu, s’il souhaite revenir, ou s’il souhaite s’abonner à sa newsletter. Ces données ne pourraient en aucun cas être ajoutées dans la base de données des clients et prospects de l’établissement, ni être fournies à d’autres entreprises.
Le RGPD indique que les données personnelles ne peuvent être conservées que pendant la durée nécessaire à l’accomplissement des finalités pour lesquelles elles ont été collectées.
Les arrêtés prévoient que les données collectées par les responsables d’établissements ne sont conservées que pendant une durée de 14 jours. Par conséquent, les gérants d’établissements de l’horeca doivent supprimer/détruire définitivement ces données au-delà de ce terme. Si une infection au Covid-19 est constatée avant la fin du délai de 14 jours, les données sont communiquées aux autorités compétentes.
Les responsables d’établissements doivent donc mettre en place un système pour s’assurer que les données soient bien détruites au terme du délai prévu, et ce quelle que soit la manière dont ils ont collecté ces données (format papier, formulaire électronique, etc.). Une collecte « papier/manuscrite » des données groupées par date de collecte en facilitera le processus de destruction. Dans l’environnement numérique, si les données sont collectées via une application tierce, le tenancier de bar/restaurant risque de perdre la maîtrise de la bonne suppression des données. Il la retrouvera s’il traite les données localement, sur son système d’information.
Les personnes qui effectuent le traitement de données doivent prendre toutes les mesures techniques et organisationnelles appropriées afin de garantir la sécurité et la confidentialité des données, notamment pour prévenir un accès non autorisé à ces données. Concrètement, ces mesures doivent garantir que les données ne seront accessibles qu’aux personnes autorisées (confidentialité), qu’elles seront disponibles lorsqu’on en aura besoin en vue du traçage (disponibilité) et qu’elles n’auront pas été modifiées après leur collecte (intégrité). Les arrêtés ne prévoient pas les mesures concrètes à mettre en place à cette fin.
Afin d’assurer la confidentialité des données dans le cadre d’un système de collecte des données en version « papier », des mesures appropriées semblent être par exemple de :
- ne pas laisser le formulaire papier à la vue de tous, par exemple: en l’affichant aux valves d’un club de sport ou en le déposant sur le bureau du secrétariat avec obligation pour chacun des membres de venir y ajouter ses coordonnées à la suite de celles des autres membres, rendant ainsi les données visibles pour tous les membres. Si le tenancier souhaite travailler avec un seul formulaire reprenant les données de ses différents clients, il doit le remplir lui-même (sur les indications verbales des clients). Si les données doivent être remplies par les clients eux-mêmes, ils doivent en pratique chacun recevoir un document à compléter;
- ranger les formulaires dans une armoire fermée à clé à laquelle une personne dédiée a accès. Il convient alors de prévoir son remplaçant lorsque cette personne est absente. Une autre solution est de les stocker dans des enveloppes scellées.
En cas d’utilisation d’un système informatique, la protection de l’accès à la base de données peut se faire par exemple via un mot de passe solide, ou encore un système de chiffrement des données, etc.
Les personnes concernées doivent recevoir une information claire et complète quant aux traitements qui seront effectués de leurs données. Certaines exceptions existent.
L’Autorité est d’opinion que la clause d’information reprise sur le formulaire proposé sur le site du SPF Economie peut servir de base pour fournir l’information nécessaire au client, sous réserve qu’elle soit complétée et améliorée, notamment en indiquant clairement qui traite les données, et à quelles autorités compétentes les données seront communiquées au cas où une infection au Covid-19 serait constatée.
Questions
Non. Le responsable du traitement des données personnelles est tenu par une obligation de confidentialité. En ce sens, il doit protéger les données personnelles qu’il traite des accès non autorisés. Afficher un listing des clients et leurs données de contact sur la porte ou à l’accueil d’un établissement permet à n’importe qui d’accéder aux données, voire même de les copier ou de les utiliser ultérieurement. Ceci va à l’encontre du RGPD.
Non. Les arrêtés ne prévoient pas quel(s) système(s) (manuels ou électroniques) peuvent ou doivent être utilisés pour collecter les données de contact des clients. Les tenanciers de l’horeca disposent d’une certaine liberté à cet égard.
Dans tous les cas, le formulaire-type n’est proposé qu’à titre d’exemple par le SPF, et doit éventuellement être adapté en fonction des situations spécifiques.
Oui. Les arrêtés ne prévoient pas quel(s) système(s) (manuels ou électroniques) peuvent ou doivent être utilisés pour collecter les données de contact des clients. Les tenanciers de l’horeca disposent d’une certaine liberté à cet égard.
Quel que soit le système utilisé, pour être légal, sa mise en place et son fonctionnement doivent se faire selon les principes du RGPD. Des systèmes électroniques peuvent entrainer des obligations supplémentaires pour le gérant responsable de la collecte des données de contact. Par exemple, en cas d’enregistrement via une application en ligne, il faut s’assurer que les règles relatives à la collecte de données via des cookies soient respectées et que des données personnelles supplémentaires sur l’utilisateur ne soient pas collectées. Le gérant devra également vérifier que le fournisseur de l’application ne traite pas les données pour des finalités qui lui sont propres, ou encore que les données sont effectivement bien détruites après 14 jours, etc.
Les arrêtés ne prévoient pas de système spécifique de collecte des informations de contact. Un système de collecte via eID n’est donc clairement pas proscrit. Cependant, imposer la lecture de l’eID pour collecter les informations de contact n’est pas possible. Un système alternatif doit être proposé au client.
Même si le gérant prévoit cette alternative, d’autres restrictions liées aux principes du RGPD doivent être prises en compte.
Le responsable du traitement qui souhaiterait lire l’eID pour procéder à la collecte des données de contact devra en effet faire appel à une base légale séparée pour pouvoir effectuer son traitement. Dans le cas du consentement, celui-ci devra répondre à toutes les conditions du RGPD pour être valable, notamment, il doit être spécifique, informé et librement donné.
Les cartes d’identité contiennent de nombreuses données qui ne peuvent pas être collectées dans le cadre des arrêtés prévoyant la collecte de données de contact (comme par exemple l’adresse physique). Le tenancier devra donc s’assurer que techniquement, seules les données strictement nécessaires soient lues sur la carte d’identité. Les seules données que l’on pourrait considérer comme nécessaires dans ce cadre seraient le nom et le prénom, cependant les arrêtés ne prévoient pas l’obligation de les collecter de sorte que le caractère facultatif de cette collecte devra être mis en avant. Notons également que ni le numéro de téléphone ni l’adresse email, données essentielles pour la finalité poursuivie ici, ne sont repris sur l’eID. Ceci soulève des questions en termes de nécessité et d’efficacité de cette mesure, vu que les données essentielles de contact, seules prévues par les arrêtés, ne sont pas présentes sur la carte d’identité et devront être notées séparément.
Pour plus d’informations sur la lecture de l’eID, consultez notre dossier thématique.
Les arrêtés ministériels du 30 juin et du 28 juillet 2020 prévoient que ces données « ne peuvent être utilisées à d'autres fins que la lutte contre le COVID-19 », ce qui sous-entend qu’elles pourraient être réutilisées par certaines autorités, à d’autres fins que celle de la recherche de contacts. Ces fins ne sont malheureusement pas détaillées dans les arrêtés.
Les gérants d'établissement tenus à l’obligation de collecter les données de contact de leurs clients ne peuvent pas utiliser les données obtenues pour se conformer à cette obligation légale à une autre fin. Par exemple, ils ne pourraient pas envoyer un message à l’adresse email que le client aura fourni en vue de la collecte obligatoire de ses données de contact dans le cadre de la lutte contre le Covid-19 pour lui demander si son repas lui a plu, s’il souhaite revenir, ou s’il souhaite s’abonner à sa newsletter. Ces données ne pourraient en aucun cas être ajoutées dans la base de données des clients et prospects de l’établissement, ni être fournies à d’autres entreprises.
Quant à la question de savoir si ces données pourraient être transmises à des autorités qui disposent de pouvoirs d’investigation incluant la production obligatoire de documents et renseignements (dans le cadre d’enquêtes criminelles suite à des faits survenus dans les établissements par exemple), la réponse nous semble positive dans la mesure où ces pouvoirs sont institués par des normes supérieures aux arrêtés précités (qui prévoient que ces données ne peuvent être utilisées à d'autres fins que la lutte contre le COVID-19).
Non. Le RGPD prévoit effectivement normalement que les données traitées doivent être exactes, cependant les arrêtés n’indiquent pas si (et, le cas échéant, comment) les gérants des établissements de l’horeca doivent s’assurer de l’exactitude des données fournies par leurs clients. On peut donc supposer que le contrôle de l’exactitude des données fournies par les clients n’est pas attendu (et donc pas permis) dans le cas d’espèce.
Oui, c’est possible.
L’arrêté ministériel du 30 juin 2020 dispose que les exploitants horeca doivent enregistrer les coordonnées d'un client par table, qui peuvent se limiter à un numéro de téléphone ou une adresse e‑mail, et doivent les conserver pendant 14 jours calendrier afin de faciliter toute recherche de contact ultérieure. L'article 23 de ce même arrêté dispose que les bourgmestres peuvent prendre des mesures complémentaires à celles prévues par l'arrêté ministériel, en concertation avec le gouverneur et les autorités compétentes. Les mesures complémentaires peuvent instaurer un traitement supplémentaire de données à caractère personnel s'il est encadré réglementairement et s'il est transparent et que le traitement est adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités poursuivies.
L'article 6bis de l'arrêté ministériel du 30 juin 2020 prévoit l'obligation d'enregistrer les coordonnées, qui peuvent se limiter à un numéro de téléphone ou une adresse e-mail, d'un visiteur par ménage lors de son arrivée. Pour les visiteurs qui le refusent, vous devez, en tant qu'exploitant, refuser l'accès à votre établissement.
Outre ces données à caractère personnel, vous pouvez noter l'heure de la visite car elle est utile pour la finalité de recherche de contact et la détermination du délai de conservation. Enfin, vous pouvez également collecter le nom et le prénom de la personne, comme mentionné sur le formulaire du SPF Économie.
L'arrêté ministériel dispose expressément que vous devez détruire ces données à caractère personnel après 14 jours calendrier et que vous ne pouvez les utiliser que pour la lutte contre le COVID-19. Vous ne pouvez utiliser les données à caractère personnel (numéro de téléphone ou adresse e-mail) pour aucune autre finalité.
Cela signifie que lorsque les services publics compétents (comme Sciensano, les centres de contact régionaux, les services d'inspection sanitaire et les équipes mobiles) réclament ces informations, vous êtes tenu, en tant qu'exploitant, de communiquer le numéro de téléphone ou l'adresse e-mail, le nom, le prénom et l'heure de la visite que vous avez enregistrés.
En vertu de l'article 5.1 c du RGPD, les données à caractère personnel que vous transmettez doivent se limiter à ce qui est nécessaire pour la finalité poursuivie. Concrètement, cela signifie que vous ne pouvez pas communiquer d'autres données à caractère personnel que le numéro de téléphone ou l'adresse e-mail, le nom, le prénom et l'heure de la visite que vous avez enregistrés.
Si le service public compétent réclame des données à caractère personnel supplémentaires, vous devez d'abord demander, en tant qu'exploitant, sur la base de quelle mesure légale (locale) cette réclamation est possible avant d'accéder à cette demande. Vous pouvez ainsi évaluer la licéité et la proportionnalité de la demande.