6 FAQ sur la collecte des données de contact dans l’horeca dans le cadre de la lutte contre le COVID-19

Ecrit par , Gegevensbeschermingsautoriteit, www.gegevensbeschermingsautoriteit.be
Photo: Janine    

Puis-je afficher le formulaire à remplir par les clients sur ma porte?

Non. Le responsable du traitement des données personnelles est tenu par une obligation de confidentialité. En ce sens, il doit protéger les données personnelles qu’il traite des accès non autorisés. Afficher un listing des clients et leurs données de contact sur la porte ou à l’accueil d’un établissement permet à n’importe qui d’accéder aux données, voire même de les copier ou de les utiliser ultérieurement. Ceci va à l’encontre du RGPD.

Dois-je utiliser le formulaire type du SPF Economie?

Non. Les arrêtés ne prévoient pas quel(s) système(s) (manuels ou électroniques) peuvent ou doivent être utilisés pour collecter les données de contact des clients. Les tenanciers de l’horeca disposent d’une certaine liberté à cet égard.

Dans tous les cas, le formulaire-type n’est proposé qu’à titre d’exemple par le SPF, et doit éventuellement être adapté en fonction des situations spécifiques. 

Puis-je procéder à la collecte des informations de contact via des systèmes électroniques, comme par exemple une application?

Oui. Les arrêtés ne prévoient pas quel(s) système(s) (manuels ou électroniques) peuvent ou doivent être utilisés pour collecter les données de contact des clients. Les tenanciers de l’horeca disposent d’une certaine liberté à cet égard.

Quel que soit le système utilisé, pour être légal, sa mise en place et son fonctionnement doivent se faire selon les principes du RGPD. Des systèmes électroniques peuvent entrainer des obligations supplémentaires pour le gérant responsable de la collecte des données de contact. Par exemple, en cas d’enregistrement via une application en ligne, il faut s’assurer que les règles relatives à la collecte de données via des cookies soient respectées et que des données personnelles supplémentaires sur l’utilisateur ne soient pas collectées. Le gérant devra également vérifier que le fournisseur de l’application ne traite pas les données pour des finalités qui lui sont propres, ou encore que les données sont effectivement bien détruites après 14 jours, etc.

 

Follow the on demand seminar Webinaire gratuit - FAQ Coronavirus et gestion des ressources humaines - UPDATE with Emmanuel WAUTERS

Puis-je procéder à la collecte des informations de contact via l'eID?

Les arrêtés ne prévoient pas de système spécifique de collecte des informations de contact. Un système de collecte via eID n’est donc clairement pas proscrit. Cependant, imposer la lecture de l’eID pour collecter les informations de contact n’est pas possible. Un système alternatif doit être proposé au client.

Même si le gérant prévoit cette alternative, d’autres restrictions liées aux principes du RGPD doivent être prises en compte.

Le responsable du traitement qui souhaiterait lire l’eID pour procéder à la collecte des données de contact devra en effet faire appel à une base légale séparée pour pouvoir effectuer son traitement. Dans le cas du consentement, celui-ci devra répondre à toutes les conditions du RGPD pour être valable, notamment, il doit être spécifique, informé et librement donné.

Les cartes d’identité contiennent de nombreuses données qui ne peuvent pas être collectées dans le cadre des arrêtés prévoyant la collecte de données de contact (comme par exemple l’adresse physique). Le tenancier devra donc s’assurer que techniquement, seules les données strictement nécessaires soient lues sur la carte d’identité. Les seules données que l’on pourrait considérer comme nécessaires dans ce cadre seraient le nom et le prénom, cependant les arrêtés ne prévoient pas l’obligation de les collecter de sorte que le caractère facultatif de cette collecte devra être mis en avant. Notons également que ni le numéro de téléphone ni l’adresse email, données essentielles pour la finalité poursuivie ici, ne sont repris sur l’eID. Ceci soulève des questions en termes de nécessité et d’efficacité de cette mesure, vu que les données essentielles de contact, seules prévues par les arrêtés, ne sont pas présentes sur la carte d’identité et devront être notées séparément.

Pour plus d’informations sur la lecture de l’eID, consultez notre dossier thématique.

Les données de contact récoltées peuvent-elles être utilisées à une autre fin que la recherche de contacts dans le cadre de la lutte contre le Covid-19?

Les arrêtés ministériels du 30 juin et du 28 juillet 2020 prévoient que ces données « ne peuvent être utilisées à d'autres fins que la lutte contre le COVID-19 », ce qui sous-entend qu’elles pourraient être réutilisées par certaines autorités, à d’autres fins que celle de la recherche de contacts. Ces fins ne sont malheureusement pas détaillées dans les arrêtés.

Les gérants d'établissement tenus à l’obligation de collecter les données de contact de leurs  clients ne peuvent pas utiliser les données obtenues pour se conformer à cette obligation légale à une autre fin. Par exemple, ils ne pourraient pas envoyer un message à l’adresse email que le client aura fourni en vue de la collecte obligatoire de ses données de contact dans le cadre de la lutte contre le Covid-19 pour lui demander si son repas lui a plu, s’il souhaite revenir, ou s’il souhaite s’abonner à sa newsletter. Ces données ne pourraient en aucun cas être ajoutées dans la base de données des clients et prospects de l’établissement, ni être fournies à d’autres entreprises.

Quant à la question de savoir si ces données pourraient être transmises à des autorités qui disposent de pouvoirs d’investigation incluant la production obligatoire de documents et renseignements (dans le cadre d’enquêtes criminelles suite à des faits survenus dans les établissements par exemple), la réponse nous semble positive dans la mesure où ces pouvoirs sont institués par des normes supérieures aux arrêtés précités (qui prévoient que ces données ne peuvent être utilisées à d'autres fins que la lutte contre le COVID-19).

►Voir: Prise de température dans le cadre de la lutte contre le COVID-19 - mise à jour 5/6/2020

En tant que gérant d'un établissement soumis à l'obligation de collecte des données de contact, dois-je vérifier que les informations fournies par le client sont exactes?

Non. Le RGPD prévoit effectivement normalement que les données traitées doivent être exactes, cependant les arrêtés n’indiquent pas si (et, le cas échéant, comment) les gérants des établissements de l’horeca doivent s’assurer de l’exactitude des données fournies par leurs clients. On peut donc supposer que le contrôle de l’exactitude des données fournies par les clients n’est pas attendu (et donc pas permis) dans le cas d’espèce.