Bar, restaurant, salle de sport : QR Code ou cahier papier ?

Depuis le 9 juin, les Français ont de nouveau la possibilité de sortir dans les bars, restaurants et salles de sport. Mais pour accéder aux espaces en intérieur, ils doivent désormais s’enregistrer à l’entrée de l’établissement. Cette procédure a été mise en place pour permettre d’alerter les personnes inscrites sur ce fichier lorsque l’une d’entre elles, présente dans le même lieu et en même temps, a été déclarée positive à la COVID-19. Le gouvernement a donc mis en œuvre un carnet de rappel numérique, via l’application TousAntiCovid, qui consiste à scanner un QR code avec son smartphone. Un dispositif jugé « plus protecteur de la vie privée et plus efficace en matière sanitaire » que le cahier papier pour Cédric O, Secrétaire d’État chargé de la Transition numérique et des Communications électroniques. De son côté, la Cnil (Commission nationale de l’informatique et des libertés) a validé cette technologie qui ne géolocalise ni n’enregistre les déplacements des utilisateurs.

Toutefois, les établissements ne peuvent pas refuser l’accès aux personnes qui ne possèdent pas de smartphone ou ne souhaitent pas utiliser l’application TousAntiCovid. Les professionnels doivent proposer un dispositif au format papier et respecter un certain nombre de règles pour garantir la protection des données personnelles des clients. Tout d’abord, ils ne peuvent collecter que les nom, prénom et un seul moyen de contact (numéro de téléphone). Il n’est pas nécessaire de laisser une adresse mail. Par ailleurs, le professionnel n’est pas habilité à demander un justificatif pour contrôler l’identité des clients. Ensuite, si le dispositif est appelé « cahier de rappel papier », il ne s’agit pas réellement d’un cahier rempli par les clients les uns à la suite des autres. Les coordonnées ne doivent pas être accessibles à tous. La Cnil recommande de mettre à disposition un formulaire individuel et propose sur son site un document type dans lequel le client est clairement informé de l’objectif du « cahier » et de ses droits concernant ses données. Le professionnel doit lui-même renseigner la date et l’heure d’arrivée des clients et déterminer le point de départ de la conservation des données, dont la durée ne peut excéder 15 jours. Dans l’intervalle, ces informations doivent être conservées dans un lieu sécurisé (une armoire fermée à clé par exemple). Enfin, il lui est interdit d’utiliser ces données pour de la prospection commerciale. Il ne pourra s’en servir que sur la demande d’une autorité sanitaire (Assurance maladie, Agence régionale de santé).

Cette gestion papier pose toutefois question. Baptiste Robert, chercheur en sécurité informatique à franceinfo alerte à juste titre : « On demande à des restaurateurs et des patrons de bar, qui ont déjà beaucoup de travail, de stocker et de s’occuper des données personnelles de leurs clients. Mais ça n’est pas leur métier ! Ils n’ont pas idée des contraintes légales, et on ne peut pas leur en vouloir ! ». Il existe un risque que ces « cahiers » ne soient pas conservés dans de bonnes conditions, soient perdus ou encore visibles par tous…

Plus généralement, c’est l’efficacité globale du dispositif qui interroge. Les journalistes de franceinfo ont interpellé la Direction générale de la santé et le secrétariat d’État chargé du Numérique pour savoir comment seront prévenus les clients ayant utilisé le carnet papier si une personne se déclare positive au virus via l’application, et inversement. Pour le moment, aucune réponse n’a été apportée…

Partager