Depuis le 9 juin, les Français ont de nouveau la possibilité de sortir dans les bars, restaurants et salles de sport. Mais pour accéder aux espaces en intérieur, ils doivent désormais s’enregistrer à l’entrée de l’établissement.
Cette procédure a été mise en place pour permettre d’alerter les personnes inscrites sur ce fichier lorsque l’une d’entre elles, présente dans le même lieu et en même temps, a été déclarée positive à la COVID-19. Le gouvernement a donc mis en œuvre un carnet de rappel numérique, via l’application TousAntiCovid. Cela consiste à scanner un QR code avec son smartphone. Un dispositif jugé « plus protecteur de la vie privée et plus efficace en matière sanitaire » que le cahier papier pour Cédric O, Secrétaire d’État chargé de la Transition numérique et des Communications électroniques. De son côté, la Cnil (Commission nationale de l’informatique et des libertés) a validé cette technologie qui ne géolocalise ni n’enregistre les déplacements des utilisateurs.
TousAntiCovid et protection des données personnelles
Toutefois, les établissements ne peuvent pas refuser l’accès aux personnes qui ne possèdent pas de smartphone ou ne souhaitent pas utiliser l’application TousAntiCovid. Les professionnels doivent proposer un dispositif au format papier. Et un certain nombre de règles doivent garantir la protection des données personnelles des clients.
Tout d’abord, ils ne peuvent collecter que les nom, prénom et numéro de téléphone. Il n’est pas nécessaire de laisser une adresse mail. Par ailleurs, le professionnel n’est pas habilité à demander un justificatif pour contrôler l’identité des clients.
Ensuite, si le dispositif est appelé « cahier de rappel papier », il ne s’agit pas réellement d’un cahier rempli par les clients les uns à la suite des autres. Les coordonnées ne doivent pas être accessibles à tous. La Cnil recommande de mettre à disposition un formulaire individuel. Elle propose aussi un document-type sur son site. Le client y est clairement informé de l’objectif du « cahier » et de ses droits concernant ses données. Le professionnel doit lui-même renseigner la date et l’heure d’arrivée des clients et déterminer le point de départ de la conservation des données, dont la durée ne peut excéder 15 jours. Dans l’intervalle, ces informations doivent être conservées dans un lieu sécurisé (une armoire fermée à clé par exemple).
Enfin, il lui est interdit d’utiliser ces données pour de la prospection commerciale. Il ne pourra s’en servir que sur la demande d’une autorité sanitaire (Assurance maladie, Agence régionale de santé).
Le QR code plus sécurisé que le papier
Cette gestion papier pose toutefois question. Baptiste Robert, chercheur en sécurité informatique à franceinfo alerte à juste titre… « On demande à des restaurateurs et des patrons de bar, qui ont déjà beaucoup de travail, de stocker et de s’occuper des données personnelles de leurs clients. Mais ça n’est pas leur métier ! Ils n’ont pas idée des contraintes légales, et on ne peut pas leur en vouloir ! ». Il existe un risque pour ces « cahiers » d’être mal conservés, perdus ou encore visibles par tous.
Plus généralement, c’est l’efficacité globale du dispositif qui interroge. Les journalistes de franceinfo ont interpellé la Direction générale de la santé et le secrétariat d’État chargé du Numérique. Comment prévenir les clients utilisateurs du carnet papier si une personne se déclare positive au virus via l’application, et inversement ? Pour le moment, aucune réponse n’a été apportée…
