Collectivités et Covid : bonnes pratiques pour tenir une liste des visiteurs des bâtiments communaux et faciliter la recherche de « cas contacts »

En raison de l’aggravation de la situation sanitaire et à l’instar des restaurants, de nombreuses collectivités  mettent en place un dispositif de recueil de coordonnées personnelles des visiteurs de bâtiments communaux. En pratique, ceux-ci notent leur nom, prénom, téléphone voire adresse mail, horaires de présence et signe un cahier placé à l’entrée de l’équipement. Il permet de connaitre la présence de telle ou telle personne et le jour de leur venue dans le bâtiment communal et de faciliter la recherche de « cas contacts ».

Le fait de renseigner ainsi son identité et ses coordonnées personnelles sur un support laissé à la vue de tous, à l’entrée d’un bâtiment communal, entraine un risque d’exploitation de ces données par des personnes malveillantes, portant ainsi une atteinte grave à la vie privée.

Si ce dispositif de tracing  parait justifié au regard de sa finalité – retrouver les usagers qui auraient été en présence d’un cas contact -il convient de l’organiser pour assurer sa conformité aux grands principes du RGPD.

Les bonnes pratiques :

• le principe de proportionnalité et de pertinence sera respecté  si les renseignements demandés se limitent à permettre de retrouver une personne : les nom, prénom et numéro de téléphone suffisent.

Si l’équipement communal se trouve hors d’une zone d’alerte maximale, la mise en place d’un tel dispositif reste facultative et nécessite de recueillir le consentement de la personne.

• le principe de durée de conservation limitée sera respecté si les données personnelles ne sont conservées que le temps nécessaires à leur finalité. Elles seront détruites dans les 14 jours suivant la collecte ou transmises sans être ouvertes à l’ARS si besoin.
• le principe de sécurité et de confidentialité consiste à ne donner accès aux données personnelles qu’aux personnes habilitées. L’agent d’accueil proposera un formulaire type et en assurera leur confidentialité par exemple en les proposant de déposer les formulaires dans un boîte qu’il relèvera tous les jours, pour les placer dans une enveloppe cachetée qu’il datera du jour et conservera dans un endroit sécurisé pendant 14 jours avant de les détruire si elles n’ont pas été transmises à l’ARS.
• le droit des personnes sera mis en œuvre par un affichage, près ou sur la boite, expliquant le dispositif et les conditions d’exercice des droits qui lui attachés (droit d’accès, de rectification, d’oubli…).

Ces bonnes pratiques concernent les visiteurs qui accèdent directement à un équipement communal sans passer par une association ou un organisateur d’événement  dans le cadre d’une mise à disposition ou location d’un équipement communal. Dans ces cas, il appartient au président de l’association ou à l’organisateur d’un évènement d’assurer la mise en place d’un dispositif de rappel en conformité avec le RGPD.

Nous vous proposons un modèle de recueil de données personnelles et la mention d’information qui lui est associée. Le DPD (délégué à la protection des données) accompagnera les maires, responsables des traitements de données personnelles, pour mettre en place un tel dispositif.