Registres des clients : commerçants

Puis-je tenir un registre des clients recensant les personnes qui visitent mon commerce?

Le 9 juillet 2020, le ministre de la Santé du Québec a invité les titulaires de permis de bar à conserver un registre de leurs clients. Cette mesure volontaire vise à faciliter les enquêtes des autorités de santé publique en cas d’éclosion de COVID-19, et intervient à la suite d’événements épidémiologiques liés à certains établissements.

Les règles en matière de protection des renseignements personnels prévoient que seuls les renseignements personnels nécessaires peuvent être recueillis (article 5 de la Loi sur la protection des renseignements personnels dans le secteur privé [RLRQ, chapitre P-39.1 – la Loi sur le privé]). Il importe donc de limiter le plus possible la collecte effectuée pour tenir un tel registre.

Si vous n’êtes pas un titulaire de permis de bar, vous devriez donc éviter de prendre l’initiative de tenir un registre des clients, à moins qu’une autorité de santé publique ou la CNESST ne recommande de le faire dans votre secteur d’activité.

Quelles sont mes obligations concernant les renseignements personnels recueillis et conservés dans un registre?

Si vous choisissez de tenir un registre des clients, vous devez respecter les obligations prévues par la Loi sur le privé. En résumé, vous devriez :

  • recueillir uniquement le minimum de renseignements personnels nécessaires pour faciliter les enquêtes épidémiologiques des autorités de santé publique (nom, renseignement de contact – numéro de téléphone ou adresse courriel –, date et heure de présence);
  • informer les clients du motif de cette collecte et des mesures prises pour en assurer la confidentialité;
  • communiquer le registre aux autorités de santé publique sur demande;
  • n’utiliser les renseignements recueillis à aucune autre fin que celles qui relèvent de la santé publique (vous ne pouvez pas les utiliser à des fins de marketing par la suite, par exemple);
  • conserver le registre dans un lieu sûr et vous assurer que les clients n’ont pas accès aux renseignements personnels d’autres personnes;
    limiter l’accès au registre aux seules personnes dont les fonctions requièrent de le consulter;
  • détruire les renseignements personnels dès qu’ils ne sont plus requis, soit après une période raisonnable compte tenu de la période de manifestation des symptômes de la COVID 19 (par exemple, entre 21 et 30 jours).

Quels renseignements puis-je inscrire dans le registre?

Vous devez recueillir le minimum de renseignements personnels nécessaires pour faciliter les enquêtes épidémiologiques des autorités de santé publique. Par exemple, afin de limiter la collecte, vous pourriez ne recueillir que ceux d’une seule personne désignée par groupe de clients, si cela est possible.

Les renseignements suivants devraient normalement suffire :

  • le nom complet;
  • un renseignement de contact (téléphone ou courriel);
  • la date et l’heure de la visite.

Comment puis-je informer mes clients au sujet de la collecte de ces renseignements?

Vous devriez être transparent et informer vos clients des éléments suivants :

  • les raisons justifiant la collecte de leurs renseignements personnels;
  • le caractère volontaire du registre et de la collecte des renseignements;
  • la durée de conservation;
  • les mesures de sécurité mises en place pour la protection des renseignements personnels;
  • leurs droits d’accès à leurs renseignements personnels et de rectification de ces renseignements.

Vous pouvez par exemple afficher un encart informatif bien en évidence dans votre établissement et sur votre page Web ou fournir un court message standardisé à vos employés et leur demander de le répéter à chaque client.

Si vous recueillez déjà les renseignements personnels de vos clients en temps normal (dans le cadre d’un système de réservation, par exemple), vous devriez obtenir leur consentement pour leur utilisation dans le cadre d’un registre. En effet, la Loi sur le privé prévoit que vous ne pouvez utiliser un renseignement personnel à une autre fin (tenir un registre) que celle prévue initialement (ex. : gérer les réservations).

Sous quel format devrais-je tenir le registre et comment dois-je protéger les renseignements personnels qu’il contient?

Une solution technologique n’est pas requise. Dans la majorité des cas, un registre au format papier est adéquat, pourvu qu’il soit mis en place de façon à protéger les renseignements personnels des clients.

Peu importe la méthode choisie pour tenir le registre, il faut protéger les renseignements personnels qu’il contient de différentes façons. Entre autres, vous devriez :

  • conserver le registre en lieu sûr;
  • limiter l’accès au registre aux seules personnes dont les fonctions requièrent de le consulter;
  • utiliser un format ne permettant pas à des clients de prendre connaissance des renseignements personnels d’autres clients : vous pourriez par exemple utiliser des coupons insérés dans une boîte fermée ou noter vous-même les renseignements fournis dans un cahier inaccessible à la clientèle.

Par ailleurs, séparer votre registre des clients de tout autre registre que vous tenez déjà, de manière à détruire les renseignements au moment opportun, serait une bonne pratique.

À quelle fin puis-je utiliser les renseignements personnels contenus dans le registre?

La tenue d’un registre des clients vise uniquement à faciliter les enquêtes épidémiologiques menées par la santé publique. Vu le contexte d’urgence sanitaire, vous êtes autorisé à communiquer les renseignements du registre aux autorités de santé publique sur demande.

Vous ne devez utiliser les renseignements recueillis à aucune autre fin (par exemple, pour du marketing).

Combien de temps puis-je conserver les renseignements personnels contenus dans le registre?

Vous devez détruire les renseignements personnels recueillis lorsqu’ils ne sont plus nécessaires pour l’atteinte de l’objectif qui justifie leur collecte, et ce, peu importe le format que revêt votre registre.

En l’absence d’une directive précise des autorités de santé publique ou de la CNESST, on peut penser que la durée de nécessité serait liée à la période de manifestation des symptômes de la COVID-19 après qu’une personne l’a contractée, qui oriente les enquêtes épidémiologiques. La période de conservation des renseignements personnels devrait donc être déterminée principalement en tenant compte de cet élément et du temps requis pour mener les enquêtes. À titre d’exemple, à travers les juridictions où des registres sont exigés ou recommandés, une période de conservation de 21 à 30 jours est souvent utilisée. Toutefois, si les autorités de santé publique ou la CNESST fixent une période différente, vous devriez vous y conformer.

Chaque jour, vous devriez détruire définitivement les renseignements personnels du registre lorsque leur période de conservation prédéterminée arrive à échéance. Systématiser cette opération vous permettra de ne pas conserver les renseignements personnels au-delà de la durée nécessaire et de respecter vos obligations légales.
Pour plus d’informations sur la destruction sécuritaire des renseignements personnels, référez-vous à la fiche La destruction des renseignements contenant des renseignements personnels.

 

Mise à jour : 14 juillet 2020