Registres des clients : commerçants

***Cette information s’adresse exclusivement aux titulaires de bars****

Dois-je tenir un registre des clients recensant les personnes qui visitent mon bar?

Depuis le 11 septembre dernier, en vertu de l’arrêté 2020-063 du ministre de la Santé et des Services sociaux du Québec, les titulaires de permis de bar ont dorénavant l’obligation de consigner dans un registre le nom, le numéro de téléphone et, le cas échéant, l’adresse électronique de tout client admis dans leur établissement. Conséquemment, pour être admis dans un bar, tout client doit divulguer les renseignements nécessaires aux fins de la tenue de ce registre.

Cette mesure – maintenant obligatoire – vise à faciliter les enquêtes des autorités de santé publique en cas d’éclosion de COVID-19, et intervient à la suite d’événements épidémiologiques liés à certains établissements.

Les règles en matière de protection des renseignements personnels prévoient que seuls les renseignements personnels nécessaires peuvent être recueillis (article 5 de la Loi sur la protection des renseignements personnels dans le secteur privé [RLRQ, chapitre P-39.1 – la Loi sur le privé]). Il importe donc de limiter la collecte effectuée pour tenir un tel registre en s’en tenant aux renseignements énoncés dans l’arrêté ministériel.

Par ailleurs, si vous n’êtes pas un titulaire de permis de bar, vous devriez éviter de prendre l’initiative de tenir un registre des clients, à moins qu’une autorité de santé publique ou la CNESST ne recommande de le faire dans votre secteur d’activité.

Quelles sont mes obligations concernant les renseignements personnels recueillis et conservés dans un registre?

Pour créer un registre des clients, vous devez respecter les obligations prévues par la Loi sur le privé. En résumé, vous devriez :

  • recueillir uniquement le minimum de renseignements personnels nécessaires pour faciliter les enquêtes épidémiologiques des autorités de santé publique prévus par l’arrêté ministériel (nom, numéro de téléphone et, le cas échéant, l’adresse courriel);
  • informer les clients du motif de cette collecte et des mesures prises pour en assurer la confidentialité et de leur droit d’accès à leurs renseignements personnels et de rectification de ces renseignements;
  • communiquer le registre aux autorités de santé publique sur demande aux fins de la tenue d’une enquête épidémiologique;
  • n’utiliser les renseignements recueillis à aucune autre fin que celles qui relèvent de la santé publique (vous ne pouvez pas les utiliser à des fins de marketing par la suite, par exemple);
  • limiter l’accès au registre aux seules personnes dont les fonctions requièrent de le consulter;
  • conserver le registre dans un lieu sûr et vous assurer que les clients n’ont pas accès aux renseignements personnels d’autres personnes;
  • détruire les renseignements personnels après une période de 30 jours suivant leur consignation, comme le prévoit l’arrêté ministériel.

Comment puis-je informer mes clients au sujet de la collecte de ces renseignements?

Vous devriez être transparent et informer vos clients des éléments suivants :

  • les raisons justifiant la collecte de leurs renseignements personnels;
  • le fait que les renseignements consignés à ce registre ne sont communiqués qu’à une autorité de santé publique ou à une personne autorisée à agir en son nom aux fins de la tenue d’une enquête épidémiologique et ceux-ci ne peuvent être utilisés par quiconque à une autre fin;
  • la durée de conservation de 30 jours;
  • les mesures de sécurité mises en place pour la protection des renseignements personnels;
  • leurs droits d’accès à leurs renseignements personnels et de rectification de ces renseignements.

Vous pouvez par exemple afficher un encart informatif bien en évidence dans votre établissement et sur votre page Web ou fournir un court message standardisé à vos employés et leur demander de le répéter à chaque client.

Sous quel format devrais-je tenir le registre et comment dois-je protéger les renseignements personnels qu’il contient?

Une solution technologique n’est pas requise. Dans la majorité des cas, un registre au format papier est adéquat, pourvu qu’il soit mis en place de façon à protéger les renseignements personnels des clients.

Peu importe la méthode choisie pour tenir le registre, il faut protéger les renseignements personnels qu’il contient de différentes façons. Entre autres, vous devriez :

  • conserver le registre en lieu sûr;
  • limiter l’accès au registre aux seules personnes dont les fonctions requièrent de le remplir;
  • utiliser un format ne permettant pas à des clients de prendre connaissance des renseignements personnels d’autres clients : vous pourriez par exemple utiliser des coupons insérés dans une boîte fermée ou noter vous-même les renseignements fournis dans un cahier inaccessible à la clientèle.

Par ailleurs, séparer votre registre des clients de tout autre registre que vous tenez déjà, de manière à pouvoir procéder à la destruction (obligatoire) des renseignements recueillis 30 jours après leur consignation, serait une bonne pratique.

À quelle fin puis-je utiliser les renseignements personnels contenus dans le registre?

La tenue d’un registre des clients vise uniquement à faciliter les enquêtes épidémiologiques menées par la santé publique. Vu le contexte d’urgence sanitaire, vous êtes autorisé à communiquer les renseignements du registre aux autorités de santé publique sur demande.

Vous ne devez utiliser les renseignements recueillis à aucune autre fin (par exemple, pour du marketing).

Combien de temps puis-je conserver les renseignements personnels contenus dans le registre?

Selon l’arrêté ministériel 2020-063 du 11 septembre, la période de conservation est de 30 jours et devrait être communiquée aux clients par le titulaire de permis de bar.

Après ces 30 jours, vous devez donc détruire les renseignements personnels recueillis, peu importe le format que revêt votre registre.

Pour plus d’informations sur la destruction sécuritaire des renseignements personnels, référez-vous à la fiche La destruction des renseignements contenant des renseignements personnels.

 

Mise à jour : 23 septembre 2020