Décryptages

Décryptages

15/05/20

RGPD Check News : non, la prise de température à l’entrée des magasins n’est pas en soi un traitement de données soumis au RGPD

Bien que l’épidémie du Covid 19 soulève de nombreuses questions légitimes relatives à la vie privée et à la confidentialité des personnes, elle est aussi l’occasion de voir fleurir des thèses proches de la « fake news ».

Le dernier exemple en date concerne la simple prise de température à l’entrée des magasins qui serait soumise au RGPD et donc impliquerait nécessairement la mise en œuvre de mesures spécifiques (ex : sécurité adaptée, accès limité aux données, information des personnes, voir encadrement des sous-traitants si cette prise de température est effectuée par un prestataire externe), ce qui est imprécis, voire le plus souvent inexact.

Pour rappel, pour qu’un traitement de données soit soumis au RGPD, encore faut-il que des données à caractère personnel, c’est-à-dire une information permettant d’identifier ou de rendre identifiable une personne, soient collectées (ex : nom, prénom, numéro de carte de fidélité, images de vidéo-protection ou bon de commande).

Or, la simple prise de température, sans recueil de l’identité de la personne, n’est pas en soi une donnée personnelle soumise au RGPD. Ceci est d’autant plus vrai si cette prise de température n’est même pas inscrite sur un fichier papier ou numérique, ce qui revient, dans ce cas, ni plus ni moins à demander à un passant anonyme si cette personne se sent bien, par simple courtoisie et prudence.

En outre, même si le résultat de la température est inscrit dans un fichier papier ou numérique à des fins statistiques, elle n’en devient pas pour autant, de manière automatique, une donnée personnelle soumise au RGPD.

En réalité, un tel contrôle ne peut être soumis au RGPD que dans deux cas de figure : soit la température est recueillie en même temps que l’identité de la personne concernée ; soit la température, non accompagnée de l’identité de la personne contrôlée, est inscrite dans un fichier papier ou numérique qui serait, par la suite, croisé avec une ou plusieurs bases de données qui contiendraient l’identité de la personne contrôlée.

A titre d’exemple, il faudrait croiser la température qui est anonyme avec l’heure précise d’un rendez-vous ou d’images de vidéo-protection filmant le contrôle. Et encore, pour que ces situations soient soumises au RPGD, encore faudrait-il s’assurer qu’il n’y ait pas le moindre doute sur la corrélation entre l’identité de la personne et la température, ce qui semble difficile à démontrer en pratique notamment dans le cas de magasins où plusieurs personnes sont invitées à s’y rendre à la même heure.

D’ailleurs, un tel croisement n’est évidemment pas à l’ordre du jour et n’est pas appliqué par les magasins qui recueillent uniquement la température à titre de prévention et de sécurité de ses clients.

Aussi, encore une fois, le débat porte donc plus sur une question éthique que sur une problématique relative au RGPD.

Auteur : 

Raphaël Buchard, Avocat

Télécharger