Les gestionnaires de flotte automobile traitent quotidiennement les données personnelles des conducteurs. L’entrée en vigueur le 25 mai 2018 du Règlement Général sur la Protection des Données (RGPD) nécessite d’adapter leurs systèmes. Les points à retenir.
Le RGPD est sur toutes les lèvres. Et pour cause, son entrée en vigueur le 25 mai renforce la protection des données personnelles des citoyens européens, un sujet plus brûlant encore depuis le scandale Facebook/Cambridge Analytica. Parce qu’ils collectent et traitent celles de leurs conducteurs, les gestionnaires de flotte automobile se retrouvent eux-aussi concernés.
A lire aussi : Interview. Quel avenir pour les médias sociaux ?
La notion de données personnelles est élargie :
Le RGPD vise non seulement à renforcer les droits des personnes, mais aussi à responsabiliser les acteurs traitant les données. À cet effet, la définition des données personnelles est élargie : le RGPD encadre tout à la fois la collecte et le traitement, de toutes les données à caractère personnel, sensibles ou non, concernant une personne physique identifiable, de façon directe ou indirecte.
Dans ce contexte, la plupart des informations sur les conducteurs (coordonnées, numéro de plaque d’immatriculation du véhicule, numéro de série, contrôles techniques, analyse du comportement de conduite, données issues de véhicules connectés, géolocalisation…) sont désormais susceptibles d’être considérées comme des données personnelles.
De nouveaux droits pour les conducteurs :
- Le RGPD prévoit que les intéressés, en l’occurrence les conducteurs, soient tenus informés des données personnelles saisies, et puissent y accéder, voire les rectifier si elles sont erronées. Ou demander leur suppression, le cas échéant (lorsqu’elles ne sont plus, par exemple, justifiées au regard des finalités pour lesquelles elles ont été collectées).
- Les données demandées, puis stockées, doivent être limitées au minimum nécessaire.
- Le conducteur devra par ailleurs donner clairement son accord pour l’usage de ses données, à une réserve près : les données télématiques utilisées pour la gestion de paie (telles que le temps de conduite dans le calcul de la rémunération) étant pour leur part couvertes par le contrat de travail, elles échappent à cette obligation. Toutefois, dans la mesure où les employeurs devront nécessairement établir un avenant aux contrats de leurs collaborateurs, afin de se mettre en conformité avec le RGPD, la boucle sera bouclée.
A lire aussi : Automobiles d’entreprise : ce qui change en 2018
Une gestion transparente, documentée et sécurisée :
Le principe du Privacy by design (protection de la vie privée dès la conception) édicté par le RGPD vise à garantir le plus haut niveau possible de protection des données dès la conception des systèmes (télématiques ou de gestion de flotte). L’entreprise devra mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de ce principe.
Elle va notamment devoir tenir un Registre des Traitements (répertoriant l’ensemble de ses traitements de données personnelles), et désigner le cas échéant un DPO (Data Protection Officer), remplaçant de l’ancien CIL (Correspondant Informatique et Libertés).
Dans ce cas précis, le respect du RGPD vise alors à faire en sorte que les données liées au parc automobile soient traitées de manière sécurisée, et incite les gestionnaires de flotte à veiller au respect du règlement par leurs prestataires…
Plus d'informations sur le site de la CNIL.