RGPD : fleet managers êtes-vous prêts?
À compter d'aujourd'hui, les entreprises devront s'assurer que leurs fichiers informatiques nominatifs sont conformes au Règlement général de protection des données (RGPD). Les gestionnaires de flottes sont concernés dès lors qu'ils utilisent des fichiers pour suivre leurs conducteurs.
Je m'abonneL'amende est salée : 100 000 euros pour manquement à l'obligation de sécurité des données personnelles. En sanctionnant ainsi Darty, le 9 janvier 2018, la Commission nationale de l'informatique et des libertés (CNIL) envoie un signal fort à trois mois de l'entrée en vigueur du nouveau règlement général de protection des données (RGPD). Certes, la délibération prise à l'encontre de Darty ne concerne pas la conduite des véhicules de ses collaborateurs mais elle illustre les précautions que doivent désormais prendre les entreprises : à compter d'aujourd'hui, le niveau de protection et la vigilance de la CNIL à l'égard de tous les traitements de données personnelles par les entreprises, seront rehaussés d'un cran avec l'entrée en vigueur du RGPD.
Qu'ils exercent leur activité au sein de grandes entreprises ou des collectivités publiques, les gestionnaires de parcs automobiles sont considérés comme des responsables de traitement de données à caractère personnel dans la mesure où ils collectent et traitent des informations nominatives relatives aux conducteurs. Leur exposition au risque d'infraction au RGPD se trouve démultipliée avec le recours à des prestataires de services : loueurs longue durée, fleeters, fournisseurs d'outils de géolocalisation ou de gestion de parc...
Partage des responsabilités
Cette nouvelle responsabilité n'est pas à prendre à la légère compte tenu de l'ampleur des sanctions prévues, bien plus lourdes que dans le cas de Darty : la CNIL pourra en effet réclamer aux contrevenants pris en défaut de sécurisation des données personnelles, une amende administrative comprise entre 10 et 20 millions d'euros ou 2 à 4 % du chiffre d'affaires annuel mondial de l'entreprise (le montant le plus élevé des deux étant retenu).
Particularité du nouveau cadre juridique : la responsabilité est désormais partagée entre donneurs d'ordre et prestataires. Cela se traduit, des deux côtés, par la même obligation de cartographier les traitements de données nominatives, de les mettre en conformité avec le RGPD ou encore de désigner en interne un délégué à la protection des données dans l'entreprise (data protection officer ou DPO). " Le RGPD fait descendre la responsabilité sur le sous-traitant, avertit Quentin Lebourgeois, responsable service clients et DPO chez Gac Technology. Contractuellement, ce partage de responsabilité doit être bien clair entre le sous-traitant et son client. " Un message reçu par un grand laboratoire pharmaceutique, dont les services achats et juridique ont déjà passé en revue tous les contrats avec leurs fournisseurs afin de vérifier d'une part que leurs traitements de données étaient bien déclarés à la CNIL et, d'autre part, qu'ils respectaient les conditions de sécurité fixées par le RGPD. A partir d'aujourd'hui, chaque donneur d'ordre devra ainsi demander à ses sous-traitants de justifier sa conformité au RGPD. " Nous devons garantir à nos clients que nos employés sont soumis à une obligation de confidentialité. De même en ce qui concerne la sécurisation de ses données et leur cryptage ", reconnaît Quentin Lebourgeois. Autre obligation du donneur d'ordre : intégrer dans les appels d'offres pour ses futurs contrats des clauses calquées sur les exigences du RGPD.
Traitements à risque
Parmi les traitements de données les plus sensibles : le traitement des amendes relevées par les radars automatiques. " Nous avons d'un côté l'annuaire des conducteurs, de l'autre la liste des immatriculations. En cas d'avis de procès-verbal, nous rapprochons les deux informations. En revanche, nous n'avons pas de droit de stocker l'infraction réalisée ", explique Mathilde Courau, responsable marketing digital chez Fatec Group. Pas question en effet de retraiter ces informations pour établir un fichier des " mauvais " conducteurs (à moins de se contenter de recueillir des données statistiques anonymisées). Attention également à ne pas jouer avec le feu en constituant un tel fichier qui serait basé sur les immatriculations. La CNIL considère déjà qu'il s'agit d'une donnée à caractère personnel dans la mesure où l'attribution des véhicules permet d'établir très facilement l'identité du conducteur. " Nous cartographions toutes les données que nous traitons et nous vérifions que nous n'utilisons que des données minimales pour chaque finalité de traitement ", résume Mathilde Courau. Tous les prestataires travaillent actuellement sur cette notion dénommée " privacy by design " , autrement dit concevoir des services " allégés " en data, naturellement plus protecteurs des données personnelles.
Allégement des bases de données
Chez Suivideflotte.net, spécialiste de la géolocalisation, les données ont été cartographiées puis classées en trois catégories : celles se rapportant aux véhicules (80 % des données), celles relatives aux règles métiers des entreprises clientes (15 %) et enfin les données personnelles des conducteurs (moins de 5 %). Ce prestataire s'est engagé à réduire au maximum cette troisième catégorie. " Nous établissons des connecteurs avec les systèmes RH de nos clients lorsqu'ils sont accessibles en ligne. Ainsi, nous récupérons l'information au moment où nous en avons besoin sans avoir à la stocker ", argumente Julien Rousseau, directeur général de Suivideflotte.net. Pour prévenir les requêtes abusives en interne, toute consultation de données personnelles doit faire l'objet d'un ticket ouvert auprès du support technique. Avec l'accord de l'entreprise, le conducteur est informé de l'utilisation qui est faite des données qui le concernent grâce à une application (qui lui permet également de demander des modifications).
Pour limiter la quantité de données personnelles, les flux d'informations doivent être, le plus possible, rattachés au véhicule et non à son conducteur. Ainsi, ce prestataire a décidé de ne pas stocker les événements de conduite en temps réel (par exemple, les freinages ou les accélérations brusques) au profit d'une synthèse qui permet de dégager des indicateurs utiles au gestionnaire de flotte pour anticiper l'usure prématurée du véhicule plutôt que pour sanctionner son conducteur. Ce sont autant de données en moins dans le collimateur du RGPD.
Si ce règlement donne du fil à retordre aux entreprises, il pourrait cependant s'avérer précieux pour le dialogue avec les instances représentatives du personnel sur toute nouvelle évolution. Le recours obligatoire à une analyse des traitements des données personnelles par le DPO permettra d'apporter au CHSCT la garantie que l'entreprise a bien prévu les mesures nécessaires pour protéger les données de ses conducteurs.
* Règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016, publié au Journal officiel de l'Union européenne du 4 mai 2016.
Mise en conformité : six étapes préconisées par la CNIL
1 - Désigner un délégué à la protection des données dans l'entreprise.
2 - Cartographier les traitements de données existants en constituant un registre.
3 - Prioriser les actions correctives en fonction de l'exposition au risque des différents traitements de données.
4 - Pour chaque traitement existant, réaliser une étude d'impact sur la protection des données.
5 - Organiser les processus internes pour prendre en compte la protection des données personnelles.
6 - Constituer un dossier documentaire susceptible d'attester de la conformité au RGPD de chaque traitement de données personnelles.
