Champ d'application, contraintes, actions de mise en conformité mais aussi ROI, le point sur les conséquences de la future entrée en application du règlement européen sur la protection des données, avec Laure Landes-Gronowski, avocate associée au cabinet Avistem.

Le règlement européen sur la protection des données personnelles du 27 avril 2016 laissait deux ans aux entreprises pour se mettre en conformité. Son entrée en application définitive est donc prévue pour le 25 mai 2018. Voici ce qu'il faut retenir en matière de fleet management :

Quelles données sont concernées ?

Le RGPD encadre toutes les données à caractère personnel concernant une personne physique identifiable : cela peut être son nom, son adresse mais aussi son comportement (sa conduite, ses achats, dans sa vie personnelle et/ou professionnelle). Pour une entreprise, cela comprend toutes les données traitées dans une application ou dans un fichier (même Excel). Tous les secteurs sont concernés dès lors que des données de contact sont en jeu, en BtoC comme en BtoB (un contact de fournisseur par exemple). En matière de fleet, ce sont les informations sur les conducteurs et notamment la géolocalisation, l'analyse comportementale et prédictive, les pratiques de déplacement et d'utilisation des usagers, les véhicules connectés, les plateformes d'auto-partage...

Quelles contraintes ?

Toutes les contraintes imposées par le RGPD ne sont pas nouvelles puisque certaines étaient déjà édictées dans la loi Informatique et Libertés du 6 janvier 1978.

- la transparence : l'entreprise doit informer les personnes concernées du traitement de leurs données, par exemple dans le contrat de travail (pas obligatoire) ou dans tout autre document, dédié ou non, comme la car policy, et préciser la teneur des données dont elle dispose, les finalités poursuivies par le traitement des données, les personnes qui pourront avoir accès aux données, les durées de conservation de ces données, etc. Dans certains cas le consentement est requis, si leur traitement est attentatoire à la vie privée. Dans tous les cas, l'entreprise est obligée de répondre aux demandes d'exercice du droit d'accès des personnes dont les données sont traitées.

- la proportionnalité : la récolte des données doit être strictement nécessaire (finalité légitime), de même que leur durée de conservation. Seule une anonymisation totale et strictement irréversible des données permet de contourner l'obligation de purge des données à l'issue de cette durée. Par exemple, l'entreprise a le droit de récolter des données de géolocalisation pour optimiser les tournées, gérer la facturation ou le dépannage, mais il lui est interdit de le faire pour suivre le temps de travail des salariés (sauf impossibilité de recours à un autre moyen), notamment ceux qui ont le droit d'organiser leur temps de travail comme ils le souhaitent ainsi que les instances représentatives du personnel.

- la sécurité : les données conservées doivent être soumises à des contraintes fortes (gestion stricte des habilitations, traçabilité des accès, sécurisation du réseau et des échanges avec les tiers). Cette obligation est valable en interne comme en externe. Si une entreprise fait appel à un prestataire sous-traitant qui a accès à des fichiers de données, il doit être soumis à des obligations de sécurité renforcée contractuellement. En effet, l'entreprise est responsable si elle n'a pas pris les précautions nécessaires. Hertz a été condamné à ce titre en juillet dernier par la Cnil, pour une fuite de données due en réalité à son sous-traitant développeur, auquel il aurait dû imposer des garanties de sécurité suffisantes et en vérifier l'effectivité.