Fleet managers: ce que le RGPD va changer pour vous

Le règlement européen sur la protection des données personnelles du 27 avril 2016 laissait deux ans aux entreprises pour se mettre en conformité. Son entrée en application définitive est donc prévue pour le 25 mai 2018. Voici ce qu'il faut retenir en matière de fleet management :

Quelles données sont concernées ?

Le RGPD encadre toutes les données à caractère personnel concernant une personne physique identifiable : cela peut être son nom, son adresse mais aussi son comportement (sa conduite, ses achats, dans sa vie personnelle et/ou professionnelle). Pour une entreprise, cela comprend toutes les données traitées dans une application ou dans un fichier (même Excel). Tous les secteurs sont concernés dès lors que des données de contact sont en jeu, en BtoC comme en BtoB (un contact de fournisseur par exemple). En matière de fleet, ce sont les informations sur les conducteurs et notamment la géolocalisation, l'analyse comportementale et prédictive, les pratiques de déplacement et d'utilisation des usagers, les véhicules connectés, les plateformes d'auto-partage...

Quelles contraintes ?

Toutes les contraintes imposées par le RGPD ne sont pas nouvelles puisque certaines étaient déjà édictées dans la loi Informatique et Libertés du 6 janvier 1978.

- la transparence : l'entreprise doit informer les personnes concernées du traitement de leurs données, par exemple dans le contrat de travail (pas obligatoire) ou dans tout autre document, dédié ou non, comme la car policy, et préciser la teneur des données dont elle dispose, les finalités poursuivies par le traitement des données, les personnes qui pourront avoir accès aux données, les durées de conservation de ces données, etc. Dans certains cas le consentement est requis, si leur traitement est attentatoire à la vie privée. Dans tous les cas, l'entreprise est obligée de répondre aux demandes d'exercice du droit d'accès des personnes dont les données sont traitées.

- la proportionnalité : la récolte des données doit être strictement nécessaire (finalité légitime), de même que leur durée de conservation. Seule une anonymisation totale et strictement irréversible des données permet de contourner l'obligation de purge des données à l'issue de cette durée. Par exemple, l'entreprise a le droit de récolter des données de géolocalisation pour optimiser les tournées, gérer la facturation ou le dépannage, mais il lui est interdit de le faire pour suivre le temps de travail des salariés (sauf impossibilité de recours à un autre moyen), notamment ceux qui ont le droit d'organiser leur temps de travail comme ils le souhaitent ainsi que les instances représentatives du personnel.

- la sécurité : les données conservées doivent être soumises à des contraintes fortes (gestion stricte des habilitations, traçabilité des accès, sécurisation du réseau et des échanges avec les tiers). Cette obligation est valable en interne comme en externe. Si une entreprise fait appel à un prestataire sous-traitant qui a accès à des fichiers de données, il doit être soumis à des obligations de sécurité renforcée contractuellement. En effet, l'entreprise est responsable si elle n'a pas pris les précautions nécessaires. Hertz a été condamné à ce titre en juillet dernier par la Cnil, pour une fuite de données due en réalité à son sous-traitant développeur, auquel il aurait dû imposer des garanties de sécurité suffisantes et en vérifier l'effectivité.

Quelles actions de mise en conformité ?

Le principe de privacy by design et by default édicté par le RGPD signifie que tout projet entamé dans l'entreprise, au sens large, doit être soumis à la notion de privacy initiale dans ses process et tout au long de son cycle de vie. Pour ce faire l'entreprise peut mettre en place un cahier des spécifications fonctionnelles et technico-juridiques, rappelant la méthodologie à implémenter pour effectuer une analyse d'impact, la traduction des contraintes juridiques en contraintes techniques et fonctionnelles devant être déployées, etc.

Le principe d'accountability est l'aspect de responsabilisation des entreprises. Celles-ci doivent en effet déployer les mesures organisationnelles et techniques nécessaires pour le respect des dispositions applicables et doivent être en mesure d'en démontrer l'effectivité et l'efficacité. L'accountability impose un formalisme et l'élaboration d'un référentiel documentaire de la part de l'entreprise : politiques et procédures internes pour tous les métiers de l'entreprise, tenue d'un registre des traitements mis en oeuvre (à la place des déclarations à la Cnil imposées jusque-là). La désignation d'un DPO (data protection officer), "superviseur de la donnée à caractère personnel", à vocation à devenir obligatoire dans un certain nombre d'hypothèses.

Quel ROI ?

Les actions de mise en conformité évoquées ci-dessus vont servir à cartographier et recenser les risques pour l'entreprise, qui maîtrisera mieux ses vulnérabilités et sera en mesure de déployer une véritable gouvernance data afin d'anticiper les risques et éviter des sanctions à l'évolution exponentielle (20 millions d'euros ou 4% du CA annuel mondial. En comparaison, Hertz a été condamné, sous l'égide de la loi actuelle, à payer une amende de "seulement" 40 000 euros). "Dans le monde des affaires, le déploiement de ces actions sera synonyme de transparence et de confiance. Une véritable opportunité réside également dans l'intégration de la privacy dans l'évaluation de la RSE qui revêt une importance stratégique et renvoie une image vertueuse génératrice de confiance pour les clients et partenaires, et plus généralement pour l'ensemble de l'écosystème des entreprises", analyse Laure Landes-Gronowski. Enfin, ces actions sont une garantie de bonne répartition effective des responsabilités entre les acteurs, et un avantage compétitif certain pour les appels d'offres et les partenariats. "L'absence de mise en conformité aux dispositions du RGPD peut devenir bloquante dans le cadre des négociations contractuelles, surtout lorsque les parties ne savent pas ce qui est géré ou ne l'est pas", poursuit l'avocate. Les entreprises ont donc tout intérêt à s'y atteler, et rapidement.