Le 25 mai 2018, le Règlement général sur la Protection des Données (RGPD) entrera en vigueur. C’est la plus grande mise à jour en matière de protection des données que l’Europe n’ait connu en 20 ans.

Qu’est-ce que cela signifie pour les gestionnaires de flotte ?

Ce Règlement est avant tout une obligation légale qui ne peut être ignorée. En tant que gestionnaire de flotte, vous traitez avec les données personnelles quotidiennement et êtes directement impacté.

Votre challenge est de comprendre l’impact de cette mesure sur votre activité et de veiller à adapter vos systèmes. Pour ce faire, certains éléments doivent être pris en compte pour conduire le changement :

1. Données personnelles

Le Règlement général sur la Protection des Données élargit la définition des données personnelles et inclut par exemple les identifiants numériques tels que les adresses IP ou encore la pseudonymisation des données reliées à des individus.

De ce fait, les systèmes de télématique qui lient les conducteurs avec des données telles que la localisation, la vitesse, les évènements de conduite… peuvent être aussi considérés, dans certains cas, comme utilisant des données personnelles.

Par conséquent, les droits des conducteurs se sont élargis et ceux-ci doivent être tenus informés des données saisies. Ils doivent aussi pouvoir y accéder et les rectifier lorsqu’elles sont fausses ou erronées, mais également avoir la possibilité d’en demander la suppression si besoin.

2. Cadre légal du traitement des données

Afin de procéder au traitement des données personnelles, vous avez besoin d’un cadre légal qui vous y autorise. Plusieurs options s’offrent à vous :

  • Obtenir le consentement du conducteur,
  • Etablir un contrat entre les deux parties,
  • Communiquer sur le respect des obligations légales et de conformité de la société ainsi que sur les intérêts légitimes du RGPD pour tous. L'intérêt légitime suppose l'existence d'un intérêt suffisamment important et sérieux

Aujourd’hui, la plupart des opérateurs optent pour l’intérêt commun et/ou l'exécution d’un contrat.

3. Consentement

Le consentement du conducteur n’est pas une obligation pour l’entreprise lorsque celle-ci utilise les données télématiques à des fins de gestion de paie. En effet, lorsque la rémunération est calculée en fonction du temps de conduite, le contrat de travail fait office de consentement. Il couvre, en effet, le traitement de la donnée.

Dans le cas où vous vous appuyez sur les intérêts légitimes pour justifier la donnée traitée, veillez à informer, documenter et sensibiliser vos conducteurs sur l'équilibre entre vos intérêts et leurs droits. N’oubliez donc pas de communiquer sur les aspects sécuritaires des données télématiques ainsi que la prévention de la fraude, etc.

En l’absence d’une base contractuelle ou d’intérêts légitimes, le consentement des conducteurs est impératif. Le consentement doit être spécifique, libre de droits et doit faire absence d'ambiguïtés. Les conducteurs doivent prendre connaissance des données saisies, des objectifs précis de traitement, savoir à qui la donnée est communiquée ainsi que son lieu de destination.

Le consentement des conducteurs tout comme les intérêts légitimes doivent être documentés et idéalement intégrés dans les contrats de travail et les conditions générales de vente, dans le cas où votre dispositif de télématique est présent chez vos fournisseurs par exemple. Le consentement permet de réduire le risque de conflits éventuels dans le futur.

4. Gouvernance

Les dispositions de responsabilité, de gouvernance et de transparence du RGPD obligent les opérateurs de flotte à toujours documenter leurs décisions. Pour un traitement de la donnée dans les meilleures conditions, deux notions du RGPD doivent être prises en compte :

  • L’analyse d’impact DPIA (Data Protection Impact Assessment)

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (DPIA). L’analyse d’impact est un outil important pour la responsabilisation des organismes. Elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés. Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données, la CNIL met à disposition un logiciel libre PIA.

  • L’adoption du “Privacy by design”

Le principe phare du Privacy by design (protection de la vie privée dès la conception) consiste, comme son nom l’indique, à garantir le plus haut niveau possible de protection des données dès la conception des systèmes (télématiques ou de gestion de flotte). De ce fait, les données ne nécessitent pas de protection additionnelle par la suite.

5. Sécurité

Les données liées à la flotte doivent être gérées en tenant dûment compte de la sécurité. Les gestionnaires de flotte doivent déterminer si leurs fournisseurs respectent les obligations du RGPD et doivent s’orienter vers ceux possédant des compétences reconnues telle que la certification ISO 27001.

Brochure en ligne

Vous souhaitez en savoir plus sur Masternaut et nos produits ? Vous pouvez télécharger notre brochure gratuitement et sans engagement.