Le 25 mai 2018, le Règlement général sur la Protection des Données (RGPD) entrera en vigueur.
C’est la plus grande mise à jour en matière de protection des données que l’Europe n’ait connu en 20 ans.

Qu’est-ce que cela signifie pour les gestionnaires de flotte de véhicules ?

Ce Règlement est avant tout une obligation légale qui ne peut être ignorée. En tant que gestionnaire de flotte, il y a un impact direct. Vous traitez avec les données personnelles quotidiennement.

Votre challenge est de comprendre l’impact de cette mesure sur votre activité et veiller à adapter vos systèmes.

Pour ce faire, certains éléments doivent être pris en compte pour conduire le changement :

1. Données personnelles

Le Règlement général sur la Protection des Données élargit la définition des données personnelles et inclut par exemple les identifiants numériques tels que les adresses IP ou encore la pseudonymisation des données reliées à des individus.

De ce fait, les systèmes de télématique qui lient les conducteurs avec des données telles que la localisation, la vitesse, les évènements de conduite… peuvent être aussi considérés, dans certains cas, comme utilisant des données personnelles.

Par conséquent, les droits des conducteurs se sont élargis et doivent être:

  • informés des données saisies
  • pouvoir y accéder
  • rectifier lorsqu’elles sont fausses ou erronées,
  • avoir la possibilité d’en demander la suppression si besoin.

2. Cadre légal du traitement des données

Afin de procéder au traitement des données personnelles, vous avez besoin d’un cadre légal qui vous y autorise.

Plusieurs options s’offrent à vous :

  • Obtenir le consentement du conducteur,
  • Etablir un contrat entre les deux parties,
  • Communiquer sur le respect des obligations légales et de conformité de la société ainsi que sur les intérêts légitimes du RGPD pour tous. L'intérêt légitime suppose l'existence d'un intérêt suffisamment important et sérieux

Aujourd’hui, la plupart des opérateurs optent pour l’intérêt commun et/ou l'exécution d’un contrat.

3. Consentement

Le consentement du conducteur n’est pas une obligation pour l’entreprise lorsque celle-ci utilise les données télématiques à des fins de gestion de paie.
En effet, lorsque la rémunération est calculée en fonction du temps de conduite, le contrat de travail fait office de consentement. Il couvre, en effet, le traitement de la donnée.

Dans le cas où vous vous appuyez sur les intérêts légitimes pour justifier la donnée traitée, veillez à informer, documenter et sensibiliser vos conducteurs sur l'équilibre entre vos intérêts et leurs droits. N’oubliez donc pas de communiquer sur les aspects sécuritaires des données télématiques ainsi que la prévention de la fraude, etc.

En l’absence d’une base contractuelle ou d’intérêts légitimes, le consentement des conducteurs est impératif. Le consentement doit être spécifique, libre de droits et doit faire absence d'ambiguïtés. Les conducteurs doivent prendre connaissance des données saisies, des objectifs précis de traitement, savoir à qui la donnée est communiquée ainsi que son lieu de destination.

Le consentement des conducteurs tout comme les intérêts légitimes doivent être documentés et idéalement intégrés dans les contrats de travail et les conditions générales de vente, dans le cas où votre dispositif de télématique est présent chez vos fournisseurs par exemple. Le consentement permet de réduire le risque de conflits éventuels dans le futur.

4. Gouvernance

Les dispositions de responsabilité, de gouvernance et de transparence du RGPD obligent les opérateurs de flotte à toujours documenter leurs décisions. Pour un traitement de la donnée dans les meilleures conditions, deux notions du RGPD doivent être prises en compte :

  • L’analyse d’impact DPIA (Data Protection Impact Assessment)

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (DPIA). L’analyse d’impact est un outil important pour la responsabilisation des organismes. Elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés. Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données, la CNIL met à disposition un logiciel libre PIA.

  • L’adoption du “Privacy by design”

Le principe phare du Privacy by design (protection de la vie privée dès la conception) consiste, comme son nom l’indique, à garantir le plus haut niveau possible de protection des données dès la conception des systèmes (télématiques ou de gestion de flotte). De ce fait, les données ne nécessitent pas de protection additionnelle par la suite.

5. Sécurité

Les données liées à la gestion de flotte doivent être gérées en tenant dûment compte de la sécurité. Les gestionnaires de flotte doivent déterminer si leurs fournisseurs respectent les obligations du RGPD et doivent s’orienter vers ceux possédant des compétences reconnues telle que la certification ISO 27001.

Que retenir ?

De nombreuses histoires alarmantes circulent à propos de l’impact du RGPD au sein des organisations. Cependant, avec une préparation et le soutien des différents services de l’entreprise (services juridique, ressources humaines, approvisionnement…), vous devriez être en mesure d’adapter vos politiques et vos procédures sans rencontrer de difficultés insurmontables.

Mener une communication axée sur la prévention est une première étape. Pour une politique efficace, il convient de placer la sécurité routière au centre de votre culture d’entreprise.

Il s’agit d’impliquer vos collaborateurs au quotidien et de mobiliser vos ressources. De nombreuses opportunités réglementaires et technologiques vous sont actuellement offertes afin de faire de la sécurité routière une priorité pour tous.

En savoir plus sur la RGPD et la gestion de flotte de véhicules

Par Djamel Souici le 01 mai 2018

A business-oriented legal executive with over 25 years experience in IT/Software and 15 years experience in senior management positions. Bilingual and deeply knowledgeable in dealing with legal affairs across all European countries. Excellent understanding of compliance and regulatory requirements of IT companies. Deep know-how in litigation management, M&A, deal-making, employment law, data protection, including GDPR and board governance.

Précédent | Suivant

Blog plus récent

L'union fait la force : pourquoi l'adhésion des parties prenantes est la clé d'une transition réussie vers une  flotte de véhicules électriques

La loi d’orientation des mobilités est l’amorce de la fin des ventes de voitures à énergies fossiles carbonées en 2040. Beaucoup d'entreprises sont ...

Transport sanitaire urgent : mieux gérer les urgences grâce à la géolocalisation

Assurer un service de grande qualité pour les ambulanciers représente un enjeu crucial. Transporter des personnes vulnérables, malades, âgées ou ...

En coulisses : les secrets d’une télématique de qualité

Pour fournir un produit exceptionnel, il est nécessaire d’évoluer dans un environnement qui exige de s’améliorer en permanence. Cela ne vaut pas ...