Conformité au RGPD : Le spam n’est pas le seul concerné, la gestion de flotte aussi!

L’entrée en vigueur du nouveau Règlement général sur la protection des données (RGPD) a été largement relayée par les médias ces derniers temps, et les articles portent souvent sur les courriels indésirables et la question de savoir si les entreprises et les spammeurs ont le droit d’en envoyer…


Mais la réglementation va plus loin en s’intéressant aux données que les entreprises sont susceptibles de détenir au sujet de leurs employés, et cela aura des répercussions sur la façon dont vous gérez votre flotte.

Êtes-vous prêts pour le RGPD ? Le moment est venu de vous poser la question.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) entrera en application le 25 mai 2018.

En résumé, il s’agit d’une version très améliorée de l’actuelle Loi sur la protection des données de 1998 qui témoigne de la façon, toujours plus complexe, dont les données à caractère personnel sont conservées et utilisées.

Le RGPD ne se contente pas d’actualiser la législation existante et introduit les nouveaux principes de transparence et de responsabilité, ainsi que l’obligation pour les entreprises d’obtenir le consentement des personnes dont elles conservent et utilisent les données. Il est en effet prévu que celles-ci puissent demander la suppression ou la modification des données les concernant.

Cela signifie que la collecte de données doit être gérée de façon plus proactive, et qu’une fois en votre possession, il vous faudra démontrer que ces données sont conservées et utilisées dans le respect des conditions auxquelles vos employés – ou la personne concernée – ont consenti.

Enfin, le nouveau règlement traite du consentement et de la gestion de cette procédure.

Les données doivent être conservées en sécurité et adéquatement protégées contre tout accès, toute utilisation ou toute perte non autorisé ou illicite.

Faute de respecter ces conditions, s’agissant notamment du consentement et du niveau de protection à garantir, votre entreprise pourrait être passible d’un certain nombre de sanctions, dont des amendes pouvant atteindre jusqu’à 20 000 € et 4 % de votre chiffre d’affaires mondial.

Ce qu’il faut retenir, c’est que le RGPD n’est pas à prendre à la légère !

Quelle incidence pour les flottes ?

Le RGPD gravite autour du concept des données à caractère personnel identifiables : si une personne peut être identifiée à partir des données en votre possession, la conservation et l’utilisation de ces données devront faire l’objet d’un consentement clair et traçable.

Les flottes tombent sous le coup du RGPD, car vos employés peuvent être identifiés de nombreuses façons – plaque d’immatriculation, numéro d’identification des véhicules, numéro du permis de conduire, numéro de sécurité sociale, antécédents médicaux, antécédents de conduite (infractions, déclarations de sinistre ou formation) – ou même via le suivi des données.

C’est pourquoi toutes les informations que vous détenez sur vos employés et leur conduite dans le cadre du travail doivent être conformes et utilisées adéquatement – notez toutefois qu’il ne vous est pas demandé d’effacer en nombre les données indispensables à la gestion de flotte. Il vous suffira probablement d’adapter en partie vos pratiques et procédures.

IMPORTANT : le RGPD n’implique pas que vous arrêtiez d’utiliser les données concernant vos employées pour la gestion de flotte, mais il vous faudra certainement modifier vos procédures de façon à garantir la sécurité des informations à caractère personnel.

Type de données à caractère personnel détenues par les services de gestion de flotte concernées par le RGPD

Âge
Genre
Adresse
Coordonnées personnelles
Antécédents médicaux
Détails relatifs au permis de conduire (infractions, points de pénalité, etc.)
Profil de conducteur (excès de vitesse, freinage brusque, etc.)
Certificats de formation
Historique des trajets (par voie télématique)
Parcours professionnel et expérience

Quelles responsabilités pour les gestionnaires de flotte ?

Les gestionnaires de parc automobile sont intrinsèquement liés au processus, car le RGPD repose sur l’idée que la protection de la vie privée ne relève plus de la seule responsabilité d’un délégué à la protection des données ou d’un responsable RH (bien que leur rôle soit essentiel), mais de l’ensemble des maillons de la chaîne de données.

Concrètement, les gestionnaires de flotte doivent s’assurer que chaque employé a consenti à ce que les données à caractère personnel le concernant soient conservées et qu’il a bien compris la façon dont ces données seront conservées et utilisées, et garder une trace écrite de ce consentement.

Il leur incombe également de veiller à ce que toutes les données à caractère personnel conservées soient suffisamment protégées, et ne soient accessibles qu’au personnel autorisé et via un canal sécurisé. Idéalement, cela implique le recours à un logiciel encodé et protégé par mot de passe.

Les gestionnaires de flotte seront également amenés à gérer l’accès de tiers aux données. Il n’est pas rare que les entreprises de gestion de flotte ou de location aient connaissance des informations relatives à vos conducteurs. Elles devront également se conformer au RGPD, et démontrer que les données sont protégées et ne permettent pas l’identification de personnes si ce n’est pas nécessaire.

IMPORTANT : les gestionnaires de flotte devront s’assurer que le consentement des employés fait l’objet de procédures solides et traçables.

Quels sont les principaux domaines dans lesquels les flottes doivent agir ?

En premier lieu, il vous faudra actualiser vos contrats et réglements afin que les employés comprennent à quelles fins les données les concernant seront conservées et utilisées, puis vous devrez obtenir un consentement proactif de leur part.

La procédure d’obtention du consentement doit faire l’objet de pistes d’audit clairement définies.

Prédéfinissez les fins spécifiques auxquelles les données seront conservées – le RGPD autorise l’utilisation de données à caractère personnel, mais cela doit être justifié. La tenue de registres individuels (condamnations pour excès de vitesse, achats de carburant, etc.) est indispensable, mais interrogez-vous sur la nécessité de conserver la trace de chacun des trajets de vos employés.

Les flottes devront introduire des procédures permettant d’agréger et de rendre anonymes les données non spécifiques à la gestion de flotte, surtout si elles sont partagées avec un tiers. Par ailleurs, il convient d’établir un inventaire de l’ensemble des tiers ayant accès aux données en votre possession, de la façon dont ils se procureront ces données, et des fins auxquelles elles seront utilisées… avec des preuves de la façon dont ces tiers veillent à leur protection.

Tenez-vous prêts et ayez un système en place pour le cas où des employés demanderaient à consulter les données les concernant.

Il serait dommage de voir s’écrouler vos systèmes RGPD rigoureusement planifiés et exécutés du fait de l’inefficacité des procédures de vos fournisseurs. Vérifiez qu’ils maîtrisent bien le RGPD et peuvent justifier de systèmes de sécurité exhaustifs et d’un dispositif de sauvegarde solide. Enfin, dernière chose : si les données sont transférées en dehors de l’UE, assurez-vous que ce soit vers un pays doté de procédures complémentaires.

Assurez-vous que le fournisseur de logiciels que vous utilisez (et tout autre fournisseur gérant les données en votre possession) dispose de la certification ISO 27001, qui atteste formellement de son engagement en matière de protection des données.

Conclusion

Le RGPD contraint les employeurs à mettre en place de nouvelles méthodes et procédures définies pour la gestion des données concernant leurs employés. Pour les entreprises utilisant déjà des procédures de gestion de flotte solides, cela équivaudra à renforcer les pratiques existantes plutôt qu’à révolutionner leur manière de travailler.