RGPD : fleet managers êtes-vous prêts?
À compter d'aujourd'hui, les entreprises devront s'assurer que leurs fichiers informatiques nominatifs sont conformes au Règlement général de protection des données (RGPD). Les gestionnaires de flottes sont concernés dès lors qu'ils utilisent des fichiers pour suivre leurs conducteurs.
Je m'abonneL'amende est salée : 100 000 euros pour manquement à l'obligation de sécurité des données personnelles. En sanctionnant ainsi Darty, le 9 janvier 2018, la Commission nationale de l'informatique et des libertés (CNIL) envoie un signal fort à trois mois de l'entrée en vigueur du nouveau règlement général de protection des données (RGPD). Certes, la délibération prise à l'encontre de Darty ne concerne pas la conduite des véhicules de ses collaborateurs mais elle illustre les précautions que doivent désormais prendre les entreprises : à compter d'aujourd'hui, le niveau de protection et la vigilance de la CNIL à l'égard de tous les traitements de données personnelles par les entreprises, seront rehaussés d'un cran avec l'entrée en vigueur du RGPD.
Qu'ils exercent leur activité au sein de grandes entreprises ou des collectivités publiques, les gestionnaires de parcs automobiles sont considérés comme des responsables de traitement de données à caractère personnel dans la mesure où ils collectent et traitent des informations nominatives relatives aux conducteurs. Leur exposition au risque d'infraction au RGPD se trouve démultipliée avec le recours à des prestataires de services : loueurs longue durée, fleeters, fournisseurs d'outils de géolocalisation ou de gestion de parc...
Partage des responsabilités
Cette nouvelle responsabilité n'est pas à prendre à la légère compte tenu de l'ampleur des sanctions prévues, bien plus lourdes que dans le cas de Darty : la CNIL pourra en effet réclamer aux contrevenants pris en défaut de sécurisation des données personnelles, une amende administrative comprise entre 10 et 20 millions d'euros ou 2 à 4 % du chiffre d'affaires annuel mondial de l'entreprise (le montant le plus élevé des deux étant retenu).
Lire aussi : Vendor Management System vs e-procurement : le match des solutions d'achats de prestations intellectuelles
Particularité du nouveau cadre juridique : la responsabilité est désormais partagée entre donneurs d'ordre et prestataires. Cela se traduit, des deux côtés, par la même obligation de cartographier les traitements de données nominatives, de les mettre en conformité avec le RGPD ou encore de désigner en interne un délégué à la protection des données dans l'entreprise (data protection officer ou DPO). " Le RGPD fait descendre la responsabilité sur le sous-traitant, avertit Quentin Lebourgeois, responsable service clients et DPO chez Gac Technology. Contractuellement, ce partage de responsabilité doit être bien clair entre le sous-traitant et son client. " Un message reçu par un grand laboratoire pharmaceutique, dont les services achats et juridique ont déjà passé en revue tous les contrats avec leurs fournisseurs afin de vérifier d'une part que leurs traitements de données étaient bien déclarés à la CNIL et, d'autre part, qu'ils respectaient les conditions de sécurité fixées par le RGPD. A partir d'aujourd'hui, chaque donneur d'ordre devra ainsi demander à ses sous-traitants de justifier sa conformité au RGPD. " Nous devons garantir à nos clients que nos employés sont soumis à une obligation de confidentialité. De même en ce qui concerne la sécurisation de ses données et leur cryptage ", reconnaît Quentin Lebourgeois. Autre obligation du donneur d'ordre : intégrer dans les appels d'offres pour ses futurs contrats des clauses calquées sur les exigences du RGPD.
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles
La rédaction vous recommande