Traitements à risque

Parmi les traitements de données les plus sensibles : le traitement des amendes relevées par les radars automatiques. " Nous avons d'un côté l'annuaire des conducteurs, de l'autre la liste des immatriculations. En cas d'avis de procès-verbal, nous rapprochons les deux informations. En revanche, nous n'avons pas de droit de stocker l'infraction réalisée ", explique Mathilde Courau, responsable marketing digital chez Fatec Group. Pas question en effet de retraiter ces informations pour établir un fichier des " mauvais " conducteurs (à moins de se contenter de recueillir des données statistiques ­anonymisées). Attention également à ne pas jouer avec le feu en constituant un tel fichier qui serait basé sur les immatriculations. La CNIL considère déjà qu'il s'agit d'une donnée à caractère personnel dans la mesure où l'attribution des véhicules permet d'établir très facilement l'identité du conducteur. " Nous cartographions toutes les données que nous traitons et nous vérifions que nous n'utilisons que des données minimales pour chaque finalité de traitement ", résume Mathilde Courau. Tous les prestataires travaillent actuellement sur cette notion dénommée " privacy by design " , autrement dit concevoir des services " allégés " en data, naturellement plus protecteurs des données personnelles.

Allégement des bases de données

Chez Suivideflotte.net, spécialiste de la géolocalisation, les données ont été cartographiées puis classées en trois catégories : celles se rapportant aux véhicules (80 % des données), celles relatives aux règles métiers des entreprises clientes (15 %) et enfin les données personnelles des conducteurs (moins de 5 %). Ce prestataire s'est engagé à réduire au maximum cette troisième catégorie. " Nous établissons des connecteurs avec les systèmes RH de nos clients lorsqu'ils sont accessibles en ligne. Ainsi, nous récupérons l'information au moment où nous en avons besoin sans avoir à la stocker ", argumente Julien Rousseau, directeur général de Suivideflotte.net. Pour prévenir les requêtes abusives en interne, toute consultation de données personnelles doit faire l'objet d'un ticket ouvert auprès du support technique. Avec l'accord de l'entreprise, le conducteur est informé de l'utilisation qui est faite des données qui le concernent grâce à une application (qui lui permet également de demander des modifications).

Pour limiter la quantité de données personnelles, les flux d'informations doivent être, le plus possible, rattachés au véhicule et non à son conducteur. Ainsi, ce prestataire a décidé de ne pas stocker les événements de conduite en temps réel (par exemple, les freinages ou les accélérations brusques) au profit d'une synthèse qui permet de dégager des indicateurs utiles au gestionnaire de flotte pour anticiper l'usure prématurée du véhicule plutôt que pour sanctionner son conducteur. Ce sont autant de données en moins dans le collimateur du RGPD.

Si ce règlement donne du fil à retordre aux entreprises, il pourrait cependant s'avérer précieux pour le dialogue avec les instances représentatives du personnel sur toute nouvelle évolution. Le recours obligatoire à une analyse des traitements des données personnelles par le DPO permettra d'apporter au CHSCT la garantie que l'entreprise a bien prévu les mesures nécessaires pour protéger les données de ses conducteurs.

* Règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016, publié au Journal officiel de l'Union européenne du 4 mai 2016.