Skip to content

Sécuriser les données de votre flotte : comment faire ?

Le développement de la télématique embarquée et des capteurs connectés dans les véhicules multiplient les informations liées aux flottes. Quelles sont les obligations du gestionnaire de flotte en matière de sécurité des données à caractère personnel ? Comment faire pour assurer la maîtrise de la collecte et du traitement des données des conducteurs ? Voici le cadre réglementaire et les bonnes pratiques.

Par Nikolas - Publié le 22/04/2020

Lecture : 3 min


 

Sécurisation et confidentialité des données à caractère personnel : définition

Les données à caractère personnel (DCP) concernent une personne physique identifiable, de façon directe ou indirecte. On distingue les DCP courantes et les DCP sensibles.

  • DCP courantes : état-civil, identité, données d’identification, vie personnelle (habitudes de vie, situation familiale…), vie professionnelle (CV, scolarité, formation, distinctions…), les informations d’ordre économique et financier, les données de connexion ou de localisation (déplacements, données GPS, GSM…).
  • DCP sensibles : numéro de sécurité sociale, données biométriques, données bancaires, opinions, données de santé, infractions, condamnations…

 

Comment sécuriser les données d’une entreprise ? Le point sur la réglementation

L’UE encadre le traitement et la circulation des DCP par le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018. En France, la Commission nationale de l’informatique et des libertés (CNIL) veille à son respect.

Le RGPD vise à protéger les intérêts et les droits des individus, en assurant la protection de leurs données personnelles contre toutes sortes d’utilisations non autorisées. Les menaces sont d’ordres divers : accès illégitime aux données, modification non désirée ou disparition de données. 

En cas d’incident de sécurité, et en fonction de sa gravité, le gestionnaire de flotte doit en informer le régulateur sous 72 heures. Si l’incident risque d’avoir un impact significatif sur des individus, ils doivent également en être avertis dans un délai réduit. Les sanctions prévues en cas de manquement vont jusqu’à 20 millions d’euros ou 4% du CA

Flotte auto : comment agir pour sécuriser ses données informatiques ?

Grâce à la télématique embarquée, les gestionnaires de flottes collectent des centaines d’informations : contrôles techniques et maintenance, comportement de conduite, temps de conduite, géolocalisation, consommation de carburant, fréquence des pannes, problèmes médicaux en lien avec la capacité à conduire, amendes pour excès de vitesse, etc. 

Mais quelles sont les conditions à respecter pour faire usage des données personnelles ? Pour se conformer à la réglementation et garantir le plus haut niveau possible de protection, le gestionnaire de flotte doit mettre en œuvre une gestion des données transparente, documentée et sécurisée.

Les motifs d’utilisation doivent ainsi être spécifiques, obéir à un intérêt légitime, être clairement définis et être compris par l’individu à qui ces données sont liées. Seules les données strictement indispensables peuvent être recueillies, traitées et stockées, et ce pas plus longtemps que nécessaire. Les conducteurs doivent être informés des données personnelles saisies, donner leur accord à leur utilisation et pouvoir agir sur ces données.

Flotte auto : comment agir pour sécuriser ses données informatiques ?

Pour éviter les infractions à la réglementation et réduire au maximum les risques d’incidents, les gestionnaires de flottes et leurs partenaires doivent disposer des infrastructures et des procédures appropriées. Cela passe par des mesures de sécurité techniques et organisationnelles.

Gestionnaire de flotte : agissez pour la protection des données informatiques de votre entreprise

Désignez avant tout un Responsable de la protection des données, qui sera en charge de tenir à jour un Registre des traitements. Vérifiez que vos fournisseurs respectent le RGPD et privilégiez ceux qui possèdent des compétences avérées, telles que la certification ISO 27001. 

Suivez le principe du « Privacy by design », qui implique d'intégrer la protection des données personnelles par défaut dès la conception des systèmes. Mettez en œuvre une évaluation du risque sur la vie privée et informez les conducteurs en amont : quelles données seront utilisées, par qui, dans quel cadre et pour quel délai...

En l’absence d’une base contractuelle ou d’intérêts légitimes pour justifier la donnée traitée, le consentement des conducteurs est impératif, et permet en outre de réduire les risques de conflits futurs. Donnez accès aux conducteurs à leurs données personnelles. Corrigez-les, supprimez-les ou intégrez des corrections s'ils vous en formulent la demande. Enfin, garantissez-leur la sécurité et l'absence totale de divulgation de leurs données tout au long du traitement.