Dans le domaine des flottes et de la télématique, le RGPD, appliqué depuis 2018, n’a pas vraiment bouleversé les pratiques. Ce qu’explique Julien Rousseau, P-DG du télématicien SuiviDeFlotte : « Avant, la Cnil réglementait déjà les usages de la télématique dans les flottes : elle laissait aux conducteurs la possibilité de se mettre en mode privé ou elle n’ouvrait pas aux administrateurs la possibilité de visualiser les données anciennes de plus de deux mois. » Mais le RGPD a remis l’accent sur des règles légales, à l’image de l’interdiction de contrôler les vitesses des conducteurs par l’entreprise. « C’est interdit en France, c’est aux forces de l’ordre de le faire. Mais cette interdiction est plus liée à la législation qu’au RGPD », souligne Julien Rousseau.
Le RGPD a toutefois durci les exigences de protection des données individuelles. Avec la télématique, cela suppose notamment un cloisonnement plus sévère de l’accès aux informations. Un comptable n’a par exemple pas à voir où se trouvent les voitures. Un cloisonnement qui peut passer par des mesures simples comme des mots de passe renforcés.
Autre implication de ce règlement pour la télématique : la possibilité pour les personnes concernées d’accéder aux données récoltées sur leur conduite. Chez SuiviDeFlotte, cela passe par une application qui permet au conducteur de consulter ses données personnelles et d’en rectifier certaines comme celles des trajets privés. « Nous l’expliquons à nos clients, puis nous recommandons de mettre en place l’application conducteurs pour que ces derniers puissent revoir leurs données sur les sept derniers jours. Cela correspond à une exigence du RGPD : le droit de regard sur ses données personnelles », précise Julien Rousseau.
Si le RGPD n’a pas partout le même niveau d’application, toutes les entreprises n’en sont pas moins amenées à informer les personnels concernés de l’usage fait des données récoltées par le biais de la télématique. Cette information passe le plus souvent par une communication préalable. « Avant de nous équiper, nous avons contacté la Cnil pour connaître les modalités d’installation du dispositif et notre installation a ensuite été validée par le CSE », retrace Julien Boussemart, chef de l’agence de SNEF Telecom à Bron (69), spécialiste des infrastructures de télécommunication. Dernière étape incontournable de la mise en conformité avec le RGPD : « À chaque véhicule attribué, un document est signé pour informer le conducteur que le véhicule est géolocalisé », ajoute ce responsable à la tête de 90 véhicules. Ce document rappelle aussi que le véhicule possède un bouton vie privé (lire le témoignage).
Un travail d’information similaire a été mené par l’ADMR d’Ille-et-Vilaine. « Nous avons organisé des réunions de service avant le lancement de la flotte en LLD. il y a eu aussi une consultation du CSE avec pour objet la validation du projet véhicules de service et de ses composantes. Lors de la remise du véhicule, chaque salarié signe donc un avenant au contrat de travail, accompagné d’une charte d’utilisation du véhicule de service, d’une foire aux questions, mais aussi d’une note technique concernant les informations sur les données personnelles collectées dans le cadre de l’attribution d’un véhicule de service », expose Mickaël Ropert, gestionnaire du parc de 855 véhicules de cette association d’aide à domicile en milieu rural (lire le reportage).
Mais l’application du RGPD reste limitée au sein l’ADMR d’Ille-et-Vilaine où la géolocalisation est inutile : « Nous employons un logiciel métier avec un badge qui pointe les heures d’arrivée et de départ chez les patients. Il n’y a donc pas besoin de géolocaliser les voitures », justifie Mickaël Ropert.
LE CAS DES VÉHICULES PARTAGÉS
Moins les données collectées sont en lien avec l’usage fait du véhicule par un conducteur spécifique, moins la réglementation est contraignante. Avec des véhicules destinés à des usages de service et en autopartage, les remontées d’informations sont ainsi le plus souvent anonymisées au CHU de Toulouse. C’est donc avant tout l’usage du parc en fonction des différents services qui est étudié. « Nous avons porté une attention particulière à ne pas mêler les informations recueillies par la télématique et les informations personnelles des agents, pointe Matthieu Fleureau, directeur équipements hôtellerie logistique. L’identifiant des données est le véhicule, il n’est pas associé à un utilisateur. Et parmi les personnes qui accèdent à ces outils, aucune ne peut avoir accès aux données de manière à recouper trajets et utilisateurs. » Seul cas de figure où les données entre utilisateur et usage du véhicule sont recoupées : les infractions au Code de la route. « Le gestionnaire de parc associe alors les données dans le logiciel de gestion de l’autopartage Mov’In Blue afin que l’utilisateur puisse régler l’infraction commise », complète Matthieu Fleureau (lire le reportage).
