Règlement général sur la protection des données (RGPD)

Règlement général sur la protection des données (RGPD): Êtes-vous préparé?

Chaque entreprise disposant de véhicules de société – qu’il s’agisse de voitures de fonction, de voitures de service et de fourgonnettes ou de voitures en pool – possède et recueille des données au sujet de ces véhicules. Et chacun de ses prestataires de services tels que les sociétés de leasing, les garages, les compagnies pétrolières ou les magasins de pneus en font de même. Et parce que nous vivons dans un monde numérisé, de plus en plus de voitures sont équipées de systèmes télématiques et seront équipées d’une fonction d’appel d’urgence obligatoire à partir du 31 mars 2018.  Diverses entreprises recueillent et travaillent avec différents flux de données pour gérer un parc de véhicules d’entreprise. Mais que doivent faire toutes ces entreprises pour s’assurer qu’elles se conforment au nouveau Règlement général sur la protection des données ?
 

Pourquoi introduire un nouveau règlement sur la protection des données ?

Les entreprises stockent de plus en plus d’informations clients hautement sensibles. Il s’agit d’informations provenant de diverses sources visant à étudier le comportement et les performances du conducteur. Par exemple : Où le conducteur a-t-il payé le carburant ? Quelles sont les adresses figurant dans le système de navigation embarqué ? Les données contractuelles visant à gérer et à adapter le contrat de voiture, les données d’accidents, peut-être l’abus d’alcool ou de drogues, les amendes, etc. Les sociétés de leasing traitent les données personnelles des conducteurs pour le compte des clients. Les données sont associées à un risque important si elles sont volées et utilisées à mauvais escient. Etant donné que tout devient de plus en plus numérique, une nouvelle réglementation sur la protection des données était nécessaire. Ce qui nous amène à penser qu’il s’agira d’une question obligatoire lors de chaque nouvel appel d’offres : est-ce que la société de leasing est « approuvée selon le RGPD ».
 

A qui le RGPD s’applique-t-il ?

Le RGPD va de pair avec la résidence ; si une entreprise recueille des données relatives à un résident de l’UE, quelle que soit la localisation physique de l’entreprise, le RGPD s’applique à l’entreprise. Les entreprises établies en Suisse ou en Norvège sont également incluses si elles ont des collaborateurs résidant dans l’UE. En Suisse, il existe un projet de nouvelle loi sur la protection des données au niveau fédéral et ces décrets visent à améliorer les droits des individus. Les sociétés domiciliées en Suisse sont soumises à la loi sur la protection des données suisse.
 

Que se passe-t-il en Suisse ?

En Suisse, la réglementation est un peu différente. Le 15 septembre 2017, le Conseil fédéral a approuvé le projet de révision totale de la loi sur la protection des données (loi sur la protection des données = LPD). Dans certains domaines, la LPD révisée ne va pas aussi loin, notamment en ce qui concerne les sanctions prévues. Il n’est pas possible de dire avec certitude quand la nouvelle loi sur la protection des données entrera en vigueur. La date la plus précoce indiquée est l’automne 2018. Le 12 janvier 2018, la Commission des institutions politiques du Conseil national a annoncé qu’elle a l’intention de traiter la révision de la LPD en deux parties. Dans un premier temps, la mise en œuvre de la législation de l’UE exigée par les accords de Schengen fera l’objet de discussions anticipées en raison de l’urgence de la question. Par la suite, la révision complète de la LPD devrait être abordée sans contrainte de délais. Il reste à voir quels retards en résulteront et quel contenu la LPD totalement révisée contiendra un jour.
 

Contrôleur des données et personne chargée du traitement des données ?

Le contrôleur des données est un terme qui parle de lui-même ; c’est l’entreprise qui contrôle les données qu’elle reçoit. L’entreprise prend des décisions quant à ce qu’il advient des données ; c’est l’entreprise qui les recueille et qui détermine l’usage à en faire. 

Une personne chargée du traitement des données, comme son nom l’indique, traite les données. Par exemple, il est normal que les conducteurs d’une voiture de société appellent la société de leasing lorsqu’ils sont impliqués dans un accident ou lorsqu’ils ont besoin de conseils sur la façon de configurer une nouvelle voiture pour qu’elle soit conforme à la politique des voitures de société. Pour fournir ce service, il est nécessaire que la société de leasing, la compagnie d’assurance et le garage recueillent et traitent les données du conducteur de la voiture.
 

Quelles sont les principales exigences ?

Consentement : pour obtenir le consentement en vue de l’utilisation des données, les entreprises ne peuvent pas utiliser des termes et conditions indéchiffrables remplis de jargon juridique. Il doit être aussi facile de retirer son consentement que de le donner.

Notification de violation : en cas de violation des données, les personnes chargées du traitement des données doivent informer leurs contrôleurs et clients de tout risque sous 72 heures.

Droit d’accès : les conducteurs ont le droit d’obtenir d’un contrôleur des données la confirmation que leurs données personnelles sont en cours de traitement. Le contrôleur des données devrait fournir gratuitement une copie électronique des données à caractère personnel aux personnes concernées.

Droit à l’oubli : lorsque les données ne sont plus pertinentes par rapport à leur finalité initiale, les conducteurs peuvent demander au contrôleur des données d’effacer leurs données personnelles et de cesser leur diffusion.

Portabilité des données : permet aux conducteurs d’obtenir et de réutiliser leurs données personnelles pour leurs propres besoins en les transférant dans différents environnements informatiques.

Vie privée dès la conception : demande l’inclusion de la protection des données dès le début de la conception des systèmes, par la mise en œuvre de mesures techniques et infrastructurelles appropriées. 

Préposés à la protection des données : des agents qualifiés sur le plan professionnel doivent être nommés par des autorités publiques, ou des organisations qui s’engagent dans un contrôle ou un traitement systématique à grande échelle (>250 employés) de données personnelles sensibles. Chez Arval, chaque entité nationale a nommé un collaborateur hautement qualifié pour gérer les demandes relatives au RGPD.
 

Que se passe-t-il si la loi est enfreinte ?

Les organisations peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires global, le montant le plus élevé des deux s’appliquant.
 

Pas de panique : ce que les entreprises doivent faire

La documentation est indispensable ; les entreprises doivent commencer à établir une documentation établissant qui recueille, possède et traite quel type de données. Ensuite, elles doivent demander aux conducteurs des véhicules de société de donner leur consentement écrit. Par ailleurs, elles doivent demander à la société de leasing de garantir (couverture du RGPD) qu’elle efface toutes les données privées des conducteurs privés à la fin du contrat, à moins que le conducteur n’obtienne une nouvelle voiture de société. La société doit communiquer les coordonnées du préposé à la protection des données de la société de leasing à ses conducteurs.

Liste de contrôle rapide pour vous préparer :
 

  1. Documentation: il est indispensable d’avoir une vue d’ensemble du type de données stockées, où elles sont stockées et par qui elles sont traitées. Ce registre de données doit être tenu à jour et disponible pour les audits ou les demandes des collaborateurs.

  2. Evaluations de la protection des données :  si l’entreprise stocke des données très sensibles, comme les coordonnées bancaires, les amendes et pénalités, les numéros de sécurité sociale, les certificats médicaux (par ex. un soutien lombaire), l’entreprise sera tenue d’effectuer des évaluations de la protection des données.

  3. Niveau de sécurité adéquat : pour garantir une sécurité adéquate, l’entreprise doit mettre en œuvre les mesures nécessaires à la protection des données personnelles.

  4. Communication et conditions d’utilisation en termes de respect de la vie privée : vérifiez tous les types de communication et les conditions d’utilisation pour vous assurer qu’elles sont conformes au RGPD. Assurez-vous que les personnes chargées du traitement des données qui travaillent pour le compte de l’entreprise en ont fait de même (une confirmation écrite est essentielle).

  5. Enregistrement et notification des violations des données : mettre en œuvre un système pour enregistrer, suivre et communiquer les violations des données aux clients et aux conducteurs.

  6. Préposé à la protection des données : un préposé à la protection des données devrait être nommé et ses coordonnées devraient être communiquées aux conducteurs.  

 

Avez-vous des questions concernant le RGPD? Nous vous renseignerons volontiers personnellement.


Malte Lindberg
Head of Consulting & CVO

malte.lindberg@arval.ch

Contactez nous