Kuantic
http://www.kuantic.com/Et si le RGPD donnait un coup d’accélérateur à votre éco-conduite ?
23 octobre 2018Avis d’expert, proposé par Emmanuel Mouton, PDG de Synox et Samuel Vals, Directeur général de Kuantic, partenaires sur la solution d’écoconduite AxoDriver
Un grand nombre de données personnelles sont collectées et analysées dans les solutions de télématique embarquée, et notamment des données présentant un risque au regard des libertés individuelles : la géolocalisation et le profil de conduite des employés. § Kuantic, fabricant et installateur de boîtiers de télématique, avec son partenaire Synox, éditeur de son application d’éco-conduite AxoDriver, proposent aux gestionnaires de parc automobile, de vérifier en 6 points de contrôle, leur conformité au RGPD. § Et de profiter des obligations réglementaires pour développer une communication positive sur les appli d’éco-conduite …
Les 6 points de contrôle RGPD pour un gestionnaire de flottes
Quelques mois après l’entrée en vigueur du Règlement européen Général relatif à la Protection des Données des personnes physiques (« RGPD [1]»), il n’est pas inutile de rappeler les étapes et les bonnes pratiques sur le terrain, pour mettre en place (ou en conformité) une solution de géolocalisation en entreprise. La CNIL propose 6 étapes [2] : voici notre regard personnel, appliqué au monde de la gestion de flottes auto.
1 – Une responsabilité juridique qui ne se délègue pas
Si pour préserver une relation de confiance entre les 2 parties, le prestataire a conseillé, encadré et déchargé ses clients d’un certain nombre de tâches dans le cadre de la mise en place du RGPD, au final, chacun a gardé sa part de responsabilité juridique.
Un gestionnaire de flottes, ne doit pas s’en remettre les yeux fermés à son prestataire de télématique embarquée. Il est de fait, co-responsable du traitement avec son prestataire, sous-traitant.
2 – Imposer ou proposer ? Une alternative à dépasser en obtenant l’adhésion du personnel
L’entreprise peut baser son traitement des données personnelles sur deux fondements juridiques prévus par le RGPD à l’article 6 : le consentement des employés ou l’intérêt légitime de l’employeur. On propose ou on impose, chacun son style de gestion des Ressources Humaines.
- Le consentement des employés : le recueil du consentement doit être réalisé dans les règles de l’art, il doit être « libre », « éclairé » et « univoque ». Mais de ce fait, il laisse la possibilité au personnel de refuser…
- L’intérêt légitime de l’employeur est invoqué légitimement, s’il s’agit d’optimiser la logistique de l’entreprise, suivre, justifier et facturer une prestation de transport de personnes, assurer la sécurité de l’employé, de marchandises ou des véhicules, respecter une obligation légale ou réglementaire qui impose la géolocalisation en raison du type de transport ou de la nature des bien transportés…. Si cette option parait plus simple à mettre en œuvre, il faut se préparer à justifier que l’intérêt légitime prévaut sur l’atteinte aux libertés et droits fondamentaux des employés ! Le RGPD prévoit qu’en cas de litige, une mise en balance sera opérée par le Juge.
Quelque que soit le fondement juridique retenu, il est conseillé de minimiser les données collectées au minimum nécessaire, et de prévoir l’option Vie Privée (un bouton permettant aux collaborateurs de basculer en mode « trajet personnel », pour la mise en veille des fonctions télématiques).
Et gardez à l’esprit qu’imposer pourrait bien être le plus mauvais choix.
Démonstration avec l’éco-conduite, un des leviers d’actions les plus intéressants pour trouver des gisements d’économies dans les flottes automobiles. Chaque année, 90 à 100 000 permis et 14 millions de points sont retirés aux conducteurs français, pour des infractions variées, notamment la vitesse excessive. [3] [4]
Aujourd’hui, les appli de géolocalisation (aller facilement d’un point à l’autre) ou de gestion des tournées (optimiser son temps de travail), sont devenus des musts, des compagnons de route peu contestables par les chauffeurs. Mais reste une nouvelle frontière à atteindre : l’appli d’éco-conduite qui, elle, doit encore apprivoiser les utilisateurs. Contraintes vs. avantages, il faut expliquer, argumenter pour dépasser la résistance au changement enfouie en chacun de nous.
Mettons que vous soyez passé en force, que vous ayez choisi d’imposer un outil d’éco-conduite pour observer les styles de conduite et écrêter les comportements aberrants. Vous passez à côté du potentiel de l’outil, qui est d’amener la majorité à un meilleur self-control au volant pour réduire la consommation de carburant, entre autres. Vos conducteurs vont rester passifs face à l’appli, résister et ne rien changer à leur style de conduite. Pour que cela porte ses fruits, ils auraient dû consentir en toute connaissance de cause, donc adhérer. Et là, en avant toute vers l’éco-conduite augmentée !
3 – Avec vous trouvé votre DPO ?
Une bonne nouvelle, avec le RGPD, les procédures de déclaration et demandes d’autorisation préalables à la CNIL disparaissent. Mais, il y a un principe général de responsabilité des différents acteurs : le responsable du traitement doit justifier de sa conformité au RGPD dans une documentation interne à l’entreprise qui sera exigible à tout moment par la CNIL ou par la justice en cas de litige. A cette fin, il est obligatoire de désigner un délégué à la protection des données (« DPD » ou « DPO »), qui aura la charge de réaliser et centraliser cette documentation.
4 – Documenter vos pratiques
Un Registre spécifique doit consigner les traitements de données opérés présentant un risque (la géolocalisation et l’appréciation de la conduite des employés). Il définit les finalités du traitement et participe à la justification de l’intérêt légitime de l’employeur.
L’étude d’impact des risques, permet d’évaluer les risques d’un traitement et de justifier des mesures prises pour limiter ce risque. [5]
5 – Informer votre personnel
Les instances représentatives du personnel doivent être informées et consultées au préalable avant toute décision d’installer un dispositif de télématique dans les véhicules mis à la disposition des employés.
Et cela n’exonère pas d’informer individuellement chaque membre du personnel concerné par le dispositif, sur l’identité du responsable de traitement et des sous-traitants, les finalités poursuivies par le dispositif, les destinataires des données, de ses droits (d’opposition pour motif légitime, d’accès aux données, de rectification, de portabilité de ses données, etc ).
Pour la bonne forme, la signature d’une attestation par l’employé ou d’un avenant au contrat de travail sont indispensables.
Et autre point, le consentement avant de faire fonctionner à bord les applications de télématique a dû être redonné par les conducteurs, au moins une fois depuis la mise en place du RGPD.
6 – Où sont passées mes données ?
La gestion des archives est revisitée avec le RGPD. Il n’est plus possible de laisser dormir indéfiniment dans un serveur des données personnelles si le service n’est plus en fonction. Elles devront être détruites systématiquement.
Sachez que la notion des données personnelles est exhaustive : si une appli donnée au salarié permet de prendre en photo la preuve d’une détérioration constatée sur la carrosserie par exemple, depuis avec son smartphone pour transmettre à l’assurance in fine, toutes les informations contenues dans la photo avec l’envoi, feront l’objet de la même protection des données personnelles.
Pour assurer la sécurité, on prendra aussi deux mesures :
- Accorder la plus grande importance à la sécurité et la confidentialité des informations pour parer les tentatives d’accès frauduleux et les dysfonctionnements.
- Et s’assurer que les prestataires de stockage des données des utilisateurs des plateformes web et mobiles, respectent les mêmes règles : aucun partage ou cession de données personnelles avec des tiers étrangers au service sans accord exprès, pas de transfert des données vers des pays n’offrant pas des garanties de protection des données jugées « adéquates » par l’Union Européenne
Et vous devez, vous, et votre prestataire, garantir le droit d’information quant au recueil de vos données, un droit d’accès à celles-ci, un droit de rectification, un droit à la portabilité de vos données, et enfin un droit d’effacement de vos données personnelles.
En conclusion
Les amendes de la CNIL pour non-respect du RGPD peuvent coûter très cher, et l’effet sur l’image de marque être désastreux pour une organisation, tant en interne qu’en externe, en cas de remontrance publique. Mais craindre le gendarme est une chose. S’approprier des nouvelles règles, pour auditer et améliorer ses process au passage est une attitude bien plus positive, car porteuse de transformation et d’innovation.
Dans un contexte où l’émergence d’un nouveau conducteur plus responsable de l’environnement et des autres, est une urgence, l’entreprise a un coup à jouer avec le RGPD. Il s’appelle éco-conduite. Données personnelles contre assistance personnalisée. Responsabilisation des salariés contre sérénité au volant. Du Win-Win.
————————————————————————————————————————–
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil, en vigueur depuis le 25/05/2018
[2] https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes : (désigner un pilote, cartographier, prioriser, gérer les risques, organiser, documenter)
[3] Année de référence 2012 : https://www.planetoscope.com/transport/703-nombre-de-permis-de-conduire-retires-en-france.html
[4] Conduire moins vite, c’est moins d’accidents (le risque d’accident de la route est réduit de 10 à 15%) ; c’est moins cher (l’éco-conduite permet de réduire de près de 15% sa consommation de carburant. 10Km/h en moins permet d’économiser 3 à 5 litres de carburant sur 500km) ; c’est moins de CO² (10 km/h en moins permet de réduire de 12,5% les émissions de CO² sur 500 km). Source : http://www.bison-fute.gouv.fr/ecoconduite,10211.html
[5] De nombreuses ressources développées par la CNIL peuvent guider la rédaction (programme PIA open-source développé par la CNIL, guides pratique).
#ECO CONDUITE #RGPD #TRANSPORT