location de voiture et rgpd

Location de voitures et RGPD Consentement obligatoire avant le départ

Partagez
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Donnez votre avis sur cet article

Le nouveau Règlement Général de la Protection des Données Personnelles, RGPD, vient d’être mis en œuvre le 25 mai 2019. Il vaut force loi dans l’Espace Economique Européen. Autrement nommé Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, il a pour objectif la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

La non-conformité à ses directives peut être sanctionnée par de lourdes amendes ou sanctions pouvant atteindre 4% du chiffre d’affaires du groupe concerné. Les agences de location de voitures opérant dans l’Union Européenne ou ayant des représentations sont concernées par ce dispositif.

Quelles sont les informations collectées par un loueur de voitures ?

Les agences collectent des informations, données techniques relatives à leurs véhicules ainsi que des données personnelles sur les chauffeurs employés. Pour réserver leurs locations et prestations, les clients fournissent également des données personnelles.

loueur de voiture

 

  1. Pour identifier leurs véhicules, on recense le type de véhicules, son immatriculation, les informations liées à son entretien, son assurance, son historique de location ou d’accidents, etc. Pour des raisons de sécurité, la majorité des voitures sont équipées aujourd’hui de la géolocalisation, dont les données sont collectées en temps réel.
  2. Concernant le chauffeur, on récolte les données personnelles pour la durée de la mission ou de manière permanente : nom, prénom, adresse, groupe sanguin, numéro de sécurité sociale, personne à prévenir, risque sanitaire si nécessaire, casier judiciaire, liste des incidents de circulation du chauffeur, etc.
  3. La clientèle doit fournir les données telles que : nom, prénom, adresse, permis de conduire, numéro carte bancaire, personne à prévenir parfois, etc.

Tout ce processus nécessaire à l’agence constitue donc des actions de récoltes de données personnelles importantes, voire sensibles et fait l’objet d’un traitement spécifique par l’agence de location. Les dispositions du RGPD doivent donc être respectées scrupuleusement.

Comment est définie une donnée personnelle selon le RGPD ?

Ce Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 donne la définition suivante : « est considérée comme une donnée à caractère personnel toute information permettant d’identifier directement une personne, telle son nom, prénom, date de naissance, adresse du domicile, e-mail, profession, numéro de téléphone, de sécurité sociale, permis de conduire ».

L’agence récolte donc des données personnelles auprès du chauffeur et des clients. Elles feront l’objet de traitement soit en interne ou par un sous-traitant, localisé en Union Européenne ou hors de l’Espace Economique Européenne.

Quels sont les objectifs du RGPD en regard des loueurs de voitures ?

Le Règlement Général de la Protection des Données Personnelles renforce les droits des personnes physiques et de leurs données personnelles tout en favorisant leur libre circulation. Lors de collecte d’informations, les nouveaux droits des consommateurs s’appliquent.

location voiture et rgpd

  • Dès la collecte d’informations, l’agence loueur de voitures doit obtenir de manière claire, spécifique et univoque le consentement de la personne concernée, que ce soit le chauffeur employé ou le client. Ce consentement doit être noté et vérifiable. Il doit être mis à la disposition de l’Autorité de protection lors de contrôle.
  • L’agence est tenue d’informer le client sur le traitement des données collectées et sur la limitation de ces traitements au seul besoin de l’objectif de la mission de collecte.
  • Si l’agence traite des données à grande échelle, elle a l’obligation de recruter une personne déléguée à la protection des données, DPD ou DPO. Cette personne ressource est chargée de gérer les données et leurs protections et de garantir les droits des consommateurs, en regard du RGPD.
  • Le droit de retrait, l’opposition, à l’oubli, limitation font partie des droits que le DPO/DPD doit assurer et garantir.
  • De plus, l’agence doit informer sur la durée de conservation des données personnelles, selon l’usage dans ses procédures : en nombres d’années ou à la fin de la mission de location.
  • Si l’agence a recours à un sous-traitant extérieur, l’agence doit en informer ses clients ou ses employés.

Quelles sont les obligations d’une agence de location de voitures en regard du RGPD ?

Les loueurs de voitures récoltent et manipulent une masse importance de données personnelles. Elles sont donc concernées par les obligations suivantes :

  • Cartographier la récolte des données et de les limiter aux seuls besoins de l’objectif de la mission. Il s’agit d’intégrer la protection des données dès la conception : concept de design. Cela inclut une obligation d’analyser les risques sur la vie privée du consommateur.
  • Désigner une personne ressource déléguée pour la protection DPD ou DPO, dans le cas de traitement de données à grande échelle.
  • Tenir un registre des traitements des données. Sa déclaration à la CNIL n’est plus obligatoire, mais il doit être mis à jour et mis à la disposition de l’agent de l’Autorité de protection lors de contrôles.
  • Responsabiliser tous les acteurs de l’entreprise et sous-traitant intervenant dans le traitement des données : concept d’accountability. De fait, l’agence et son DPD/DPO ont l’obligation de préciser les procédures internes lors des échanges de données ou de transfert entre les différents acteurs du traitement des données. Le RGPD préconise de « responsabiliser » tous les employés de l’organisme qui traitent les données personnelles pour assurer la confidentialité de ces données.
  • Obligation d’assurer l’intégrité et la conservation des données en interne ou en externalisation, dans le cloud par exemple.
  • Informer simultanément l’Autorité de protection et le client pour toute violation sur la protection des données dans les 72 heures.
  • Informer ses clients sur la durée de conservation des données personnelles et leurs localisations. Leur archivage doit fait l’objet d’une forte sécurisation.

Les cas de défaillances ou non-respect de ces exigences ont déjà fait l’objet de plusieurs condamnations et amendes lourdes. Nos experts sont à votre disposition pour mener un audit de votre agence pour vérifier votre conformité RGPD. Contactez-nous rapidement.

Conclusion

Pour localiser par GPS votre véhicule de location et son chauffeur, vous devez obtenir le consentement de ce dernier et donner une information claire et spécifique. Vous avez collecté et traité une masse importante de données personnelles.

Votre DPD/DPO reste un élément essentiel de votre organisation puisqu’il doit garantir les droits des consommateurs et leurs accès ou suppression des données personnelles collectées, selon des procédures en vigueur dans votre agence. Tout manquement peut entrainer des amendes ou des sanctions rendues publiques.


Partagez
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Laisser un commentaire