RGPD : Des nouvelles obligations pour les auto-écoles

01/04/2018 Réglementation
Réglementation RGPD : Des nouvelles obligations  pour les auto-écoles

Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur en France et dans tous les pays de l’Union européenne le 25 mai 2018. Ce texte a des conséquences directes pour les écoles de conduite. Explications.

De nombreuses formalités auprès de la Commission nationale informatique et des libertés (CNIL) vont disparaître. En contrepartie, la responsabilité des organisations (organismes publics, entreprises, associations, etc.), quels que soient leur taille et leur secteur d’activité, sera renforcée. Elles devront en effet assurer une protection optimale des données personnelles et être en mesure de la démontrer en documentant leur conformité. Cette obligation concerne directement les centres de formation à la conduite qui détiennent des informations personnelles de leurs clients, mais aussi de leurs salariés.

Objectif : renforcer les droits des personnes physiques
L’un des principaux objectifs du Règlement Général sur la Protection des Données (RGDP), également appelé en anglais General Data Protection Regulation (GDPR), est de renforcer les droits des personnes physiques sur leurs données à caractère personnel : consentement par la personne concernée à la collecte et à l’utilisation de ses données personnelles, possibilité d’accès à ses données et de rectification, limitation du traitement, portabilité, opposition, désengagement et oubli.

Définition d’une donnée à caractère personnel
Qu’appelle-t-on exactement une « donnée à caractère personnel » ? Est considérée comme une donnée à caractère personnel toute information permettant d’identifier directement une personne (nom, prénom, date de naissance, adresse du domicile, e-mail…) ou indirectement (numéro de téléphone, de Sécurité sociale, du permis de conduire…).

Sont concernés les auto-écoles, mais aussi leurs fournisseurs et sous-traitants
Collectant, traitant et conservant des données personnelles de leurs salariés et de leurs clients, les écoles de conduite doivent donc se mettre en conformité avec le RGPD. Elles doivent également s’assurer que leurs fournisseurs et leurs sous-traitants susceptibles de connaître, traiter ou détenir des données personnelles de leurs salariés ou de leurs clients sont eux-mêmes en conformité avec ce règlement. Étant tenus d’une obligation d’assistance, d’alerte et de conseil, les sous-traitants doivent aider l’école de conduite à garantir la sécurité des données.

Que faire ?
En pratique, il faut veiller à la sécurisation des accès, locaux, matériels et traitements sur support papier et numériques contenant des données personnelles, sensibiliser le personnel à la question, tenir un registre des traitements et informer de tout incident (altération, divulgation, détournement, perte ou vol) concernant ces données.

Une mise en conformité en cinq étapes
La mise en conformité avec le RGPD se prépare en cinq étapes principales :
1/ Désigner la personne chargé de mener la mise en conformité ; il est également possible de nommer un DPO (Data Protection Officier) dont la mission consiste à informer l’organisation et ses employés, veiller au respect du RGPD et être le contact avec la CNIL. Les petites structures qui n’ont pas les moyens de se doter d’un DPO à plein temps peuvent le partager avec d’autres organismes.
2/ Établir une cartographie des différents traitements de données personnelles existant dans l’entreprise, c’est-à-dire recenser de façon précise les traitements (notamment dossiers, fichiers et archives) contenant des données personnelles. L’élaboration d’un registre des traitements permet de faire le point.
3/ Mettre en place un plan de gestion des risques et prioriser les actions à mener.
4/ Organiser les procédures internes.
5/ Documenter la conformité : pour prouver votre conformité au RGPD, vous devez constituer et tenir à jour la documentation nécessaire.
Il est également recommandé d’intégrer les principales règles et pratiques tirées du RGPD dans la charte informatique ou le règlement intérieur de l’entreprise.

Des aides pour se mettre en conformité
Les sanctions encourues étant particulièrement lourdes, il est recommandé d’entreprendre dès à présent les démarches nécessaires à la mise en conformité de votre auto-école avec le RGPD. À cet effet, le site de la CNIL (www.cnil.fr) donne de nombreuses indications pour mener cette mise en conformité, ainsi que des indicateurs sur le niveau de sécurité atteint. Par ailleurs, sachez que si le sujet vous paraît trop complexe à traiter seul par vous-même, des offres de services existent sur le marché pour vous aider à mettre votre centre de formation à la conduite en conformité avec la loi. Le défi du RGPD étant de taille, il n’y a plus de temps à perdre pour vous en préoccuper.


Michel Liet, Avocat au Barreau de Paris

À LIRE AUSSI