On en parle et on spécule à son sujet depuis des mois : le 25 mai entrera en vigueur le règlement général sur la protection des données, mieux connu sous l’abréviation RGPD (GDPR en Anglais). Mais en quoi cette législation européenne est-elle importante pour le monde fleet ? Et pourquoi est-elle tant redoutée ?
Répondre à cette dernière question est en fait très simple. Une entreprise ne se conformant pas à la législation RGPD s’expose à une amende pouvant atteindre les 20 millions d’euros, soit 4 % de son chiffre d’affaires mondial. Ce qui a naturellement un effet dissuasif.
Mais en quoi consiste exactement le RGPD ? La législation vise à protéger les données personnelles sensibles. Des données auxquelles on accède rapidement. Ainsi, le secteur fleet entre en contact avec les données personnelles de leurs clients, qu’il traite dans une large mesure de manière systématique et à grande échelle pour gérer les contrats ou s’adresser aux conducteurs.
« Les sociétés de leasing et les fleet managers possèdent des informations sur les conducteurs des voitures de leasing. Les données d’identification sont les plus courantes, mais les sociétés de leasing peuvent également déduire un certain comportement routier et profiler les conducteurs pour aborder spécifiquement l’entretien préventif ou le changement des pneus, par exemple. Les sociétés de leasing peuvent en outre collecter des données personnelles sensibles, comme les accidents, les amendes ou les condamnations du conducteur. Elles doivent pouvoir démontrer la gestion sécurisée des données personnelles (sensibles) », relate Wim Verbelen de BDO Risk & Assurance Services, qui se spécialise dans cette nouvelle législation.
Pour vous conformer à la législation RGPD, vous devez donc pouvoir démontrer que vous traitez les données personnelles sensibles de manière sûre. Et cela se fait sur la base de différentes sortes de mesures, selon Verbelen : « Les sociétés de leasing doivent prendre des mesures organisationnelles, comme une politique de confidentialité et des campagnes de sensibilisation internes. Étant en grande partie automatisées, elles ne doivent pas non plus négliger l’aspect technique. Les systèmes informatiques doivent être adaptés au traitement sécurisé des données personnelles avec à la fois des mesures internes comme une sécurité d’accès logique et des mesures externes comme la sécurité du réseau et les pare-feux. »
La clé, c’est la communication
Enfin, il faut analyser tous les accords avec les clients et fournisseurs afin de confirmer clairement les rôles et responsabilités en matière de traitement des données personnelles. Cet aspect juridique s’avérera un exercice fastidieux pour beaucoup de sociétés de leasing compte tenu des nombreuses parties impliquées. En résultera un plan d’action énumérant les mesures à prendre pour traiter les données personnelles à un niveau de sûreté adapté et réduire au maximum les fuites de données. »
Le RGPD exige la transparence des organisations vis-à-vis des personnes physiques dont elles traitent les données personnelles. À cet égard, Verbelen estime indispensable de communiquer avec vos employés et utilisateurs sur la base des privacy notices. « En fait, vous devez avoir communiqué à vos parties prenantes quelles informations vous collectez et à quelles fins, les parties impliquées dans le traitement, la durée de conservation des données personnelles et si elles sont partagées avec des tiers. Demander des données personnelles sans en spécifier l’utilisation ne sera plus accepté. »
Dans cette communication, il est également important de justifier ce que vous faites de ces données et pour quelle raison vous les conservez. Dans le cas du monde fleet, vous pouvez par exemple vouloir améliorer votre service ou fonder votre modèle d’entreprise sur des modèles statistiques. Dans cette optique, il est possible de conserver des données sur la consommation et le comportement routier des conducteurs. « Les big data sont plus que jamais d’actualité, mais les collecter sans faire preuve de la transparence nécessaire n’est plus possible ».
Amendes salées
Mais comment vérifiera-t-on que vous respectez bien la législation RGPD ? En Belgique, c’est la Commission de la protection de la vie privée qui s’en chargera. Elle joue actuellement un rôle essentiellement informatif, sans grande puissance de frappe. « Mais cela va changer à partir du 25 mai », explique Verbelen. « La commission sera alors rebaptisée Autorité de protection des données (APD) et verra son rôle s’étoffer. Outre un rôle informatif, elle se dotera également de compétences d’inspection. Elle sera habilitée à vérifier auprès des organisations les mesures prises pour éviter les fuites de données. Mais difficile d’estimer quand ces inspections seront initiées. »
Le RGPD n’est en effet ni blanc ni noir. La législation crée surtout un cadre de travail avec des indications. Les premiers mois, l’APD s’attellera surtout à répondre aux questions des entreprises et à les guider dans leur adoption du RGPD, selon Verbelen.
Perte de réputation
Les amendes salées dont nous parlons ne seront pas pour tout de suite. « Si l’on prend l’exemple des Pays-Bas, où un système similaire est entré en vigueur en 2016, on s’aperçoit que seuls les réfractaires les plus obstinés, principalement dans le secteur des soins de santé, ont fait l’objet d’amendes. Si vous pouvez démontrer que vous avez pris des mesures et que vous travaillez à votre niveau de maturité, vous recevrez plutôt un avertissement qu’une amende en cas d’éventuelles fuites de données », prévoit Verbelen.
Plutôt que des dommages financiers, Verbelen met également en garde contre la perte de réputation pour les entreprises faisant face à une fuite de données. « Vous ne voulez pas être le premier à faire parler de vous dans les médias pour la légèreté avec laquelle vous traitez la vie privée de vos employés ou clients », note-t-il en faisant notamment référence au scandale Facebook et Cambridge Analytica aux États-Unis.
Si vous êtes quand même contrôlé à court terme, ce sera probablement à la suite d’une fuite de données. « À ce moment-là, on vérifiera les mesures prises au sein de l’organisation pour lutter contre les fuites de données. Lors d’un contrôle de l’APD, c’est le délégué à la protection des données (Data Protection Officer ou DPO en abrégé) de l’entreprise qui fait office d’interlocuteur. »
#Fleet ManagementCliquez ici pour savoir comment peut se dérouler la collaboration entre un DPO et un Fleet Manager.
