Depuis le 1er janvier 2017, les employeurs ont l’obligation de révéler l’identité du salarié conducteur d’un véhicule d’entreprise en cas d’infraction constatée par un radar automatique.
Référentiel encadrant les traitements de données personnelles dans le cadre de la désignation des conducteurs
Le 7 mai 2021, la CNIL a publié un référentiel qui encadre les traitements de données personnelles dans le cadre de la désignation des conducteurs.
Des précisions sont ainsi apportées sur le traitement des données susceptibles d’être collectées dans le cadre de la procédure de désignation concernant notamment les points suivants :
- catégories de données personnelles susceptibles d’être collectées dans le cadre de la procédure de désignation : informations relatives au conducteur, informations relatives au véhicule, etc..
- destinataires des données personnelles : les données personnelles ne peuvent être rendues accessibles qu’aux personnes habilitées à en connaitre au regard de leurs attributions ; l’employeur qui souhaite avoir recours à un sous-traitant doit veiller à ne faire appel qu’à des organismes/prestataires présentant des garanties suffisantes.
- information des personnes concernées : dès le stade de la collecte des données personnelles, les personnes concernées par la désignation doivent être informées de l’existence du traitement, de ses caractéristiques essentielles (parmi lesquelles l’identité du responsable du traitement et l’objectif poursuivi) et des droits dont elles disposent en vertu DU RGPD (droit d’accès, droit de rectification, droit à l’effacement des données, etc.).
- durée de conservation : Il est recommandé selon la CNIL que les données collectées et traitées pour les besoins de la désignation des conducteurs soient conservées dans la base active pour une durée de quarante-cinq jours à compter de la réception de la contravention (sauf dispositions légales ou réglementaires contraires ou cas particulier). Les données peuvent être conservées plus longtemps, en archivage intermédiaire, dans certains cas particuliers, par exemple si l’employeur en a l’obligation légale (par exemple, pour répondre à des obligations comptables, sociales ou fiscales) ou s’il a besoin de se constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable.
- analyse d’impact (au sens de l’article 35 du RGPD). La CNIL précise que dès lors qu’il est mis en œuvre dans une entreprise de moins de 250 salariés, aucune analyse d’impact n’est requise. A l’inverse, si un tel traitement est mis en œuvre dans une entreprise de plus de 250 salariés ou par un loueur dans le cadre d’un traitement à grande échelle, le traitement doit faire l’objet d’une analyse d’impact.
Portée juridique du référentiel
Concernant la portée juridique de ce référentiel, la CNIL indique que ce dernier n’a pas de valeur contraignante. Néanmoins, il permet en principe d’assurer la conformité des traitements de données personnelles mis en œuvre par les employeurs aux principes prévus par la réglementation applicable en matière de protection des données personnelles.
Par ailleurs, les employeurs qui s’écarteraient du référentiel au regard des conditions particulières tenant à leur situation peuvent le faire à condition d’être en mesure de justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation applicable en matière de protection des données personnelles.