Données personnelles

Il s’agit d’analyser les implications pratiques que peut avoir un projet d’électrification de flotte d’entreprises s’agissant de la règlementation RGPD.   

L’électrification des flottes d’entreprise va potentiellement entraîner un traitement des données personnelles des salariés attributaires. On pense notamment aux données issues des badges confiés aux salariés pour recharger leur véhicule sur les bornes de recharge situées au domicile du salarié, dans les locaux de l’entreprise ou encore dans tout le réseau privé de recharge. 

Ces données vont, révéler a minima, les kW rechargés par chaque salarié pour l’utilisation professionnel de son véhicule (de fonction ou de service). Il s’agit donc de données à caractère personnel nécessitant un respect, par l’entreprise, de la règlementation RGPD (cf. Règlement (UE) 2016/679). 

Le recueil de ces données par l’employeur sera licite dès lors qu’il est nécessaire à la bonne exécution du contrat de travail du salarié qui prévoit (i) soit l’attribution d’un véhicule de fonction soit (ii) l’utilisation d’un véhicule de service électrique ou hybride rechargeable (art. 6 du RGPD). Les données personnelles doivent en revanche être rendues accessibles uniquement aux personnes habilitées à en connaître au regard de leurs attributions.  

Il peut s’agir, par exemple :  

  • Des personnes habilitées chargées de la gestion du personnel ou de la gestion de la paie ;  
  • Des supérieurs hiérarchiques des employés concernés (cf. Référentiel CNIL relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel du 21 novembre 2019 point 6.1.). 

Les données doivent être traitées de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle (principe d’intégrité et de confidentialité des données) – cf. Guide CNIL pp. 13 à 15.  

L’employeur qui souhaite avoir recours à un sous-traitant (type installateur ou gestionnaire de bornes de recharge) pour la gestion des données personnelles de son salarié doit veiller à ne faire appel qu’à des organismes présentant des garanties suffisantes (cf. art. 28 RGPD).