La Commission nationale de l’informatique et des libertés (CNIL) a adopté, par délibération du 12 avril 2021 publiée le 7 mai 2021, un nouveau référentiel à destination des employeurs.
Ce référentiel recense et applique les principes du Règlement général sur la protection des données (RGPD) aux traitements de données mises en œuvre dans le cadre de la désignation des salariés conducteurs d’un véhicule et ayant commis une infraction au code de la route.
Pour rappel, depuis le 1er janvier 2017, l’employeur, destinataire des contraventions, est en effet tenu d’indiquer aux autorités les coordonnées du salarié ayant commis certaines infractions routières au volant d’un véhicule de l’entreprise (C. route., art. L. 121-6).
Tenant compte de ce traitement spécifique de données à caractère personnel, la CNIL définit, dans ce nouveau référentiel, les éléments de nature à garantir le respect du RGPD, soit :
- Les finalités du traitement ;
- Les bases légales du traitement ;
- La nature des données à caractère personnel concernées ;
- Les destinataires des données ;
- La durée de conservation des données (pour laquelle elle recommande une durée de conservation « active » de 45 jours avant archivage) ;
- Les modalités d’information des personnes concernées ;
- Les droits des personnes ;
- Les mesures de sécurité spécifiques à adopter.
Le référentiel n’a pas valeur juridique contraignante, de sorte qu’il reste permis de s’en écarter. Il conviendra toutefois de pouvoir justifier les choix effectués, sous peine de voir la responsabilité de l’entreprise engagée en cas de manquement au RGPD.
