Le RGPD concerne aussi les dépanneurs

Depuis l’entrée en vigueur du RGPD (25 mai 2018), les différents opérateurs et entreprises doivent se mettre en conformité : voir notes FNA sur le site et guide pratique CNIL (joint).
Chaque entreprise amenée à utiliser et stocker les données personnelles de ses clients doit désormais recenser l’ensemble de ses fichiers et s’assurer de leur conformité avec le RGPD. Il faut recenser l’ensemble des traitements de données personnelles, informer les personnes sur leurs droits, sécuriser les données personnelles conservées au sein de l’entreprise.

En quoi consistent ces avenants ?

Depuis l’entrée en vigueur du RGPD (25 mai 2018), les différents opérateurs et entreprises doivent se mettre en conformité : voir notes FNA sur le site et guide pratique CNIL (joint).

Chaque entreprise amenée à utiliser et stocker les données personnelles de ses clients doit désormais recenser l’ensemble de ses fichiers et s’assurer de leur conformité avec le RGPD. Il faut recenser l’ensemble des traitements de données personnelles, informer les personnes sur leurs droits, sécuriser les données personnelles conservées au sein de l’entreprise.

La CNIL a publié sur son site internet des conseils aux entreprises sous le titre « RGPD : par où commencer » : https://www.cnil.fr/fr/rgpd-par-ou-commencer

Il s’agit d’un plan d’action en 4 étapes, assez concret. Ce qui est conseillé dans un premier temps, c’est de déterminer les différentes données collectées de l’entreprise, ce qui permettra de constituer un registre de traitement de données. Ce plan d’action en 4  étapes se trouve également dans le Guide BPI/CNIL pour les TPE et PME qui a été envoyé avec la note juridique 03-18.

Pourquoi les assurances imposent elles ces obligations à leurs prestataires ?

Les assisteurs et les partenaires commerciaux, doivent s’assurer que les données des clients qui sont transmises à leurs prestataires entreprises de dépannage, sont correctement utilisées et protégées. En effet, les assistances sont responsables juridiquement de toutes ces données. Afin d’être en conformité avec le RGPD, les assistances doivent non seulement sécuriser à leur niveau l’ensemble des données personnelles qu’elles collectent, mais elles sont également responsables solidairement avec les prestataires à qui elles transmettent ces données.

Les assistances imposent donc aux prestataires avec lesquels elles travaillent, et c’est leur droit, un certain nombre d’obligations concernant la protection de ces données personnelles.

Pourquoi ces obligations sont-elles si contraignantes ?

Ces obligations sont contraignantes parce que le RGPD est contraignant. Les assistances doivent respecter les dispositions relatives au RGPD et s’assurer auprès de leurs prestataires qu’ils respectent le RGPD et se mettent en conformité avec lui. De manière plus globale, nous ferons face dans les mois et les années à venir, à de nombreuses demandes de mise en conformité de la part de partenaires commerciaux et de prestataires. Il est donc urgent et important que les entreprises soient sensibilisées au RGPD.

Conseils aux entreprises

  • Si ce n’est déjà fait, prendre connaissance des notes FNA sur le RGPD. Elles se trouvent dans la base documentaire, rubrique Juridique > Vie de l’entreprise > Gérer son activité (dossier spécial RGPD)
  • Prendre connaissance des obligations prévues dans le cadre de cet avenant. Ces obligations sont en effet contraignantes pour le professionnel et s’inscrivent dans le cadre du RGPD. Cela implique qu’il faut véritablement engager une procédure de mise en conformité au sein de l’entreprise. Cette obligation de mise en conformité avec le RGPD ne se situe pas au seul niveau de l’assisteur, c’est une obligation générale soumise à sanction de la CNIL en cas de contrôle (sanction de la CNIL = à 4 % du chiffre d’affaires).

Une attention particulière à apporter à certains points probablement présents dans ces avenants

Pour s’assurer de la mise en conformité de son prestataire avec le RGPD, les assisteurs peuvent imposer les obligations suivantes :

  • Une formation des salariés de l’entreprise sur la réglementation applicable en matière de protection des données. Elles peuvent se réserver la possibilité de demander un certificat de formation des employés du prestataire. Le CFPA devrait prochainement proposer aux entreprises et à leurs salariés une action de formation sur 1 journée.
  • Obligation de destruction des données personnelles à la fin de la durée légale de conservation
  • Prendre des mesures techniques et organisationnelles au sein de l’entreprise pour protéger et sécuriser ces données
  • Les assisteurs peuvent se réserver la possibilité de réaliser un audit ou des inspections auprès du prestataire, afin de vérifier la conformité de son établissement au RGPD
  • Si le prestataire a recours à de la sous-traitance pour le traitement des données personnelles, il doit en informer l’assisteur et obtenir son autorisation. Le sous-traitant doit lui-même respecter le protocole et le prestataire engage sa responsabilité si le sous-traitant ne le respecte pas. Il s’agit ici de la sous-traitance concernant le traitement des données personnelles. Attention : si le dépanneur sous-traite son activité de dépannage à un collègue, il va lui transmettre les données personnelles des clients de l’assiteur et est donc responsable de l’utilisation que va en faire son sous-traitant.

–          Le prestataire doit prendre toutes les mesures de sécurité nécessaires en interne, pour protéger les données personnelles des clients transmises par l’assistance. Il doit pouvoir fournir des garanties à l’assistance concernant les mesures de sécurité qui ont été prises. Ces mesures devraient être détaillées dans les avenants. Ces mesures de sécurité sont conformes aux préconisations de la CNIL.

  • Les asisteurs peuvent se réserver la possibilité de faire des tests d’intrusion une fois par an chez le prestataire. Si ces tests révèlent des vulnérabilités dans la protection des données, les prestataires doivent apporter des correctifs.
  • Interdiction pour le prestataire d’utiliser à des fins commerciales les données des clients transmises par l’assisteur (ne peut pas les exploiter pour son propre compte). Interdiction de vendre ces données.
  • En cas de violation de données (ex : hacker, vol d’ordinateur, vol de données en ligne avec demande de rançon, …) : le prestataire doit en informer l’assiteur dans les 24 h (à noter que la CNIL doit également en être informée). Il doit communiquer à l’assisteur toute information concernant cette violation de données et doit indemniser l’assisteur des dommages subis.
  • Les assisteurs pourraient effectuer un audit sur la sécurité des données personnelles auprès du prestataire, une fois par an. La question de l’audit pourrait constituer une condition essentielle de la poursuite de la relation commerciale entre l’assisteur et le prestataire.
  • En cas de rupture de la relation commerciale entre l’assisteur et le prestataire (quelle que soit la cause), le prestataire doit supprimer toutes les données des clients et fournir à l’assisteur, un certificat de destruction
  • Annexes très importante sur la sécurité des systèmes d’information: ces annexes décrivent les exigences minimales de sécurité que le prestataire doit mettre en œuvre au sein de l’entreprise pour sécuriser les données et répondre aux exigences du RGPD et de la relation commerciale avec l’assisteur. A lire attentivement.

Attention : il est indispensable que le prestataire prenne connaissance de l’ensemble de l’avenant qui lui est proposé avant de le signer car ceci l’engage. A terme, seuls les prestataires engageant une démarche de mise en conformité avec le RGPD pourront maintenir leurs agréments.

Conclusion

Les obligations qui découlent du RGPD peuvent paraître à juste titre contraignantes. Elles n’en concernent pas moins toutes les entreprises. L’argument qui consisterait à dire que nos entreprises sont trop petites pour être réellement concernées par le RGPD ne tient pas et ceux qui s’en affranchiraient, pourraient faire les frais de cette négligence à moyen terme.

 

Autres documents dans la même catégorie :

Nouveau portail ANTS au 11 octobre 2021

Facturation électronique obligatoire depuis le 1er janvier 2020 à destination de vos clients du secteur public

Vente de véhicules neufs : Recommandations fin de dérogation EURO 6D TEMP

Activation du nouveau module de paiement Payfip le 6 septembre 2021 à minuit

Vente obligatoire d’éthylotests dans les stations service proposant de la vente d’alcool

Obligation d’affichage comparatif des prix des carburants alternatifs dans les stations service

Tarifs dépannage-remorquage sur autoroute et route express à compter du 30 juillet 2021

Consultation des états de prélèvement dans le SIV (Système d’Immatriculation des Véhicules)

Fiche de situation administrative du véhicule

Pneus hivers et chaines obligatoires en zones montagneuses

Conditions d’application de la TVA sur la marge – Biens d’occasion

Malus sur les véhicules polluants

Circulation à l’étranger des véhicules immatriculés en WW provisoire

Immatriculation des véhicules d’occasion importés avec dispense de quitus fiscal (PIVO)

Norme d’homologation WLTP

Fiches pratiques réparateurs / experts

Conditions d’utilisation du w garage

Retrofit electrique – Conversion d’un véhicule thermique en véhicule électrique

La notion de « specialiste » d’une marque

Règlementation des vitres teintées

Pieces fournies par le client et refus de prestation de services

Modèles de contrat de location et conditions générales (CGL) conseils pratiques

Les dépanneuses superlourdes Réglementation du PTAC et du PTRA des dépanneuses

La relivraison des véhicules

Conventions d’agréments – Assureurs et Assisteurs tenus de s’engager sur un volume d’affaire

Le recours direct

La cession de créance

Libre choix du réparateur

Procédure de rappel de 2500 véhicules potentiellement dangereux

Essai des véhicules endommagés (procédure VEI / VGE)

Conventions d’agrément – Assureurs et Assisteurs tenus de s’engager sur un volume d’affaire Avis n°16-8 de la CEPC

Agrément des sociétés d’assurance

Charte relation réparateur / Assureur note explicative

Mise en conformité des stations-service Glossaire

Mise en conformité des stations-service Sécurité

Mise en conformité des stations-service : Règles d’implantation

Mise en conformité des stations-service Prévention de la pollution des eaux

mise en conformité des stations-service Gestion des déchets

Mise en conformité des stations-service Nuisances sonores

Mise en conformité des stations-service appareil de distribution (volucompteurs)

Véhicules neufs à immatriculer avant le 31 août 2019

SIV et ANTS depuis la fermeture des préfectures

Gestion des archives des professionnels habilités au SIV

Attestation d’assurance et permis de conduire : Précisions de l’Administration

Aide a l’achat d’un vehicule peu polluant : bonus écologique, prime a la conversion et prime au rétrofit 2021

Tva sur les ventes de vehicules de demonstration

Faire du dépôt-vente

Responsabilite du depositaire vendeur

Vente VO : Développez votre business avec la garantie Self Control !

Vendre des vehicules d’occasion

La vente de vo a distance entre professionnels

Vente vo la remise du rapport de contrôle technique

Le livre de police

Etiquette énergie

Information obligatoire du consommateur sur son droit de faire entretenir son véhicule hors réseau constructeur

Le certificat de qualite de l’air (crit’air)

Tva sur les ventes de vehicules neufs au sein de l’union europeenne

La vente hors reseaux constructeurs de vehicules neufs

Gestion des sinistres suite à un épisode de grêle

Norme afnor nf x 50-845 dediée à l’activité de carrosserie

Obligation de proposer une Pièce Issue de l’Economie Circulaire (PIEC) (anciennement appelées pièces de réemploi)

L’activite depannage-remorquage

Affichage des prix des prestations de dépannage et de remorquage

Consignes de securite pour le depannage – remorquage

Facturation de la manutention d’un véhicule mis en parc suite à un remorquage

Contrat de dépôt

Remorquage d’un véhicule à l’aide d’un panier

Revalorisation des tarifs de depannage-remorquage sur autoroutes et routes express a compter du 3 août 2020

Fiche d’intervention conditions générales de vente

Revalorisation des tarifs maxima de fourriere 2020/2021

Les gardiens de fourrières pour l’essentiel exempté de la taxe de stationnement

Location de véhicules de courte durée

Gérant mandataire de station(s)-service aip 2020

Modalité de distribution du gazole B10 dont la compatibilité avec tous les véhicules ou les engins roulants est limitée

Etiquetage spécifique des appareils distributeurs de gazole et gazole grand froid (B7)

Etiquetage spécifique des appareils distributeurs de Gaz de Pétrole Liquéfié carburant (GPL-c)

Etiquetage spécifique des appareils distributeurs de supercarburant sans plomb 95E10 (SP95-E10)

Caractéristiques de l’E85 et étiquetage spécifique des appareils distributeurs de Superéthanol E85

Etiquetage spécifique des appareils distributeurs de supercarburant sans plomb (SP95 et SP98)

Les gardiens de fourrières pour l’essentiel exempté de la taxe de stationnement

Revalorisation des tarifs maxima de fourrière 2020/2021

Etiquetage obligatoire des appareils distributeurs de gazole B10

retour à l’accueil de la base documentaire