Réglementation
RGPD dans un garage : clients, plaques, VIN, photos et droits d’accès
Identifier les données personnelles manipulées par un garage et organiser finalités, accès, durées, sécurité et demandes des clients.
La réponse courte
Le garage traite bien plus que des noms : coordonnées, plaques, historique d’interventions, photos et informations de paiement peuvent identifier une personne. La bonne réponse est une organisation documentée, proportionnée et limitée au besoin métier.Un garage traite quotidiennement des données personnelles : identité, coordonnées, plaque d’immatriculation, historique d’interventions, communications, factures et parfois photos. Le fait qu’une donnée décrive d’abord un véhicule ne la sort pas du RGPD lorsqu’elle permet de relier ce véhicule à une personne.
L’Autorité de protection des données belge cite notamment les noms, coordonnées, achats, factures impayées, informations de paiement, images vidéo et plaques parmi les données personnelles possibles. Son vade-mecum pour PME constitue une base pratique. Ce guide donne une méthode d’organisation et ne remplace pas une analyse juridique du garage.
Quelles données faut-il identifier ?
Faites l’inventaire par activité, pas seulement par logiciel : prise de rendez-vous, relation client, diagnostic, photos, facturation, caméra, personnel, fournisseurs et marketing. Pour chaque activité, notez les personnes concernées, les données, leur provenance et leur destination.
Dans Ottomo, cela peut inclure :
- nom, adresse, téléphone et e-mail du client ou conducteur ;
- entreprise, fonction et numéro de TVA pour un contact professionnel ;
- plaque, VIN, kilométrage et historique du véhicule ;
- remarques, accords, messages et pièces jointes ;
- photos de dommages, de documents ou de l’habitacle ;
- factures, paiements indiqués et créances ;
- comptes, rôles, journaux d’actions et temps des collaborateurs.
Évitez les remarques excessives. « Client pénible » n’aide pas à produire la réparation et peut créer un risque. Préférez un fait utile : « souhaite un appel avant tout supplément supérieur à 100 € ».
Une photo peut révéler un visage, une adresse dans le GPS, un document ou des objets personnels. Cadrez uniquement la zone technique nécessaire et définissez si le fichier reste interne ou peut être partagé.
Comment documenter les finalités et bases ?
Pour chaque traitement, décrivez pourquoi la donnée est nécessaire : exécuter la prestation, établir un devis, respecter une obligation, défendre une réclamation, sécuriser le site ou envoyer une offre. La base juridique ne se choisit pas par préférence ; elle dépend de la finalité et doit être validée.
Le consentement n’est pas la réponse universelle. Les données nécessaires à une réparation demandée peuvent relever de l’exécution contractuelle, tandis qu’une newsletter peut nécessiter une autre analyse. Séparez les finalités plutôt que d’utiliser une case générale.
L’APD rappelle que l’exception au registre pour les organisations de moins de 250 personnes est limitée, notamment lorsque le traitement n’est pas occasionnel. Les activités habituelles de clients, personnel et fournisseurs conduisent de nombreuses PME à tenir un registre. Vérifiez votre situation avec le vade-mecum et, si nécessaire, un conseiller.
Informez les personnes de manière accessible : responsable, finalités, bases, destinataires, durées, droits et contact. Placez l’information au bon moment, avec un texte complet facilement disponible.
Comment limiter les accès dans le garage ?
Chaque collaborateur reçoit son propre compte. Les droits correspondent à son besoin :
- le technicien consulte les dossiers qui lui sont utiles et ajoute son travail ;
- le magasinier gère références, commandes et mouvements ;
- l’accueil gère clients, accords et documents ;
- le responsable configure les droits et paramètres ;
- le lecteur comptable consulte les documents sans modifier l’atelier.
Les spécialités métier ne doivent pas automatiquement donner davantage de droits administratifs. Un carrossier et un technicien diagnostic peuvent avoir le même rôle logiciel mais des compétences planifiables différentes.
Désactivez rapidement les comptes des départs tout en conservant l’historique d’action nécessaire. N’effacez pas le nom de l’auteur de toutes les opérations : pseudonymisez ou conservez selon la finalité et la durée retenues.
Les fichiers restent privés par défaut. Un lien partagé doit être explicite, limité, révocable et expirant. Ne placez jamais un dossier client complet dans une URL publique facile à deviner.
Ajoutez les mesures classiques : mots de passe robustes, mises à jour, sauvegardes, appareils verrouillés, écran non visible du public et procédure en cas d’incident. L’isolation technique entre garages doit être appliquée dans la base de données, pas seulement par des menus cachés.
Comment maîtriser conservation et suppression ?
« Garder au cas où » n’est pas une durée. Définissez une politique par catégorie : prospects sans suite, dossiers d’intervention, documents fiscaux, photos techniques, liens d’accord, journaux de sécurité et comptes désactivés. Les obligations légales et les délais de réclamation peuvent justifier des durées différentes.
Demandez au comptable les durées relatives aux pièces comptables et à votre conseiller celles liées aux garanties ou litiges. Documentez la source de la décision. Une photo temporaire destinée à expliquer un diagnostic ne doit pas automatiquement suivre la durée d’une facture.
La suppression doit couvrir les copies opérationnelles et exports gérés par le garage, dans les limites des obligations et sauvegardes. Un système peut d’abord restreindre l’accès puis supprimer selon son cycle technique. Décrivez cette réalité dans la politique interne.
Effectuez chaque année un contrôle : données sans propriétaire, clients importés en double, pièces jointes anciennes, liens de partage encore actifs et comptes inactifs. L’objectif est de réduire le risque et d’améliorer la qualité, pas seulement de cocher une conformité.
Comment répondre aux droits des personnes ?
Créez un point de contact et une procédure : vérifier l’identité de manière proportionnée, enregistrer la demande, rechercher dans les systèmes, examiner les exceptions et répondre dans le délai applicable. Les droits peuvent inclure accès, rectification, effacement, limitation, opposition et portabilité selon le contexte.
Une demande « donnez-moi toutes mes données » peut concerner fiche client, véhicules liés, communications, accords, photos et documents. Préparez un export lisible et protégez les données d’autres personnes. Ne transmettez pas automatiquement les notes contenant des informations sur un tiers sans examen.
En cas de violation — tablette volée non verrouillée, lien public envoyé au mauvais destinataire ou accès indu — documentez les faits, limitez l’exposition et évaluez rapidement les obligations de notification. La procédure doit indiquer qui décide et comment contacter l’APD.
Exemple : partager des photos après un diagnostic
Le technicien photographie une fuite et l’étiquette de la pièce. Avant partage, il vérifie que l’image ne montre ni le visage d’un tiers, ni un document dans l’habitacle, ni une adresse sur un écran. Les deux fichiers restent privés dans l’OR. L’accueil en sélectionne un et génère un lien limité pour accompagner l’avenant.
Après acceptation, la version de l’avenant et la preuve de réponse sont conservées selon la politique du garage. Le lien de consultation expire ; cela ne supprime pas automatiquement la photo interne si elle reste nécessaire au dossier. Les deux durées répondent à des finalités différentes.
Si le client demande ensuite l’accès à ses données, le garage retrouve les photos par le dossier véhicule, contrôle les informations de tiers et transmet par un canal approprié. Ce scénario doit être testé avant la première demande réelle.
Check-list trimestrielle des accès
- comptes de personnes parties ou longtemps inactives ;
- rôles trop larges par rapport à la fonction actuelle ;
- liens de partage actifs sans dossier ouvert ;
- fichiers publics ou permissions de stockage inhabituelles ;
- exports CSV conservés sur des ordinateurs personnels ;
- tablettes sans verrouillage ou mises à jour ;
- prestataires ayant encore un accès d’assistance.
Documentez les corrections et le responsable. Un contrôle court mais répété montre mieux la réalité de la sécurité qu’une politique parfaite jamais vérifiée.
La méthode de l’ordre de réparation aide à limiter la collecte à des faits structurés. Le guide choisir son logiciel de garage propose aussi des questions sur les droits, fichiers et exports.
En synthèse : identifiez les données, liez-les à une finalité, limitez les accès et durées, puis préparez les demandes et incidents avant qu’ils surviennent. Une donnée bien organisée est à la fois plus utile et moins risquée.
Sources et méthode
Les sources ci-dessous ont été consultées lors de la dernière mise à jour. Les chiffres conservent le périmètre et l’année indiqués par leur éditeur.