Le secteur du BTP face au RGPD : des obligations souvent meconnues
Les entreprises du batiment et des travaux publics collectent des donnees personnelles a de nombreuses occasions : fichiers clients, devis, factures, gestion des salaries, sous-traitance, badges de chantier, videoprotection et geolocalisation des vehicules. Malgre la nature technique de leur activite, les entreprises du BTP sont pleinement concernees par le RGPD et doivent mettre en place une demarche de conformite adaptee a leur taille et a leurs traitements.
Les donnees des clients et des prospects
L’entreprise de BTP collecte les donnees de ses clients particuliers et professionnels : identite, adresse du chantier, coordonnees, nature des travaux, budget, plans et photos du bien. Pour les particuliers, ces donnees sont souvent accompagnees de pieces justificatives liees au financement (pret travaux, aides de l’Etat comme MaPrimeRenov). Ces donnees doivent etre conservees uniquement le temps necessaire a la realisation des travaux et pendant les delais de garantie applicables.
La gestion des salaries et des interimaires
Le BTP emploie un nombre important de salaries et d’interimaires. Les dossiers du personnel contiennent des donnees sensibles : pieces d’identite, titres de sejour, habilitations, certifications, aptitudes medicales, formations securite. La gestion de la paie, des conges, des arrets maladie et des accidents du travail genere des traitements de donnees encadres par le code du travail et le RGPD.
Les interimaires sont mis a disposition par des agences d’emploi temporaire. L’entreprise utilisatrice doit s’assurer que les donnees personnelles des interimaires sont traitees conformement au RGPD et que l’agence d’interim respecte ses propres obligations en matiere de protection des donnees.
Les badges de chantier et le controle d’acces
De nombreux chantiers utilisent des systemes de badges pour controler l’acces au site, suivre la presence des ouvriers et assurer la securite. Ces dispositifs collectent des donnees personnelles : identite, entreprise, horaires d’entree et de sortie. Ils doivent etre inscrits au registre des traitements et les personnes concernees doivent etre informees.
La carte BTP, obligatoire sur les chantiers de batiment, contient des donnees personnelles du salarie : nom, photo, entreprise, numero de carte. La gestion de ces cartes par l’entreprise constitue un traitement soumis au RGPD.
La geolocalisation des vehicules et engins
Les entreprises de BTP equipent souvent leurs vehicules et engins de chantier de dispositifs de geolocalisation. La CNIL encadre strictement ce traitement : les salaries doivent etre informes, le dispositif doit etre proportionne a la finalite poursuivie et il ne peut pas servir a surveiller en permanence les deplacements des salaries. Le suivi de la geolocalisation en dehors des heures de travail est interdit.
La videoprotection des chantiers
La videoprotection des chantiers est utilisee pour prevenir les vols de materiaux et de materiel. Ce traitement doit respecter les regles de la CNIL : information par panneaux visibles, duree de conservation limitee a 30 jours, acces restreint et pas de surveillance constante des salaries. Si les cameras filment la voie publique, une autorisation prefectorale est necessaire.
La sous-traitance dans le BTP et le RGPD
La sous-traitance est tres repandue dans le BTP. L’entreprise principale partage des donnees personnelles avec ses sous-traitants : plans, coordonnees des clients, informations sur le chantier. Si le sous-traitant BTP traite des donnees personnelles pour le compte de l’entreprise principale, un contrat conforme a l’article 28 du RGPD est necessaire.
Les durees de conservation dans le BTP
Les devis et factures sont conserves dix ans (obligation comptable). Les dossiers clients sont conserves pendant la duree des travaux puis pendant le delai de garantie decennale (dix ans). Les donnees de paie sont conservees cinq ans. Les donnees de geolocalisation sont conservees deux mois maximum. Les images de videoprotection sont conservees 30 jours. Les dossiers d’accidents du travail sont conserves pendant le delai de prescription applicable.
Les bonnes pratiques pour une entreprise BTP conforme
L’entreprise de BTP doit tenir un registre des traitements, informer ses salaries et clients, securiser les donnees numeriques et papier, encadrer la sous-traitance, mettre en place une procedure de violation de donnees et sensibiliser ses equipes aux enjeux du RGPD. Un DPO externe peut accompagner les entreprises qui n’ont pas les ressources internes pour gerer la conformite.
Article redige par Laurent de Cavel, DPO certifie.
- Les Services Interentreprises de Santé au Travail (SIST) dans le secteur du Bâtiment et Travaux Publics (BTP) orientés RGPD : Un Levier Stratégique pour la Performance et la Conformité des Entreprises
- RGPD : le guide complet pour les entreprises en 2026
- RGPD clinique privee : guide de mise en conformite
