Le secteur de la logistique traite des volumes croissants de donnees personnelles. Suivi des colis, geolocalisation des livreurs, gestion des entrepots, relations avec les clients et les fournisseurs : chaque etape de la chaine logistique implique des traitements de donnees qui doivent respecter le RGPD. La digitalisation acceleree du secteur renforce encore ces enjeux.
Les donnees personnelles dans la logistique
Les entreprises logistiques traitent des donnees concernant plusieurs categories de personnes. Les donnees des clients destinataires comprennent les noms, adresses de livraison, numeros de telephone, instructions de livraison et signatures electroniques. Les donnees des salaries incluent les informations de geolocalisation des chauffeurs-livreurs, les temps de travail, les performances et les donnees RH classiques.
Les systemes de gestion d’entrepot (WMS) enregistrent les mouvements du personnel, les cadences de travail et parfois des donnees biometriques pour le controle d’acces. Les plateformes de suivi de colis collectent des donnees de localisation en temps reel, partagees avec les expediteurs et les destinataires.
Geolocalisation et suivi des livraisons
La geolocalisation des vehicules de livraison est un outil central dans la logistique moderne. Elle permet l’optimisation des tournees, le suivi en temps reel des livraisons et la preuve de passage. Cependant, ce suivi permanent des livreurs est encadre par la CNIL et le RGPD.
L’entreprise doit informer les salaries concernes, definir des finalites precises et proportionnees, et garantir la desactivation du systeme en dehors des heures de travail. Le suivi GPS ne peut pas servir a controler le respect des limitations de vitesse (sauf obligation legale) ni a surveiller les deplacements pendant les pauses.
Gestion des entrepots et donnees des salaries
Les entrepots modernes sont de plus en plus connectes. Les systemes WMS tracent les deplacements du personnel, mesurent les cadences de preparation de commandes et enregistrent les performances individuelles. Les terminaux portables (scanners, montres connectees) collectent des donnees en continu sur l’activite des operateurs.
Ces traitements doivent etre proportionnes a l’objectif poursuivi. La mesure des performances individuelles en temps reel doit etre encadree et les salaries doivent etre informes. Le comite social et economique (CSE) doit etre consulte avant la mise en place de tout dispositif de surveillance. Les donnees de performance ne peuvent pas etre le seul critere d’evaluation des salaries.
Sous-traitance et partage de donnees
La logistique implique de nombreux sous-traitants : transporteurs, prestataires de derniers kilometres, plateformes de suivi, editeurs de logiciels, services cloud. Chaque sous-traitant ayant acces a des donnees personnelles doit etre encadre par un contrat conforme a l’article 28 du RGPD.
Les echanges de donnees entre donneurs d’ordre, logisticiens et transporteurs doivent etre securises et limites au strict necessaire. Les API et les interfaces d’echange de donnees (EDI) doivent integrer des mesures de securite : chiffrement, authentification, journalisation des acces.
Livraison au dernier kilometre et donnees des destinataires
La livraison au dernier kilometre genere des donnees specifiques : adresses precises, codes d’acces aux immeubles, instructions de livraison, photos de preuve de livraison et signatures electroniques. Ces donnees sont souvent partagees avec les livreurs via des applications mobiles, ce qui pose des questions de confidentialite et de securite.
Les photos de preuve de livraison, de plus en plus utilisees, constituent des donnees personnelles lorsqu’elles montrent l’interieur d’un domicile ou une personne. Leur conservation doit etre limitee dans le temps et leur acces restreint aux personnes habilitees.
Securite des systemes d’information logistiques
Les systemes d’information logistiques (TMS, WMS, ERP) centralisent des donnees sensibles. La securite de ces systemes doit etre une priorite : mises a jour regulieres, gestion des acces par role, chiffrement des donnees en transit et au repos, sauvegardes securisees et plan de continuite d’activite.
Les attaques par rancongiciel ciblent de plus en plus les entreprises logistiques, dont l’activite ne peut tolerer d’interruption. Un plan de reponse aux incidents incluant la notification a la CNIL dans les 72 heures est indispensable.
Plan d’action RGPD pour la logistique
Pour mettre votre entreprise logistique en conformite, commencez par recenser tous les traitements de donnees dans un registre complet. Evaluez la proportionnalite des dispositifs de geolocalisation et de surveillance, encadrez contractuellement chaque sous-traitant, securisez vos systemes d’information et formez vos equipes. La conformite RGPD dans la logistique est un facteur de confiance pour vos clients et un avantage concurrentiel dans un secteur en pleine transformation numerique.
