Le secteur du transport, qu’il soit routier, ferroviaire, aerien ou maritime, genere des volumes considerables de donnees personnelles. Billets nominatifs, geolocalisation des vehicules, abonnements de transport en commun, donnees de conducteurs : chaque maillon de la chaine logistique et de transport implique des traitements de donnees soumis au RGPD.
Les donnees personnelles dans le transport
Les entreprises de transport collectent des categories variees de donnees. Pour les passagers : noms, coordonnees, itineraires, horaires de deplacement, moyens de paiement et parfois donnees de fidelite. Pour les conducteurs et chauffeurs : donnees d’identite, permis de conduire, donnees de geolocalisation en temps reel, temps de conduite et de repos, donnees de tachygraphe.
Les systemes de billettique electronique (cartes Navigo, pass regionaux) enregistrent les deplacements des usagers. Les cameras embarquees et les systemes de videosurveillance dans les gares et les vehicules ajoutent une couche supplementaire de donnees. Les applications mobiles de transport collectent des donnees de localisation et d’usage en continu.
Geolocalisation des vehicules et des salaries
La geolocalisation est un enjeu majeur dans le transport. Les entreprises utilisent des systemes GPS pour optimiser les trajets, assurer la securite et respecter les reglementations sur les temps de conduite. Cependant, la CNIL encadre strictement la geolocalisation des salaries.
La geolocalisation ne peut etre mise en place que pour des finalites precises et proportionnees : suivi des itineraires, gestion des interventions d’urgence, respect des obligations legales de temps de conduite, facturation au client. Elle ne doit jamais servir a surveiller en permanence les deplacements personnels des conducteurs. Le dispositif doit pouvoir etre desactive en dehors des heures de travail et les salaries doivent etre informes de son existence et de ses finalites.
Transport en commun et donnees des usagers
Les operateurs de transport en commun traitent des donnees massives via les systemes de billettique. Les cartes de transport nominatives enregistrent chaque validation, permettant de reconstituer les habitudes de deplacement des usagers. Ces donnees doivent etre traitees avec la plus grande precaution.
La CNIL recommande de limiter la conservation des donnees de deplacement a une duree strictement necessaire, de privilegier les titres de transport anonymes quand c’est possible et d’informer clairement les usagers sur les traitements effectues. Les analyses statistiques doivent etre realisees sur des donnees anonymisees ou pseudonymisees.
Transport aerien et donnees PNR
Le transport aerien est soumis a des reglementations specifiques en matiere de donnees. Le dossier passager (PNR, Passenger Name Record) contient des informations detaillees : itineraire, coordonnees, mode de paiement, bagages, preferences alimentaires, compagnons de voyage. La directive PNR europeenne impose la transmission de ces donnees aux autorites pour des finalites de securite.
Les compagnies aeriennes doivent concilier ces obligations de securite avec le respect du RGPD. Les passagers doivent etre informes de la collecte et du traitement de leurs donnees PNR, meme si le traitement repose sur une obligation legale.
Tachygraphes et donnees des conducteurs
Les tachygraphes numeriques enregistrent les temps de conduite, les pauses et les periodes de repos des conducteurs routiers. Ces donnees sont obligatoires pour le respect de la reglementation sociale europeenne, mais elles constituent des donnees personnelles protegees par le RGPD.
L’entreprise de transport doit informer ses conducteurs du traitement de ces donnees, limiter l’acces aux personnes habilitees et conserver les donnees pendant la duree legale obligatoire (un an minimum pour les donnees de tachygraphe). L’utilisation de ces donnees a d’autres fins que le respect de la reglementation sociale doit etre justifiee par un interet legitime.
Videosurveillance dans les transports
Les cameras de videosurveillance dans les vehicules de transport, les gares et les arrets sont soumises a une reglementation combinant le RGPD et le code de la securite interieure. L’information des usagers doit etre visible et complete. Les images sont conservees 30 jours maximum, sauf procedure judiciaire en cours.
Mise en conformite du secteur transport
La conformite RGPD dans le transport necessite une approche globale : cartographier tous les traitements (passagers, salaries, geolocalisation, videosurveillance, billettique), encadrer les relations avec les sous-traitants (plateformes, maintenance, editeurs logiciels), former les equipes et mettre en place des procedures de gestion des incidents. Le secteur du transport, par la diversite et le volume des donnees qu’il traite, doit faire de la protection des donnees une priorite strategique.
