Vous mettez en place un QR code d'accueil pour vos chauffeurs. Ils scannent, consultent les consignes, passent au quai. Simple, rapide, pratique. Mais quelque part dans votre système, un log s'est créé : date, heure, peut-être l'adresse IP du téléphone, peut-être plus. Est-ce que vous collectez des données personnelles ? Êtes-vous en conformité avec le RGPD ?
La question n'est pas théorique. La CNIL a sanctionné des entreprises pour des collectes de données considérées comme anodines — incluant des journaux de connexion non déclarés.
Ce qui constitue une donnée personnelle dans un briefing chauffeur
Le RGPD (Règlement général sur la protection des données, applicable depuis mai 2018) définit la donnée personnelle comme "toute information se rapportant à une personne physique identifiée ou identifiable".
Dans le contexte d'un briefing chauffeur numérique, les données personnelles potentielles incluent :
- Nom et prénom du chauffeur (si saisi à l'accueil)
- Numéro de plaque d'immatriculation (rattachable au chauffeur via le transporteur)
- Adresse IP du téléphone lors du scan (peut permettre une identification indirecte)
- Localisation GPS si le système la collecte au moment du scan
- Heure et date de passage combinées à d'autres identifiants
Un simple log de scan sans nom ni plaque peut ne pas constituer une donnée personnelle si aucune ré-identification n'est possible. Mais dès que vous croisez le log avec votre système de réservation de créneaux ou votre registre des transporteurs, la situation change.
Les bases légales que vous pouvez invoquer
Pour collecter des données personnelles, vous devez vous appuyer sur l'une des bases légales prévues par l'article 6 du RGPD. Dans le contexte de l'accueil chauffeur, deux bases sont pertinentes :
L'intérêt légitime (article 6.1.f) : vous avez un intérêt légitime à tracer les accès sur votre site pour des raisons de sécurité et de conformité légale. Cette base est possible, mais elle nécessite une analyse d'impact proportionnalité : l'intérêt de la collecte doit l'emporter sur les droits des personnes concernées.
L'exécution d'un contrat (article 6.1.b) : si la collecte est nécessaire à l'exécution du contrat de livraison (accès au site, respect des créneaux), elle peut se justifier sur cette base.
Le consentement (article 6.1.a) : techniquement possible, mais contraignant — le consentement doit être libre, éclairé, spécifique et révocable. Obtenir un consentement valide d'un chauffeur sur un quai de chargement est difficile à mettre en œuvre correctement.
Ce que vous devez faire si vous collectez des données
1. Informer les personnes concernées
Dès lors que vous collectez des données personnelles — même via un simple log de scan — vous devez fournir une notice d'information (article 13 du RGPD) accessible au moment de la collecte. Pour un QR code d'accueil, cela peut prendre la forme d'un lien vers une politique de confidentialité affichée sur la page de briefing.
Cette notice doit préciser : qui traite les données, pourquoi, combien de temps elles sont conservées, et quels sont les droits des personnes concernées.
2. Limiter la collecte au strict nécessaire
Le principe de minimisation (article 5.1.c) impose de ne collecter que les données strictement nécessaires à la finalité déclarée. Si votre objectif est uniquement de diffuser des consignes de sécurité, vous n'avez pas besoin de connaître l'identité du chauffeur ni sa localisation GPS.
Revoyez vos paramètres techniques : désactivez la collecte de l'IP ou anonymisez-la si elle n'est pas nécessaire. Ne croisez pas les logs de scan avec d'autres bases de données sans justification.
3. Définir des durées de conservation
Vous devez définir combien de temps vous conservez les logs. Pour des données de sécurité, une durée de 1 à 3 ans est généralement acceptable. Au-delà, une anonymisation ou une suppression est recommandée.
4. Tenir un registre des traitements
Toute entreprise de plus de 250 salariés (et celles dont les traitements sont susceptibles d'engendrer des risques élevés) doit tenir un registre des activités de traitement. L'accueil chauffeur numérique doit y figurer si vous collectez des données personnelles identifiantes.
Ce qui ne nécessite pas de déclaration
Tous les dispositifs de briefing chauffeur ne collectent pas de données personnelles. Si votre système :
- Affiche uniquement du contenu consulté anonymement, sans log associé
- Ne recueille ni identité, ni localisation, ni identifiant de session persistant
- Ne croise pas les accès avec d'autres bases de données
...alors il est vraisemblable que vous ne collectez pas de données personnelles au sens du RGPD. Mais faites confirmer cette analyse par votre DPO (Délégué à la protection des données) ou par un juriste si des doutes subsistent.
Approche pragmatique pour les PME
Pour une PME logistique qui met en place un QR code d'accueil chauffeur, la démarche pratique est la suivante :
- Vérifier avec votre prestataire technique quelles données sont effectivement collectées et stockées
- Anonymiser les logs si l'identification individuelle n'est pas nécessaire à votre activité
- Ajouter une mention d'information concise sur la page de briefing (un lien suffit)
- Documenter votre analyse dans votre registre des traitements
Docklio, par exemple, est conçu pour minimiser la collecte de données côté chauffeur : les statistiques de scan sont agrégées et ne contiennent pas d'identifiant individuel. La page de briefing inclut une mention légale accessible. Ce type d'approche "privacy by design" est exactement ce que le RGPD encourage.
La conformité RGPD dans le domaine de l'accueil chauffeur n'est pas un chantier insurmontable. Elle demande une analyse initiale sérieuse — et des choix techniques cohérents avec cette analyse.