top of page
Rechercher

Usage des adresses personnelles dans le cadre de votre projet avec 1km à Pied


Article élaboré avec le concours de la DGITM, Ministère des Transports.


Le RGPD autorise-il l'usage des adresses personnelles des salariés pour mener votre plan de Mobilité Employeur ou pour faciliter les mobilités internes ? Oui car d'après la CNIL les adresses de domicile sont des données personnelles qui peuvent faire l'objet de traitement sur la base légale de l'intérêt légitime pour les plans de mobilité employeur et de l'execution du contrat pour les mobilités internes géographiques.

On vous explique tout !

RGPD protection des donnees dans le cadre d'un plan de mobilite employeur PDME

Qui a l’obligation de mettre en place un Plan de Mobilité Employeur (PDME) ?


Le Plan de Mobilité Employeur (PDME) est une mesure mise en place en France pour encourager les employeurs à adopter des pratiques de mobilité durable.


👉Les entreprises de plus de 50 salariés doivent intégrer la problématique de “l'amélioration des mobilités quotidiennes des personnels” lors des NAO (négociations annuelles obligatoires). Si aucun accord n’est trouvé, la réalisation d'un Plan de Mobilité Employeur (PDME) devient obligatoire. Cette obligation date de l’entrée en vigueur de la Loi d'Orientation des Mobilités (LOM) début 2020. (Source : articles L.1214-2 alinéa 9 du code des transports et article L.2242-17 alinéa 8 du code du travail).


👉Les administrations concernées par certains Plans de Protection de l'Atmosphère (PPA) ont l’obligation de réaliser le PDME de leurs agents. (Source : ADEME Expertises, 2021 et La Fabrique des Mobilités, 2020). Plan de protection de l'atmosphère concernés :

  • PPA de la région Île-de-France

  • PPA de la région PACA

  • PPA de la région Nord-Pas de Calais,



Légalité du traitement des adresses personnelles dans le cadre d’un PDME


Lorsqu’une entreprise ou une entité publique traitent de la donnée à caractère personnelle, par exemple « adresse personnelles et adresses professionnel » dans le cadre du PDME, le caractère strictement nécessaire de ces données doit être démontré.


Données personnelles ou sensibles ?

Le RGPD a mis en place des « catégories de données »

​Définition des données personnelles

(article 4, 1)

​Définition d’une donnée sensible

(articles 9 et 10 du RGPD).

​Les données personnelles sont “toute information se rapportant à une personne physique identifiée ou identifiable” (exemple : adresse mail, adresse postale, numéro de téléphone, adresse IP...).


En effet, l’identification d’une personne peut être réalisée :

  • à partir d’une seule donnée (ADN, n° de sécurité sociale…) ; mais aussi

  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

​Les données sensibles sont une catégorie de données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, les données biométriques, des données de santé ou encore ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Le traitement de ces données est strictement interdit, sauf certaines exceptions

Sont également considérées comme sensibles les données soumises à un régime dérogatoire (condamnations pénales, infractions, mesures de sûreté…). Pour ces dernières, le traitement ne peut être effectué que sous certaines conditions, comme le contrôle de l’autorité publique.

Conclusion : L’adresse personnelle et l’adresse professionnelle permettent indirectement d’identifier une personne, un salarié dans une entreprise.

Ces données, combinées ou individuellement, sont bien des données à caractère personnel au sens du RGPD, mais ne sont pas des données sensibles au sens du RGPD. Leur traitement est donc autorisé par le RGPD à condition de respecter l’ensemble des obligations à la charge du responsable de traitement, par le RGPD dont : l’identification de la base légale.


✅Le traitement est fondé sur une base légale prévue par le RGPD


La CNIL définit le « traitement de données personnelles » comme une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction…).


Pour pouvoir traiter légalement de la donnée à caractère personnel, le responsable de traitement doit fonder son traitement sur une des 6 bases légales prévues par le RGPD (article 6 du RGPD).


Important : Le RGPD ne crée pas de hiérarchie entre les différentes bases légales. Le consentement ne prévaut pas sur les autres bases légales. La base légale appropriée doit être déterminée par le responsable du traitement de manière adaptée à la situation et au type de traitement, au cas par cas :

  • le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;

  • l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

  • l’obligation légale : le traitement est imposé par des textes légaux ;

  • la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

  • le consentement : la personne a consenti au traitement de ses données ;

  • Intérêt vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;

Quelle base choisir pour votre projet ?


​💡Plans de Mobilité Employeurs : la base légale de l'intérêt légitime sera retenu car l'intérêt est équilibré entre l'intérêt légitime du salarié qui se verra offrir des actions de mobilité durable pour réduire ses dépenses de carburants (remise en selle, forfait mobilité durable, aide à la pratique du covoiturage) et l'intérêt de l'entreprise qui réduira son empreinte carbone.


​💡Gestion des mobilités internes géographiques : la CNIL dans son référentiel propose de retenir la base légale « exécution du contrat » comme autorisant les traitements réalisées pour la gestion de la mobilité professionnelle d’un employé. Voir le référentiel RH :

extrait du referentiel de la CNIL



✅Respect des 6 grands principes du RGPD


Par ailleurs, le responsable de traitement (soit la personne qui définit les moyens et les objectifs du traitement de données) est soumis à des obligations au titre du RGPD. Pour traiter légalement de la donnée, il doit respecter 6 grands principes :


1- Ne collecter que les données vraiment nécessaires pour atteindre son objectif :

  • les données sont collectées pour un but précis (pas de stockage de données « au cas ou », on ne traite que ce qui servira à l’accomplissement d’une finalité)

  • les données utilisées pour atteindre l’objectif doivent être strictement nécessaires.

💡Pour élaborer un PDME ciblé et priorisé, il est nécessaire d'avoir des informations sur l'adresse professionnelle et personnelle des salariés. Le traitement de ces données s’inscrit dans le cadre de l’exécution du contrat, car il s’agit de pouvoir évaluer, planifier et mettre en œuvre des actions concrètes visant à améliorer la mobilité des employés, réduire les distances parcourues et optimiser les déplacements professionnels, dans le respect du RGPD.

2- Etre transparent : les individus doivent conserver la maîtrise de leurs données, ce qui suppose qu’ils soient informés de façon claire sur l’utilisation qui en sera faite (autrement dit, pas de collecte à leur insu).


3- Organiser des modalités permettant aux personnes d’exercer leurs droits (suppression de données, consultation des données, rectification…)


4- Fixer une durée de conservation des données : par exemple, après réalisation de la finalité (notamment du PDME), les données doivent être détruites, anonymisées...


5- Sécuriser les données et identifier les risques : il s’agit de la sécurité physique/informatique, de la gestion des accès aux données en fonction de la sensibilité des données ou des risques.


6- Tenir un registre des traitements et désigner un Délégué à la Protection des Données.



✅Traitement des données par un sous-traitant spécialisé et encadré


Enfin, lorsqu'une entreprise décide de mettre en place un PDME, elle peut faire appel à des sous-traitants spécialisés, tel que 1km à Pied (cf. chapitre IV du RGPD).


Dans cette hypothèse, 1km à pied agit pour le compte de l’entreprise responsable, dans le cadre de la finalité « gestion de la mobilité professionnelle » et est autorisée à traiter les données personnelles des employés nécessaires à l’accomplissement de la finalité (c'est-à-dire à l’application du PDME). (Source : article 28 du RGPD).


Conclusion :

1km à Pied agit pour le compte de l’employeur, dans le cadre de la finalité “gestion de la mobilité professionnelle”, et est donc autorisé à traiter, uniquement pour le compte de l’entreprise cliente, les données strictement nécessaires à l’accomplissement du PDME, soit les adresses personnelles et professionnelles des salariés.


L'équipe 1km à Pied

1km à Pied est lauréat du programme "Propulse" du Ministère des transports :


1km à Pied est labelisé "Greentech" innovation par le Ministère de l'écologie



Mots-clés :

bottom of page