RGPD et données de transport : obligations pour les opérateurs VTC

Le 22 juillet 2024, l’Autorité néerlandaise de protection des données a infligé à Uber une amende de 290 millions d’euros. Le grief tenait en une phrase. Pendant deux ans, d’août 2021 à novembre 2023, la plateforme avait transféré aux États-Unis des données sensibles de chauffeurs européens (informations sur les infractions, données médicales, photos, licences, paiements) sans clauses contractuelles types valides après l’invalidation du Privacy Shield. La sanction est, à ce jour, la plus lourde jamais prononcée contre un acteur du transport. Elle dit moins quelque chose d’Uber qu’elle ne dit du secteur tout entier : l’industrie du chauffeur privé manipule un volume de données personnelles considérable, et la conformité au Règlement général sur la protection des données n’est plus négociable.

Pour un opérateur de grande remise francilien qui pilote 5, 50 ou 500 chauffeurs, le sujet n’a longtemps existé que sur le papier. La CNIL ciblait les plateformes mondiales. Le règlement de mai 2018 paraissait conçu pour les réseaux sociaux et les bases marketing. Cette époque est terminée. Les sanctions records prononcées par la CNIL en 2025 ont totalisé plus de 400 millions d’euros, et la consultation publique ouverte le 25 mars 2025 sur la géolocalisation des véhicules connectés annonce un cadre opposable spécifique au secteur dès le second semestre 2026. La trajectoire prolonge celle des réformes successives qui structurent le statut VTC en France depuis dix ans.

La densité informationnelle d’un trajet VTC

Un taxi traditionnel connaît une adresse de destination. Un opérateur numérique en connaît cinquante. Chaque course consigne le nom et le prénom du passager, son numéro de téléphone, son email, les coordonnées GPS de prise en charge et de dépose, la trace géolocalisée seconde par seconde du trajet, le mode de paiement, l’historique complet des courses passées, les évaluations réciproques et, selon la plateforme, les caractéristiques de l’appareil mobile utilisé.

Cette densité transforme le détenteur du fichier en cartographe involontaire. Un historique de courses révèle l’adresse réelle du domicile, l’employeur, les horaires de présence à un cabinet médical, les hôtels fréquentés, les restaurants visités, les compagnons de trajet. Pour un voyageur d’affaires sensible, qu’il s’agisse d’un cadre dirigeant, d’un magistrat ou d’un conseil d’entreprise stratégique, ces métadonnées valent des renseignements financiers ou diplomatiques. Le RGPD considère que ce sont des données à caractère personnel au sens le plus large, et leur traitement relève du régime général depuis le 25 mai 2018.

La CNIL l’a rappelé dans son projet de recommandation publié le 25 mars 2025 sur les données de localisation des véhicules connectés. Le texte vise principalement les conducteurs particuliers, mais les principes de minimisation et de durée de conservation qu’il pose s’appliquent par analogie aux flottes professionnelles équipées de tracking temps réel. La version définitive est attendue après la clôture de la consultation publique le 20 mai 2025, et plusieurs sanctions de 2025 ont déjà fait jurisprudence en censurant la collecte continue de données de géolocalisation salariées comme contraire au principe de minimisation. Pour un gestionnaire de flotte VTC, le signal est explicite.

Trois bases légales, trois usages, trois zones de risque

Le RGPD n’interdit pas le traitement, il l’encadre. Trois bases légales structurent l’activité d’un opérateur VTC, et la confusion entre elles constitue le manquement le plus fréquent en cas de contrôle.

L’exécution du contrat (article 6.1.b) couvre le périmètre opérationnel pur. Nom, point de départ, destination, paiement de la course. Cette base reste solide tant que les données traitées demeurent strictement nécessaires à la prestation. Une plateforme qui collecte des données de géolocalisation au-delà de la fin du trajet, sans justification opérationnelle séparée, sort du champ couvert par cette base et bascule dans une autre logique.

Le consentement (article 6.1.a) gouverne les usages secondaires : communications marketing, partage avec des partenaires tiers, segmentations commerciales, profilage de préférences. La CNIL exige un consentement libre, spécifique, éclairé, révocable. Pré-cocher une case dans des conditions générales d’utilisation fait tomber le consentement, et avec lui la base légale qu’il prétendait fonder.

L’intérêt légitime (article 6.1.f) peut justifier certains traitements de sécurité, de prévention de la fraude ou d’amélioration du service. La CNIL en fait une lecture restrictive. Une mise en balance documentaire entre l’intérêt invoqué et les droits des personnes concernées doit pouvoir être présentée à tout moment. C’est cette base qu’Uber avait mobilisée, sans pouvoir la justifier, pour conserver des fichiers chauffeurs aux États-Unis.

Une analyse comportementale destinée à orienter la tarification dynamique ou à profiler les passagers ne peut se réfugier ni dans le contrat ni dans l’intérêt légitime. Elle relève soit du consentement explicite, soit du régime spécifique des décisions individuelles automatisées (article 22) qui impose une intervention humaine dans la décision finale et un droit de recours pour la personne concernée.

Le triptyque documentaire que la CNIL contrôle en priorité

Trois documents structurent la défense d’un opérateur en cas de contrôle.

Le registre des activités de traitement (article 30) recense, traitement par traitement, la finalité, les catégories de données, les personnes concernées, les destinataires (incluant les sous-traitants techniques), les durées de conservation, les mesures de sécurité. Pour un opérateur de grande remise, le registre couvre au minimum la gestion des courses, la facturation, le service client, les évaluations, les transferts vers la solution de réservation, vers la solution de paiement, vers le système de gestion comptable. La majorité des opérateurs franciliens tient ce registre dans un tableur. Cette pratique reste acceptable, à la condition que le tableur soit à jour, que chaque modification soit datée, et qu’il existe une copie de référence archivée. Le défaut de registre, sanctionné en première intention par la CNIL, vaut souvent quelques dizaines de milliers d’euros.

L’analyse d’impact relative à la protection des données (AIPD, article 35) devient obligatoire dès qu’un traitement est susceptible d’engendrer un risque élevé pour les droits des personnes. La CNIL classe le traitement à grande échelle de données de localisation parmi les cas concernés par défaut. Aucune flotte VTC qui opère plus de quelques milliers de courses par an ne peut prétendre s’en dispenser. L’AIPD identifie les risques (perte, divulgation, usage détourné), évalue leur vraisemblance, documente les mesures correctives. Elle se révise périodiquement, en particulier à chaque évolution majeure du système d’information.

La désignation d’un délégué à la protection des données (DPO, article 37) est obligatoire pour les organismes dont l’activité principale consiste en un suivi régulier et systématique de personnes à grande échelle. Le seuil n’est pas chiffré dans le règlement. La CNIL l’apprécie au cas par cas. Les grandes plateformes y sont tenues. Les opérateurs de taille intermédiaire qui croisent demande corporate, gestion de flotte connectée et historique client gagnent à désigner volontairement un DPO externe, mutualisé entre plusieurs structures, plutôt qu’à attendre une mise en demeure. Cette décision rejoint d’ailleurs les arbitrages de structuration décrits dans notre guide du statut juridique du chauffeur VTC.

Les droits que les passagers commencent à exercer

Les opérateurs qui reçoivent moins de cinq demandes RGPD par an la sous-estiment. Les associations de consommateurs, les cabinets spécialisés et les outils grand public d’exercice automatisé des droits ont changé l’échelle. Quatre droits dominent.

Le droit d’accès (article 15) permet au passager de réclamer l’intégralité de ses données : historique des courses, évaluations émises et reçues, données de paiement archivées, segmentations dont il fait l’objet. Délai de réponse, un mois, prolongeable une fois en cas de complexité justifiée. La copie est gratuite à la première demande.

Le droit à l’effacement (article 17) impose la suppression des données qui ne sont plus nécessaires aux finalités de la collecte. La tension classique avec les obligations de conservation comptable (dix ans pour les pièces fiscales, sujet détaillé dans notre guide de la fiscalité VTC 2026) se résout par un cantonnement. Les données utiles à la facturation restent archivées, les données comportementales et de géolocalisation s’effacent. Les opérateurs qui n’ont jamais paramétré de purge automatique sont les premiers exposés.

Le droit à la portabilité (article 20) ouvre théoriquement la mobilité d’un opérateur à l’autre. Dans la pratique, peu de passagers l’exercent. La directive européenne 2024/2831 sur le travail via plateforme va probablement le rendre central pour les chauffeurs eux-mêmes, dès lors que la documentation algorithmique les concerne.

Le droit d’opposition (article 21) cible les traitements fondés sur l’intérêt légitime. Un client qui refuse d’apparaître dans une analyse marketing, ou un chauffeur qui s’oppose à la diffusion de ses données de notation auprès de partenaires tiers, doit voir sa demande honorée sauf motif impérieux documenté. C’est précisément ce point qu’Uber a échoué à défendre dans le dossier hollandais.

Plusieurs opérateurs franciliens interrogés en 2025 ont décidé de simplifier l’exercice des droits via une page dédiée, un formulaire structuré, un délai-cible interne de quinze jours. Ce travail réduit la charge administrative à la marge. Surtout, il documente la bonne foi en cas de plainte. Pour un acteur qui revendique le segment haut de gamme, cette posture relève du même registre que la discrétion en course, valeur qui structure la relation des opérateurs avec les conciergeries décrite dans la cartographie des acteurs du VTC premium en Île-de-France.

Sous-traitance, hébergement, transferts hors UE

Le procès Uber a focalisé l’attention sur les transferts internationaux. Le mécanisme central tient en un acronyme : SCC, pour Standard Contractual Clauses. Depuis l’arrêt Schrems II du 16 juillet 2020 qui a invalidé le Privacy Shield, toute transmission de données vers un pays tiers (États-Unis en tête) doit reposer sur des clauses contractuelles types validées par la Commission européenne, complétées le cas échéant par des mesures supplémentaires (chiffrement de bout en bout, anonymisation à la source) lorsque le droit du pays destinataire ne garantit pas un niveau de protection équivalent.

Pour la majorité des opérateurs VTC, le risque ne se loge pas dans une transmission directe vers les États-Unis. Il se loge dans l’hébergement chez un sous-traitant cloud américain (Amazon Web Services, Google Cloud, Microsoft Azure). Même quand les serveurs sont localisés à Francfort ou à Dublin, le Cloud Act fédéral américain peut contraindre la maison-mère à transmettre les données aux autorités américaines. Le contrat de sous-traitance doit prévoir cette éventualité, l’opérateur doit en informer ses passagers, et l’AIPD doit en évaluer le risque résiduel.

La cartographie des flux de données vers les sous-traitants est l’exercice que la CNIL réclame en priorité dans ses procédures simplifiées de 2025. Pour un opérateur qui utilise Stripe pour le paiement, Twilio pour les SMS, Google Maps pour la géolocalisation, Mailchimp pour les newsletters, Salesforce pour la gestion client, la liste des destinataires effectifs des données dépasse vite la dizaine. Chacun doit faire l’objet d’une clause de sous-traitance conforme à l’article 28 du RGPD, et la conformité de cette chaîne contractuelle conditionne la conformité globale du traitement.

La conformité comme arbitrage de gouvernance

Réduire le RGPD à une checklist administrative manque la nature du sujet. La densité des données collectées par un opérateur VTC fait peser sur lui une responsabilité analogue à celle d’un cabinet médical ou d’un courtier en assurances. Les passagers premium qui structurent la demande haut de gamme parisienne, segment décrit dans notre analyse du profil du voyageur premium à Paris en 2026, attachent à la confidentialité une valeur supérieure au confort matériel. Une fuite, une plainte CNIL, un article de presse signalant une transmission douteuse vers un sous-traitant suffisent à compromettre une relation construite sur des années avec une conciergerie de palace.

Le mouvement réglementaire qui se dessine pour 2026-2027 prolonge cette logique. Recommandation CNIL définitive sur les véhicules connectés, transposition probable de la directive plateformes 2024/2831 sur la documentation algorithmique, montée en puissance des exigences CSRD pour les opérateurs intégrés dans des chaînes corporate. Les opérateurs qui investissent dès maintenant dans une gouvernance claire (registre vivant, AIPD documentée, DPO externe ou interne, clauses de sous-traitance auditées) ne se mettent pas seulement à l’abri d’une amende. Ils transforment la conformité en argument commercial vérifiable, à l’heure où les directions juridiques des grandes entreprises clientes intègrent la conformité du prestataire dans leurs grilles d’achat.

La sanction infligée à Uber n’est pas un signal qu’on adresse aux géants. C’est le rappel d’un seuil qui a changé de niveau pour tout le monde. Le secteur VTC est entré dans la même géométrie de risque qu’une banque de données ou qu’une plateforme médicale. Toute stratégie de croissance qui ne traite pas la conformité comme une discipline opérationnelle du même ordre que la sécurité routière ou la qualité de service expose son auteur à un risque dont l’ordre de grandeur a été rendu public le 22 juillet 2024.