RGPD chauffeur VTC : ce qu'il faut savoir sur les données clients

Le RGPD s'applique vraiment aux VTC

Beaucoup de chauffeurs pensent que le RGPD ne concerne que les grandes plateformes ou les sites e-commerce. Faux : tout traitement de données personnelles, même par un indépendant unique, relève du règlement européen 2016/679.

Concrètement, dès qu'un chauffeur :

• Note un nom, un téléphone ou une adresse client dans son téléphone
• Conserve l'historique des courses dans son agenda
• Émet une facture nominative
• Stocke un enregistrement dashcam

...il est responsable de traitement au sens du RGPD, avec les obligations qui vont avec.

Les données collectées par un VTC en pratique

Sur une course classique, un chauffeur a accès à :

• Identité : nom et prénom (réservation), parfois photo (profil app).
• Contact : numéro de téléphone, email parfois.
• Géolocalisation : adresse de prise en charge, adresse de dépose, itinéraire suivi.
• Données de paiement : moyen, montant, parfois 4 derniers chiffres CB (rare).
• Données comportementales : préférences musicales, demandes spéciales, pourboires.
• Données issues du dashcam : image et son du passager si filmé.

Toutes ces catégories sont des données personnelles au sens du RGPD. Certaines (géolocalisation précise, image, son) sont considérées comme sensibles.

Les 4 obligations principales

1. Information du passager. Le client doit savoir qu'il est filmé (dashcam) ou que ses données sont conservées. En pratique : autocollant visible « Véhicule équipé d'une caméra à des fins de sécurité » suffit pour la dashcam. Pour les données de course, l'information est portée par la plateforme.

2. Limitation à la finalité. Vous collectez les données pour la course (réalisation du service, facturation, sécurité). Vous ne pouvez pas les utiliser à d'autres fins (prospection, revente, partage avec un tiers).

3. Durée de conservation limitée. Les principes :

• Données de course (trajet, montant) : 10 ans (durée légale comptabilité).
• Enregistrements dashcam sans incident : 30 jours maximum sauf incident.
• Coordonnées personnelles client : 3 ans après la dernière relation contractuelle.

Au-delà, suppression obligatoire.

4. Sécurisation. Verrouillage du téléphone par mot de passe, chiffrement des sauvegardes cloud, pas de partage WhatsApp ou autre des données client.

La sous-traitance par les plateformes

Quand vous travaillez via Uber, Bolt ou autre, la plateforme est responsable de traitement principal, et vous êtes en quelque sorte « sous-traitant » au sens RGPD pour les données qu'elle vous transmet.

Cela signifie :

• Vous n'avez pas le droit d'utiliser les coordonnées client pour autre chose que la course en cours.
• Vous devez supprimer les données de course de votre application/téléphone une fois la course terminée si la plateforme le demande.
• Vous ne pouvez pas constituer un fichier de clients réguliers avec leurs coordonnées via la plateforme.

Le contrat-cadre signé avec chaque plateforme précise ces obligations. À relire au moins une fois.

Le cas des clients en direct

Si vous avez votre propre clientèle (entreprises, particuliers fidèles, hôtels), vous êtes responsable de traitement principal. Obligations supplémentaires :

• Tenir un registre des traitements (modèle simple CNIL disponible). Document interne, pas à publier.
• Mentions d'information dans vos devis/factures (« Vos données sont conservées N ans à des fins de... »).
• Réponse aux demandes RGPD sous 30 jours (droit d'accès, rectification, suppression).

Pas besoin de DPO (délégué à la protection des données) en dessous de 250 collaborateurs : le chauffeur indépendant en est dispensé.

La dashcam : règles spécifiques

L'enregistrement dans un véhicule de transport de personnes est autorisé sous conditions :

• Information visible du passager (autocollant à l'extérieur ou intérieur).
• Pas d'enregistrement audio par défaut sauf nécessité de sécurité (avec mention spécifique).
• Conservation 30 jours maximum sans incident, prolongation possible si plainte ou contentieux.
• Pas de diffusion des images sur réseaux sociaux ou à des tiers sans accord exprès.
• Stockage sécurisé (carte SD chiffrée ou cloud avec MFA).

La CNIL a publié en mars 2025 des lignes directrices spécifiques pour les T3P. Recommandation : modèle de dashcam avec écrasement automatique 30 jours et désactivation audio par défaut.

Sanctions en cas de manquement

Les sanctions CNIL sont graduées :

• Avertissement : sans publication, suite à signalement isolé.
• Mise en demeure : avec délai de mise en conformité 1-3 mois.
• Amende administrative : jusqu'à 20 millions d'euros ou 4 % du CA mondial pour les grandes entreprises. Pour un VTC indépendant, plafond pratique observé : 1 500 à 5 000 €.
• Sanction pénale : possible en cas de collecte frauduleuse (article 226-16 du Code pénal, jusqu'à 5 ans de prison).

Les contrôles CNIL sur les VTC sont rares mais réels (12 contrôles documentés en 2025 selon le rapport annuel CNIL).

Les bonnes pratiques

• Verrouillage écran téléphone systématique avec PIN ou biométrie.
• Pas de capture d'écran des données client à conserver pour soi.
• Suppression des SMS d'organisation de courses dès la fin du trajet.
• Sauvegarde cloud chiffrée (iCloud, Google Drive avec MFA actif).
• Pas de partage sur les groupes WhatsApp pro de chauffeurs.
• Autocollant dashcam visible si caméra installée.
• Registre simple pour les clients en direct (Excel suffit).

Pour aller plus loin

• Le guide contrôle routier VTC précise les pièces à présenter en cas de contrôle.
• L'article sur la directive plateformes 2026 couvre les nouvelles obligations algorithmes et données.
• Le site cnil.fr a une rubrique dédiée aux T3P.

Le RGPD n'est pas un sujet abstrait. Pour un chauffeur indépendant, les bons réflexes prennent 5 minutes par jour et évitent une amende qui peut atteindre l'équivalent de plusieurs mois de revenu.