RGPD garage automobile : guide de conformité 2026
RGPD garage et concession : fichiers clients, VIN, plaques, financement, vidéosurveillance atelier. Traitements, bases légales et durées de conservation.
L’essentiel. Un garage ou une concession traite bien plus de données qu’il ne le croit : identité et coordonnées des clients, historiques d’entretien, numéros VIN et plaques d’immatriculation, dossiers de financement, images de vidéosurveillance de l’atelier. Chacun de ces traitements doit reposer sur une base légale, être proportionné et respecter des durées de conservation précises. La difficulté n’est pas juridique au sens académique : elle tient à la multiplicité des flux et à la présence de salariés en atelier, qui fait entrer le Code du travail dans l’équation.
Dans les audits que je mène auprès de garages indépendants, de concessions et de groupes de distribution automobile, le constat est régulier : le registre est absent ou obsolète, les données bancaires de financement circulent sans encadrement, la vidéosurveillance de l’atelier n’a fait l’objet d’aucune information des salariés, et les fichiers clients ne sont jamais purgés. Rien de dramatique en apparence — jusqu’au premier contrôle CNIL ou à la première réclamation d’un client mécontent. Voici la cartographie des traitements d’un garage et les obligations concrètes qui les accompagnent.
Ce qui rend le secteur automobile particulier
Trois caractéristiques expliquent pourquoi un garage doit être plus rigoureux qu’un commerce de détail classique.
La donnée véhicule est une donnée personnelle. Le numéro d’immatriculation, le numéro de série (VIN), le kilométrage, l’historique des interventions : pris isolément, ces éléments semblent techniques. Mais dès qu’ils sont rattachables à un propriétaire identifié ou identifiable, ce sont des données à caractère personnel au sens de l’Art. 4(1) du RGPD. Une plaque d’immatriculation permet de remonter à une personne physique ; elle est donc protégée. Le garage ne peut pas les traiter comme de simples références produit.
Le financement fait entrer des données sensibles au plan économique. Vendre un véhicule à crédit suppose de collecter des justificatifs de revenus, des relevés bancaires, parfois des éléments de solvabilité. Ce ne sont pas des données sensibles au sens RGPD (l’Art. 9 vise la santé, les opinions, la biométrie…), mais ce sont des données à fort impact dont la fuite expose directement le client. Elles appellent des mesures de sécurité renforcées.
Le garage est un lieu de travail. L’atelier emploie des mécaniciens, le showroom des commerciaux. Toute vidéosurveillance, tout dispositif de suivi tombe donc aussi sous le Code du travail : information préalable des salariés (Art. L.1222-4), information-consultation du CSE (Art. L.2312-38), et principe de proportionnalité (Art. L.1121-1). C’est ce cumul RGPD + droit du travail qui est le plus souvent négligé.
Cartographie des traitements d’un garage
Voici les principaux traitements à inscrire au registre des activités de traitement d’un garage ou d’une concession.
| Traitement | Données concernées | Base légale (Art. 6) |
|---|---|---|
| Fichier clients / CRM | Identité, coordonnées, véhicule, historique | Art. 6(1)(b) exécution du contrat |
| Fiche véhicule et entretien | VIN, immatriculation, km, interventions | Art. 6(1)(b) / 6(1)© |
| Facturation et comptabilité | Coordonnées, montants, mode de paiement | Art. 6(1)© obligation légale |
| Dossier de financement / crédit | Revenus, RIB, solvabilité | Art. 6(1)(b) + contrat organisme |
| Reprise de véhicule | Identité, véhicule, estimation | Art. 6(1)(b) |
| Prospection commerciale | Coordonnées, préférences | Art. 6(1)(a) ou 6(1)(f) |
| Vidéosurveillance atelier / showroom | Images des personnes | Art. 6(1)(f) intérêt légitime |
| Gestion des salariés (paie, planning) | Données RH | Art. 6(1)(b) / 6(1)© |
Pour la prospection, la règle dépend du canal : la sollicitation par e-mail ou SMS d’un prospect qui n’est pas déjà client suppose un consentement préalable (règles de la prospection électronique), tandis que la relance d’un client existant sur des produits analogues peut reposer sur l’intérêt légitime, à condition de laisser un droit d’opposition simple.
Les bases légales à mobiliser
La base légale se choisit traitement par traitement, jamais globalement.
Pour la relation d’entretien et de vente, l’Art. 6(1)(b) (exécution du contrat) est le fondement naturel : réparer un véhicule, honorer une garantie, livrer une commande sont l’objet même du contrat. Nul besoin de consentement pour cela.
Pour la conservation comptable et les obligations fiscales, l’Art. 6(1)© (obligation légale) s’applique : les factures doivent être conservées au titre du Code de commerce.
Pour la vidéosurveillance et la prospection sur clients existants, on mobilise l’Art. 6(1)(f) (intérêt légitime), qui impose de mener au préalable un test de mise en balance entre l’intérêt du garage (sécurité, prévention du vol) et les droits des personnes filmées.
Pour la prospection par voie électronique vers des non-clients, seul le consentement (Art. 6(1)(a)) est valable.
Le dossier de financement mérite une attention particulière : lorsque le garage transmet les données à un organisme de crédit partenaire, il faut déterminer qui est responsable de traitement et qui est sous-traitant. En général, l’organisme de crédit est responsable de traitement autonome pour la décision d’octroi ; le garage reste responsable pour la collecte initiale. Un accord clair sur les rôles évite les zones grises.
La vidéosurveillance de l’atelier : le point sensible
Filmer un atelier soulève deux régimes. Vis-à-vis des clients qui circulent, c’est un traitement classique fondé sur l’intérêt légitime. Vis-à-vis des mécaniciens, c’est un dispositif de surveillance des salariés, encadré strictement.
La position de la CNIL est constante : la vidéosurveillance ne doit jamais placer un salarié sous surveillance permanente et continue. On peut filmer les accès, les zones de stockage de pièces, la caisse — pas braquer une caméra en continu sur un poste de travail. Les vestiaires, la salle de pause et les sanitaires sont interdits. Les images se conservent en principe un mois maximum. L’installation suppose une information préalable des salariés (Art. L.1222-4), une consultation du CSE (Art. L.2312-38) et des panneaux visibles pour les clients. Le détail de ces règles est développé dans le guide dédié à la vidéosurveillance en entreprise.
Si le garage prête ou loue des véhicules équipés d’un traceur, ou gère une flotte, il faut également maîtriser les règles de géolocalisation des véhicules, notamment l’interdiction de suivre un salarié hors de son temps de travail.
Un DPO est-il obligatoire pour un garage ?
La désignation d’un délégué à la protection des données (DPO) est obligatoire dans trois cas prévus à l’Art. 37 du RGPD : autorité publique, suivi à grande échelle et systématique des personnes, ou traitement à grande échelle de données sensibles.
Un garage indépendant classique ne remplit généralement aucun de ces critères : son fichier clients, aussi volumineux soit-il, ne constitue pas un « suivi systématique à grande échelle » au sens des lignes directrices, et il ne traite pas de données sensibles en masse. La désignation d’un DPO n’est donc pas obligatoire, mais elle reste recommandée pour structurer la conformité.
La réponse change pour un groupe de distribution multi-sites qui combine une vidéosurveillance étendue, une géolocalisation systématique d’une flotte importante et un CRM couplé à des outils d’analyse comportementale : le seuil de la « grande échelle » peut alors être atteint, et une analyse d’impact (AIPD) devient nécessaire pour les traitements les plus intrusifs. Dans le doute, la réalisation d’un audit RGPD permet de trancher objectivement.
Durées de conservation
La conservation doit respecter le principe de minimisation : on ne garde une donnée que le temps nécessaire à sa finalité, puis on l’archive ou on la supprime.
| Donnée | Durée active recommandée | Fondement |
|---|---|---|
| Client actif | Durée de la relation contractuelle | Finalité du contrat |
| Prospect non converti | 3 ans après le dernier contact | Doctrine CNIL prospection |
| Fiche véhicule / historique entretien | Durée de la relation + garantie | Suivi technique |
| Factures | 10 ans | Code de commerce |
| Dossier de financement | Durée du crédit + prescription | Obligation contractuelle |
| Images de vidéosurveillance | 1 mois maximum | Doctrine CNIL |
| Données de géolocalisation flotte | 2 mois (optimisation) | Doctrine CNIL |
Pour un tableau complet applicable à tous les traitements, voir le tableau des durées de conservation.
Sécurité et sous-traitance
Un garage travaille avec de nombreux prestataires : éditeur du logiciel de gestion (DMS), plateforme de prise de rendez-vous en ligne, hébergeur, organisme de crédit, société de vidéosurveillance. Chaque prestataire qui traite des données pour le compte du garage est un sous-traitant au sens de l’Art. 28 du RGPD, et doit être lié par un contrat comportant les clauses obligatoires (finalités, sécurité, confidentialité, sort des données en fin de contrat).
Sur le plan technique, les priorités sont classiques mais souvent négligées : comptes nominatifs pour chaque salarié accédant au CRM, mots de passe robustes, chiffrement des sauvegardes, verrouillage des postes du showroom accessibles aux clients. En cas de fuite (vol d’un ordinateur portable contenant des dossiers de financement, intrusion sur le serveur), le garage doit être capable de notifier la violation de données à la CNIL dans les 72 heures lorsqu’elle présente un risque.
Sanctions
Le RGPD prévoit des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (Art. 83). En pratique, pour une PME du secteur automobile, le risque le plus probable n’est pas l’amende maximale mais la mise en demeure de la CNIL, la mauvaise publicité et la perte de confiance des clients. À cela s’ajoute, côté salariés, le risque prud’homal : une preuve obtenue par un dispositif de surveillance illicite (caméra non déclarée au CSE, par exemple) peut être écartée des débats, et une charte informatique mal rédigée peut fragiliser une procédure disciplinaire.
La conformité n’est pas qu’un exercice défensif. Un garage capable de démontrer qu’il maîtrise les données de ses clients — et notamment leurs dossiers de financement — envoie un signal de sérieux commercialement précieux. C’est aussi ce que des outils comme Legiscope permettent de structurer : cartographier les traitements, générer le registre et suivre les durées de conservation sans y consacrer un mi-temps juridique.
Questions fréquentes
Un numéro de plaque d’immatriculation est-il une donnée personnelle ?
Oui, dès lors qu’il est rattachable à une personne identifiée ou identifiable, ce qui est le cas dans un fichier de garage où la plaque est associée au nom du propriétaire. Il doit donc être traité comme une donnée personnelle : base légale, durée de conservation, sécurité. Le principe de minimisation impose de ne collecter que les références réellement utiles à l’entretien du véhicule.
Puis-je conserver indéfiniment l’historique d’entretien d’un véhicule ?
Non. L’historique se conserve pendant la durée de la relation avec le client, augmentée de la période de garantie et des délais utiles au suivi technique. Passé ce délai, les données doivent être archivées ou supprimées. Conserver « au cas où » un fichier client inactif depuis dix ans est un manquement au principe de limitation de la conservation.
Dois-je faire signer un consentement RGPD à chaque client ?
Non, et c’est une erreur fréquente. La plupart des traitements d’un garage reposent sur l’exécution du contrat (Art. 6(1)(b)) ou une obligation légale (Art. 6(1)©), qui n’exigent aucun consentement. Le consentement n’est requis que pour la prospection par voie électronique vers des non-clients et pour l’usage de certains cookies sur le site du garage.
Comment gérer les données de financement transmises à l’organisme de crédit ?
Il faut clarifier les rôles : le garage collecte, l’organisme de crédit décide de l’octroi. En général chacun est responsable de traitement pour sa part. Le client doit être informé de cette transmission via la note d’information ou une mention dédiée, et les justificatifs sensibles (RIB, revenus) doivent être transmis par un canal sécurisé, jamais par simple e-mail non chiffré.
La vidéosurveillance de l’atelier nécessite-t-elle une AIPD ?
Pas systématiquement. Une AIPD s’impose pour les traitements susceptibles d’engendrer un risque élevé, notamment la surveillance systématique à grande échelle d’une zone accessible au public. Un atelier d’un garage indépendant n’atteint généralement pas ce seuil, mais un groupe multi-sites avec une couverture étendue devrait réaliser une analyse d’impact. Dans tous les cas, l’information des salariés (Art. L.1222-4) et la consultation du CSE sont obligatoires.
Un garage indépendant doit-il désigner un DPO ?
Non dans la très grande majorité des cas : il ne traite pas de données sensibles à grande échelle et n’exerce pas de suivi systématique au sens de l’Art. 37. Un DPO reste toutefois utile pour piloter la conformité. Une concession de grande taille ou un groupe de distribution doit examiner la question au regard de ses volumes et de ses dispositifs de surveillance.