RGPD

Le nouveau Règlement général sur la protection des données (RGPD)   présente quelques contraintes, mais offre aussi un cadre de protection aux entreprises de transport. L’occasion pour les PME de s’interroger sur leur informatique, leur stockage, les risques de fuites, et plus largement, sur le partage et la maîtrise de la « data ».

Où et comment conserver ses données informatiques ? Savoir les protéger, les utiliser et les diffuser intelligemment, les mettre en valeur, pour en faire le socle de sa compétitivité, le produit de sa marge…

Le Règlement général sur la protection des données (RGPD) qui est entré en vigueur le 25 mai 2018 dans l’Europe des 28, a surtout pour objet de responsabiliser les entreprises sur la gestion des données personnelles. Il s’agit aussi d’harmoniser les réglementations européennes et d’élargir les pouvoirs des autorités de contrôle. Le RGPD renforce les droits des personnes à disposer de leurs données et à limiter leur collecte et leur usage.

Protéger ses salariés

De ce point de vue, le RGPD peut sembler contraignant. Mais il offre aussi un cadre aux PME de transport, dans un contexte particulier, la course à la  « transparence ». « Depuis des années, nous gérons une multitude de données relatives à nos salariés, à nos flux, à nos clients et fournisseurs, que nous nous efforçons de sécuriser. Nous en sommes responsables. Lorsque, pour des questions de traçabilité, on nous demande de transmettre une partie de ces informations à des tiers, via des plates-formes, par exemple, nous en perdons un peu le contrôle. C'est pourquoi cette nouvelle réglementation est la bienvenue. Nous n'avons pas à transmettre nos données à l'extérieur », estime Dominique Derval, cogérante des transports TSD près d’Angers, et active au sein de la FNTR des Pays de Loire. Au niveau national, la fédération prévient : « Avec la multiplication des supports de communication, les entreprises sont les cibles potentielles des pirates informatiques. Il est donc nécessaire de mettre en place de nouvelles procédures de gestion et de protection des données ».

« Choisir un prestataire, c’est aussi s’interroger sur son exploitation possible des données »

La FNTR, au sein de son groupe de travail Digital et Transition Numérique, s'applique à la conception d'un guide spécifique sur ces questions, annoncé au premier semestre 2018.

Philippe Chastrusse, secrétaire général de l’OTRE en Haute Garonne,  pose également la question des dérives possibles dans la gestion des informations détenues par les chargeurs et les plates-formes associées. D'autant qu'une entreprise est susceptible d'être acquise par une autre. « Il n'y a pas que les plates-formes, précise-t-il. Il s'agit d'être aussi vigilant sur l’exploitation des informations détenues par les sociétés d’informatique embarquée ou de produits de géolocalisation. Etant donné la concentration de ces acteurs, un éditeur indépendant peut rejoindre un groupe international, et être demain associé à une entité ayant intérêt à mutualiser ces informations ».

Une durée de stockage justifiée

Le RGPD impose à toute entreprise opérant dans l’UE de stocker et traiter toutes les données personnelles dans les limites des frontières européennes. Une PME doit pouvoir confirmer le lieu du stockage, la suppression des données et les conditions de chiffrement. Sur ce point, la technologie block chain pourrait apporter des réponses (voir l’encadré).

Le règlement impose aussi que les données soient conservées pour une durée adéquate. Bien souvent, les entreprises de transport s'appuient sur leurs éditeurs pour héberger leurs données. Les fournisseurs d'informatique embarquée, de TMS, mais aussi les bourses de fret, sont en première ligne. « Il est indispensables de conserver les fichiers uniquement pendant une durée justifiée par le service que l’on doit rendre au client : un ou deux mois pour des données de géolocalisation, et plus longtemps pour les preuves de livraison, affirme Christophe Leininger, DSI de B2PWeb. Aujourd’hui, choisir un prestataire, c’est aussi s’interroger sur son exploitation possible des données, sur son interaction avec d’autres sociétés, sur son engagement à travers des conditions générales d’utilisation. » (sur le sujet des échanges de données, voir également l’article S3PWeb : L’agrégateur des Data transport page ??).

L'éditeur de TMS Xyric, très présent sur le créneau EDI chez Astre, Volupal, Lotrex, Flo Palettes et les réseaux de messagerie, est au cœur des échanges d'informations standardisées avec les chargeurs. « Sur notre plateforme EDI, les données personnelles des messages normalisés sont traduites et transmises vers nos partenaires, indique Rémi Vallet, directeur des opérations de Xyric. Aussi nous nous attachons à la question de la durée de conservation de ces  informations. Nous avons nommé un Délégué à la Protection des Données (DPO) en interne. Celui-ci a pour mission de cartographier tous les traitements des données personnelles, afin de prioriser les actions à mener en fonction des risques estimés, et d’organiser les processus internes. Une documentation permet de vérifier la conformité de nos solutions au regard de la RGPD, d’informer nos clients et de sensibiliser nos collaborateurs, notamment les équipes de développement. »

De l’EDI à l'expansion des applications mobiles et du GPS généralisé sur nombre d'outils informatiques personnels et professionnels, sans  mentionner les photographies, la reconnaissance faciale, les caméras  de vidéosurveillance, le contrôle tous ces flux numériques paraît une vaine frontière. Une réglementation un peu stricte est bien un minimum, d’autant que la dématérialisation des documents de transport, lesquels comportent aussi des informations personnelles, est en marche. La lettre de voiture électronique, c'est déjà demain. Xyric, comme d'autres éditeurs de TMS présents dans les articles qui suivent, accompagne cette tendance : « Nous sommes techniquement prêts à mettre en place tous les processus qu’implique la e-CMR, comme la signature électronique. Nous accompagnons nos clients dans cette avancée technologique à travers nos logiciels de gestion de réseau de palettes, notre TMS ProxyLog et notre application mobile de gestion des livraisons ProxyMobility. d'ores et déjà, les Transports Chabas (83), Hazotte (54) et Savoie Messagerie Express (73) utilisent  cette appli. La demande est là, nous n’attendons plus que le feu vert des instances européennes. »

Wilfried Maisy

La blockchain pour sécuriser les documents

À l'exemple du prestataire Ledgerofproof, la technologie blockchain permet de créer une empreinte datée des documents pour prouver leur origine à tout moment. Sur la chaine de blocs, lorsqu’un document est enregistré, seule son empreinte est conservée. Le contenu y est « haché » grâce à un algorithme et il devient impossible à modifier par des tiers. L’empreinte sauvegardée est horodatée. Son contenu, n’est pas conservé par un seul serveur, mais par des milliers de participants au réseau, qui seront tous avertis en cas de modification. Cette approche permet de sécuriser l’empreinte à 100 % et donc de prouver, le cas échéant, l’origine d’un document, selon le prestataire.
R.C.